远程临床法律法规解读（下）

作者：

葛永彬 董剑平

摘要

传统的临床试验往往存在招募率低、依从性低、进程缓慢、药物研发费用高昂等问题。在新型冠状病毒肺炎疫情的影响下，越来越多的研究机构开始探索远程临床试验的可能性。典型的远程临床试验一般涉及到电子病历、电子知情同意、药物直送、临床数据记录与传输、受试者隐私保护等多个环节，牵涉申办方、研究机构、研究者、受试者等多个参与方。本文尝试从现有的法律法规出发，探索在目前国内的法律框架下进行远程临床试验的可行性及面临的挑战，并试图为完善远程临床试验的相关立法提出合理性建议。

上期回顾：在上一篇，我们分析了我国目前开展电子知情同意、现行法规下试验用药品直达受试者（DTP）的可行性、申办者及研究机构/研究者各自应当承担哪些责任、临床试验电子数据法律法规框架、临床试验电子数据如何做到合规等问题。本篇将对远程临床试验中受试者的隐私保护、国家医疗物联网建设及家用医疗器械在远程临床试验中的使用及其在法律规定上的问题进行探索解读。

六、受试者隐私保护

(一) 问题

有哪些法律法规规定了远程临床试验中受试者的隐私保护？相较于传统临床试验，远程临床试验对受试者的隐私保护带来哪些新的挑战？

(二) 现有法律规定

《医疗器械临床试验质量管理规范》专门设立了“受试者的权益保障”一章，明确受试者的各项权益，制定受试者保护的各项措施。《药物临床试验质量管理规范》第三条规定，“药物临床试验应当符合《世界医学大会赫尔辛基宣言》原则及相关伦理要求，受试者的权益和安全是考虑的首要因素，优先于对科学和社会的获益。伦理审查与知情同意是保障受试者权益的重要措施。”第十一条（三十）规定，“受试者鉴认代码，指临床试验中分配给受试者以辩识其身份的唯一代码。研究者在报告受试者出现的不良事件和其他与试验有关的数据时，用该代码代替受试者姓名以保护其隐私。”

全国人大常委于2017年6月1日实施的《中华人民共和国网络安全法》，对个人信息的收集、使用、存储、传输等均作出了规定。其中，第四十一条规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。第三十七条规定，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。第二十一条规定，国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

国家市场监督管理总局及国家标准化管理委员会于2019年12月1日联合发布了《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》《GB/T 25070-2019 信息安全技术 网络安全等级保护安全设计技术要求》《GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求》，这些国家标准规定了对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置的具体标准和措施。针对医疗行业，原卫生部于2011年发布《卫生行业信息安全等级保护工作的指导意见》，在卫生行业全面开展信息安全等级保护定级备案、建设整改和等级测评等工作。

国务院于2019年7月1日正式实施《人类遗传资源管理条例》，其中，第二十八条指出：将人类遗传资源信息向外国组织、个人及其设立或者实际控制的机构提供或者开放使用，不得危害我国公众健康、国家安全和社会公共利益；可能影响我国公众健康、国家安全和社会公共利益的，应当通过国务院科学技术行政部门组织的安全审查。将人类遗传资源信息向外国组织、个人及其设立或者实际控制的机构提供或者开放使用的，应当向国务院科学技术行政部门备案并提交信息备份。与之呼应的是科技部于2015年7月2日发布的《人类遗传资源采集、收集、买卖、出口、出境审批行政许可事项服务指南》，对在中国境内从事的中国人类遗传资源采集、收集、买卖、出口、出境等事项进行规范和管理，从事相关活动须获得科技部的审批。

国家卫健委于2018年7月12日发布的《国家健康医疗大数据标准、安全和服务管理办法(试行)》提出相关责任单位应当采取数据分类、重要数据备份、加密认证等措施保障健康医疗大数据安全。

国家互联网信息办公室于2019年6月13日发布的《个人信息出境安全评估办法（征求意见稿）》规定，个人信息出境前，网络运营者应当向所在地省级网信部门申报个人信息出境安全评估。向不同的接收者提供个人信息应当分别申报安全评估，向同一接收者多次或连续提供个人信息无需多次评估。每2年或者个人信息出境目的、类型和境外保存时间发生变化时应当重新评估。

(三) 法律评述

受试者隐私保护是药物临床试验受试者权益保护的核心内容之一，也是《赫尔辛基宣言》的重点要求，我国《药物临床试验质量管理规范》和《医疗器械临床试验质量管理规范》均对是保护受试者隐私及个人信息做出了明确规定，相关规定还散见于《宪法》《治安管理处罚法》《刑事诉讼法》等上位法，及《执业医师法》《护士管理办法》等行业层面的法规中。

相较于传统的药物临床试验，远程临床试验在受试者隐私保护方面面临更为复杂的局面。一方面，远程临床试验中涉及更多的参与方，如网络服务提供者、物联网平台、智能穿戴设备提供方等，在申办方的管理难度上有所升级，各方法律关系也错综复杂；另一方面，远程临床试验不可避免地涉及到临床数据的网络传输，有些临床数据还涉及人类遗传资源信息等敏感内容，此时的受试者隐私保护不仅受到传统临床试验质量管理相关法律的管辖，还受到来自《网络安全法》《人类遗传资源管理条例》等多个维度的法律限制。申办者如何统筹考虑各部门法律的多维度合规要求是合规的难点和重点。

七、物联网和家用医疗器械的使用

(一) 问题

国家医疗物联网建设面临哪些法律上的机遇与挑战？

(二) 现有法律规定

《国务院关于推进物联网有序健康发展的指导意见》第二条第（三）款：改善社会管理，提升公共服务。在公共安全、社会保障、医疗卫生、城市管理、民生服务等领域，围绕管理模式和服务模式创新，实施物联网典型应用示范工程，构建更加便捷高效和安全可靠的智能化社会管理和公共服务体系。发挥物联网技术优势，促进社会管理和公共服务信息化，扩展和延伸服务范围，提升管理和服务水平，提高人民生活质量。

《关于印发促进智慧城市健康发展的指导意见的通知》第四条第（十二）款：加快重点领域物联网应用。支持物联网在高耗能行业的应用，促进生产制造、经营管理和能源利用智能化。鼓励物联网在农产品生产流通等领域应用。加快物联网在城市管理、交通运输、节能减排、食品药品安全、社会保障、医疗卫生、民生服务、公共安全、产品质量等领域的推广应用，提高城市管理精细化水平，逐步形成全面感知、广泛互联的城市智能管理和服务体系。

《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》第（三）条第8款：发挥优质医疗资源的引领作用，鼓励社会力量参与，整合线上线下资源，规范医疗物联网和健康医疗应用程序（APP）管理，大力推进互联网健康咨询、网上预约分诊、移动支付和检查检验结果查询、随访跟踪等应用，优化形成规范、共享、互信的诊疗流程。探索互联网健康医疗服务模式。以家庭医生签约服务为基础，推进居民健康卡、社会保障卡等应用集成，激活居民电子健康档案应用，推动覆盖全生命周期的预防、治疗、康复和健康管理的一体化电子健康服务。

《国务院办公厅关于促进“互联网+医疗健康”发展的意见》推动居民电子健康档案在线查询和规范使用。以高血压、糖尿病等为重点，加强老年慢性病在线服务管理。以纳入国家免疫规划的儿童为重点服务对象，整合现有预防接种信息平台，优化预防接种服务。鼓励利用可穿戴设备获取生命体征数据，为孕产妇提供健康监测与管理。加强对严重精神障碍患者的信息管理、随访评估和分类干预。

国家药监局评审中心于2020年7月14日发布《新冠肺炎疫情期间药物临床试验管理指导原则（试行）》指出，受疫情影响，传统临床试验面临着许多实际困难，可尝试选择远程智能临床试验方法，借助智能化临床试验管理平台及远程通讯技术，以受试者为中心开展临床试验。包括采用受试者远程访视、中心化监查、电子问卷和电子文件来实现受试者安全信息的实时监测；采用电子化患者招募，如在社交媒体或者招募平台发布试验信息进行患者招募；进行远程知情，受试者注册成功后完成电子知情同意书并获得受试者ID；受试者通过具备药品第三方物流资质的企业在家接收试验药物以及所需的试验室试剂盒；应用智联沟通平台保证受试者与研究者及时沟通；利用验证过的传感器与医疗器械，并通过确定新型终点进行身体指标采集；选择上门护士及就近医疗机构参与远程临床试验；建立整合技术平台等各个业务和技术模块。

(三) 法律评述

从2012年至今，我国相继推出了一系列涉及医疗物联网的政策，鼓励医院的数字化转型和医疗互联网的发展，给医疗互联网和相关设备的发展带来了机遇。同时，由于新技术的兴起，数据安全及信保密的挑战也随之而来，内部人员对连接设备操作的不熟练及外部何可的不断攻击，都对医疗物联网的设备安全造成挑战。

2018年4月，国家卫健委制定了《全国医院信息化建设标准与规范（试行）》(“《建设标准》”)。文件包括5章22类，共计262项具体内容，明确了下一阶段医院信息化的建设内容和建设要求。《建设标准》中，物联网的具体内容和要求分为三部分：数据采集、患者安全及资产和物资管理，这也贴合了物联网中合规的三大注意点，即数据采集、传输、处理过程中的保密性、患者佩戴设备时的安全性及物联网设备的质量管理。

申办者、研究机构及其他远程临床试验的参与方应当严格按照《网络安全法》《数据安全法》《个人信息保护法》等的要求，落实好物联网设备的安全等级保护定级备案、建设整改和等级测评、数据安全评估等工作，补好安全漏洞，把远程临床试验带来的风险降到最低。

扫描二维码可查看

附录 法律法规清单

点击阅读

The End

 作者简介

葛永彬  律师

上海办公室  合伙人

业务领域：中国内地资本市场, 香港和境外资本市场, 私募股权和投资基金

特色行业类别：健康与生命科学

董剑平  律师

上海办公室  合伙人

业务领域：中国内地资本市场, 香港和境外资本市场, 私募股权和投资基金

* 余凯迪对本文亦有贡献。

作者往期文章推荐

特别声明：

以上所刊登的文章仅代表作者本人观点，不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。

如需转载或引用该等文章的任何内容，请私信沟通授权事宜，并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权，不得转载或使用该等文章中的任何内容，含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨，欢迎与本所联系。

点击“阅读原文”，可查阅该专业文章官网版。