藥物臨床試驗會涉及對受試者醫(yī)療健康信息等個人信息的處理。醫(yī)療健康信息具有敏感性，一旦被泄露或被非法使用，容易導致個人的人格尊嚴或人身、財產(chǎn)安全受到侵害。因此，2021年11月1日實施的《中華人民共和國個人信息保護法》（以下簡稱《個保法》）明確將醫(yī)療健康信息規(guī)定為敏感個人信息，并施加較一般個人信息更為嚴格的保護。

在《個保法》實施前，申辦者/研究者主要遵照《藥物臨床試驗質量管理規(guī)范》（以下簡稱GCP）的規(guī)定在取得受試者的知情同意后處理受試者的個人信息?！秱€保法》實施后，除GCP要求的應當告知受試者的信息，還對個人信息處理者提出新要求。例如：應當告知受試者個人信息的類型、處理目的、處理方式、保存期限；涉及敏感信息的，還應告知受試者處理敏感個人信息具有特定目的和充分的必要性；告知受試者行使《個保法》規(guī)定權利的方式和程序等。也就是說，藥物臨床試驗中的個人信息處理者應當在滿足GCP規(guī)定義務的同時，滿足《個保法》規(guī)定的義務。

歐盟也有類似法規(guī)要求。歐盟數(shù)據(jù)保護委員會（EDPB）曾于2019年1月23日應歐盟委員會健康和食品安全總司要求出具《關于臨床試驗條例與通用數(shù)據(jù)保護條例之間相互作用的問答之3/2019號意見》[Opinion 3/2019 concerning the Questions and Answers on the interplay between the Clinical Trials Regulation (CTR) and the General Data Protection Regulation(GDPR)，以下簡稱《EDPB 3/2019號意見》]，就《臨床試驗條例》（CTR）與《通用數(shù)據(jù)保護條例》（GDPR）關于臨床試驗所涉?zhèn)€人數(shù)據(jù)處理的合法性基礎進行了分析。

本文結合《EDPB 3/2019號意見》，梳理、總結我國《個保法》和GCP的相關規(guī)定，對中國和歐盟臨床試驗場景下的醫(yī)療健康信息處理的合法性基礎進行探討和比較，為相關申辦者/研究者提供參考。

臨床試驗規(guī)范與數(shù)據(jù)保護法中的“知情同意”是否等同

我國GCP和《個保法》對藥物臨床試驗中個人信息處理都強調“知情同意”的重要性。GCP中的“知情同意”，指受試者被告知可影響其做出參加臨床試驗決定的各方面情況后，確認同意、自愿參加臨床試驗的過程?！爸橥狻币彩恰秱€保法》規(guī)定的個人信息處理的一般性基礎，即除法定無需取得同意的情況外，個人信息處理者應當取得個人同意方可處理個人信息，且同意應當由個人在充分知情的前提下自愿、明確作出。目前，我國尚無監(jiān)管細則或司法裁判就GCP與《個保法》之間的相互影響，及其各自項下的“知情同意”的關系進行界定。

歐盟《EDPB 3/2019號意見》則對CTR中的“知情同意”與GDPR中的“同意”之間的關系進行了厘定。

>>“知情同意的作出”與“同意的作出”

EDPB認為，CTR中的“知情同意”不能與GDPR中的“同意”相混淆。

CTR旨在遵循《赫爾辛基宣言》中涉及人的研究的倫理要求。在臨床試驗中獲得受試者知情同意，是保障《歐盟基本權利憲章》規(guī)定的人格尊嚴和個人完整權利的主要措施，EDPB認為其并非被設計為一項數(shù)據(jù)保護合規(guī)工具。我國GCP第三條亦有類似規(guī)定：“藥物臨床試驗應當符合《世界醫(yī)學大會赫爾辛基宣言》原則及相關倫理要求，受試者的權益和安全是考慮的首要因素，優(yōu)先于對科學和社會的獲益。倫理審查與知情同意是保障受試者權益的重要措施?！?/p>

GDPR（Recital 32）則規(guī)定：“同意”必須是自愿作出的（freely given）、具體的（specific）、知情的（informed）和明確的（unambiguous）的，如涉及處理健康數(shù)據(jù)（data concerning health，類似于我國《個保法》中的“醫(yī)療健康信息”）等特殊類型的數(shù)據(jù)時，還需獲得明示同意（explicit consent）。

值得注意的是，根據(jù)GDPR，當數(shù)據(jù)主體和控制者之間存在明顯不對等時，“同意”不能成為個人數(shù)據(jù)處理的有效合法性基礎。

如果一項臨床試驗是非干預性的，即不干涉患者診療而只是觀察性地收集、記錄患者的數(shù)據(jù)，則申辦者/研究者與患者之間不會被視為存在明顯不對等。然而，在干預性的臨床試驗中，因受試者身體健康狀況欠佳等，申辦者/研究者與受試者之間通常會存在不對等的情況。對此，CTR規(guī)定，“知情同意”應“自愿作出”，并要求研究者充分考慮潛在受試者是否屬于經(jīng)濟性或社會性的弱勢群體，或者處于組織上或等級上的依賴地位，從而可能影響受試者參與臨床試驗的決定。

我國GCP也規(guī)定了類似歐盟CTR的弱勢受試者保護機制。GCP第十一條第（十）項明確，“弱勢受試者，指維護自身意愿和權利的能力不足或者喪失的受試者，其自愿參加臨床試驗的意愿，有可能被試驗的預期獲益或者拒絕參加可能被報復而受到不正當影響。包括：研究者的學生和下級、申辦者的員工、軍人、犯人、無藥可救疾病的患者、處于危急狀況的患者，入住福利院的人、流浪者、未成年人和無能力知情同意的人等。”GCP第十二條要求，倫理委員會應當特別關注弱勢受試者，以保護受試者的權益和安全。

盡管歐盟CTR已要求“知情同意”應“自愿作出”，但是EDPB仍認為：即使根據(jù)CTR獲得了“知情同意”，如果受試者與申辦者/研究者之間存在明顯不對等，CTR項下的知情同意尚不能滿足GDPR意義上“自愿作出”的同意的標準，因而不能構成GDPR項下處理個人數(shù)據(jù)的合法性基礎?！禘DPB 3/2019號意見》考慮到了臨床試驗場景下“知情同意”背后的倫理規(guī)范與數(shù)據(jù)保護法設計之間的區(qū)別，并特別關注受試者與申辦者/研究者之間的實質不對等性，因而否認“知情同意”作為個人數(shù)據(jù)處理的合法性基礎的邏輯有其合理性，值得借鑒和參考。

我國GCP第十一條第(十一)項、第二十四條第(十三)項等亦規(guī)定“知情同意”應是“自愿”的?！秱€保法》已實施一周年，目前尚無類似《EDPB 3/2019號意見》的監(jiān)管細則或司法裁判就臨床試驗下的“知情同意”是否滿足《個保法》下的“知情同意”進行釋明。

筆者認為，我國GCP中的“知情同意”與《個保法》中的“知情同意”并不等同。原因是GCP作為醫(yī)藥行業(yè)監(jiān)管規(guī)范，《個保法》作為數(shù)據(jù)保護法，兩者雖然都有“知情”“同意”的要求，但其各自的背景和目的并不相同。因此，藥物臨床試驗項下的“知情同意”并不適宜作為個人信息處理的合法性基礎，在《個保法》背景下，臨床試驗的申辦者/研究者作為醫(yī)療健康信息等敏感個人信息的處理者，有必要重新審視其處理個人信息的合法性基礎。

>>“知情同意的撤回”與“同意的撤回”

EDPB認為，CTR項下“知情同意的撤回”與GDPR項下“同意的撤回”亦有所區(qū)別。

CTR明確規(guī)定，為尊重個人數(shù)據(jù)保護權利，同時為保障臨床試驗數(shù)據(jù)的可靠性（reliability）、穩(wěn)健性（robustness）及受試者的安全，應該規(guī)定“知情同意的撤回”不影響先前已進行的臨床試驗活動，例如基于“知情同意”撤回前已獲得的數(shù)據(jù)存儲和使用。

然而，根據(jù)GDPR第7(3)條、第17(1)(b)條，一般情況下，如果是基于“同意”進行數(shù)據(jù)處理，數(shù)據(jù)主體有權隨時撤回“同意”；“同意”一旦被撤回，盡管撤回前進行的數(shù)據(jù)處理活動的效力不受影響，但是控制者應當停止后續(xù)數(shù)據(jù)處理活動，并在沒有其他法律依據(jù)就數(shù)據(jù)進行留存的情況下把數(shù)據(jù)刪除。對此，我國《個保法》亦有類似規(guī)定。

從上述CTR和GDPR的規(guī)定可見，兩者在“知情同意的撤回”與“同意的撤回”的內(nèi)涵及外延上存在一定區(qū)別。從藥品監(jiān)管角度而言，出于保障臨床試驗質量、受試者安全等目的，臨床試驗數(shù)據(jù)必須保持其原始性、準確性、完整性，而不得隨意修改、掩蓋和刪除。

我國GCP亦就臨床試驗數(shù)據(jù)質量作出嚴格要求。目前，我國尚無監(jiān)管細則或司法裁判就“知情同意的撤回”與“同意的撤回”之間的關系進行界定，類比上文關于“知情同意的作出”與“同意的作出”的分析，筆者認為，我國GCP中“知情同意的撤回” 與《個保法》中“同意的撤回”的概念亦不等同。

臨床試驗所涉?zhèn)€人信息處理的具體合法性基礎

如果臨床試驗場景下的“知情同意”不構成個人信息保護法規(guī)意義上的“同意”的合法性基礎，那么相關個人信息處理活動應基于什么合法性基礎進行？對此，《EDPB 3/2019號意見》基于臨床試驗場景下數(shù)據(jù)的應用階段、處理目的進行了區(qū)分。

>>初始應用（Primar Use）

初始應用，指根據(jù)臨床試驗方案對受試者個人健康數(shù)據(jù)進行的處理，其過程涵蓋從試驗開始到試驗結束直至留存期限屆滿而刪除數(shù)據(jù)的整個過程。其又可細分為兩種類型的數(shù)據(jù)處理活動：一是“與可靠性和安全性目的相關的處理活動”，指與醫(yī)療保健目的、通過可靠(reliable)而穩(wěn)健(robust)的臨床試驗數(shù)據(jù)達到藥品質量和安全標準目的相關的處理活動；二是“僅與研究活動相關的處理活動”。兩種數(shù)據(jù)處理活動所依據(jù)的法律基礎不同，具體區(qū)別如下。

1.與可靠性和安全性目的相關的處理活動

EDPB認為，CTR及相關立法明確規(guī)定的“與可靠性和安全性目的相關的數(shù)據(jù)處理活動”，可以適用GDPR第6(1)(c)條規(guī)定的“為履行控制者所負的法定義務所必需”的合法性基礎。據(jù)此，臨床試驗過程中為安全報告、監(jiān)管機構檢查、根據(jù)歸檔要求保留臨床試驗數(shù)據(jù)等進行個人數(shù)據(jù)處理，可被視為臨床試驗申辦者/研究者為履行法定義務所必須。此外，處理特殊類型的個人數(shù)據(jù)，如健康數(shù)據(jù)，還應滿足GDPR第9(2)(i)條規(guī)定的“數(shù)據(jù)處理為實現(xiàn)在公共健康領域的公共利益所必需，比如……為保證醫(yī)療保健、藥品、醫(yī)療器械高標準的質量和安全”。

類似GDPR，我國《個保法》第十三條第(三)項規(guī)定了“為履行法定職責或者法定義務所必需”的合法性基礎，視具體臨床試驗方案而定，可以考慮作為臨床試驗過程中處理個人信息的合法性基礎。此外，就醫(yī)療健康信息等敏感個人信息的處理而言，《個保法》第二十八條還要求具有“特定的目的和充分的必要性”，但并未就具體判定標準進行展開，對此，實踐中有必要結合具體臨床試驗方案對處理特定個人信息的必要性進行分析。

2.僅與研究活動相關的處理活動

EDPB認為，“僅與研究活動相關的處理活動”不能依賴“為履行控制者所負的法定義務所必需”作為數(shù)據(jù)處理的合法性基礎，其可適用的合法性基礎包括：GDPR第6(1)(a)條項下的“同意”；如涉及健康數(shù)據(jù)等特殊類型數(shù)據(jù)的處理，還應滿足GDPR第9(2)(a)條規(guī)定的“明示同意”。如上文所述，在干預性的臨床試驗場景下，鑒于受試者與申辦者/研究者之間的不對等，臨床試驗項下的“知情同意”可能無法滿足GDPR項下“同意”的標準，因而導致“同意”在多數(shù)情況下可能不適宜作為數(shù)據(jù)處理的合法性基礎。

較“同意”而言可能更為恰當?shù)暮戏ㄐ曰A是：GDPR第6(1)(e)條項下的“為執(zhí)行基于公共利益的任務所必需”、第6(1)(f)項下的“實現(xiàn)控制者或第三方追求的合法利益所必需”；如涉及健康數(shù)據(jù)等特殊類型數(shù)據(jù)的處理，還應滿足GDPR第9條規(guī)定的禁止處理之例外情形，視具體臨床試驗情況而定，包括GDPR第9(2)(i)條“為實現(xiàn)公共健康領域的公共利益所必需”、第9(2)(j)條“為公共利益進行科學研究所必需”。具體而言，當臨床試驗是依法直接基于行政命令、任務而進行，臨床試驗過程中的個人數(shù)據(jù)處理可被視作“為執(zhí)行基于公共利益的任務所必需”；其他情形下，個人數(shù)據(jù)的處理可基于“為實現(xiàn)控制者或第三方追求的合法利益所必需”，但是數(shù)據(jù)主體享有的個人數(shù)據(jù)保護相關的權益、基本權利和自由優(yōu)先于前述合法利益的除外。

類似GDPR，我國《個保法》第十三條第（四）項、第（五）項分別規(guī)定了以下個人信息處理的合法性基礎：“為應對突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護自然人的生命健康和財產(chǎn)安全所必需”和“為公共利益實施新聞報道、輿論監(jiān)督等行為，在合理的范圍內(nèi)處理個人信息”。視具體情況而定，此二項亦可考慮作為臨床試驗相關活動過程中處理個人信息的合法性基礎。比如，在新冠肺炎疫情背景下進行的特定個人信息處理活動，可以考慮依賴“為應對突發(fā)公共衛(wèi)生事件所必需”的合法性基礎。此外，如前文所述，就醫(yī)療健康信息等敏感個人信息的處理而言，《個保法》第二十八條要求的“特定的目的和充分的必要性”亦需關注。

>>二次使用（Secondary Use）

二次使用，是指在臨床試驗方案之外，為科研目的使用受試者個人數(shù)據(jù)。如果申辦者/研究者將臨床試驗過程中獲得的個人數(shù)據(jù)用于臨床試驗方案以外的其他科研目的，應當具備初始應用之外的法定理由，具體的合法性基礎與初始應用的合法性基礎可能相同，但也可能不同。

GDPR第5(1)(b)條規(guī)定，根據(jù)GDPR第89(1)條采取適當保障措施的情況下，如果基于公共利益進行歸檔，出于科學、歷史研究或統(tǒng)計目的，而進一步進行數(shù)據(jù)處理不視為不符合初始目的（即相符性推定，presumption of compatibility）。也就是說，該等情況下二次使用臨床試驗數(shù)據(jù)無需滿足新的合法性基礎。同時，EDPB亦坦陳，鑒于該問題的復雜性，EDPB尚需進一步關注并出臺指引。

我國《個保法》中尚未制定“相符性推定”規(guī)則，二次使用可依賴的具體合法性基礎應當作為獨立的使用場景，依法就具體情況進行個案判定。

結語

綜上，臨床試驗涉及的個人信息處理問題較為復雜，臨床試驗場景下的“知情同意”不宜簡單直接等同于《個保法》意義上的“同意”。

結合臨床試驗的類型、方案等具體情況，臨床試驗中個人信息處理可依賴的合法性基礎可能包括“法定義務”“公共利益”等，需個案分析。對此，作為醫(yī)療健康信息等敏感個人信息的處理者，申辦者/研究者有必要在開展臨床試驗前就臨床試驗方案涉及的個人信息處理的合法性基礎進行審慎評估。

此外，值得注意的是，臨床試驗等藥物研發(fā)活動中涉及的個人醫(yī)療健康信息處理活動，亦需遵守《個保法》中公開透明原則、個人信息跨境提供規(guī)則、個人信息主體權利保障等規(guī)定的規(guī)制，對此還需進一步探討。

（環(huán)球律師事務所 曲曉琨）

本文屬學術性探討，除法律法規(guī)明確規(guī)定外，不作為執(zhí)法依據(jù)。

(責任編輯：陸悅)