药物临床试验涉及对受试者医疗健康信息等个人信息的处理。由于医疗健康信息的敏感性,一旦被泄露或被非法使用,容易导致个人的人格尊严或人身、财产安全受到侵害,所以,我国《个人信息保护法》(简称“《个保法》”)明确地将医疗健康信息规定为敏感个人信息,并施加较一般个人信息更严格的保护[1]。
无论是《药物临床试验质量管理规范》(简称“GCP”),还是《个保法》都强调“知情”、“同意”的重要性。GCP项下的知情同意,指受试者被告知可影响其做出参加临床试验决定的各方面情况后,确认同意自愿参加临床试验的过程[2]。知情、同意亦是《个保法》项下个人信息处理的一般性基础,即除法定无需取得同意的情况外,个人信息处理者应当取得个人同意方可处理个人信息,且同意应当由个人在充分知情的前提下自愿、明确作出[3]。目前,我国尚无监管细则或司法裁判就GCP与《个保法》之间的相互影响,及其各自项下的“知情”、“同意”的关系进行界定。
欧盟数据保护委员会(European Data Protection Board, 简称“EDPB”)曾于2019年1月23日应欧盟委员会(健康和食品安全总司)(European Commission (DG SANTE))要求出具《关于临床试验条例与通用数据保护条例之间相互作用的问答之3/2019号意见》(Opinion 3/2019 concerning the Questions and Answers on the interplay between the Clinical Trials Regulation (CTR) and the General Data Protection Regulation (GDPR)[4],简称“EDPB Opinion”),就CTR项下的知情同意与GDPR项下的同意之间的关系进行了厘定,并就临床试验所涉个人数据处理的合法性基础进行了分析。本文将对EDPB Opinion进行了梳理和总结,并结合我国GCP、《个保法》的相关规定就临床试验场景下的医疗健康信息处理的合法性基础进行探讨。
一、临床试验项下的知情同意是否等同于《个保法》意义上的同意?
(一) “知情同意的作出”与“同意的作出”
EDPB认为,CTR项下的知情同意不能与GDPR项下的同意相混淆。
CTR旨在遵循《赫尔辛基宣言》项下涉及人的研究的伦理要求。在临床试验中获得受试者知情同意是保障《欧盟基本权利宪章》项下人格尊严和个人完整权利的主要措施,EDPB认为其并非被设计为一项数据保护合规工具。我国GCP第3条亦有类似规定:“临床试验应当符合《世界医学大会赫尔辛基宣言》原则及相关伦理要求,受试者的权益和安全是考虑的首要因素,优先于对科学和社会的获益。伦理审查与知情同意是保障受试者权益的重要措施”。
从GDPR的角度而言,GDPR (Recital 32)规定,同意必须是自愿作出的(freely given)、具体的(specific)、知情的(informed)和明确的(unambiguous)的,如涉及处理健康数据(data concerning health,类似于我国《个保法》下的医疗健康信息)等特殊类型的数据时,还需获得明示同意(explicit consent)。值得注意的是,根据GDPR,当数据主体和控制者之间存在明显不对等时,同意不能成为个人数据处理的有效合法性基础。
如果一项临床试验是非干预性的,即不干涉患者的诊疗而只是观察性地收集记录患者的数据,则申办者/研究者与患者之间不会被视为存在明显的不对等。然而,在干预性的临床试验中,因受试者身体健康状况欠佳等,申办者/研究者与受试者之间通常会存在不对等的情况。对此,CTR规定,知情同意应自愿作出(given freely),并要求研究者充分考虑潜在受试者是否属于经济性或社会性的弱势群体,或者处于组织上或等级上的依赖地位,从而可能影响受试者参与临床试验的决定[5]。我国GCP也规定了类似欧盟CTR的弱势受试者保护机制,包括:GCP第11(10)条规定了“弱势受试者,指维护自身意愿和权利的能力不足或者丧失的受试者,其自愿参加临床试验的意愿,有可能被试验的预期获益或者拒绝参加可能被报复而受到不正当影响。包括:研究者的学生和下级、申办者的员工、军人、犯人、无药可救疾病的患者、处于危急状况的患者,入住福利院的人、流浪者、未成年人和无能力知情同意的人等。”;GCP第12条要求伦理委员会应当特别关注弱势受试者,以保护受试者的权益和安全。
尽管CTR已要求知情同意应自愿作出(given freely),但是EDPB仍认为,即便根据CTR获得了知情同意,如果受试者与申办者/研究者之间存在明显不对等,CTR项下的知情同意尚不能满足GDPR意义上“自愿作出(freely given)”的同意的标准,因而不能构成GDPR项下处理个人数据的合法性基础。EDPB Opinion考虑到了临床试验场景下知情同意背后的伦理规范与数据保护法设计之间的区别,并特别关注受试者与申办者/研究者之间的实质不对等性,因而否认知情同意作为个人数据处理的合法性基础的逻辑有其合理性,值得借鉴和参考。
我国GCP第11(11)条[6]、第24(13)条[7]等亦规定知情同意应是“自愿”的。《个保法》出台后,目前尚无类似EDPB Opinion的监管细则或司法裁判就临床试验下的知情同意是否满足《个保法》下的同意进行释明。我们倾向于认为,我国GCP项下的知情同意与《个保法》项下的知情同意并不等同,GCP作为医药行业监管规范,《个保法》作为数据保护法,两者虽然都有“知情”、“同意”的要求,但其各自的背景和目的并不相同。因此,药物临床试验项下的知情同意并不适宜作为个人信息处理的合法性基础,在《个保法》背景下,临床试验的申办者/研究者作为医疗健康信息等敏感个人信息的处理者有必要重新审视其处理个人信息的合法性基础。
(二) “知情同意的撤回”与“同意的撤回”
EDPB认为,CTR项下知情同意的撤回与GDPR项下同意的撤回亦有所区别。
CTR明确规定,为尊重个人数据保护权利,同时为保障临床试验数据的可靠性(reliability)、稳健性(robustness)及受试者的安全,应该规定知情同意的撤回不影响先前已进行的临床试验活动,例如基于撤回前已获得的知情同意而进行的数据存储和使用[8]。
然而,根据GDPR第7(3)条、第17(1)(b)条,一般情况下,如果是基于同意进行数据处理(适用于“仅与研究活动相关的处理活动”的情形,详见下文),数据主体有权随时撤回同意;同意一旦被撤回,尽管撤回同意前进行的数据处理活动的效力不受影响,但是,控制者应当停止后续数据处理活动,并在没有其他法律依据就数据进行留存的情况下把数据删除[9]。对此,我国《个保法》亦有类似规定。
从上述CTR和GDPR的规定可见,两者在“知情同意的撤回”与“同意的撤回”的内涵及外延上存在一定区别。从药品监管角度而言,出于保障临床试验质量、受试者安全等目的,临床试验数据必须保持其原始性、准确性、完整性,而不得随意修改、掩盖和删除,我国GCP亦就临床试验数据质量作出严格要求。目前,我国尚无监管细则或司法裁判就“知情同意的撤回”与“同意的撤回”之间的关系进行界定,同上文关于“知情同意的作出”与“同意的作出”的分析,我们倾向于认为,我国GCP项下的“知情同意的撤回” 与《个保法》项下的“同意的撤回”亦不等同。
二、临床试验所涉个人信息处理的具体合法性基础
临床试验,尤其是如果临床试验场景下的知情同意不构成个人信息/个人数据保护法意义上的“同意”的合法性基础,相关个人数据/个人信息处理活动应基于什么合法性基础进行?对此,EDPB Opinion基于临床试验场景下数据的应用阶段、处理目的进行了区分。
(一)初始应用(Primary Use)
初始应用,指根据临床试验方案对受试者个人健康数据进行的处理,其过程涵盖从试验开始,历经试验结束,直至留存期限届满而删除数据的整个过程。其又可细分为两种类型的数据处理活动:(a)“与可靠性和安全性目的相关的处理活动”(processing operations related to reliability and safety purposes),系指与医疗保健目的、通过可靠(reliable)而稳健(robust)的临床试验数据达到药品质量和安全标准目的相关的处理活动;和(b)“仅与研究活动相关的处理活动”(processing operations purely related to research activities)。两种数据处理活动所依据的法律基础不同,具体区别如下。
1. 与可靠性和安全性目的相关的处理活动
EDPB认为,CTR及相关立法明确规定的与可靠性和安全性目的相关的数据处理活动,可以适用GDPR第6(1)(c)条规定的“为履行控制者所负的法定义务所必需”的合法性基础。据此,临床试验过程中为安全报告、监管机构检查、根据归档要求保留临床试验数据等进行个人数据处理,可被视为临床试验申办者/研究者为履行法定义务所必须。此外,就特殊类型的个人数据处理而言,如健康数据,还应满足GDPR第9(2)(i)条规定的“数据处理为实现在公共健康领域的公共利益所必需,比如[…]为保证医疗保健、药品、医疗器械高标准的质量和安全[…]”。
类似GDPR,我国《个保法》第13(3)条规定了“为履行法定职责或者法定义务所必需”的合法性基础,视具体临床试验方案而定,可以考虑作为临床试验过程中处理个人信息的合法性基础。此外,就医疗健康信息等敏感个人信息的处理而言,《个保法》第28条还要求具有“特定的目的和充分的必要性”,但并未就具体判定标准进行展开,对此,实践中有必要结合具体临床试验方案就处理特定个人信息的必要性进行分析。
2. 仅与研究活动相关的处理活动
EDPB认为,仅与研究活动相关的处理活动,不能依赖“为履行控制者所负的法定义务所必需”作为数据处理的合法性基础,其可适用的合法性基础包括:
- GDPR第6(1)(a)条项下的“同意”,以及,如涉及健康数据等特殊类型数据的处理,还应满足GDPR第9(2)(a)条规定的“明示同意”。如上文所述,在干预性的临床试验场景下,鉴于受试者与申办者/研究者之间的不对等,临床试验项下的知情同意可能无法满足GDPR项下“同意”的标准,因而导致“同意”在多数情况下可能不适宜作为数据处理的合法性基础。
- 此外,较“同意”而言可能更为恰当的合法性基础是:GDPR第6(1)(e)条项下的“为执行基于公共利益的任务所必需”、第6(1)(f)项下的“实现控制者或第三方的追求的合法利益所必需”,以及,如涉及健康数据等特殊类型数据的处理,还应满足GDPR第9条规定的禁止处理之例外情形,视具体临床试验情况而定,包括:GDPR第9(2)(i)条“为实现公共健康领域的公共利益所必需”、第9(2)(j)条“为公共利益进行[…]科学研究[…]所必需”。具体而言:a. 当临床试验是依法直接基于行政命令、任务而进行,临床试验过程中的个人数据处理可被视“为执行基于公共利益的任务所必需”;b. 其他情形下,个人数据的处理可基于“为实现控制者或第三方的追求的合法利益所必需”,但是数据主体(尤其是儿童)享有的个人数据保护相关的权益、基本权利和自由优先于前述合法利益的除外。
类似GDPR,我国《个保法》第13(4)条、第13(5)条分别规定了以下个人信息处理的合法性基础:“为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需”和“为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息”,视具体情况而定,亦可考虑作为临床试验相关活动过程中处理个人信息的合法性基础。比如,在新型冠状病毒肺炎疫情背景下进行的特定个人信息处理活动,可以考虑依赖“为应对突发公共卫生事件[…]所必需”的合法性基础。此外,同上文,就医疗健康信息等敏感个人信息的处理而言,《个保法》第28条要求的“特定的目的和充分的必要性”亦需关注。
(二)二次使用(Secondary Use)
二次使用,是指在临床试验方案之外,为科研目的使用受试者个人数据。如果申办者/研究者将临床试验过程中获得的个人数据用于临床试验方案以外的其他科研目的,应当具备初始应用之外的法定理由,具体的合法性基础与初始应用的合法性基础可能相同亦或不同。
但是,GDPR第5(1)(b)条规定,根据GDPR第89(1)条采取适当保障措施的情况下,如果基于公共利益进行归档,出于科学、历史研究或统计目的,而进一步进行数据处理不视为不符合初始目的(即“相符性推定”,presumption of compatibility)。也就是说,该等情况下二次使用临床试验数据无需满足新的合法性基础。同时,EDPB亦坦陈,鉴于该问题的复杂性,EDPB尚需进一步关注并出台指引。我国《个保法》下尚未规定“相符性推定”规则,二次使用可依赖的具体合法性基础应当作为独立的使用场景依法就具体情况进行个案判定。
三、结语
综上,临床试验涉及的个人信息处理问题较为复杂,临床试验场景下的知情同意不宜简单直接等同于《个保法》意义上的同意。取决于临床试验的类型、方案等具体情况,临床试验可依赖的合法性基础可能包括“法定义务”、“公共利益”等,需个案分析。对此,作为医疗健康信息等敏感个人信息的处理者,申办者/研究者有必要在开展临床试验前就临床试验方案涉及的个人信息处理的合法性基础进行审慎评估。
此外,值得注意的是,临床试验等药物研发活动中涉及的个人医疗健康信息处理活动,亦需遵守《个保法》项下的公开透明原则、个人信息跨境提供规则、个人信息主体权利保障等规定的规制,对此,我们后续将适时另作进一步探讨。
注释:
[1] 包括:(a)只有在特定的目的和充分的必要性,并采取严格保护措施的情形下,才能处理敏感个人信息;(b)处理敏感个人信息需取得个人的单独同意(法定需取得书面同意的从其规定,比如《人类遗传资源管理条例》规定采集我国人类遗传资源,应当征得人类遗传资源提供者书面同意);(c)除应当向个人告知的一般事项(个人信息处理者的名称或姓名、联系方式;处理目的、处理方式、处理的个人信息种类、保存期限;个人行权的方式和程序;其他法定事项)外,还需额外告知处理敏感个人信息的必要性以及对个人权益的影响等。
[2] GCP 第11(11)条。
[3] 《个保法》第13、14条。
[4] 来源:https://edpb.europa.eu/our-work-tools/our-documents/avis-art-70/opinion-32019-concerning-questions-and-answers-interplay_en.
[5] Recital 31 of CTR: “In order to certify that informed consent is given freely, the investigator should take into account all relevant circumstances which might influence the decision of a potential subject to participate in a clinical trial, in particular whether the potential subject belongs to an economically or socially disadvantaged group or is in a situation of institutional or hierarchical dependency that could inappropriately influence her or his decision to participate”.
[6] 同注释2。
[7] GCP第24(13)条:知情同意书和提供给受试者的其他资料应当包括:[…]受试者参加试验是自愿的,可以拒绝参加或者有权在试验任何阶段随时退出试验而不会遭到歧视或者报复,其医疗待遇与权益不会受到影响[…]。
[8] CTR Recital 76: “Directive 95/46/EC [...] Those instruments strengthen personal data protection rights, encompassing the right to access, rectification and withdrawal, as well as specify the situations when restriction on those rights may be imposed. With a view to respecting those rights, while safeguarding the robustness and reliability of data from clinical trials used for scientific purposes and the safety of subjects participating in clinical trials, it is appropriate to provide that, without prejudice to Directive 95/46/EC, the withdrawal of informed consent should not affect the results of activities already carried out, such as the storage and use of data obtained on the basis of informed consent before withdrawal”. Directive 95/46/EC,即欧盟《数据保护指令》(Data Protection Directive),已被GDPR取代。
[9] GDPR第17(3)条允许特定情况下无需删除数据,其中包括:(a)为“法定义务所必需”、“为执行基于公共利益的任务所必需”;(b)根据GDPR第9(2)(i)条“为实现公共健康领域的公共利益所必需”;(c)根据第9(2)(j)条、第89(1)条“为公共利益进行[…]科学研究[…]所必需”而进行数据处理的,无需删除相关数据。