藥物臨床試驗會涉及對受試者醫(yī)療健康信息等個人信息的處理。醫(yī)療健康信息具有敏感性，一旦被泄露或被非法使用，容易導(dǎo)致個人的人格尊嚴(yán)或人身、財產(chǎn)安全受到侵害。因此，2021年11月1日實施的《中華人民共和國個人信息保護(hù)法》（以下簡稱《個保法》）明確將醫(yī)療健康信息規(guī)定為敏感個人信息，并施加較一般個人信息更為嚴(yán)格的保護(hù)。

在《個保法》實施前，申辦者/研究者主要遵照《藥物臨床試驗質(zhì)量管理規(guī)范》（以下簡稱GCP）的規(guī)定在取得受試者的知情同意后處理受試者的個人信息?！秱€保法》實施后，除GCP要求的應(yīng)當(dāng)告知受試者的信息，還對個人信息處理者提出新要求。例如：應(yīng)當(dāng)告知受試者個人信息的類型、處理目的、處理方式、保存期限；涉及敏感信息的，還應(yīng)告知受試者處理敏感個人信息具有特定目的和充分的必要性；告知受試者行使《個保法》規(guī)定權(quán)利的方式和程序等。也就是說，藥物臨床試驗中的個人信息處理者應(yīng)當(dāng)在滿足GCP規(guī)定義務(wù)的同時，滿足《個保法》規(guī)定的義務(wù)。

歐盟也有類似法規(guī)要求。歐盟數(shù)據(jù)保護(hù)委員會（EDPB）曾于2019年1月23日應(yīng)歐盟委員會健康和食品安全總司要求出具《關(guān)于臨床試驗條例與通用數(shù)據(jù)保護(hù)條例之間相互作用的問答之3/2019號意見》[Opinion 3/2019 concerning the Questions and Answers on the interplay between the Clinical Trials Regulation (CTR) and the General Data Protection Regulation(GDPR)，以下簡稱《EDPB 3/2019號意見》]，就《臨床試驗條例》（CTR）與《通用數(shù)據(jù)保護(hù)條例》（GDPR）關(guān)于臨床試驗所涉?zhèn)€人數(shù)據(jù)處理的合法性基礎(chǔ)進(jìn)行了分析。

本文結(jié)合《EDPB 3/2019號意見》，梳理、總結(jié)我國《個保法》和GCP的相關(guān)規(guī)定，對中國和歐盟臨床試驗場景下的醫(yī)療健康信息處理的合法性基礎(chǔ)進(jìn)行探討和比較，為相關(guān)申辦者/研究者提供參考。

臨床試驗規(guī)范與數(shù)據(jù)保護(hù)法中的“知情同意”是否等同

我國GCP和《個保法》對藥物臨床試驗中個人信息處理都強(qiáng)調(diào)“知情同意”的重要性。GCP中的“知情同意”，指受試者被告知可影響其做出參加臨床試驗決定的各方面情況后，確認(rèn)同意、自愿參加臨床試驗的過程?！爸橥狻币彩恰秱€保法》規(guī)定的個人信息處理的一般性基礎(chǔ)，即除法定無需取得同意的情況外，個人信息處理者應(yīng)當(dāng)取得個人同意方可處理個人信息，且同意應(yīng)當(dāng)由個人在充分知情的前提下自愿、明確作出。目前，我國尚無監(jiān)管細(xì)則或司法裁判就GCP與《個保法》之間的相互影響，及其各自項下的“知情同意”的關(guān)系進(jìn)行界定。

歐盟《EDPB 3/2019號意見》則對CTR中的“知情同意”與GDPR中的“同意”之間的關(guān)系進(jìn)行了厘定。

>>“知情同意的作出”與“同意的作出”

EDPB認(rèn)為，CTR中的“知情同意”不能與GDPR中的“同意”相混淆。

CTR旨在遵循《赫爾辛基宣言》中涉及人的研究的倫理要求。在臨床試驗中獲得受試者知情同意，是保障《歐盟基本權(quán)利憲章》規(guī)定的人格尊嚴(yán)和個人完整權(quán)利的主要措施，EDPB認(rèn)為其并非被設(shè)計為一項數(shù)據(jù)保護(hù)合規(guī)工具。我國GCP第三條亦有類似規(guī)定：“藥物臨床試驗應(yīng)當(dāng)符合《世界醫(yī)學(xué)大會赫爾辛基宣言》原則及相關(guān)倫理要求，受試者的權(quán)益和安全是考慮的首要因素，優(yōu)先于對科學(xué)和社會的獲益。倫理審查與知情同意是保障受試者權(quán)益的重要措施?！?/p>

GDPR（Recital 32）則規(guī)定：“同意”必須是自愿作出的（freely given）、具體的（specific）、知情的（informed）和明確的（unambiguous）的，如涉及處理健康數(shù)據(jù)（data concerning health，類似于我國《個保法》中的“醫(yī)療健康信息”）等特殊類型的數(shù)據(jù)時，還需獲得明示同意（explicit consent）。

值得注意的是，根據(jù)GDPR，當(dāng)數(shù)據(jù)主體和控制者之間存在明顯不對等時，“同意”不能成為個人數(shù)據(jù)處理的有效合法性基礎(chǔ)。

如果一項臨床試驗是非干預(yù)性的，即不干涉患者診療而只是觀察性地收集、記錄患者的數(shù)據(jù)，則申辦者/研究者與患者之間不會被視為存在明顯不對等。然而，在干預(yù)性的臨床試驗中，因受試者身體健康狀況欠佳等，申辦者/研究者與受試者之間通常會存在不對等的情況。對此，CTR規(guī)定，“知情同意”應(yīng)“自愿作出”，并要求研究者充分考慮潛在受試者是否屬于經(jīng)濟(jì)性或社會性的弱勢群體，或者處于組織上或等級上的依賴地位，從而可能影響受試者參與臨床試驗的決定。

我國GCP也規(guī)定了類似歐盟CTR的弱勢受試者保護(hù)機(jī)制。GCP第十一條第（十）項明確，“弱勢受試者，指維護(hù)自身意愿和權(quán)利的能力不足或者喪失的受試者，其自愿參加臨床試驗的意愿，有可能被試驗的預(yù)期獲益或者拒絕參加可能被報復(fù)而受到不正當(dāng)影響。包括：研究者的學(xué)生和下級、申辦者的員工、軍人、犯人、無藥可救疾病的患者、處于危急狀況的患者，入住福利院的人、流浪者、未成年人和無能力知情同意的人等?！盙CP第十二條要求，倫理委員會應(yīng)當(dāng)特別關(guān)注弱勢受試者，以保護(hù)受試者的權(quán)益和安全。

盡管歐盟CTR已要求“知情同意”應(yīng)“自愿作出”，但是EDPB仍認(rèn)為：即使根據(jù)CTR獲得了“知情同意”，如果受試者與申辦者/研究者之間存在明顯不對等，CTR項下的知情同意尚不能滿足GDPR意義上“自愿作出”的同意的標(biāo)準(zhǔn)，因而不能構(gòu)成GDPR項下處理個人數(shù)據(jù)的合法性基礎(chǔ)。《EDPB 3/2019號意見》考慮到了臨床試驗場景下“知情同意”背后的倫理規(guī)范與數(shù)據(jù)保護(hù)法設(shè)計之間的區(qū)別，并特別關(guān)注受試者與申辦者/研究者之間的實質(zhì)不對等性，因而否認(rèn)“知情同意”作為個人數(shù)據(jù)處理的合法性基礎(chǔ)的邏輯有其合理性，值得借鑒和參考。

我國GCP第十一條第(十一)項、第二十四條第(十三)項等亦規(guī)定“知情同意”應(yīng)是“自愿”的?！秱€保法》已實施一周年，目前尚無類似《EDPB 3/2019號意見》的監(jiān)管細(xì)則或司法裁判就臨床試驗下的“知情同意”是否滿足《個保法》下的“知情同意”進(jìn)行釋明。

筆者認(rèn)為，我國GCP中的“知情同意”與《個保法》中的“知情同意”并不等同。原因是GCP作為醫(yī)藥行業(yè)監(jiān)管規(guī)范，《個保法》作為數(shù)據(jù)保護(hù)法，兩者雖然都有“知情”“同意”的要求，但其各自的背景和目的并不相同。因此，藥物臨床試驗項下的“知情同意”并不適宜作為個人信息處理的合法性基礎(chǔ)，在《個保法》背景下，臨床試驗的申辦者/研究者作為醫(yī)療健康信息等敏感個人信息的處理者，有必要重新審視其處理個人信息的合法性基礎(chǔ)。

>>“知情同意的撤回”與“同意的撤回”

EDPB認(rèn)為，CTR項下“知情同意的撤回”與GDPR項下“同意的撤回”亦有所區(qū)別。

CTR明確規(guī)定，為尊重個人數(shù)據(jù)保護(hù)權(quán)利，同時為保障臨床試驗數(shù)據(jù)的可靠性（reliability）、穩(wěn)健性（robustness）及受試者的安全，應(yīng)該規(guī)定“知情同意的撤回”不影響先前已進(jìn)行的臨床試驗活動，例如基于“知情同意”撤回前已獲得的數(shù)據(jù)存儲和使用。

然而，根據(jù)GDPR第7(3)條、第17(1)(b)條，一般情況下，如果是基于“同意”進(jìn)行數(shù)據(jù)處理，數(shù)據(jù)主體有權(quán)隨時撤回“同意”；“同意”一旦被撤回，盡管撤回前進(jìn)行的數(shù)據(jù)處理活動的效力不受影響，但是控制者應(yīng)當(dāng)停止后續(xù)數(shù)據(jù)處理活動，并在沒有其他法律依據(jù)就數(shù)據(jù)進(jìn)行留存的情況下把數(shù)據(jù)刪除。對此，我國《個保法》亦有類似規(guī)定。

從上述CTR和GDPR的規(guī)定可見，兩者在“知情同意的撤回”與“同意的撤回”的內(nèi)涵及外延上存在一定區(qū)別。從藥品監(jiān)管角度而言，出于保障臨床試驗質(zhì)量、受試者安全等目的，臨床試驗數(shù)據(jù)必須保持其原始性、準(zhǔn)確性、完整性，而不得隨意修改、掩蓋和刪除。

我國GCP亦就臨床試驗數(shù)據(jù)質(zhì)量作出嚴(yán)格要求。目前，我國尚無監(jiān)管細(xì)則或司法裁判就“知情同意的撤回”與“同意的撤回”之間的關(guān)系進(jìn)行界定，類比上文關(guān)于“知情同意的作出”與“同意的作出”的分析，筆者認(rèn)為，我國GCP中“知情同意的撤回” 與《個保法》中“同意的撤回”的概念亦不等同。

臨床試驗所涉?zhèn)€人信息處理的具體合法性基礎(chǔ)

如果臨床試驗場景下的“知情同意”不構(gòu)成個人信息保護(hù)法規(guī)意義上的“同意”的合法性基礎(chǔ)，那么相關(guān)個人信息處理活動應(yīng)基于什么合法性基礎(chǔ)進(jìn)行？對此，《EDPB 3/2019號意見》基于臨床試驗場景下數(shù)據(jù)的應(yīng)用階段、處理目的進(jìn)行了區(qū)分。

>>初始應(yīng)用（Primar Use）

初始應(yīng)用，指根據(jù)臨床試驗方案對受試者個人健康數(shù)據(jù)進(jìn)行的處理，其過程涵蓋從試驗開始到試驗結(jié)束直至留存期限屆滿而刪除數(shù)據(jù)的整個過程。其又可細(xì)分為兩種類型的數(shù)據(jù)處理活動：一是“與可靠性和安全性目的相關(guān)的處理活動”，指與醫(yī)療保健目的、通過可靠(reliable)而穩(wěn)健(robust)的臨床試驗數(shù)據(jù)達(dá)到藥品質(zhì)量和安全標(biāo)準(zhǔn)目的相關(guān)的處理活動；二是“僅與研究活動相關(guān)的處理活動”。兩種數(shù)據(jù)處理活動所依據(jù)的法律基礎(chǔ)不同，具體區(qū)別如下。

1.與可靠性和安全性目的相關(guān)的處理活動

EDPB認(rèn)為，CTR及相關(guān)立法明確規(guī)定的“與可靠性和安全性目的相關(guān)的數(shù)據(jù)處理活動”，可以適用GDPR第6(1)(c)條規(guī)定的“為履行控制者所負(fù)的法定義務(wù)所必需”的合法性基礎(chǔ)。據(jù)此，臨床試驗過程中為安全報告、監(jiān)管機(jī)構(gòu)檢查、根據(jù)歸檔要求保留臨床試驗數(shù)據(jù)等進(jìn)行個人數(shù)據(jù)處理，可被視為臨床試驗申辦者/研究者為履行法定義務(wù)所必須。此外，處理特殊類型的個人數(shù)據(jù)，如健康數(shù)據(jù)，還應(yīng)滿足GDPR第9(2)(i)條規(guī)定的“數(shù)據(jù)處理為實現(xiàn)在公共健康領(lǐng)域的公共利益所必需，比如……為保證醫(yī)療保健、藥品、醫(yī)療器械高標(biāo)準(zhǔn)的質(zhì)量和安全”。

類似GDPR，我國《個保法》第十三條第(三)項規(guī)定了“為履行法定職責(zé)或者法定義務(wù)所必需”的合法性基礎(chǔ)，視具體臨床試驗方案而定，可以考慮作為臨床試驗過程中處理個人信息的合法性基礎(chǔ)。此外，就醫(yī)療健康信息等敏感個人信息的處理而言，《個保法》第二十八條還要求具有“特定的目的和充分的必要性”，但并未就具體判定標(biāo)準(zhǔn)進(jìn)行展開，對此，實踐中有必要結(jié)合具體臨床試驗方案對處理特定個人信息的必要性進(jìn)行分析。

2.僅與研究活動相關(guān)的處理活動

EDPB認(rèn)為，“僅與研究活動相關(guān)的處理活動”不能依賴“為履行控制者所負(fù)的法定義務(wù)所必需”作為數(shù)據(jù)處理的合法性基礎(chǔ)，其可適用的合法性基礎(chǔ)包括：GDPR第6(1)(a)條項下的“同意”；如涉及健康數(shù)據(jù)等特殊類型數(shù)據(jù)的處理，還應(yīng)滿足GDPR第9(2)(a)條規(guī)定的“明示同意”。如上文所述，在干預(yù)性的臨床試驗場景下，鑒于受試者與申辦者/研究者之間的不對等，臨床試驗項下的“知情同意”可能無法滿足GDPR項下“同意”的標(biāo)準(zhǔn)，因而導(dǎo)致“同意”在多數(shù)情況下可能不適宜作為數(shù)據(jù)處理的合法性基礎(chǔ)。

較“同意”而言可能更為恰當(dāng)?shù)暮戏ㄐ曰A(chǔ)是：GDPR第6(1)(e)條項下的“為執(zhí)行基于公共利益的任務(wù)所必需”、第6(1)(f)項下的“實現(xiàn)控制者或第三方追求的合法利益所必需”；如涉及健康數(shù)據(jù)等特殊類型數(shù)據(jù)的處理，還應(yīng)滿足GDPR第9條規(guī)定的禁止處理之例外情形，視具體臨床試驗情況而定，包括GDPR第9(2)(i)條“為實現(xiàn)公共健康領(lǐng)域的公共利益所必需”、第9(2)(j)條“為公共利益進(jìn)行科學(xué)研究所必需”。具體而言，當(dāng)臨床試驗是依法直接基于行政命令、任務(wù)而進(jìn)行，臨床試驗過程中的個人數(shù)據(jù)處理可被視作“為執(zhí)行基于公共利益的任務(wù)所必需”；其他情形下，個人數(shù)據(jù)的處理可基于“為實現(xiàn)控制者或第三方追求的合法利益所必需”，但是數(shù)據(jù)主體享有的個人數(shù)據(jù)保護(hù)相關(guān)的權(quán)益、基本權(quán)利和自由優(yōu)先于前述合法利益的除外。

類似GDPR，我國《個保法》第十三條第（四）項、第（五）項分別規(guī)定了以下個人信息處理的合法性基礎(chǔ)：“為應(yīng)對突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護(hù)自然人的生命健康和財產(chǎn)安全所必需”和“為公共利益實施新聞報道、輿論監(jiān)督等行為，在合理的范圍內(nèi)處理個人信息”。視具體情況而定，此二項亦可考慮作為臨床試驗相關(guān)活動過程中處理個人信息的合法性基礎(chǔ)。比如，在新冠肺炎疫情背景下進(jìn)行的特定個人信息處理活動，可以考慮依賴“為應(yīng)對突發(fā)公共衛(wèi)生事件所必需”的合法性基礎(chǔ)。此外，如前文所述，就醫(yī)療健康信息等敏感個人信息的處理而言，《個保法》第二十八條要求的“特定的目的和充分的必要性”亦需關(guān)注。

>>二次使用（Secondary Use）

二次使用，是指在臨床試驗方案之外，為科研目的使用受試者個人數(shù)據(jù)。如果申辦者/研究者將臨床試驗過程中獲得的個人數(shù)據(jù)用于臨床試驗方案以外的其他科研目的，應(yīng)當(dāng)具備初始應(yīng)用之外的法定理由，具體的合法性基礎(chǔ)與初始應(yīng)用的合法性基礎(chǔ)可能相同，但也可能不同。

GDPR第5(1)(b)條規(guī)定，根據(jù)GDPR第89(1)條采取適當(dāng)保障措施的情況下，如果基于公共利益進(jìn)行歸檔，出于科學(xué)、歷史研究或統(tǒng)計目的，而進(jìn)一步進(jìn)行數(shù)據(jù)處理不視為不符合初始目的（即相符性推定，presumption of compatibility）。也就是說，該等情況下二次使用臨床試驗數(shù)據(jù)無需滿足新的合法性基礎(chǔ)。同時，EDPB亦坦陳，鑒于該問題的復(fù)雜性，EDPB尚需進(jìn)一步關(guān)注并出臺指引。

我國《個保法》中尚未制定“相符性推定”規(guī)則，二次使用可依賴的具體合法性基礎(chǔ)應(yīng)當(dāng)作為獨立的使用場景，依法就具體情況進(jìn)行個案判定。

結(jié)語

綜上，臨床試驗涉及的個人信息處理問題較為復(fù)雜，臨床試驗場景下的“知情同意”不宜簡單直接等同于《個保法》意義上的“同意”。

結(jié)合臨床試驗的類型、方案等具體情況，臨床試驗中個人信息處理可依賴的合法性基礎(chǔ)可能包括“法定義務(wù)”“公共利益”等，需個案分析。對此，作為醫(yī)療健康信息等敏感個人信息的處理者，申辦者/研究者有必要在開展臨床試驗前就臨床試驗方案涉及的個人信息處理的合法性基礎(chǔ)進(jìn)行審慎評估。

此外，值得注意的是，臨床試驗等藥物研發(fā)活動中涉及的個人醫(yī)療健康信息處理活動，亦需遵守《個保法》中公開透明原則、個人信息跨境提供規(guī)則、個人信息主體權(quán)利保障等規(guī)定的規(guī)制，對此還需進(jìn)一步探討。

（環(huán)球律師事務(wù)所 曲曉琨）

本文屬學(xué)術(shù)性探討，除法律法規(guī)明確規(guī)定外，不作為執(zhí)法依據(jù)。

(責(zé)任編輯：陸悅)