世辉观点|脱敏临床试验数据的《个人信息保护法》合规
药物的创新研发离不开临床试验。[1]在现实当中,临床试验机构将临床试验数据提供给申办者之前,会进行一定程度的脱敏处理,例如:隐去患者的姓名、身份证号、手机号等直接识别信息,并将之以代码替换。脱敏后的临床试验数据(下称“脱敏数据”)是否仍应作为个人信息受到《个人信息保护法》的规制,目前存在一定争议。本文试图对相关问题进行梳理和分析,并对问题的解决路径提出建议。
根据《个人信息保护法》,“匿名化”是指个人信息经过处理无法识别特定自然人且不能复原的过程;“去标识化”是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。
区分“匿名化”和“去标识化”的意义在于,经过匿名化处理后的数据不再被视为个人信息,因此不再需要遵守《个人信息保护法》;但是,经过去标识化处理后的数据仍然是个人信息,仍然需要遵守《个人信息保护法》。对于脱敏数据,临床试验机构掌握着代码和患者直接识别信息(例如:姓名、身份证号、手机号等)之间的对应关系,并且在有必要的情况下,临床试验机构可以对相关数据进行揭盲,从而建立数据与某一具体患者的对应关系。因此,基于目前的法律框架所作出的严格文义解释,脱敏数据应属于《个人信息保护法》下的“去标识化”信息,需要遵守《个人信息保护法》中有关个人信息处理的规定。这意味着申办者需要履行以下一系列的合规义务:
界定临床试验相关方之间的数据处理身份
在临床试验中,最常见的三个相关方为申办者(即:医药公司)、临床试验机构(即:医院)和合同研究组织(CRO)。公司首先需要解决的问题是如何界定这三方在《个人信息保护法》下的身份。申办者和CRO之间的关系较好确定,由于CRO是受申办者委托、代表申办者处理相关数据的,所以申办者和CRO之间的关系应界定为“个人信息处理者和受托人”。申办者和临床试验机构之间的关系会有一些争议。我们认为,由于临床试验机构需要遵守其内部有关处理患者个人信息的规定,而且临床试验机构较难接受申办者对其个人信息处理活动开展的监督,因此将申办者和临床试验机构之间的关系界定为“个人信息处理者和个人信息处理者”似乎更为合适。
数据处理合同
申办者和CRO之间应当就个人信息的委托处理签订符合《个人信息保护法》要求的数据处理合同。申办者和临床试验机构之间的临床试验协议中,也应纳入相应的数据保护条款,约定彼此有关个人信息处理的权利义务。
充分告知
除了临床试验知情同意书中的一般告知内容外,为了遵守《个人信息保护法》,知情同意书中还需要增加如下告知内容:(1)由于临床试验数据涉及患者的诊断治疗信息、用药记录等敏感个人信息,因此,需要根据《个人信息保护法》向患者告知有关处理敏感个人信息的必要性以及对个人权益的影响。(2)假设申办者和临床试验机构之间的关系被界定为两个独立的个人信息处理者,需要根据《个人信息保护法》向患者告知有关个人信息被一个处理者提供给另一个处理者的内容。(3)如果涉及临床试验数据的出境,还需要根据《个人信息保护法》告知有关个人信息出境的内容。
单独同意
除了通过临床试验知情同意书获得患者的一般同意外,为了遵守《个人信息保护法》,还需要获得患者就以下每一事项作出的单独同意(即:有可能需要获得三个单独同意):(1)处理敏感个人信息,(2)个人信息被一个处理者提供给另一个处理者,(3)个人信息出境。
个人信息保护影响评估
为了遵守《个人信息保护法》,公司需要在开展以下活动前进行个人信息保护影响评估:(1)收集、使用或以其他方式处理涉及诊疗信息、用药记录等敏感个人信息的临床试验数据,(2)临床试验机构(作为处理者)将临床试验数据提供给申办者(作为处理者),(3)申办者委托CRO处理个人信息,(4)临床试验数据的出境。
个人信息出境
假设脱敏数据仍需遵守《个人信息保护法》,那么这些数据的出境仍需遵守个人信息出境的一系列要求,例如:和境外接收方签订标准合同、或者在法律法规要求的情形下通过网信办的数据出境安全评估。
不难看出,《个人信息保护法》将使申办者在处理脱敏数据时承担较重的合规义务。这很有可能延缓临床试验的进程,不利于创新药品尽早地惠及患者。
个人信息保护法律对临床试验的影响,是摆在全球各主要司法管辖区面前的一个问题。立法者在制定相关规则时,需要妥善平衡“临床试验数据的有效利用”与“个人信息权益的合理保护”之间的关系。以下对欧盟和美国的相关法律法规做一个简要的梳理。
在欧盟,脱敏数据属于假名化(pseudonymization)信息,仍然需要遵守欧盟的个人信息保护法规,即:《通用数据保护条例》(General Data Protection Regulation,下称“GDPR”)。2019年,欧盟委员会专门就如何协调欧盟《临床试验条例》(Clinical Trial Regulation,下称“CTR”)和GDPR的关系,公布了一个问答指南。[2]根据该指南,在临床试验中处理个人信息需要基于GDPR中的一个合法性基础。但是,这并不意味着临床试验中的每项个人信息处理活动均需依据个人信息主体的同意。问答指南明确指出,根据不同个人信息处理活动的具体场景,个人信息处理者可以选择合适的合法性基础,包括:履行法定义务(例如:为了履行CTR要求的不良反应报告义务、临床试验资料存档义务),为公共利益(public interest)所必需,为个人处理者的合法利益(legitimate interest)所必需,或个人信息主体的同意。需要特别说明的是,尽管脱敏数据需要遵守GDPR,但是GDPR对临床试验造成的合规影响或许没有《个人信息保护法》那么深远,原因如下:(1)GDPR中有关个人信息处理合法性基础的规定较《个人信息保护法》更为宽松。个人信息处理者对于哪些情形属于“为公共利益所必需”或者“为个人信息处理者的合法利益所必需”具有较灵活的解释空间。(2)GDPR中有关个人信息跨境的规定较《个人信息保护法》更为宽松。GDPR并未要求在某些特定情形下,个人信息的跨境需要通过监管部门的安全评估。基本上,临床试验申办者可以通过签署GDPR下的标准合同条款(Standard Contractual Clauses)实现脱敏数据的合法跨境传输。(3)对于为研究目的的个人信息处理活动,GDPR允许其在一定程度上豁免遵守GDPR下的某些规则,例如:有关向个人信息主体告知的规则以及其他有关个人信息主体若干权利的规则。
相较于欧盟,美国对于临床试验中个人信息保护的监管态度更为宽松。美国的《健康保险流通和责任法案》(Health Insurance Portability and Accountability Act,下称“HIPAA”)中规定了一个概念,即:“受限制数据集”(limited data set)。受限制数据集是指将一组健康信息中的直接识别信息移除后的剩余数据集。根据HIPAA,受限制数据集可以由一个组织披露给另一个组织,无需取得患者的同意,但是需要满足以下条件:(1)HIPAA明确要求特定种类的直接识别信息(例如:姓名、地址、电话、电子邮箱等)必须从原始数据集中移除.(2)数据接收方与数据披露方之间必须签订数据使用协议。(3)受限制数据集仅能用于研究、公共健康或健康护理之目的。
如上所述,若脱敏数据的处理需要严格遵守《个人信息保护法》,申办者应履行一系列的合规义务,这很有可能延缓临床试验的进程,不利于创新药品尽早地惠及患者。
因此,我们建议监管部门以及医药行业的相关参与方(例如:医药公司、医院等)共同努力,结合脱敏数据处理对个人权益影响的风险程度,探索有利于药品创新研发的解决路径。在下文中,我们提出两种可能的解决路径,供各方参考。
长久以来,申办者和临床试验机构均高度重视临床试验过程中的个人信息保护,相关各方已经基于医学伦理建立起一整套有关个人信息保护的内部机制。即使在《个人信息保护法》出台之前,在临床试验的场景中,也并未发生造成了重大社会不良影响的个人信息安全事件。因此,可以考虑借鉴美国HIPAA中有关“受限制数据集”的规定,建立相应的豁免制度,使用于科学研究(包括临床试验)的脱敏数据处理在一定程度上豁免遵守《个人信息保护法》的规定,从而促进脱敏数据的有效利用。同时,为了平衡对个人权益的保护,可以考虑在建立豁免规则的同时,对脱敏数据应达到的脱敏标准、脱敏数据的保护(例如:安全措施、脱敏数据使用协议等)提出相应的监管要求。值得注意的是,我国2021年7月1日生效的推荐性国家标准《健康医疗数据安全指南》(GB/T 39725-2020)中也引入了“受限制数据集”的概念,即:“受限制数据集”是指经过部分去标识化处理,但仍可识别相应个人因此需要保护的个人健康医疗数据集。根据该指南,受限制数据集可在未经个人授权的情形下用于科学研究、医学/健康教育、公共卫生目的。但遗憾的是,该指南也明确规定其无意规范“以产品上市获批为目的的临床试验”。
如上文所述,如果可以将脱敏数据视为匿名化信息,则其无需遵守《个人信息保护法》。因此,可以考虑制定一个合理的匿名化标准,以同时兼顾个人权益的合理保护与临床试验数据的有效利用,例如:(1)相对化的匿名化标准;或(2)针对临床试验数据的匿名化具体指引。(1)相对化的匿名化标准对于个人信息是否匿名化,可以考虑采用相对化的判断标准,即:结合数据接收方的数据识别能力和数据使用目的判断有关数据对于数据接收方而言,是否构成匿名化数据。
在临床试验的场景中,作为申办者的医药企业,其数据识别的技术能力通常没有那么强大。脱敏数据的代码和患者直接识别信息之间的对应关系掌握在临床试验机构手中,而非申办者手中。因此,申办者通常没有足够的技术能力对脱敏数据中的患者直接识别信息进行复原。 另外,申办者在处理脱敏数据时,并没有很强的动机去分析、追踪每一名患者个人的行为。对于申办者而言,更有价值的是入组患者作为一个整体的、具有统计学意义的治疗效果,例如:整体治愈率、缓解率等。因此,就使用目的而言,申办者通常不会通过脱敏数据去识别每个患者个人。
按照目前法律框架的严格文义解释,脱敏数据应属于去标识化的信息,因此申办者处理脱敏数据仍需遵守《个人信息保护法》。
但是,为了遵守《个人信息保护法》,申办者需要履行一系列的合规义务,包括:充分告知、单独同意、个人信息保护影响评估、个人信息出境合规等等。这必然会延缓临床试验的进程,不利于创新药品尽早地惠及患者。
长久以来,申办者和临床试验机构均高度重视临床试验过程中的个人信息保护,即使在《个人信息保护法》出台之前,在临床试验的场景中,也并未发生造成了重大社会不良影响的个人信息安全事件。并且,申办者无意利用脱敏数据去分析、追踪每一个患者的个体行为,申办者更关注的是入组患者群体的整体治疗效果。
因此,我们建议监管部门可以考虑建立相关制度,使脱敏数据在一定程度上可以豁免遵守《个人信息保护法》的规定。这种豁免可以考虑通过两种路径实现:
(1)建立脱敏数据的科研豁免制;同时,为了保护脱敏数据的安全,可以在建立豁免制度的同时明确要求哪些直接识别信息必须移除,而且申办者与临床试验机构必须就脱敏数据的合理使用签订协议。
(2)合理制定针对临床试验数据的匿名化标准,例如:相对化的匿名化标准,或针对临床试验数据的具体匿名化指引,从而使脱敏数据可以被视为匿名化数据。
注释:
[1] 本文中讨论的临床试验系指以产品上市获批为目的的临床试验。[2] 见:Question and Answers on the Interplay between the Clinical Trials Regulation and the General Data Protection Regulation[3] External Guidance on the Implementation of the European Medicines Agency Policy on the Publication of Clinical Data for Medicinal Products for Human Use(European Medicines Agency于2018年10月15日公布),第5.1条。版权与免责
本文章仅供业内人士参考,不应被视为任何意义上的法律意见。未经世辉律师事务所书面同意,本文章不得被用于其他目的。如需转载,请注明来源。如您对本文章的内容有任何问题,可联系本文作者卢璟律师、王新锐律师或您熟悉的其他世辉律师。
卢璟 合伙人
luj@shihuilaw.com
卢璟律师在生命科学领域有着丰富的法律服务经验,其服务的客户既包括辉瑞、拜耳、吉利德、美敦力、奥林巴斯等外商投资企业,也包括百济神州、天演药业、永仁心等根植于中国的的药械创新公司。卢律师为客户提供的服务包括:数据合规体系以及反腐败合规体系的搭建,合规治理有效性的评估,在并购交易中开展合规尽职调查,代表雇主企业开展针对员工的内部合规调查,以及在产品许可交易、销售外包服务交易、广阔市场项目、零售渠道合作项目、患者援助项目、数字化平台管理项目等各类交易或合作项目中为企业提供商业谈判、尽职调查、协议起草以及法律及合规风险分析等服务。
卢璟律师先后毕业于北京大学和美国哥伦比亚大学,并获得法学学士和法学硕士学位。加入世辉之前,卢律师是美国盛德国际律师事务所的资深律师,并作为其中国生命科学团队的核心成员工作多年。
王新锐 合伙人
wangxr@shihuilaw.com
王新锐律师毕业于清华大学法学院,执业已超过18年,曾长期在国内顶尖律师事务所工作,现为世辉律师事务所合伙人。
王律师长期深耕网络安全和数据保护业务,其提供深度法律服务的客户包括数十家中外顶级科技公司,亦为多个中央部委和地方政府的数据立法和监管工作提供支撑。王律师作为中方专家,入选ICC(国际商会)、B20(二十国集团工商峰会)等国际组织的数字治理工作组。
王律师是《个人信息保护国际比较研究》、《数据服务框架》两本书的主要作者,并有大量文章和译作公开发表,专业观点经常被新华社、人民网等国内外主流媒体引用。近两年,王律师作为课程讲师在北大、清华等多所著名高校讲授网络法和数据保护相关内容,并兼任对外经贸大学法学院高级研究员。
2018年以来,王律师本人和团队在TMT和数据保护领域先后获得钱伯斯、The Legal 500、ALB、商法、China Law & Practice、asialaw、LEGALBAND等多个法律专业评级机构的推荐,其中包括ALB China十五佳TMT律师、The Legal 500亚太数据保护领先律师、LegalBand中国顶级律师排行榜:网络安全和数据保护(第一梯队)(2019-2021)等个人奖项。
往期推荐