GDPR對我國醫學研究倫理審查的啟示*

劉瑞爽

1 背景

大數據時代開啟了一次重大的時代轉型[1]159。信息技術的高速發展，醫學研究迅速向數據密集型發展[2]，個人敏感數據如基因數據、生物識別數據以及個人健康數據正以史無前例的規模被重復利用和鏈鎖，這無疑會顯著提高人類的健康水平，但同時對小數據時代的傳統倫理審查機制帶來了挑戰，倫理審查實踐中也產生了諸多的新問題。例如，依據我國相關法律規定，《藥物臨床試驗質量管理規范》(Good Clinical Practice,GCP)、《涉及人的生物醫學研究倫理審查辦法》，醫學研究中的倫理審查是法定的受試者保護機制，知情同意與倫理委員會是法定的受試者保護主要手段。但是，大數據相關醫學研究中，僅靠個人的知情同意和倫理委員會審查已經不足以有效保護個人基本權利，尤其是個人數據權利(個人數據權利與個人信息權利因內涵趨同，國際上通常混用[3]11-15)。再如，傳統的具體知情同意方式已不足以應對大數據時代的數據反復挖掘使用的特點(如對生物樣本的基因數據處理)。還如，小數據時代的數據安全措施已經不足以應對大數據時代對特定個體身份的再識別等。為了應對大數據時代的挑戰，保護個人數據權這一歐盟憲法確立的基本權利，歐盟出臺了《通用數據保護條例》(General Data Protection Regulation，GDPR)，于2018年5月25日生效。結合我國實踐，與我國現行倫理審查法律、法規相比較，GDPR對我國醫學研究倫理審查有著較為全面的啟示和借鑒意義。

2 對醫學研究倫理審查理念的啟示與借鑒意義

2.1 對不同數據處理目的的理解、判斷與區別化處理原則

大數據時代，數據處理目的相互摻雜、轉化迅速，難以簡單籠統地劃出各個目的的清晰邊界。依據GDPR規定，數據處理目的不同，數據的處理具有相對應的具體措施，例如，對商業目的的數據處理，須嚴格遵循一般數據處理原則，全面保障個人數據權利。但特殊目的的處理除外，例如，GDPR第八十九條具體規定了以科學研究目的處理個人數據相關的保障與權利克減(derogation)。GDPR在其前言中專門指出，對于研究目的應做廣義的解釋，其中包括“技術開發與發展、基礎研究、應用研究和私人資助的研究”，其保障科學自由、鼓勵創新、靈活務實的立法精神躍然紙上，這一點特別值得我國借鑒。

相較于小數據時代，大數據時代數據處理的各種目的往往摻雜、交織在一起，難以截然分開。小數據時代的科學研究，通常是基于一個或若干假設，再設計研究方案，沿用小數據隨機抽樣的思維，采用小數據時代的技術(如隨機雙盲對照)，開展研究并對數據進行統計學處理，最終對研究中假設進行驗證。該小數據研究是商業目的還是科學目的，比較容易區分、判斷。不同于小數據時代有限的記錄、存儲、運算等能力，大數據具有“5V”的特點，采用“樣本=總體”的全數據思維模式[1]27-44，其算法、算力完全可以處理小數據時代不可能處理的數據，可以做到不再以假設為出發點，而通過對全數據的分析反復挖掘新的關聯，并進行分析、解釋、轉化、使用、預測，可以說能夠做到在實踐中研究，研究后迅速轉化為實踐所用。如此循環往復，各種目的相互摻雜、互為動力、轉化迅速，促進商業活動中發現新關聯、新規律。除此之外，公共利益、國家利益、其他個人利益在各個目的的數據處理過程中均有可能涉及，例如涉及公共衛生的大數據研究或健康醫療大數據平臺的建立，均涉及研究目的、商業目的、公共利益建檔目的等各種目的摻雜、轉化的問題。在大數據時代，我們應當注意到個人數據處理目的不再單純這一特點，借鑒GDPR對科學研究的寬泛解釋及鼓勵科研的精神，在倫理審查中應具體到個案，以寬泛的態度，具體分析某一處理活動是單純為了某一研究目的，還是摻雜了諸如商業、公共利益建檔等目的。如果寬泛理解該個案與研究目的相關，就可以依據公認的倫理標準與法律規定，為了研究的順利進行，考慮對數據處理的原則予以寬松、對某些個人數據權利予以克減。

2.2 確立“誰的信息誰做主”的保護理念

2.2.1 “誰的信息誰做主”的保護理念在GDPR中的體現

GDPR要求在數據處理全程的每一個細節均應保護個人數據權利，醫學研究當然也不例外。GDPR確立了“誰的信息誰做主”的保護理念[3]19，是“權利意識、契約精神”的法治精神在大數據時代的體現，對于醫學研究的倫理審查必不可少。

個人數據處理原則體現了“誰的信息誰做主”的保護理念。歐盟個人信息保護模式被稱為一套監管體系標準之下的“原則驅動體系”，GDPR第五條規定的個人數據處理原則有：合法、公開透明；目的限制；最小必要；數據準確性；數據存儲限制；數據完整性、保密性；數據控制者責任。從這些原則看，“誰的信息誰做主”理念基礎在GDPR中是不可動搖的。

GDPR明確賦予自然人個人數據權利，體現了“誰的信息誰做主”的保護理念。GDPR明確規定了數據主體對數據處理享有的權利包括但不限于：知情權、數據訪問權、更正權、刪除權(被遺忘權)、限制處理權(凍結權)、對自動化決策(包括畫像)的自主權、數據可攜帶權(復制權)、反對權、隨時退出權、申訴權等。

GDPR明確規定了數據控制者、處理者保障個人數據權利的義務及責任的轉移，體現了“誰的信息誰做主”的保護理念。與個人數據權利相對應的是，GDPR規定了數據控制者、處理者(無論是政府機構、商業機構還是其他組織、個人等)應當采取符合最小必要原則的適當的技術與組織措施保障這些權利的義務，例如GDPR在第十三條和第十四條明確規定數據控制者應建立向數據主體充分告知的機制與模式，告知的信息包括從數據收集、存儲、加工、分享、使用等數據處理全流程的相關信息。GDPR第四章規定了數據控制者、處理者的數據安全保障義務。例如， GDPR規定控制者應采取適當的技術與組織措施(如匿名化)執行數據保護原則(如最小必要原則)，應將個人數據保護的理念內嵌于數據處理的全流程。控制者應確保并能夠證明數據處理是依據GDPR所進行，必須制定合規的數據保護政策，并“舉證責任倒置”，由控制者對自己的行為是否合規承擔舉證責任，而非由數據主體舉證證明數據控制者是否合規。在處理個人數據前應進行充分的風險評估，必要時進行事先的風險咨詢。在個人數據泄露時應視情況報告監管部門并通知數據主體。前述手段只是GDPR所要求數據控制者需要履行義務的一部分，但足以證明這些義務都是為了保證個人數據處理原則的貫徹與個人數據處理權利的實現，足以體現“我的信息我做主”的信息自決理念。在這一理念驅動下，GDPR傳遞的信息是：自然人對與其相關的個人數據享有人身及財產權利。

在個人數據權利受到損害后，GDPR規定了個人的行政、司法等充分、有效的權利救濟(例如，除傳統的個人可采用的民事、行政、刑事救濟手段外，還規定了公益訴訟手段)，對賠償權利予以了有力保障，充分體現了對“我的信息我做主”的理念的保障。

簡而言之，結合GDPR全文語境，GDPR的邏輯前提是個人數據屬于自然人，數據處理活動關乎自然人的人身權與財產權。在此邏輯前提下，GDPR制定了體現“誰的信息誰做主”的個人數據處理基本原則、數據主體的基本權利、數據控制者、處理者的數據安全保障義務與責任、數據處理知情同意具體制度、數據泄露的救濟途徑等機制。GDPR關于對個人數據保護的原則將“我的數據我做主”的理念貫穿于個人信息處理的各個環節。數據是我的，如何處理，以我的意見為主，這是第一重要的，其次才是你如何用的問題[3]49。如果沒有“誰的信息歸誰所有”的邏輯前提，GDPR將如同無本之木、無源之水。

2.2.2 “我的信息我做主”在我國法律中的體現及醫學研究倫理審查中的運用

相較于GDPR，盡管我國法律尚未明文規定個人數據的權屬，但也是以個人信息屬于個人所有為邏輯前提的。例如，《網絡安全法》第四十一條規定，收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意。如果不以個人擁有對其個人信息的人身權、財產權為前提，法律不會作出“我的信息我做主”這樣的規定。

實踐中，不乏有人認為個人數據被采集之后，在數據控制者、處理者的控制尤其在加工之后，誰掌握數據，誰就當然享有對數據主體之個人數據的財產權益。例如，不乏有醫務人員認為因病歷為醫務人員書寫形成，故病歷中個人信息屬于醫院，不屬于患者，醫務人員可以對病歷隨意用于研究，這顯然是缺乏倫理、法律依據的，違背“我的信息我做主”的法治精神。尊重患者個人數據保護權、“誰的信息誰做主”的理念需要被進一步落實，糾正實踐中在未獲得知情同意的情況下擅自將病歷用于醫學研究的亂象，保障個人數據權這一基本權利。

2.3 保護個人數據權利的必要性

在尊重個人數據保護權的前提下，平衡好個人數據保護與數據流動中各方利益，是GDPR的主線，貫穿于GDPR全文。這一主線對我們的啟示是：保護個人數據權利，與促進數據流動并無矛盾。只有有力保護數據主體的個人數據權利，方可保證數據流動的有序性；只有數據流動是有序的，方能符合人類利益、國家利益、公共利益、自然人利益等多方利益的平衡，避免人類歷史上最大挑戰中的“科技顛覆”對人類的威脅[4]。

有人認為，大數據時代強調個人信息權利保護會影響數據流動的效率、阻礙創新。這種觀點是錯誤的。大數據時代，更應強調個人數據的保護，這是人文主義的基本要求。對個人信息保護不力，損害個人基本權利，進一步導致人人自危，其危害包括但不限于：一是數據泄露的風險指數級增加會沖擊個人隱私與安全。二是會給企業、科研機構帶來不利影響，阻礙創新。例如，“信息孤島”和“信息濫用”的并存；不規范的企業以數據創新之名，行數據倒賣之實，最終形成“劣幣驅逐良幣”，遵守倫理與法律的企業的合法權益反而被不正當競爭所侵害。三是對國家競爭力和國家安全不利[3]2-3。因此，對個人數據予以積極保護，并盡快予以立法規范，在醫學研究倫理審查中應堅持對個人信息權益的保護為重點審查內容。

電腦消費主要有有兩大特點：一是消費額度偏大，電腦幾乎是大學生最昂貴的消費，不僅價格高，而且涉及到電腦寬帶網絡服務的費用也不小，當電腦出現問題時所需的維修費用也不菲。二是對于實用性的要求越來越高，很多辦公軟件以及繪圖軟件必須依托電腦完成，無論是在情感需要還是在學習需要，大學生消費時最關注的地方依舊是電腦產品的價格和實用性。

2.4 風險觀念的轉變

2.4.1 數據泄露的風險體現在數據處理全程的各個環節

GDPR以“概括+列舉”的方式對“數據處理”作出全面、嚴謹的定義：數據處理是指任何單一或系列針對單一個人數據或系列個人數據所進行的包括但不限于自動化形式的操作行為，例如，對個人數據的收集、記錄、組織、構造、存儲、調整、更改、恢復、咨詢、使用、通過傳輸披露、散布或其他方式對他人公開、排列或組合、限制、刪除或銷毀。在醫學研究中處理數據的各個環節，均存在個人數據泄露的風險，這需要醫學研究方案中體現研究全程對數據安全措施予以全面、具體的規劃與設計。

2.4.2 大數據時代的數據處理往往存在高風險

實踐中，有的倫理審查委員對于“不傷害”狹義地理解為不傷害身體，對風險的認識仍停留在僅關注生命健康、安全方面，忽視了大數據時代個人數據被不正當處理、個人信息泄露、侵害隱私權所帶來的社會心理風險。不同于“小數據時代”，大數據時代被不正當處理、個人信息泄露所帶來的社會心理風險不僅遠遠高于“最小風險”，甚至往往會產生高風險，一旦個人信息泄露，可能會對數據主體(受試者)產生極其嚴重的后果，例如，大數據時代的用戶畫像、虛擬人、基因分析與解釋等可能帶來的對個人甚至是對其家族成員帶來的歧視風險、心理焦慮或壓抑。大數據時代，甚至帶來的是對公平正義新的詮釋、對人的自由意志的挑戰[1]195。因此，在醫學研究倫理審查中，應轉變觀念，不僅要重視受試者生命健康安全，也要重視數據安全，高度重視大數據時代個人數據(尤其是健康相關數據、基因數據等敏感數據)泄露的風險，防患于未然。

3 對醫學研究中數據處理原則的啟示

3.1 醫學研究應遵循一般數據處理原則

GDPR第五條規定了一般數據處理原則：合法、公平、透明；目的限制；數據最小化；數據準確；限期存儲；數據的完整性與保密性；行為者責任(舉證責任倒置原則)等。我國《網絡安全法》也明確規定了數據處理的“安全、正當、必要”原則，可見，在數據處理原則的立法精神上我國法律與GDPR是一致的。我們應借鑒GDPR，對 “合法正當必要”原則進一步細化，以利于具體操作。

3.2 醫學研究在數據處理原則方面的特殊性

3.2.1 醫學研究在個人數據處理原則方面的寬松

3.2.2 關于特殊種類數據(個人敏感數據)的處理原則

GDPR原則上禁止對敏感數據的處理，除非符合法律明確規定的條件，例如科研目的的數據處理。健康相關數據、生物識別數據、基因數據等屬于個人敏感數據，醫學研究中通常涉及這些特殊種類的數據處理，按照GDPR屬于合法處理。但鑒于個人敏感數據處理的高風險性，對于醫學研究中的數據安全措施及知情同意則應有更高的要求，而不是更寬松的要求。

4 對醫學研究知情同意的啟示

4.1 對傳統知情同意的細化補充

實踐中，有的知情同意過程浮于表面，僅追求簽字，不追求讓受試者真正知情理解，知情同意淪為形式，不能真正保護受試者的知情后自主決定的權利。而GDPR對知情同意書及知情同意過程全面而具體的規定，有助于醫學研究中知情同意過程對程序正當的保證。GDPR規定，一般情況下收集個人數據應獲得數據主體的明示同意。數據主體的“同意”指的是數據主體通過某個聲明，或者通過某項清晰的確信行動而自由給出的、具體的、充分知悉的、不含混的表明同意對其相關個人數據進行處理的意愿。GDPR對知情同意的重視貫穿全文，不僅重視知情同意定義的周延，更重視知情同意過程的可操作性，對于知情同意書則要求語言簡潔、通俗易懂、易于獲得，撤回同意與給出同意應同樣重要等。

4.2 關于再次使用數據前的告知與泛知情同意

關于大數據研究(包括生物樣本庫研究)，GDPR的最大亮點之一在于對泛知情同意的認可。GDPR規定，在數據收集時通常無法完全確定用于科學研究目的的個人數據處理的目的。因此，在符合公認的科學研究倫理標準時，應允許數據主體同意在某些領域的科學研究。數據主體應有機會在預期目的允許的范圍內僅同意某些研究領域或研究項目某個部分。在倫理審查中，我們通常可以批準研究采用泛知情同意的方式(如生物樣本庫的相關研究往往采用泛知情同意的方式)，其依據主要是公認的倫理標準和效力較低的、語義含混的部門規章，但缺乏狹義法律層面的明確規定。GDPR的這一規定則意味著泛知情同意在歐盟有了明確的法律依據。筆者認為，我國也應在個人信息保護立法方面明確規定泛知情同意的合法性，以利于做好尊重自主原則與大數據創新之間的平衡。

4.3 研究中對去識別數據處理的知情同意豁免

知情同意原則上應當適用于已識別的(identified)或可識別的(identifiable)自然人有關的所有信息；反之，如果信息不可識別，則可以免除知情同意。因此，確定信息是否能夠用于識別特定人至關重要。GDPR規定經假名化處理的個人數據，如果通過結合其他信息即可指向某一自然人的，該信息也應被視為可識別信息。問題是，大數據時代，符合這種條件的信息越來越多，而且不具備特定性，在某一個場景不可識別的，在另一個場景則屬于可識別信息。那么，倫理審查中如何具體界定信息是否已經去識別呢？GDPR指出，在確定某一方式是否可能被用于對受試者的再識別時，應考慮所有的因素，如時間成本、金錢成本以及技術的可行性。如果確定在考慮了上述因素后，研究所涉及的數據仍屬于不可識別狀態，則在本次科學研究中可以免除知情同意。實踐中，有研究機構和醫療機構達成協議，由醫療機構對病歷資料去識別，然后提供給研究機構去識別的數據，那么此類研究中是否可以免除知情同意呢？這需要具體到個案進行分析。例如，如果在初始采集患者個人信息前，醫療機構已經告知患者可能將其個人信息用于某領域的研究，則符合泛知情同意的要求，研究機構可以免除本次研究中數據處理的知情同意。如果在初始采集患者個人信息前，醫療機構沒有告知患者將其個人信息用于某領域研究，或者明顯超出原初采集的研究目的，這時醫療機構將去識別數據提供給研究機構開展研究，則缺乏知情同意要件。該行為屬于秘密取得患者個人數據，違反合法、公平、透明的原則，違反醫療機構保密義務，實際上剝奪了患者個人數據權利(如知情權、異議權、隨時退出權等)，侵害了患者的人格尊嚴，危及醫患信任關系。因此，盡管屬于去識別信息，研究機構也不宜當然免除本研究目的的知情同意。

5 對醫學研究中保護受試者權利的啟示

5.1 數據處理中應盡可能尊重個人數據保護權利

GDPR規定了所有數據處理情形的個人數據保護權，如知情權(獲得信息權)；訪問權(查閱權)；更正權；刪除權(被遺忘權)；限制處理權；關于更正或擦除或限制處理中的被通知權；數據攜帶權(可復制權)；反對權；對自動化決策(包括用戶畫像)的自主決定權、申訴權、獲賠權等。尊重與保護個人數據權利是第一位的，即便科研目的的數據處理在原則方面有所寬松、權利有所克減，但毋庸置疑的是研究目的的數據處理應當盡可能地保護個人數據權利。

5.2 醫學研究目的個人數據保護權利的克減

GDPR規定，個人數據權利不是絕對的。如果強調某些個人數據權利可能徹底阻礙或嚴重阻礙醫學研究的進行，可以在符合法定情形的前提下，對其訪問權、更正權、限制處理權、反對權等權利進行克減，以利于醫學研究的開展。前述權利克減的法定情形包括但不限于：(1)滿足特定目的：如醫學研究目的；(2)此類權利可能徹底阻礙或嚴重阻礙實現上述目的；(3)克減對于實現上述目的是必要的；(4)采取了必要的措施，例如適當的技術與組織措施保障數據安全，遵循最小必要原則等數據處理原則，前述措施足以保障數據主體的基本權利與自由。

6 強化醫學研究中申辦方、研究方的數據安全保障義務

一切皆可數據化。只要技術上達到了一定的水準，人類一切活動均可予以數據化[1]123，然后這些個人數據可被用于研究，如進行數據畫像，探索規律，這使得創新有了前所未有的廣闊前景。但技術高速的發展猶如一把雙刃劍，不僅受試者，倫理審查委員也不一定看得懂技術，甚至專業人士，如數據科學家也不一定能夠窺及大數據技術的全貌。對技術不甚了解，使得倫理審查對研究的風險不再有足夠的能力去把握，這時僅靠傳統的知情同意和倫理委員審查已經不足以保護受試者的合法權益，“只要同意就可免責”已經不適用大數據時代的研究，新的風險評估、數據安全與責任承擔等機制亟待建立與完善。基于此，正如國際通行做法，GDPR將責任向控制、處理數據的行為者轉移，對風險評估、數據安全保障做了新規定，采取了過錯推定責任及舉證責任倒置，由研究者、發起者等控制、處理數據的行為者來證明充分履行告知義務以及采取了適當的技術與組織措施保障數據安全及受試者數據權利。如果違反條例規定，造成損害，除了對受害人民事巨額賠償外，還將承擔最高達全球收入4%(或者2 000萬歐元)的巨額罰款，違法成本之高足以起到震懾作用，例如，最近臉書(Facebook)公司因對歐盟300萬用戶個人數據泄露負有責任，可能會被處以數億歐元的處罰[5]。因此，如何履行好數據安全的義務，以保障個人信息權利，是醫學研究倫理審查中要重點關注的。我們可以借鑒GDPR的規定，要求控制者應當考慮數據處理的性質、范圍、語境與目的，評估數據處理對自然人權利與自由所帶來的不同概率和程度的風險，之后采取適當的技術與組織措施，以保障數據主體的權利和自由。何為“適當的技術與組織措施”？GDPR列舉了匿名化的技術措施、有約束力的企業規則、充分的保障措施、數據保護專員的設置、數據控制者選任有資質的處理者、全程數據記錄并保證完整性、個人數據泄露的報告與通知義務、個人數據泄露后的補救措施、行業的認證機制等。GDPR指出這些并不是全部措施，而強調應窮盡一切可能的合理方法去保障數據安全。在倫理審查中，判斷這些措施適當與否，需要在具體案例中綜合法律、倫理、技術、成本等因素全面分析和考慮。正如GDPR所規定的，在醫學研究中，最基本的標準是要遵循一些公認的倫理原則，如，尊重、自主、有利、公正等原則，對數據善加利用，同時還應當遵循目前的醫學研究相關法律法規。目前，常見的技術措施有匿名化、身份隱私、內部權限、加密技術等。隨著計算機技術的發展，針對表格型、圖像/視頻型、信號型、文本型數據采取相應的去識別技術，這方面的進步，有助于科學家以最小的數據泄露風險獲得醫療大數據[6]。

7 對國際合作醫學研究中數據出境的啟示

GDPR采用 “長臂管轄”，因此，盡管研究是在中國開展的，但與歐盟成員國之間的國際合作醫學研究，仍應嚴格遵循GDPR的規定。關于數據的跨境傳輸，GDPR規定在滿足充分性決定條件或者適當的保障措施后，可以將歐盟的個人數據傳輸給第三國或地區、國際組織。第三國或地區、國際組織滿足充分性決定的條件諸如：法治、尊重人權與基本自由等。適當的保障措施諸如：公共當局或機構之間具有法律約束力和可執行的文書；有約束力的機構規則；經批準的標準數據保護條款；具有約束力和可執行的承諾；數據保護合同等。筆者認為，GDPR在國際合作方面給我國的倫理審查啟示包括但不限于：(1)數據國際傳輸應符合國家關于健康數據尤其是人類遺傳資源的跨境傳輸的法律規定；(2)鼓勵數據本地化存儲；(3)應告知數據主體跨境傳輸的事實，征得數據主體的知情同意；(4)數據跨境傳輸的國家、地區或國際組織的數據保護水平應不低于中國法律的要求；(5)機構層面，應制定在健康數據跨境傳輸方面的有約束力的機構規則或采取適當的保障措施。這些都是倫理審查中必須重視的。