藥物臨床試驗受試者隱私保護的有關倫理問題及其研究進展*

黃櫻碩，張子龍，吳小芳，孔艷紅，董瑞華**

(1 首都醫科大學附屬北京友誼醫院研究型病房，北京 100050，yingshuo_huang@163.com；2 應急總醫院心內科，北京 100028)

在藥物臨床試驗過程中，與受試者有關的各個環節都涉及受試者隱私保護問題。從法律法規角度加強管理；從申辦方、檢測方、研究者角度加強隱私保護的意識和水平；在隱私保護的前提下，擴大生物樣本利用度，提高科研轉化能力水平等方面，都有待進一步加強。結合首都科大學附屬北京友誼醫院(以下簡稱“友誼醫院”)研究型病房進行藥物臨床試驗的經驗以及友誼醫院倫理委員會及生物樣本庫的管理經驗，并查閱近年來關于隱私保護的相關文獻，做如下闡述和討論。

1 受試者隱私保護的概念以及泄露隱私的危害

隱私是自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動、私密信息。隱私權是指一個人有權掌控何時在何種情況下與他人在何種程度分享自身(生理、行為或智力)方面的情況。保密性是指保護個人隱私的過程?！逗諣栃粱浴穂1]提出：“我們必須始終尊重受試者的權利，保障受試者的身心健康。應采取一切預防措施尊重受試者的隱私權并保障患者信息的保密性，最大限度降低研究對受試者身心健康及其人格的影響?！贝送猓堵摵蠂藱嘈浴穂2]《紐倫堡法典》[3]和《貝爾蒙特報告》[4]也規定了尊重個人、關心福利和正義等基本倫理原則。

在藥物臨床試驗過程中，從招募、篩選、入組、住院、出院、門診或電話訪視，到樣本或信息數據的采集、處理、使用和儲存的全過程，都會涉及大量的受試者信息資料，因此，保護受試者信息、數據、樣本是保護隱私的關鍵。

受試者個人資料可以定位為“與生命個體相關、可從中識別出該個體或家庭甚至族群的資料”，例如，姓名、社保號、電話號碼、市縣街道地址、病歷號、駕照號碼、電子郵件地址、生日、姓名首字母、血型、基因序列等，以及任何其他獨一無二的識別號碼、特征或代碼。

泄露隱私可能會導致嚴重后果，包括侵犯個人權利、傷害、尊嚴喪失的風險。如，社交尷尬、蒙受恥辱、受到不公平對待等；對社會和經濟地位造成損害，如，事業和健康保險損失，導致身心和精神傷害，可能影響其他愿意參加臨床試驗的受試者，引發焦慮、顧慮導致依從性降低等。

2 受試者隱私保護的措施和方法

在進行臨床試驗和采集、處理患者個人資料時，應嚴格遵守臨床試驗隱私保護程序、數據保護立法和道德標準，執行保障程序以保護受試者的個人資料，防止丟失或被盜、擅自獲取、不當使用或泄露、不當復制、傳輸、修改或篡改、不當保留或破壞。

在進行集中篩選的時候，在群體知情后需要有獨立的空間進行單獨知情同意，保證受試者可以無顧慮的提出問題和得到解答。體格檢查以及心電圖檢查時需要獨立的空間，避免暴露受試者的身體部位。

在臨床試驗的過程中，各種表格如體格檢查記錄、心電圖記錄、PK采血記錄、本地實驗室樣本采集記錄、藥物發放表格等，都要以此次臨床試驗中符合項目規定的唯一編號進行區別，不能出現受試者的個人信息，如，姓名、性別等，工作人員在公開場合交流時，也要以編號代替姓名進行。受試者住院后的床頭卡片以編號代替姓名，受試者佩戴胸牌，并標記項目編號、受試者編號，操作時以胸牌進行識別。

發送至外部機構、部門時(如第三方檢測平臺)，應編輯/刪除受試者個人信息，進行脫密處理后以唯一且無法體現受試者個人信息的代碼進行樣本的識別，如可通過建立醫療領域的數字身份、數據限制訪問信息系統、升級加密手段等加強對隱私數據的防護。在信息去標識化方面，可使用循環神經網絡、長短期記憶網絡、分段卷積神經網絡、分段遞歸神經網絡等加密算法；同時，還應加強去標識化和再識別風險相關算法研究，以確保共享數據安全的[5]。發送電子郵件、傳送數據或將其錄入系統之前，應對所有文件實施質量控制檢查。妥善保管訪問臨床試驗系統的密碼和權限，如瀏覽電子病歷系統、瀏覽化驗單等，只能由有資質的工作人員查看。如出現任何泄露隱私的情況，應及時糾正并加強管理及采取預防措施，防止此類情況再次發生。

體現受試者個人信息的任何文件、資料都要放在相對固定的位置，并且及時整理和歸檔，只有有權限的人員才能進行書寫或瀏覽，不得放置在人員流動性較大的區域或開放區域，非授權人員不能接觸到任何與研究相關的病歷資料，對于設盲的研究，非盲人員也不能接觸到任何受試者的病歷資料。研究資料應保存在檔案室，由專人管理，歸檔后的文件及時鎖定，只有有權限的人員才能借閱，借出和歸還都需要登記。對于將研究病歷與電子病歷結合的研究中心，在遵守《醫療機構病歷管理規定》的同時，要充分認識到病歷作為科研資料，應嚴謹適當使用，避免泄露隱私相關信息，并且醫療機構應建立嚴謹的臨床科研病歷資料的使用制度[6]。

在發表研究結果時，使用群體綜合數據而不是受試者的個體數據進行報告，描述個體出現的特殊情況時，不應出現能夠識別受試者身份的個人信息，可以編碼等代替。

傳統研究對隱私的保護，多側重于知情同意與匿名化處理，在當前的數據環境下，還有潛在數據失竊的風險，因此，有必要在生物樣本及基因數據庫籌建之前對其隱私風險進行全面評估，而不能僅局限考慮單個數據集中的數據質量。生物樣本基因數據庫一旦建立將可能在很長一段時間存在，這期間需對數據主體進行長期的保護[7]。

3 網絡和電子媒體相關的隱私倫理問題

網絡資源招募正在逐漸興起，甚至占據主流[8-11]，通過網絡招募能夠節約大量的人力、物力和時間資源，內容和形式更加靈活，招聘通知可以隨時打開和關閉，內容可以實時更改，且有利于研究者控制和評估招募效果[12]，比傳統的招募方式更容易達到招募目標(一項由英國兩家主要資助機構資助的404項臨床試驗的回顧性研究發現，只有55%達到了招募目標[13])。但是通過網絡和社交媒體進行招募會產生關于隱私泄露的倫理問題[14]，因為受試者的個人信息可能在入組前或者簽署知情同意書之前暴露，而其中可能涉及個人的敏感信息。例如，某睡眠呼吸暫停的患者在瀏覽網站后接收到與自己疾病有關的無創呼吸機廣告，這引發了加拿大隱私專員辦公室(OPC)的調查，調查顯示，谷歌的在線廣告服務利用個人在線活動的敏感個人信息，發布有針對性的健康相關廣告，這違反了加拿大的隱私法[15]。研究者、科研倫理委員會、倫理學家、學生以及潛在的研究參與者通常不注意社交媒體進行研究招募的隱私保護，并且目前沒有官方的指南對通過電子媒體進行招募的隱私保護問題和流程進行指導和說明。目前，2E(E-consent即電子知情、E-payment即電子支付)或者3E(E-recruitment即電子招募和電子知情、電子支付)等正在逐漸成為臨床研究中的新興形式并由于其便捷、降低成本、提高效率而被推廣和認可。但在正式實施前，應著重考慮到受試者的隱私保護問題，并且應通過倫理委員會的認可，必要時還可咨詢相關法律部門的意見，確保受試者的隱私不被泄露；在實施過程中如果涉及提取數據，應經過專門的脫敏處理。因此，研究者在網絡或社交媒體招募開始前，一定做好充分的準備工作并獲得相關部門的審查批準，同時注意受試者的信息提取需要在知情同意之后進行。有學者提出未來還有望通過計算機算法的改進更新，使用戶有個人隱私設置的權利，并且對提供者和使用者都進行符合隱私保護要求的相關評估[16]。即在規劃階段就開展隱私影響評估，制定詳細的隱私評估流程，并設置全周期的隱私風險管理，強化隱私保護體系的頂層設計。

PbD(Privacy by Design)是由加拿大前信息和隱私專員Ann Cavoukian博士在20世紀90年代末開發的。它是一個以可信和有效的方式將隱私和數據保護嵌入信息技術、組織流程、網絡架構和整個監督系統中的總體框架[17-18]。應用PbD的原則有助于識別我們招聘策略中的隱私優勢、弱點和差距。另一個隱私工具，隱私影響評估(Privacy Impact Assessment，PIA)旨在“識別新程序或重新設計的程序的潛在隱私風險，并將這些風險消除或降低到可接受的水平”。它們通常用于確保組織符合立法和法規要求。PIAs可能成為評估在線健康研究招聘策略隱私風險的有用工具[19]。Jeselon和Fineberg建議使用PbD框架來增強PIAs，以實現更全面的隱私保護策略，并就如何將PbD應用于PIAs提供了實際指導[20]。

4 大數據和數據共享相關的隱私保護問題

由于醫學信息固有的敏感性，生物醫學大數據備受關注。分享來自臨床試驗的數據可能有助于科學和醫學的進步，從而更好地了解藥物和其他治療的獲益和風險，共享數據還允許在薈萃分析層面解決在個別研究中無法解決的問題[21]，能夠提供處于循證醫學最高水平的結論，以指導研究者、臨床醫師、倫理學家、數據科學家、監管機構和其他利益相關者了解最新、最權威的知識進展。在數據分享的過程中，保護研究參與者的隱私是最重要的原則。

有學者提出改進和擴大監管數據共享的透明度政策，將北美、拉丁美洲和歐洲的經驗結合起來，并強調協調規劃和統一監管，實現不同機構間的合作和協作[22]。盡管有許多在線平臺用于從行業贊助者那里共享患者水平的臨床試驗數據，但它們在研究計劃審查過程中地方倫理審批的作用與數據共享的程度并不匹配。其中，第一個也是最大的一個平臺是Clinical Study Data Request.com (CSDR)，它包括來自13家贊助商的3000多項試驗，其中包括葛蘭素史克(Glaxo Smith Kline)、諾華(Novartis)、羅氏(Roche)、賽諾菲(Sanofi)和拜耳(Bayer)等大型國際制藥企業。這一平臺僅要求申請人說明他們的研究計劃是否獲得了倫理批準，但在大多數情況下并不要求他們提交批準的證據，這個研究模型的現有標準也沒有解決申請人何時需要當地倫理批準的問題[23]。

在分享前，應要求研究人員登記他們對數據需求的具體要求，并提供他們打算進行的研究細節，這將使其他人能夠根據科學和透明度的原則對研究計劃進行評估。對于在線數據共享框架，應從知情同意、隱私(包括匿名和數據保護)、數據所有權、“大數據”用戶、大數據的倫理評價，以及聚合數據集分析產生的未來知識產權歸屬問題，實現為個別資料當事人提供有意義的查閱權等方面綜合評估管理，并形成完整的關鍵框架體系來指導大數據相關的倫理實踐[24]。

匯集大型數據集的具體倫理準備流程通常包括以下幾個步驟：第一步是考慮與正在進行研究相關的關鍵倫理問題和隱私原則；第二步包括詢問和回答倫理和隱私指導問題，以了解適用于該研究的原則；指導問題將以確定的倫理原則為基礎。研究人員應該考慮與他們的研究設計相關的隱私和倫理方面的考慮，并通過這個過程確定哪些問題需要被批準。數據管理員也可以利用這些問題來評估分享數據的要求。對第二步問題的回答應說明數據訪問是否有倫理道德基礎。數據訪問需要考慮的主要方面有：①為符合隱私和道德原則而實施的緩和策略；②數據流修改，即數據處理方面的任何改變，以加強隱私保護(例如使用聚合數據而非可識別的個人信息)；③需要設置哪些地方性批準文件，可以由國家規定；④數據訪問協議，可以授權使用匯集的數據，或者采用分布式分析或混合分析。

2016年11月，國際醫學科學組織理事會(Council for International Organizations of Medical Sciences，CIOMS)發布了重新修訂的《涉及人的健康相關研究國際倫理準則》[25]。修訂后的準則提出對健康相關研究中的數據收集、儲存和使用實施“倫理治理”，并對網絡環境中獲取數據用于研究所存在的隱私風險和如何進行保護作以指導，對健康相關研究中的數據收集、儲存和使用給出詳細而完整的倫理規范[26]。

5 與醫療信息資源相關的隱私保護問題

患者或受試者醫療記錄的隱私和患者的保密性已經成為衛生保健、產品臨床試驗或臨床醫學研究中倫理和法律問題的首要問題。包括臨床醫師、護師、康復理療師、藥劑師、檢測技師等多種職業和崗位在內的衛生專業人員都有責任和義務保護受試者的隱私，并確保具有防止不當獲取患者信息的保障措施[27]。

在國際環境下進行的衛生研究項目正越來越多地試圖利用患者的計算機化病歷數據匯集大型數據集，安全計算方法的進步使得這種性質的項目變得可行，并且能夠滿足嚴格的信息管理標準，從而減少隱私被破壞的機會。大多數主要的研究項目都是由全球資助計劃資助，并由在跨國環境中運作的公私合營的大型財團進行的。因此，實際項目涉及的隱私和倫理問題往往是復雜的，而且通常為項目特異性的[28]。

例如，澳大利亞在1988 年頒布《隱私權法》的基礎上，專門制定了《個人控制的電子健康檔案法》，這是一部具有操作性的法案，從健康信息的收集、存儲、利用、披露及銷毀整個生命周期，都對保護患者隱私作了詳細規定[29]。美國、加拿大、日本、新加坡、歐盟等發達國家和地區對醫療信息隱私保護領域都建設了成熟完備的法律體系[5]。

在大多數國家，數據處理的隱私方面是根據統一的多國立法框架進行監管的[30]。針對隱私保護的具體實施方面，有學者提出了受控詞匯表的概念，即將用于描述隱私、倫理和數據訪問概念的術語統一化和標準化，這對于確?？缪芯亢筒煌瑖宜褂酶拍畹囊恢滦杂蟹浅Ｖ匾囊饬x。受控詞匯表可采用該領域內接受的標準定義(例如，歐盟數據保護法則和澳大利亞隱私原則等)[30]。另外，在開發管理框架的同時，不僅要考慮到隱私泄露風險，也應考慮到潛在的倫理獲益[27-28]。

6 發展中國家隱私保護的現狀

在巴基斯坦伊斯蘭堡的公立和私立醫院進行的一項關于隱私保護的臨床實踐調查顯示，研究者或臨床醫師沒有充分遵守倫理原則。作者分析,因為缺乏強有力的監督和主管當局的懲罰制度，知情同意、隱私和保密反復多次被忽視[31]。

以阿拉伯聯合酋長國為例，分析影響臨床試驗隱私和保密的因素，包括概念熟悉度、知情同意依從性、數據獲取和保存在內的因素，以評估阿拉伯國家的隱私保護現狀。由于阿聯酋是一個新興的臨床試驗地區，對數據保密性和受試者隱私相關法規的需求日益增長；同時應結合阿拉伯文化背景考慮信息和隱私相關的決策[32]。

2018年5月1日起中國開始實施《信息安全技術個人信息安全規范》，對個人數據的收集、存儲、應用、傳輸各個環節提出十分確切具體的規定[33]，但沒有專門針對醫療衛生行業的條款。另外，基于中國數千年的傳統文化背景，關于腦死亡、安樂死、器官移植、代孕等方面與西方國家的法律法規和文化背景截然不同，因此，在制定和實施隱私保護相關法律政策時，也需要同時考慮中國人的文化背景和風俗習慣，不能生搬硬套。

另外，倫理委員會作為審核研究項目倫理的組織，也應加強受試者隱私保護的意識。印度一項調查研究表明，一些獨立選舉委員會成員對患者的隱私權和保密性以及對患者個人健康信息(包括預后和檢測結果)的知情權存在混淆，應為獨立選舉的倫理委員會成員舉辦培訓方案和認識講習班，以保護研究參與者的權利，特別是在保護隱私問題上[34]。

7 廣泛知情同意與隱私保護的相關問題

2015 年Garrison等提出廣泛知情同意(broad consent)的概念[35]。同年，美國國家健康基因組數據共享研究所的政策開始生效，該政策要求幾乎全部研究參與者(受試者)的廣泛知情同意。歐美國家大部分都在法律層面認可了廣泛知情同意?！渡婕叭说慕】迪嚓P研究國際倫理準則》也提出，在適當的倫理治理基礎上，對于尚無特定研究目的的數據收集，可以使用廣泛知情同意方式，來對未來限定于某方面的研究進行知情同意。我國的廣泛知情還有很大空間，我國一項關于泛知情同意和健康數據共享隱私保護的調查分析顯示，中國患者維護知情權意識較強烈，大部分的患者能夠接受健康信息的分享和廢棄樣本再利用，但趨向選擇簡便快速的知情同意方式。但被調查者對知情同意相關認知、樣本處理流程的隱私保護等關心度及認知度均較低[36]。

藥物臨床試驗的生物樣本在項目結束后大都采取銷毀的方式處理，由于藥物臨床試驗實施過程規范、具有嚴格的質量控制和文件記錄，在科研轉化方面具有巨大的優勢和潛力，如果在項目實施前施行廣泛知情同意，有助于對生物樣本的充分利用，提高科研產出。目前，友誼醫院生物樣本庫已實現廣泛知情，尤其是藥物臨床試驗的研究者也可以在保護隱私、符合倫理的前提下，提高生物樣本利用度和促進科研產出。

8 總結

保護受試者隱私有助于建立受試者與研究者之間的信任，有助于減少個人憂慮，維護參加者的尊嚴，使研究參加者感受到尊重，賦予研究參加者自我掌控權并提升其自主性。

我國在患者的隱私權研究和保護意識方面較為薄弱，目前，僅從醫院、科研機構、藥物臨床試驗機構和倫理委員會層面對受試者的隱私權進行規定，要加強受試者的隱私保護，應進一步加強理論研究和相關法律法規建設，衛生行政主管部門應盡早制定相關規定，以保護受試者隱私，以及醫療機構、醫務人員的合法權益，做到依法使用研究資料。