2016年版CIOMS倫理準則關于健康數據研究的倫理規范

章曉祎 張紅霞 朱 偉③

1 2016年版CIOMS倫理準則的修訂概況

生物醫學技術與信息技術的急速發展已在很大程度上改變了過去的研究模式。轉化(醫學)研究愈發受到重視，許多研究會大量地收集和使用生物材料及健康數據，研究數據的共享和樣本庫的聯結更受鼓勵[1]，以及大數據相關研究也逐漸增多[1-2]。這些新變化在快速推動健康相關研究進展的同時也帶來了新的風險與挑戰，譬如完全的匿名化在大數據集交叉匹配技術面前變得愈發不現實[1]，利用云計算開展生物醫學大數據研究時的保密性和安全性問題[3]等也引發了諸多討論。

為了向這些試圖改善重要健康問題的研究提供更明確的指導，確保其使用合理的研究方法，國際醫學科學組織理事會(Council for International Organizations of Medical Sciences,CIOMS)于2016年11月末發布了其重新修訂的《涉及人的健康相關研究國際倫理準則》[4]。本次修訂不僅為生物醫學研究的新變化提出了更相宜的倫理指導，同時將CIOMS于2009年發布的《流行病學研究的國際倫理準則》作了合并。修訂合并后，新準則的應用范圍有所擴大，涵蓋了利用健康相關數據開展的研究，并相應地將書名由原來的“涉及人的生物醫學研究”改為了“涉及人的健康相關研究”[1]。

修訂后的準則在健康相關研究中的數據收集、儲存和使用方面，提出了“倫理治理”概念(準則11)，并對網絡環境中獲取數據用于研究所存在的隱私風險和如何進行保護作了指導(準則12)。本文將主要討論準則中與健康數據研究相關的內容，并于最后分享兩則具體的倫理審查案例。

2 健康相關研究中數據的收集、儲存和使用

新準則第12條針對健康相關研究中的數據收集、儲存和使用給出了一套詳細而完整的倫理規范，被討論的數據(庫)可以是醫療記錄、患者病例或任何其他類型的健康相關數據，其范圍不局限于患者的個人醫療數據。準則認為，凡是研究中所用數據的數據主體都應被視為研究參與者[1]。

在數據的收集階段，準則根據兩種常見的數據收集目的，分別提出了不同的知情同意選擇和要求。一種是以研究為目的進行的數據收集和儲存。當為了已知研究目的的研究收集數據時，應獲取具體的知情同意(specific consent)。同時應告知研究參與者所收集數據的將來處置措施，說明是否會儲存起來，如儲存起來是否可用于將來的其他研究等。盡管大部分人認同為了人類的共同利益而將其數據儲存用于將來研究，但仍應為其數據的未來使用取得明確授權，尊重研究參與者的知情權以及對自己數據的自治權。

當尚無特定的研究目的而收集數據時，往往會將數據儲存用于將來的可能研究。而數據的儲存便引入了“倫理治理”的概念，準則要求數據儲存之后，機構必須建立一套治理系統，其主要作用是為將來研究中使用數據獲得合理授權，運作核心是保護提供數據的個人權利和福利不受損害。治理系統的重要性在于，數據儲存用于將來研究的長期過程中，確保數據的儲存、使用和最終用途與研究參與者所同意的情況相一致。為了保證治理適當，準則要求治理系統的框架必須至少對以下條款有具體規定：捐贈者授權的獲得與撤回、重新聯系捐贈者的情況、研究意外發現的披露程序、反饋研究結果的機制、獲取數據用于未來研究的情況(包括審查研究方案的團體、將要開展研究的大體類型)、研究受益分配、如何組織病人/社區參與、被委托數據的法人實體、數據質量控制的措施、身份識別信息的保密辦法、與數據分析結果相聯的個人信息來源等。

在有了適當的治理基礎上，對于尚無特定研究目的的數據收集，便可以使用廣泛知情同意(broad consent)方式[1]，來對未來限定于某方面的研究進行知情同意。這是因為，廣泛的知情同意之所以可從倫理上被接受，則是依靠該機構已有的適當的治理。準則修訂工作小組主席曾對此說明，廣泛知情同意實際上是同意認可其所在機構的治理系統，由適當的治理系統來替代個人控制其數據和樣本[4]。此外，研究倫理委員會將對每一個使用已儲存數據的新研究方案進行審查，確保數據捐贈者已經給予了未來研究的廣泛知情同意，以及使用用途在同意范圍內。

數據收集階段的另一種目的是常規的臨床情形需要。這種情況下，每日會產生大量的醫療健康數據，這些數據通常會按照醫療機構的內部規定被妥善地儲存留檔。如能使用這部分資源進行合理的研究分析，對于健康相關研究將有重要意義[5]。但在現實生活中，每一次就診或治療時即簽署一次知情同意書無疑是過于耗費精力的。為了將來可以合理地利用這部分“沉睡”的數據，準則提出：使用常規臨床情形下收集的數據須實施知情的選擇退出程序(informed opt-out procedure)。表1中羅列了該程序在執行過程中所須滿足的四個條件，以及數據使用時不適用的三種情況。

新準則中還提到，常規臨床情形下，有一種數據的收集、儲存和使用較為特殊，它們由政府相關部門依法建立的數據登記中心負責收集管理，如我國的全國腫瘤登記中心、新生兒遺傳代謝疾病數據等。這類數據有利于我們全面、精確地獲得整個人群的健康信息，為公共衛生和流行病學方面的研究提供大量資源。因為是從整個人群收集數據，研究負擔和受益的分配更為公平，而且很大程度地避免了在數據收集過程中發生選擇偏移[1]。基于這些考慮，這類由政府相關部門成立的人群層面的數據登記中心，在收集數據時往往是強制性的。當該部門發起法律規定的研究活動，如疾病監測，而需使用登記中心的數據，這類研究往往不要求倫理審查，那么也不用考慮能否免除知情同意[1]。不過新準則也對這種情況作了限制：(1)當公共衛生部門發起的研究包含可直接接觸個人的新研究活動時(如通過問卷調查獲得個人信息的研究)，則不能免除知情同意；(2)當數據使用可能超出公共衛生范疇時，則須重新考慮是否滿足免除知情同意的條件；(3)當研究使用來自多個數據登記中心時，則應提交倫理委員會進行審查。所以，盡管這類數據在法規規定收集范圍，但在使用時我們仍須根據具體情況，考量使用公權力獲得個人數據以用于研究是否合乎倫理。

表1使用常規臨床情形下所收集數據的知情選擇退出程序[6]

須滿足的條件不適用的情況患者必須知曉有這樣的程序存在當研究帶給個人的風險超過最小風險必須提供給患者充分的信息當使用有爭議或有重大影響的技術必須告知患者可以撤回數據當研究在高度脆弱性環境中進行必須為患者提供真正反對的可能

在數據的使用階段，還有可能發生：研究目的超出了(廣泛)知情同意、早期收集的臨床數據尚未實施知情選擇退出程序等情況。在準則12中也相應給出了可以免除知情同意的三個條件：(1)不免除知情同意，研究不可能或不可行；(2)研究具有重要的社會價值；(3)研究對參與者個人或所在群體的風險不超過最小風險[6]。如不滿足，則需要重新獲取知情同意。

3 健康相關研究中使用網絡環境和數字化工具獲取的數據

第22條準則針對使用網絡環境和數字化工具獲取數據用于健康相關研究作了進一步的倫理指導，并著重說明了在此類研究中對個人隱私的保護。在研究開始前應先對隱私風險進行充分評估，并制定相應的安全措施以降低隱私風險，獲得合理的數據使用授權后方可進行研究。在研究過程中，準則還要求進行“全程預測、控制、監察和審查數據的使用及其交互影響”[1]。

隱私保護的需要主要來自于此類研究中潛在的數據安全和侵犯隱私的風險。盡管網絡環境中有很多信息和數據是公開狀態，但數據主體在發布時可能并未設想過該數據會被用于研究，也往往不太了解自己的數據會被如何儲存和使用。此情境下，當人們發現自己的信息和數據在不經意間作了他用，可能會感到被侵犯[1]。尤其是當研究中交叉使用了多個來源數據集后，可能會進一步地提高數據主體的身份被識別的風險，從而導致隱私的泄露。

因而，在使用網絡環境和數字化工具獲取數據用于研究時，準則仍主張研究人員應告知目標個人他們的數據將被用于研究，并獲得合理授權。盡管在告知的具體形式上未作說明，準則在應告知的內容上提出了如下三點：(1)使用數據及信息的目的和背景；(2)保護數據安全及個人隱私的措施以及相關隱私風險；(3)所采取措施的局限性以及現有措施下仍存在的隱私風險。當目標人員拒絕授權時，則應放棄使用其數據。當無法聯系到個人時，目前大部分網站都有使用條款，則研究者應至少獲得網站所有者的許可，確保數據的使用遵循網站已公布的條款。

準則建議倫理委員會參考那些定期更新的隱私和安全措施清單，如世界衛生組織設想采用的，可滿足合理恰當的安全保障要求，比如基于ISO27001標準的信息安全措施等[7]。鑒于目前健康相關研究中的數據共享還存在諸多法規和倫理原則需要協調，新準則在主張數據共享的同時，僅概括性地提到了應根據具體控制措施進行必要調整，并為同樣隱私風險的研究提供相同等級的保護。

4 數據共享

不論是在傳統的研究模式下還是大數據時代下，CIOMS準則一如既往地認可數據共享的價值和必要性。新準則第24條的評注對數據共享的理由進行了辯護、分析了各相關方在數據共享中的風險及利益考量、并提出了如何創建負責任的數據共享文化。負責任地共享臨床研究數據是符合公共利益的，但仍需保護受試者的隱私和尊重其同意的權利。為了減少數據共享的風險，雙方應遵守一定的數據使用協議，并采取不會影響數據訪問權及可用性的安全措施。監管部門應對數據共享的標準和規范進行統一和協調，倫理委員會在審查時則應要求研究者和申辦方在報告中納入其共享的記錄。

5 案例分享

近兩年，上海市臨床研究倫理委員會(其前身為上海醫藥臨床研究中心獨立倫理委員會，國內最早的第三方倫理委員會)受理了諸多數據研究的倫理審查申請。根據數據來源，大致包括利用公共數據庫的研究、利用企業自建數據庫的研究，以下結合兩個具體案例進行分析。

5.1 利用公共數據庫進行的研究

該項目為上海某醫院研究者發起，通過利用上海建立運作十余年的公共醫療數據庫中的患者數據，對患者的預后情況進行研究，研究中不額外收集新的數據，對數據的處理分析工作由第三方團隊執行。研究所使用的數據庫，通過上海市各醫療機構每年采集并輸入特定疾病患者的臨床及隨訪病史資料，輔以信息化處理，實現對患者的管理、治療的質量控制、臨床數據分析等功能，是國內起步較早的數字化醫療信息處理平臺。其中的數據并非完全向公眾開放，對于相關的醫療機構及其科室人員擁有訪問權。該研究采用觀察性回顧性隊列分析的設計，目的在于通過分析數據庫中相關資料完整的歷史數據，來比較了解兩種治療模式的預后情況。研究結果可以為特定治療模式是否改善患者預后提供證據，進而可影響將來臨床醫生的決策。研究中的兩種治療模式對患者和國家的經濟負擔也有不同，其結果可能影響未來有關的醫保政策，故研究結果還可幫助健康管理部門做出有證據支持的決定。

上海市臨床研究倫理委員會在審查該項目時，有幾點特別考慮之處：(1)免除知情同意的申請是否可以？(2)如何確定該項目的主要研究者可以使用該數據庫中的數據？即如何保證數據來源的合規性？

雖然是公共數據資源庫，但并不是完全對外開放，僅有相應科室的醫務人員有訪問權限，如何規避由第三方進行數據處理所帶來的潛在的隱私泄露的風險？在主要研究者提交了一系列材料之后，倫理委員會著重審查了研究目的、數據信息來源的合規性、使用權限、信息隱私保護和保密性措施。在知情同意方面，倫理委員會要求主要研究者提供免除知情同意申請的充分理由；在數據使用權限方面，要求研究者提供了公共數據庫質量控制中心允許使用該數據庫數據開展研究的證明材料；在規避第三方數據處理團隊帶來的潛在隱私泄露風險方面，補充了主要研究者與第三方團隊的數據處理委托協議，其中對委托的工作內容、數據安全、數據保密做出了明確且嚴格的規定。

最后，基于該研究具有重要的社會價值，所使用的受試者信息均為匿名化處理之后的群體信息，不涉及受試者個人信息；研究者對數據使用權限以及隱私風險控制措施滿足倫理審查要求；且該公共數據庫涉及人群較多，自1996年開始登記以來并未進行患者知情同意，回溯知情同意的可能性較低；倫理委員會批準了該研究實施，同意了豁免知情同意的申請。

5.2 利用企業自建數據庫進行的研究

該研究由企業資助發起，由醫院醫生擔任主要研究者，使用申辦方過去自建數據庫中的患者信息。該數據庫建立的初衷只是用于登記與該企業生產的醫療產品相關的患者隨訪信息，并非用于特定研究，只有患者注意事項的告知書，沒有簽署知情同意書。該數據庫經過長時間的信息登記，有相當一部分數據具有一定的科學研究價值，如能用于研究分析，可產生對相關疾病的診療和預后有用的信息。該數據庫在最初登記患者信息時，沒有告知其登記的信息可能被用于將來的研究。

在上述背景下，使用該數據庫進行健康相關研究，同樣面臨兩個值得探討的倫理問題：(1)如何重新獲得合理的知情同意或是否滿足豁免知情同意的要求？(2)研究團隊如何對數據進行保密？

倫理委員會經會議討論，認為就該階段利用已有數據進行研究的情況，豁免知情同意的理由比較合理，但由于該數據庫將一直存在于該企業，且極可能進一步收集患者的預后信息并用其開展回顧性觀察研究，倫理委員會從尊重患者自主權和知情同意權的角度，建議該企業在后續的信息收集過程中應提前告知患者所收集的預后信息可能用于將來的研究。對于第二個問題，倫理委員會要求申請人補充提交了倫理委員會認可的數據分享和保密協議。

當然，倫理委員會在審查該研究時特別關注的要點包括收集的具體受試者信息類型、獲得授權的方式、數據存儲情況、數據使用時的分享和保密協議條款等，根據研究風險、社會價值、重新獲取知情同意的難度以及如何盡可能在建庫階段就做好數據主體的知情同意。

6 討論和總結

從上述兩個案例以及上海市臨床研究倫理委員會經常接到的一些咨詢案例來看，在大數據時代，健康相關研究的開展模式仍在不斷更新，曾經因為種種原因所收集儲存的患者健康相關數據已顯現重要的研究價值。常規臨床情形下收集的數據加以研究設計可成為真實世界證據，幫助監管部門監測與決策。這也使業界和政府更加積極地促使健康相關數據的互通互聯，從而創造更多研究成果。歐盟的BRIDGE Health項目旨在打通整合歐盟內16個國家800多家醫院的健康信息系統，為公共衛生服務和研究提供信息和數據[8]；美國也在積極推動提高電子病歷和臨床試驗數據之間的交互性，使不同系統間數據的交換和二次使用更便捷[9]，臨床診療與研究的界限逐漸模糊。我國目前也先后出臺了系列法規和標準，如《個人信息安全規范》《信息安全技術 健康醫療信息安全指南》(征求意見稿)等，擬對數據使用的隱私風險進行管理和規范，同時也是為促進數據共享搭建治理框架。

盡管主流觀點及新版CIOMS倫理準則中認為，免除知情同意的條件之一是不免除則研究不可為，即除非獲取知情同意的難度過大，而不可實現，利用健康數據進行研究仍應獲得數據主體的知情同意。但是，隨著健康數據研究在推動健康研究和新知識方面的巨大社會價值，也有不少學者從另一層面重新探討這個問題。他們認為，人們保護個人健康數據而享有的各項權利，旨在維護人們的隱私，防止污名化或不公平，不過同時，人們也可從高效利用資源獲得其他正當權利及利益，兩者之間需要獲得平衡。為了合理的研究目的，在恰當的治理和監管下，從倫理上人們有義務去分享他們的健康信息。這為未經明確同意而二次使用個人健康數據進行研究提供了一種辯護，有望進一步擴大其應用范圍[10]。然而這并不是說可以任意使用個人健康數據進行研究，恰恰相反，他們倡議，在時間精力有限的情況下，倫理委員會在審查此類研究時，應更關注研究是否符合公共利益，如何促進公眾參與和透明度，而非關注獲取知情同意的難度和可行性。

在公共健康利益面前平衡個人的數據隱私權，這在歐盟的《通用數據保護法案》中也有所體現。不同于完全匿名的假名化(pseudonymization)數據概念，試圖在科學研究中的數據可用性和個人隱私保護中找到一處平衡，從而促進負責任的數據流動和研究[11]。

對于模式較為傳統的臨床試驗、觀察性研究或流行病學研究而言，新版CIOMS倫理準則對于研究中的數據收集、儲存和使用方面提出的倫理規范是完整而成體系的，但仍有一些新的發展理念在其覆蓋范圍之外，比如整合了研究和醫療保健兩方面優勢的學習型互動保健體系(learning healthcare system)。在這一體系中，數據的連接、共享和研究為整個醫療服務體系提供不斷改進和創新的驅動力[12]。對于我們而言，可進一步探索如何在常規臨床情形下開展知情的選擇退出程序，關注數據研究中的隱私風險及其倫理治理，推動數據負責任地共享和研究的同時，使公眾真正受益。