随着生物医学研究的不断深入,其所涉及的伦理原则中对知情同意的要求也不断提高,如何使个人医疗健康数据等在符合知情同意原则的前提下合法合规地应用于各项临床研究,已成为生物医学研究的热点问题。2021年《个人信息保护法》(“个保法”)颁布实施后,以《网络安全法》《数据安全法》及个保法为框架搭建的个人医疗健康数据保护法律体系基本成型,个人医疗健康数据的保护力度进一步加大。其中,个保法将“医疗健康”信息定义为敏感个人信息,意味着医药企业在其发起的药物临床试验(Industry-Sponsored Clinical Trial, “IST”)中,所采集、处理的受试者数据会包含大量敏感个人信息,如何将个保法中规定的处理敏感个人信息所应遵守的义务落实到IST中,成为了各医药企业所重点关心的问题。本文拟通过阐述我国现有法律法规对IST中知情同意书(Informed Consent Form,“ICF”)签署的相关规定,结合个保法中有关处理个人信息及敏感个人信息的规定,为当前IST中对于受试者数据的处理提供ICF相关条款架构设计建议,以帮助各医药企业规避IST中可能存在的个人信息保护合规风险。
一、何谓知情同意
IST中的知情同意,指受试者被告知可影响其做出参加临床试验决定的各方面情况后,确认同意自愿参加临床试验的过程。该过程应当以书面的、签署姓名和日期的ICF作为文件证明[1]。对于IST来说,知情同意是进行的前提,试验开始之前,受试者享有知情同意权。试验开始之后,知情同意也是一个持续的过程,在研究过程中研究者将不断寻求受试者的同意,并且将向受试者通报研究的任何变化,以及可能影响其决定继续研究的任何其他相关信息。世界医学大会制定的《世界医学大会赫尔辛基宣言》中提到,参与医学研究的医生有责任保护研究受试者的生命、健康、尊严、完整性、自我决定权、隐私和个人信息的保密。该宣言作为药物临床试验的通行原则,其提到受试者的权益和安全是考虑的首要因素,优先于对科学和社会的获益,其中,知情同意作为涉及人的临床研究中最重要的伦理原则之一,体现了对受试者的尊重,是保障受试者权益最重要的手段之一。在我国,无论是国家药品监督管理局会同国家卫生健康委员会于2020年颁布实施的《药物临床试验质量管理规范》(“GCP”),还是原国家卫生和计划生育委员会于2016年颁布实施的《涉及人的生物医学研究伦理审查办法》(“伦理审查办法”),均详细规定了知情同意制度及ICF签署要求:
GCP | 伦理审查办法 |
| 第三条 药物临床试验应当符合《世界医学大会赫尔辛基宣言》原则及相关伦理要求,受试者的权益和安全是考虑的首要因素,优先于对科学和社会的获益。伦理审查与知情同意是保障受试者权益的重要措施。 | 第十八条 涉及人的生物医学研究应当符合以下伦理原则:(一)知情同意原则。尊重和保障受试者是否参加研究的自主决定权,严格履行知情同意程序,防止使用欺骗、利诱、胁迫等手段使受试者同意参加研究,允许受试者在任何阶段无条件退出研究。 |
| 第十一条(十一)知情同意,指受试者被告知可影响其做出参加临床试验决定的各方面情况后,确认同意自愿参加临床试验的过程。该过程应当以书面的、签署姓名和日期的知情同意书作为文件证明。 | 第三十三条 项目研究者开展研究,应当获得受试者自愿签署的知情同意书;受试者不能以书面方式表示同意时,项目研究者应当获得其口头知情同意,并提交过程记录和证明材料。 |
| 第二十四条 知情同意书和提供给受试者的其他资料应当包括:(十三)受试者参加试验是自愿的,可以拒绝参加或者有权在试验任何阶段随时退出试验而不会遭到歧视或者报复,其医疗待遇与权益不会受到影响。(十四)在不违反保密原则和相关法规的情况下,监查员、稽查员、伦理委员会和药品监督管理部门检查人员可以查阅受试者的原始医学记录,以核实临床试验的过程和数据。(十五)受试者相关身份鉴别记录的保密事宜,不公开使用。如果发布临床试验结果,受试者的身份信息仍保密。 | (六)受试者的权利,包括自愿参加和随时退出、知情、同意或不同意、保密、补偿、受损害时获得免费治疗和赔偿、新信息的获取、新版本知情同意书的再次签署、获得知情同意书等; …… |
无论是GCP第二十四条,还是伦理审查办法第三十六条,均对ICF的内容、签署要求、受试者个人信息的保密作出规定,但上述各规范并未规定与受试者个人信息的收集、使用、传输等有关的处理活动应在ICF中披露至何种程度。
二、个保法相关规定
由全国人大常务委员会发布,并于2021年11月1日实施的个保法中定义了个人信息及敏感个人信息,并对个人信息处理者涉及前述两类信息的收集、存储、使用、加工等处理活动所应履行的书面同意、应告知事项,撤回书面同意、重新同意均进行了明确规定:个保法第四条及第二十八条对个人信息及敏感个人信息作了定义,其规定个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。此外,个保法阐明了个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等行为。对于处理敏感个人信息,个保法规定个人信息处理者只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下才可处理敏感个人信息。个保法规定基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。处理敏感个人信息应当取得个人的单独同意。此外,依据个保法的规定,处理敏感个人信息除应依据个保法的规定取得单独书面同意外,如有关法律、行政法规规定了对于该处理应当取得相关行政许可或者作出其他限制的,从其规定。结合到IST中,如敏感个人信息的处理涉及《人类遗传资源管理条例》(“条例”)中规定的有关人类遗传资源行政许可或其他限制事项,申办者除应遵守个保法前述规定外,还应遵守条例的规定。个保法第十七条规定,个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项: (二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;对于个人信息处理者处理敏感个人信息的,个保法规定除应告知以上事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;依照个保法规定可以不向个人告知的除外。个保法第十五条规定,基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。此外,个人撤回同意,并不影响撤回前基于个人同意已进行的个人信息处理活动的效力。从个保法对个人信息及敏感个人信息的定义来看,IST中收集、使用、传输的与受试者有关的基本个人信息属于个保法定义的个人信息,而与受试者有关的医疗健康数据、人类遗传资源信息则应属于个保法定义的敏感个人信息范畴。针对此类个人信息及敏感个人信息,个保法详细规定了个人信息处理者处理该类信息前应履行的告知义务及须取得的书面同意,以及个人有权撤回其作出的书面同意,同时规定个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。可见个保法在GCP、伦理审查办法规定的知情同意制度基础上,对涉及个人信息及敏感个人信息的知情同意合规要求作出了细化规定。
三、ICF个人信息保护条款架构设计建议
结合GCP、伦理审查办法规定的知情同意制度及ICF签署要求,以及个保法中对个人信息及敏感个人信息的知情同意合规要求,考虑到IST开展过程中由申办者或研究机构提供的ICF内容所普遍存在的问题,即个人信息及敏感个人信息处理行为的模糊化告知,撤回知情同意后相关个人信息及敏感个人信息处理安排的缺失或不完善等问题,笔者建议可通过以下条款架构的设计,规避或减少可能存在的个人信息保护合规风险:明确个人信息及敏感个人信息的定义,将IST中收集、使用、传输的与受试者有关的基本个人信息定义为个人信息,而将与受试者有关的医疗健康数据、人类遗传资源信息定义为敏感个人信息。列举个人信息处理者包括哪些,以及哪些主体可以访问该类个人信息及敏感个人信息。并明确在此访问或处理情形下,申办者会组织和维护何种安全措施,以保护该类个人信息及敏感个人信息不会丢失、误用、被未授权的人访问、披露、更改或销毁。明确个人信息处理者将对该类个人信息及敏感个人信息采取去识别化技术手段以保护受试者的隐私,同时释明拟采取何种去识别化技术手段。说明个人信息处理者处理该类个人信息及敏感个人信息的目的及情形,并明确在公开、传输时将采取去识别化技术手段对该类个人信息及敏感个人信息进行处理,使接收方无法识别受试者的真实身份,并保护受试者隐私。此外,需明晰受试者同意此类处理是参加本IST的前提,以及此类处理所持续的期限,个人信息及敏感个人信息保留的期限。释明IST结束后是否会重复使用该类个人信息及敏感个人信息,如涉及重复使用,笔者建议明确仅用于与当前IST药物相同的医学/科学研究开发项目中,而不会用于其他药物的研究开发项目中。如用于其他药物的研究开发项目,届时需重新获得受试者的书面知情同意。受试者撤回知情同意后,如仍进行部分治疗访视或生存访视,在此情形下涉及的个人信息及敏感个人信息,个人信息处理者是否有权处理?国内法律法规并未对此作出规定,相关主管部门也未就该问题作出解答。笔者认为,站在保证试验产品的安全性和有效性角度,同时兼顾受试者的个人信息保护,可借鉴美国食品药品监督管理局(“FDA”)发布的Data Retention When Subjects Withdraw from FDA-Regulated Clinical Trials中的建议,在ICF知情同意撤回章节明确以下内容:(一)明确受试者撤回知情同意前的个人信息及敏感个人信息仍将保留并用于本IST;(二)列出知情同意完全撤回以及知情同意部分撤回两个选项,并释明各选项相关含义, 供受试者选择。知情同意完全撤回系指受试者在撤回此知情同意后,将不会再参与个人信息处理者组织开展的任何治疗访视或生存访视,个人信息处理者仅保留受试者撤回知情同意前的个人信息及敏感个人信息用于本IST;知情同意部分撤回系指受试者在撤回此知情同意后,仍将参与个人信息处理者组织开展的相关治疗访视或生存访视,个人信息处理者除保留受试者撤回知情同意前的个人信息及敏感个人信息用于本IST外,还将保留在该治疗访视或生存访视时所收集的受试者个人信息及敏感个人信息用于本IST。
四、结 语
以《网络安全法》《数据安全法》及个保法为框架的个人医疗健康数据保护法律体系搭建完备后,对医药企业提出了更高的合规要求。各医药企业应在遵守个保法就相关个人信息处理及保护的原则及要求基础上,谨慎、合规地处理个人信息及敏感个人信息,在避免个人信息保护合法合规的前提下,促进医疗健康数据价值的有效转化。
