新藥研發能力作為醫藥公司的核心競爭力，需要醫院、監管機構、受試者多方配合協力完成。而在新藥研發過程中需要進行大量的藥物臨床實驗，在實驗過程中不免需要收集許多個人醫療健康數據，如何保證醫藥國際貿易中個人醫療健康數據的合規，需要從我國的《個人信息保護法》（以下簡稱“《個保法》”）、《藥物臨床試驗質量管理規范》（以下簡稱“GCP”）以及國際數據保護的法律法規政策出發，探求國際醫藥貿易中藥物臨床實驗處理個人信息的合法性路徑。本文將對國際數據保護的相關政策進行梳理和總結，并結合我國GCP、《個保法》的相關規定就臨床試驗場景下的醫療健康信息處理的合法性基礎進行探討。

我國《個人信息保護法》明確地將醫療健康信息規定為敏感個人信息，并施加較一般個人信息更嚴格的保護 ^[1] 。由于醫療健康信息的敏感性，一旦被泄露或被非法使用，容易導致個人的人格尊嚴或人身、財產安全受到侵害，所以無論采用人工抄錄還是采取電子化方式采集處理個人醫療健康信息應當符合國際國內目前的數據安全監管政策、個人信息保護要及藥物臨床實驗的監管要求。

無論是GCP，還是《個保法》都強調“知情”、“同意”的重要性。GCP項下的知情同意，指受試者被告知可影響其做出參加臨床試驗決定的各方面情況后，確認同意自愿參加臨床試驗的過程 ^[2] 。知情、同意亦是《個保法》項下個人信息處理的一般性基礎，即除法定無需取得同意的情況外，個人信息處理者應當取得個人同意方可處理個人信息，且同意應當由個人在充分知情的前提下自愿、明確作出 ^[3] 。目前，我國尚無監管細則或司法裁判就GCP與《個保法》之間的相互影響，及其各自項下的“知情”、“同意”的關系進行界定。

歐盟數據保護委員會（European Data Protection Board, 簡稱“EDPB”）曾于2019年1月23日應歐盟委員會健康和食品安全總司要求出具《關于臨床試驗條例與通用數據保護條例之間相互作用的問答之3/2019號意見》 ^[4] （Opinion 3/2019 concerning the Questions and Answers on the interplay between the Clinical Trials Regulation (CTR) and the General Data Protection Regulation (GDPR) [4] ，以下簡稱“EDPB Opinion”），就CTR項下的知情同意與GDPR項下的同意之間的關系進行了厘定，并就臨床試驗所涉個人數據處理的合法性基礎進行了分析。

一、臨床試驗項下的知情同意是否等同于《個保法》意義上的同意？

（一） “知情同意的作出”與“同意的作出”

EDPB認為，CTR項下的知情同意不能與GDPR項下的同意相混淆。

CTR旨在遵循《赫爾辛基宣言》項下涉及人的研究的倫理要求。在臨床試驗中獲得受試者知情同意是保障《歐盟基本權利憲章》項下人格尊嚴和個人完整權利的主要措施，EDPB認為其并非被設計為一項數據保護合規工具。我國GCP第3條亦有類似規定：“臨床試驗應當符合《世界醫學大會赫爾辛基宣言》原則及相關倫理要求，受試者的權益和安全是考慮的首要因素，優先于對科學和社會的獲益。倫理審查與知情同意是保障受試者權益的重要措施”。

從GDPR的角度而言，GDPR (Recital 32)規定，同意必須是自愿作出的（freely given）、具體的（specific）、知情的（informed）和明確的（unambiguous）的，如涉及處理健康數據（data concerning health，類似于我國《個保法》下的醫療健康信息）等特殊類型的數據時，還需獲得明示同意（explicit consent）。值得注意的是，根據GDPR，當數據主體和控制者之間存在明顯不對等時，同意不能成為個人數據處理的有效合法性基礎。

如果一項臨床試驗是非干預性的，即不干涉患者的診療而只是觀察性地收集記錄患者的數據，則申辦者/研究者與患者之間不會被視為存在明顯的不對等。然而，在干預性的臨床試驗中，因受試者身體健康狀況欠佳等，申辦者/研究者與受試者之間通常會存在不對等的情況。對此，CTR規定，知情同意應自愿作出（given freely），并要求研究者充分考慮潛在受試者是否屬于經濟性或社會性的弱勢群體，或者處于組織上或等級上的依賴地位，從而可能影響受試者參與臨床試驗的決定^[5] 。我國GCP也規定了類似歐盟CTR的弱勢受試者保護機制，包括：GCP第11(10)條規定了“弱勢受試者，指維護自身意愿和權利的能力不足或者喪失的受試者，其自愿參加臨床試驗的意愿，有可能被試驗的預期獲益或者拒絕參加可能被報復而受到不正當影響。包括：研究者的學生和下級、申辦者的員工、軍人、犯人、無藥可救疾病的患者、處于危急狀況的患者，入住福利院的人、流浪者、未成年人和無能力知情同意的人等。”；GCP第12條要求倫理委員會應當特別關注弱勢受試者，以保護受試者的權益和安全。

盡管CTR已要求知情同意應自愿作出（given freely），但是EDPB仍認為，即便根據CTR獲得了知情同意，如果受試者與申辦者/研究者之間存在明顯不對等，CTR項下的知情同意尚不能滿足GDPR意義上“自愿作出（freely given）”的同意的標準，因而不能構成GDPR項下處理個人數據的合法性基礎。EDPB Opinion考慮到了臨床試驗場景下知情同意背后的倫理規范與數據保護法設計之間的區別，并特別關注受試者與申辦者/研究者之間的實質不對等性，因而否認知情同意作為個人數據處理的合法性基礎的邏輯有其合理性，值得借鑒和參考。

我國GCP第11(11)條^[6] 、第24(13)條^[7] 等亦規定知情同意應是“自愿”的。《個保法》出臺后，目前尚無類似EDPB Opinion的監管細則或司法裁判就臨床試驗下的知情同意是否滿足《個保法》下的同意進行釋明。實務觀點傾向于認為，我國GCP項下的知情同意與《個保法》項下的知情同意并不等同，GCP作為醫藥行業監管規范，《個保法》作為數據保護法，兩者雖然都有“知情”、“同意”的要求，但其各自的背景和目的并不相同。因此，藥物臨床試驗項下的知情同意并不適宜作為個人信息處理的合法性基礎，在《個保法》背景下，臨床試驗的申辦者/研究者作為醫療健康信息等敏感個人信息的處理者有必要重新審視其處理個人信息的合法性基礎。

（二） “知情同意的撤回”與“同意的撤回”

EDPB認為，CTR項下知情同意的撤回與GDPR項下同意的撤回亦有所區別。

CTR明確規定，為尊重個人數據保護權利，同時為保障臨床試驗數據的可靠性（reliability）、穩健性（robustness）及受試者的安全，應該規定知情同意的撤回不影響先前已進行的臨床試驗活動，例如基于撤回前已獲得的知情同意而進行的數據存儲和使用^[8] 。

然而，根據GDPR第7(3)條、第17(1)(b)條，一般情況下，如果是基于同意進行數據處理（適用于“僅與研究活動相關的處理活動”的情形，詳見下文），數據主體有權隨時撤回同意；同意一旦被撤回，盡管撤回同意前進行的數據處理活動的效力不受影響，但是，控制者應當停止后續數據處理活動，并在沒有其他法律依據就數據進行留存的情況下把數據刪除^[9] 。對此，我國《個保法》亦有類似規定。

從上述CTR和GDPR的規定可見，兩者在“知情同意的撤回”與“同意的撤回”的內涵及外延上存在一定區別。從藥品監管角度而言，出于保障臨床試驗質量、受試者安全等目的，臨床試驗數據必須保持其原始性、準確性、完整性，而不得隨意修改、掩蓋和刪除，我國GCP亦就臨床試驗數據質量作出嚴格要求。目前，我國尚無監管細則或司法裁判就“知情同意的撤回”與“同意的撤回”之間的關系進行界定，同上文關于“知情同意的作出”與“同意的作出”的分析，實務觀點傾向于認為，我國GCP項下的“知情同意的撤回” 與《個保法》項下的“同意的撤回”亦不等同。

二、臨床試驗所涉個人信息處理的具體合法性基礎

臨床試驗，尤其是如果臨床試驗場景下的知情同意不構成個人信息/個人數據保護法意義上的“同意”的合法性基礎，相關個人數據/個人信息處理活動應基于什么合法性基礎進行？對此，EDPB Opinion基于臨床試驗場景下數據的應用階段、處理目的進行了區分。

（一）初始應用（Primary Use）

初始應用，指根據臨床試驗方案對受試者個人健康數據進行的處理，其過程涵蓋從試驗開始，歷經試驗結束，直至留存期限屆滿而刪除數據的整個過程。其又可細分為兩種類型的數據處理活動：(a)“與可靠性和安全性目的相關的處理活動”（processing operations related to reliability and safety purposes），系指與醫療保健目的、通過可靠(reliable)而穩健(robust)的臨床試驗數據達到藥品質量和安全標準目的相關的處理活動；和(b)“僅與研究活動相關的處理活動”（processing operations purely related to research activities）。兩種數據處理活動所依據的法律基礎不同，具體區別如下。

1. 與可靠性和安全性目的相關的處理活動

EDPB認為，CTR及相關立法明確規定的與可靠性和安全性目的相關的數據處理活動，可以適用GDPR第6(1)(c)條規定的“為履行控制者所負的法定義務所必需”的合法性基礎。據此，臨床試驗過程中為安全報告、監管機構檢查、根據歸檔要求保留臨床試驗數據等進行個人數據處理，可被視為臨床試驗申辦者/研究者為履行法定義務所必須。此外，就特殊類型的個人數據處理而言，如健康數據，還應滿足GDPR第9(2)(i)條規定的“數據處理為實現在公共健康領域的公共利益所必需，比如[…]為保證醫療保健、藥品、醫療器械高標準的質量和安全[…]”。

類似GDPR，我國《個保法》第13(3)條規定了“為履行法定職責或者法定義務所必需”的合法性基礎，視具體臨床試驗方案而定，可以考慮作為臨床試驗過程中處理個人信息的合法性基礎。此外，就醫療健康信息等敏感個人信息的處理而言，《個保法》第28條還要求具有“特定的目的和充分的必要性”，但并未就具體判定標準進行展開，對此，實踐中有必要結合具體臨床試驗方案就處理特定個人信息的必要性進行分析。

2. 僅與研究活動相關的處理活動

EDPB認為，僅與研究活動相關的處理活動，不能依賴“為履行控制者所負的法定義務所必需”作為數據處理的合法性基礎，其可適用的合法性基礎包括：

·    GDPR第6(1)(a)條項下的“同意”，以及，如涉及健康數據等特殊類型數據的處理，還應滿足GDPR第9(2)(a)條規定的“明示同意”。 如上文所述，在干預性的臨床試驗場景下，鑒于受試者與申辦者/研究者之間的不對等，臨床試驗項下的知情同意可能無法滿足GDPR項下“同意”的標準，因而導致“同意”在多數情況下可能不適宜作為數據處理的合法性基礎。

·    此外，較“同意”而言可能更為恰當的合法性基礎是：GDPR第6(1)(e)條項下的“為執行基于公共利益的任務所必需”、第6(1)(f)項下的“實現控制者或第三方的追求的合法利益所必需”，以及，如涉及健康數據等特殊類型數據的處理，還應滿足GDPR第9條規定的禁止處理之例外情形，視具體臨床試驗情況而定，包括：GDPR第9(2)(i)條“為實現公共健康領域的公共利益所必需”、第9(2)(j)條“為公共利益進行[…]科學研究[…]所必需”。具體而言：a. 當臨床試驗是依法直接基于行政命令、任務而進行，臨床試驗過程中的個人數據處理可被視“為執行基于公共利益的任務所必需”；b. 其他情形下，個人數據的處理可基于“為實現控制者或第三方的追求的合法利益所必需”，但是數據主體（尤其是兒童）享有的個人數據保護相關的權益、基本權利和自由優先于前述合法利益的除外。

類似GDPR，我國《個保法》第13(4)條、第13(5)條分別規定了以下個人信息處理的合法性基礎：“為應對突發公共衛生事件，或者緊急情況下為保護自然人的生命健康和財產安全所必需”和“為公共利益實施新聞報道、輿論監督等行為，在合理的范圍內處理個人信息”，視具體情況而定，亦可考慮作為臨床試驗相關活動過程中處理個人信息的合法性基礎。比如，在新型冠狀病毒肺炎疫情背景下進行的特定個人信息處理活動，可以考慮依賴“為應對突發公共衛生事件[…]所必需”的合法性基礎。此外，同上文，就醫療健康信息等敏感個人信息的處理而言，《個保法》第28條要求的“特定的目的和充分的必要性”亦需關注。

（二）二次使用（Secondary Use）

二次使用，是指在臨床試驗方案之外，為科研目的使用受試者個人數據。如果申辦者/研究者將臨床試驗過程中獲得的個人數據用于臨床試驗方案以外的其他科研目的，應當具備初始應用之外的法定理由，具體的合法性基礎與初始應用的合法性基礎可能相同亦或不同。

但是，GDPR第5(1)(b)條規定，根據GDPR第89(1)條采取適當保障措施的情況下，如果基于公共利益進行歸檔，出于科學、歷史研究或統計目的，而進一步進行數據處理不視為不符合初始目的（即“相符性推定”，presumption of compatibility）。也就是說，該等情況下二次使用臨床試驗數據無需滿足新的合法性基礎。同時，EDPB亦坦陳，鑒于該問題的復雜性，EDPB尚需進一步關注并出臺指引。我國《個保法》下尚未規定“相符性推定”規則，二次使用可依賴的具體合法性基礎應當作為獨立的使用場景依法就具體情況進行個案判定。

三、結語

綜上，臨床試驗涉及的個人信息處理問題較為復雜，臨床試驗場景下的知情同意不宜簡單直接等同于《個保法》意義上的同意。取決于臨床試驗的類型、方案等具體情況，臨床試驗可依賴的合法性基礎可能包括“法定義務”、“公共利益”等，需個案分析。對此，作為醫療健康信息等敏感個人信息的處理者，申辦者/研究者有必要在開展臨床試驗前就臨床試驗方案涉及的個人信息處理的合法性基礎進行審慎評估。此外，臨床試驗等藥物研發活動中涉及的個人醫療健康信息處理活動，亦需遵守《個保法》項下的公開透明原則、個人信息跨境提供規則、個人信息主體權利保障等規定的規制。國際醫藥貿易的臨床實驗受制于地點的限制，現在還存在一些企業利用大數據進行遠程監查的問題，對于這類平臺采集存儲處理個人醫療健康數據、或者涉及數據出境問題的，尚需實務與監管政策進一步明晰。

 

參考資料：

[1] 包括：(a)只有在特定的目的和充分的必要性，并采取嚴格保護措施的情形下，才能處理敏感個人信息；(b)處理敏感個人信息需取得個人的單獨同意（法定需取得書面同意的從其規定，比如《人類遺傳資源管理條例》規定采集我國人類遺傳資源，應當征得人類遺傳資源提供者書面同意）；(c)除應當向個人告知的一般事項（個人信息處理者的名稱或姓名、聯系方式；處理目的、處理方式、處理的個人信息種類、保存期限；個人行權的方式和程序；其他法定事項）外，還需額外告知處理敏感個人信息的必要性以及對個人權益的影響等。

[2] GCP 第11(11)條。

[3] 《個保法》第13、14條。

[4] 來源：https://edpb.europa.eu/our-work-tools/our-documents/avis-art-70/opinion-32019-concerning-questions-and-answers-interplay_en.

[5] Recital 31 of CTR: “In order to certify that informed consent is given freely, the investigator should take into account all relevant circumstances which might influence the decision of a potential subject to participate in a clinical trial, in particular whether the potential subject belongs to an economically or socially disadvantaged group or is in a situation of institutional or hierarchical dependency that could inappropriately influence her or his decision to participate”.

[6] 同注釋2。

[7] GCP第24(13)條：知情同意書和提供給受試者的其他資料應當包括：[…]受試者參加試驗是自愿的，可以拒絕參加或者有權在試驗任何階段隨時退出試驗而不會遭到歧視或者報復，其醫療待遇與權益不會受到影響[…]。

[8] CTR Recital 76: “Directive 95/46/EC [...] Those instruments strengthen personal data protection rights, encompassing the right to access, rectification and withdrawal, as well as specify the situations when restriction on those rights may be imposed. With a view to respecting those rights, while safeguarding the robustness and reliability of data from clinical trials used for scientific purposes and the safety of subjects participating in clinical trials, it is appropriate to provide that, without prejudice to Directive 95/46/EC, the withdrawal of informed consent should not affect the results of activities already carried out, such as the storage and use of data obtained on the basis of informed consent before withdrawal”. Directive 95/46/EC，即歐盟《數據保護指令》(Data Protection Directive)，已被GDPR取代。

[9] GDPR第17(3)條允許特定情況下無需刪除數據，其中包括：(a)為“法定義務所必需”、“為執行基于公共利益的任務所必需”；(b)根據GDPR第9(2)(i)條“為實現公共健康領域的公共利益所必需”；(c)根據第9(2)(j)條、第89(1)條“為公共利益進行[…]科學研究[…]所必需”而進行數據處理的，無需刪除相關數據。