歐盟《通用數據保護條例》探微

編譯 許林玉

2018年5月25日，歐盟關于數據保護的2016/679號條例（又稱《通用數據保護條例》，GDPR）正式生效。GDPR廢除了此前歐洲關于數據保護的立法——95/46/EC號指令，而鑒于歐盟研究的全球影響力以及需要進行互操作的國際研究網絡所處的重要地位，這勢必會對歐洲及其他地區的生物醫學研究和數字健康技術產生重大影響。本文介紹了GDPR如何成為構建數據保護治理的關鍵工具；作為對其潛在影響的實時預測，還分析了GDPR在一場法律爭議中的影響，該爭議涉及最初由Shardna（全球首批基因組生物樣本庫之一）搭建的數據庫。

GDPR旨在協調歐盟的數據保護立法，其目標是為公民提供對個人數據的更多保護和賦權，同時加強歐盟內部的個人數據保護。這一目標旨在提供監管支持，以建立一個完整的數字單一市場——這是讓-克洛德·容克（Jean-Claude Juncker）主席領導下的歐盟委員會的政策基石。GDPR采用了一種基于風險并針對具體情況的方法，目的是確保在整個數據處理中設計和實施適當的數據保護措施（正如被寫入的“從設計著手保護隱私和默認隱私保護”原則），其核心是賦予數據主體新的權利（如“被遺忘的權利”和“數據可移植性的權利”）。為此，GDPR提高了數據控制方的責任意識，并推出新的去中心化問責模式。此外，GDPR還為科學研究處理敏感數據設立了專門條款，要求提供組織和技術保障（如數據假名化），以及在敏感數據需要進行大規模系統處理時授權指定數據保護專員。

“大數據”生物醫學的治理

大數據生物醫學面臨的監管挑戰主要在于：一是數據固有的開放式潛力，其數字兼容性使其在研究中變得更有價值，而這些研究可能與收集樣本或數據的原始目的完全背離，從而導致“知情同意”這一經典理論基礎被削弱了；二是數據在所有數字化人類特征（從基因組到社交網絡“日志”）中越來越高的辨識度和不斷擴大的范圍，隨之而來的便是自我宣稱的隱私被侵蝕。盡管處在不同的技術層面，人們的反應明顯呈現為兩種風格，而其目的則都是為了從技術上解決問題。

第一種包括試圖通過更復雜的數字化來解決數字時代的難題，例如最近的多方安全計算，這種計算使得基因組診斷成為可能，同時還能保護受試者的隱私。第二種是利用治理，通過流程體系結構和分布式機構將權力結構重新配置（如建立信任技術的建議），將重點從隱私問題本身轉移到獲取對數據的控制和對其所有者的信任，從而避免數據隱私與數據可用性的零和博弈。

治理機制在當代生物醫學興起的過程中一直發揮著核心作用，同時也是制定歐洲科學政策的關鍵：一方面，隨著市場力量的進步和“利益相關者”的多元化，國家權力和管理機構部分退出，開啟了針對決策的重大調整（“去中心化”）；另一方面，更多依賴軟規則工具，例如標準、行為準則和道德門檻 （“標準化”），而不是僵化的立法干預形式。反過來，這兩個特征又都是構建GDPR不可或缺的組成部分。

去中心化

盡管GDPR具有約束力和嚴厲的處罰力度（如果違反，罰款最高可達2 000萬歐元，或占公司全球年收入的4%），但GDPR將集權分散出去，把國家和歐盟的職責委托給數據控制方（即個人、公司、協會或其他控制個人數據處理的實體）。“問責原則”規定，數據控制方必須對數據保護采取積極主動的辦法，并負責事前評估、實施以及事后對適當措施的核驗，以確保和證明數據處理符合GDPR的要求。

在說明哪些措施體現了控制方的義務，并根據處理的性質、范圍、背景和目的來確定這些措施時，GDPR旨在推廣一種基于控制方、事件敏感性和特定背景的數據保護方法。這標志著歐盟的數據保護工作實現了從“家長式”管理向“自主式”管理的轉變。有趣的是，有人在一場關于隱私法的會議上無意中聽到了下面的評論：“因為GDPR，歐盟的數據保護工作回到了20世紀60年代?！?/p>

向去中心化、基于控制方和問責制的模式轉變取得了顯著進展，尤其是由“高清晰度醫學”的關鍵推動者提出的“動態知識資源庫”的出現。GDPR規定，用于科學研究的進一步數據處理“應被視為符合最初收集個人資料的原始目的”。此外，GDPR還引入了兼容性評估標準，由數據控制方負責執行，目的在于逐案確定個人數據的進一步處理（未經數據主體同意）是否符合最初收集數據時的原始目的。這項“兼容性測試”應考慮的因素包括：個人數據的性質，尤其是是否對特殊類型的個人數據進行處理；收集個人資料的目的與預期的處理目的之間的聯系；在進一步使用數據方面，根據數據主體與控制方的關系判斷數據主體的合理期望；收集個人數據的背景。

標準化

這種數據處理的靈活性可延伸至人類生物醫學研究的基本原則——知情同意。雖然GDPR要求數據主體“明確知情并同意”，但研究人員在收集數據時可能無法完全確定今后所有可能的研究目的。鑒于此，GDPR指出，如果同意過于明確會影響研究目的，應允許數據主體在符合一些條件時對某些領域的科學研究表示同意，同時研究應符合公認的科學研究倫理標準。

這一關鍵規定與關于合理知情同意模式的生物倫理爭辯存在交集，它主要有兩個主要含義。首先，在數據收集過程中，當用于特定研究的明確同意標準被證明無法滿足時（如生物樣本庫的例子），這一規定消除了之前的擔憂，充分利用GDPR的立法權重，為獲得廣泛同意提供了支持。有趣的是，工作小組發布了進一步明晰GDPR中“同意”概念的準則。這些準則再次確認，作為默認選擇，必須獲得明確同意。同時，它們在研究目的之間做了細微區分，要求對其進行“詳細描述”，不應該只是“充分說明”。出現這些情況時，還建議采取一些額外保障措施。例如，在項目開始前提供綜合研究計劃，提高項目發展的透明度，使參與者能夠行使撤回同意的權利。這一解釋性準則不僅提供了“更嚴格的解釋”和“高度的審查”，而且為控制方在任何時候都可根據預期的研究目的獲得廣泛同意而鋪平道路。其次，在確定為科學研究目的進行數據處理的范圍方面，這一條款使制度化倫理（即倫理委員會的指導方針以及其他軟性法律文書，如職業行為守則）更加強化。更寬泛地說，這一作用在制定通用實踐標準方面得到了加強。由于缺乏可與規范臨床研究相媲美的具有約束力的立法要求，人類生物樣本的研究已經在很大程度上進行了回避。

這一準則被設想為該領域的參考標準，使歐盟成員國及其他國家和地區之間的國際協調成為可能。然而，GDPR的具體執行情況是否能夠憑借單一的行為準則帶來廣泛的影響還有待觀察?；蛘?，GDPR加大對制度化倫理的投資，最終通過當地倫理委員會的擴散而促進監管分化。

GDPR測試

事實上，歐洲的數據保護工作取代僵化的統一規范而實施靈活的治理制度（盡管成員國可能會為基因組和健康相關數據的處理制定進一步規定），存在自相矛盾之處。

一方面，除了控制方的自由裁量權外，GDPR還支持影響深遠的“研究豁免”，以應對敏感數據處理的嚴格限制，放寬對同意、進一步處理和存儲的要求。對“技術開發和示范”“應用研究”和“私人資助研究”等科學研究名義下開展的活動采用非常寬泛的定義，擴大了研究豁免的范圍。通過將這些規定結合起來，制藥企業、直接對消費者進行基因檢測的公司以及數字技術公司等控制方聲稱可在科學研究活動范圍內對（敏感的）個人數據進行處理，它們將直接受益于對數據控制方（而非數據主體）有利的監管空間。

另一方面，兼容性測試等涉及敏感內容的方法以及進一步強化制度化倫理的做法，都可視為加強對數據主體的保護，并為促進其實質性（而非象征性）地參與研究工作創造條件。

卡利亞里法庭（意大利）曾做出一審判決，推翻了意大利數據保護局（DPA）終止英國蒂齊亞納生命科學有限公司有關Shardna SpA數據庫活動的決定，這一具有里程碑意義的判決很好地詮釋了這一點。這是意大利法院第一次做出此類裁決。Shardna是意大利的一家基因組生物樣本庫，存儲有遺傳、健康和家譜數據（后者是從超過4個世紀的市政和教區檔案記錄中收集的），涉及大約1.2萬名基因互相關聯的奧利亞斯特拉居民。奧利亞斯特拉是意大利撒丁島上一個與世隔絕的地區，百歲老人隨處可見。Shardna在2016年被蒂齊亞納收購，并在當地社區引發爭論，包括研究參與者試圖阻止外國機構對Shardna數據庫的營利性收購。

DPA決定對蒂齊亞納的收購設置臨時障礙，其依據是蒂齊亞納作為新的數據控制方，必須將“數據控制方的變更以及新控制方可能會因為醫學遺傳領域科研目的而進行進一步數據處理”告知數據主體，并重新征得信息存儲于Shardna數據庫的所有數據主體的同意。相反，卡利亞里法庭裁定這項規定“要求過高”，因為新的數據控制方“追求的是與Shardna相同的目標”，即“已征得同意的科學研究目的”。

盡管DPA的決定和將其推翻的裁決都與意大利的數據保護法相一致，但對該判決進行申訴預計將在GDPR框架下進行。預計對此案的裁決將圍繞以下評估進行：數據控制方的變更是否導致進一步處理個人數據；其范圍是否符合征得同意時的最初目的。可以說，這樣的評估最終會得出這樣的結論：蒂齊亞納極有可能不會為了推進自己的腫瘤學和免疫學研究項目而對Shardna最初建立的數據庫進行進一步處理，不管它是否繼續開展最初由Shardna發起的系列研究。

評估這種對數據進一步處理的兼容性需要對科學研究的抽象概念進行闡釋（Shardna和蒂齊亞納對數據進行處理的明確目的）。這包括對兩個機構開展的研究工作進行審查，并認識到這兩個機構不僅在研究方案和目標上存在重大差異，而且在治理方式、價值觀和愿景方面也迥然不同。Shardna是一個由本地人擁有并管理的生物樣本庫，根植于奧利亞斯特拉社區（名稱本身就讓人想起青銅時代居住在撒丁島的Shardana人）。因此，它能夠在當地人口中獲得較高的招募率，因為它的研究項目關注的是常見于奧利亞斯特拉的多因子疾病的遺傳。相比之下，蒂齊亞納是一家以營利為導向的國際化生物技術公司，擁有明確的研究重點，其研究重心與當地社區聯系薄弱。因此，無論Shardna最初征得的同意有多“廣泛”，都可以提出一個令人信服的理由：由于數據控制方發生了變化，數據主體和控制方之間的關系——GDPR為確定進一步處理的兼容性而設立的關鍵標準——已經發生了重大改變。這可能會使數據的進一步處理背離初衷，因此需要征得研究受試者的同意。

無論結果如何，該案例都會成為一個典型的試驗，因為它的裁決必將為當代生物醫學中的兩個核心問題確立判例。歐洲科學家和公民借助這一立法工具的廣泛性集體參與其中，將會是確保GDPR在科學和社會領域具有強大影響力的關鍵?？傊?，將更廣泛的研究自由和更嚴苛的研究問責之間的關系轉化為實踐，為GDPR劃定了范圍，而從更廣義的層面上說，是界定了歐盟通過技術科學治理進行試驗的范圍。

資料來源 Science