世辉观点 | 如何基于个人信息保护法的要求去修改临床试验协议,包括知情同意书等(下)—— 关于知情同意书的修改
The following article is from 安拓E疗 Author 王新锐、卢璟
前言
本期为大家带来:世辉律师事务所合伙人 王新锐律师与卢璟律师在安拓直播课【如何基于个人信息保护法的要求去修改临床试验协议,包括知情同意书等】中分享的内容,分为上、下两篇。
上篇:【医学合规指南】如何基于个人信息保护法的要求去修改临床试验协议,包括知情同意书等(上)—— 临床试验协议的修改
下篇主要结合个保法要求的告知事项介绍关于知情同意书的修改问题。
知情同意书的修改
知情同意书的修改,即使在个保法出台之前,我们看到的知情同意书已经是十几二十页的长度了,所以我们在做个保法修改的时候,我们在帮客户做起来的时候是力图去找寻一种平衡,一方面要把个保法要求告知这些事项都告知到了,另一方面我们也不想过于复杂,已经是一份十几页,甚至有的公司是二三十页的文件,我们通过个保法的修改,把它做到四五十页,这个也不是我们想做的。所以我们尽力的去找一个既能满足合规要求,也尽可能减少合规负担的一个解决方案。所以这里面会有一些问题,怎么去看这些事情?今天也是想借这个机会跟各位进一步探讨去分享的一些话题。
一、告知
1
一般告知事项
第一是处理者的名称和联系方式。这个是我们在知情同意书修改时候会去重点关注的,个保法说要明确告知个人信息处理者的名称、联系方式,我们分析了这里面的处理者主要是指一个是研究机构,一个是申办方。但之前在很多知情同意书里面,可能对于处理者的名称没有那么规范的告知,可能就使用了比如说某某公司的商号,我们只用这个商号去说这是某某作为申办方开展的临床试验,但是为了满足个保法的要求,我们的建议还是要完整的告知公司的全称,以及一些联系方式,这个都要在相关的描述当中写清楚的,而不是说只是一个笼统的使用一个商号去代表这个申办方。同样对于医院,可能也是要写清楚医院的名称、联系方式来满足处理者的告知的要求。
第二是个人信息的处理目的和处理方式,这一点我们倒觉得不太需要特别大的修改,因为即使在个保法生效之前,临床试验的ICF已经会比较清楚的写说开展研究的目的是什么,会如何去使用这些相关的数据,这方面我觉得不需要太大的去做修改。但是有一个问题是关于未来研究或者有的公司是叫可选择性研究的话题,什么意思?就是说在平常实践当中会有这样的一个章节,是讲说患者是否选择允许通过本次临床试验产生的一些数据,用于申办方未来可能会开展的一些研究。未来研究的话,在今天我获得同意的这个时点上是不清楚的,该研究到底是什么是不清楚的,会如何使用、处理目的、处理方式可能也都是不清楚的。那么这种笼统的关于未来研究的告知或者是基于这样,我取得了一个同意,未来能否将相关的信息用来研究,这可能现在不是很清楚有模糊的一个点。这个话题在GDPR下面是有过讨论的。GDPR最后给的指南是在讲说基于科学研究的目的,以及未来研究这个事,其实在医学界长期会存在的一个情况。所以GDPR下面是允许对于未来研究,虽然说它的处理目的、处理方式在今天来讲不是那么的清楚,还是允许通过比较笼统的告知,获得一个患者的同意,可以让他自己用来未来研究,这个是GDPR下面现在的一个监管的思路和方向。那么我觉得我们国家未来在制定相关的细化规则的时候,也许会往这个方向去考虑。所以目前来看,在知情同意书里面,对于未来研究的描述,大家还是会保留这一块,还是基于这样的一个描述将个人信息用于未来研究的目的,这是目前我们看到的一个现状。但未来会不会有真正的比较细致的规则给这个问题予以明确,或者是说未来我们的执法会朝另一个方向,更加严格的来监管研究的话题,可能还要再有待进一步的观察。
第三是个人信息的种类。我们觉得也不需要对ICF现有的体系做一些特别大的修改。当然这里面会有一些关于颗粒度的话题,到底是不是需要披露到那么细,比如说采的每一种指标,每一个检测的具体的医学指标,我们觉得没必要提到那么细,还是可以做到合理颗粒的同类型的披露就行,不一定把每一个医学指标都写那么清楚,这样的话ICF真的需要有一个四五十页的篇幅,这是非常有可能的。
第四是保存期限。这个也是经常大家在讨论的一个话题。因为临床试验数据是有些法规支撑的,比方说GCP里面讲到至少要保存多少年的,这是有些法律法规依据在支撑的。所以这一块目前来讲看到的比较多的还是基于法律法规要求,以及为了实现本协议所必要的期限这样一个比较笼统的描述。另外一种做法,按照法规规定的期限来给一个具体的年限,这个也是有的。
最后提醒一下,因为个保法要求的是说要有一个行权的联系方式,需要夹带ICF里面。当然这个也可以和处理者的名称、联系方式使用同一联系方式也是可以的。但提醒的比如说我这块的描述是说,如果患者对于他的个人信息有什么疑问,或者想提什么请求,可以通过什么样的联系方式来联系申办方等这样一个描述,你可以使用前面的处理者的名称和联系方式,比如说都是一个电话是可以的,但是提醒的是说这个电话要真的能响应权利请求的电话。因为我们听到过说公司出了事,就留个其他电话在那了,但真的打过来,比如说患者真的通过打电话去提起权利请求,可能前台接电话的那位同事没有接受过相应的法律法规的培训,他们事先不知道该怎么操作,会导致一些比较尴尬的场景。所以我们建议最好能留一个真正负责个人信息保护的员工邮箱,或者有的公司会专门设立一个处理权利请求的邮箱,一个公邮,这都没问题的。我们提醒说留的这个地方真的是有效的联系方式,真的能够响应相应请求的联系方式。
2
处理敏感个人信息的告知事项
这里面一个是处理敏感个人信息的必要性,以及对个人权益的影响,因为临床试验当中这些都是医疗健康信息,都属于敏感个人信息,所以这一块要额外注意的就要加两个告知。当然告知,我们看到比较普遍的也是一个比较笼统的告知,这毫无疑问,他的医疗健康信息对于开展临床试验肯定是必要的,大家就是要描述一下为什么我们收这些个人信息,个人信息对于我们科研事业的这种分析研究是必要的,是有这样的一个描述,以及对于权益的影响也是偏原则性的描述,就是说我们采取了怎么样严格的保护措施,尽可能的减小对您的不利影响,或者是我们会对相关的权益影响做这种保护影响评估,类似这样的一些表述,来回应个保法下面对告知事项的要求。
我们最近在改ICF的时候遇到一个很有意思的话题,是公司的临床部门的业务同事提出来的,说敏感个人信息这个词他们不喜欢,因为患者本来来做临床试验的时候,他其实就有一些心理上、情绪上的波动,他们觉得自己会不会被当小白鼠或者怎么样,就情绪上可能有一些波动,而敏感个人信息的说法会增加患者的抵触情绪,让患者更不愿意来参加试验,这是我们听到的一个说法。然后他说能不能把敏感个人信息在知情通知书里面再进一步解释一下,我们说你要按照个保法对于敏感个人信息的定义,再给它扩展开解释。个保法讲到敏感个人信息的时候,说为什么这些东西敏感,因为它一旦泄露会对相关的自然人造成重大的,比如说人身财产的损害,或者是重大的不利影响。按照个保法的解释再把它展开了讲一下,我们觉得会对患者的情绪更不稳定。所以最后我们讨论是以一种尽可能去安抚患者的情绪来讲一下,这个不是因为你参加临床试验,而导致这些信息必然敏感,必然会怎么样,而是说因为你来医院看病,这些信息天然的就是有一些医疗健康信息,通过一些话语上进一步的比较婉转的表述去安抚患者的情绪,避免让他觉得因为参加了临床试验,而产生了一些敏感个人信息,从而对自己的权益有更大的不利的影响。我们也是在最近去改ICF会特意的去注意一下,关于个人信息不再是简单的粗暴的就说是因为属于敏感的个人信息,所以要怎么样,而是用一种更加婉转的进行一些表述。大家意识到其实这里的问题没有那么严重。
3
个人信息转移的告知事项
关于个人信息转移的话题就是处理者把信息提供给另一个处理者,按照个保法的要求,你要披露接收方的名称、联系方式、处理目的、处理方式等等这些。这里面最大的一个点就是能否逐一披露接收方的联系方式。我们先说研究机构给申办方问题不大,研究机构和申办方在 ICF里面都有相应的位置去逐一披露联系方式等信息。但申办方如果是一些跨国企业,它这些关联方之间的转移是否要逐一披露每一个关联方的联系方式?这个话题可能不仅是医疗行业,我们在其他各个行业,包括IT行业都是有看到困惑的,这个公司集团内部有这么多的关联方,都有可能会需要使用个人信息,我是否需要去逐一披露每一关联方的联系方式。我们看到有两个解决方案,一个是有一些公司确实在这个方面做的比较好,他会说我给一个网站地址连接,如果你要想看我的关联方的名称、联系方式,去点这个链接到网上去看,而不会在告知里面逐一列明,那样的话要很长的篇幅,会很复杂,这是一种方式。
第二种方式把我所有的关联企业视为一个集团,这个集团内部可能就披露一个最主要使用这些个人信息的这一方,比如说到临床试验就是申办方,披露他的联系方式,其他的我们是视为一个集团内部使用,就不再去逐一披露集团内部的各个关联方的联系方式,我们认为也是一种折中的解决方案,也是行业上比较多的一个做法。
第三是向监管机构的转移,比方说为了产品注册的目的,要向药监局提供相应的这些数据,或者应监管机构的要求,我要去补充提交一些数据,可能会涉及到一些这种编码数据,这里面是不是要把药监局的联系方式名称都逐一披露?我们说普遍做法来讲,对于监管机构、政府机构的这种披露,还只是描述类型,没有真正说逐一披露每一个监管机构的方式。
4
个人信息跨境提供的告知事项
关于跨境提供的话,和个人信息转移的情形是类似的,就是说能否逐一做到披露每一境外接收方的名称和联系方式,确实也算是一个比较头疼的问题。这里面我们想特别强调的是说对于跨境,其实个保法的用词讲的是境外接收方,而不是境外处理者。换言之,如果我们严格按照法律的要求来说,境外即使只是一个受我委托处理个人信息的受托人,是一个供应商,比如说EDC服务供应商,它虽然不是处理者,但它因为是一个境外接收方,严格来说应该也是要披露它的名称和联系方式的,这个是最符合个保法要求的做法。但因为在临床试验的产品当中,相关的合作方太多,逐一的披露是不现实的,那么怎么处理?一是向境外的关联方提供这种可能,,比较常见的还是就披露一个比如说境外最主要的一个处理者的名称联系方式,再以及我们公司集团内部的关联方都有可能以这种集团方式来做披露。
第二个是境外供应商的这个问题,我们的建议是,如果你对境外供应商确实是能够做到逐一披露的话,最好还是逐一提供,这个也是最稳妥最合规的方式。但是确实我们见了更多的场景是说我们没法做到逐一披露,因为现在第三方太多。这种情况下是否有可能考虑到说我只披露一个境外的处理者,其他的供应商如果是一个受托人身份的话,我们可以argue说这些受托人是受处理者委托在处理个人信息,那么我境外的处理者是可以对受托人去做有效监督的,所以我只披露到境外处理者这一层。当然这个也是一个折中的,现实当中的一个做法,但这个做法将来会不会被监管部门来质疑,真的有执法来,我们有多强的程度来保护我们自己,这可能还要再看未来进一步的执法动态。但目前来讲,应该说不是一家两家在这样做,可能也是一个比较常见的披露方式。
5
同意
对于ICF来讲,最重要的一个修改就是要增加单独同意的机制,有关于敏感的,有关于向其他处理者转移的,有关于跨境提供的这些单独同意,一个是单独同意的获得方式,个保法没有讲说到底如何去获得单独同意。现在比较常见做法是通过打勾的方式,尽可能减少患者的负担。比方说在患者签字同意的那一栏上面加三个方框,说是关于处理敏感个人信息,关于向其他处理者转移,关于跨境提供都让他再打一个勾,确认他单独同意,要求患者连续签3次单独同意,然后再加1个一般同意,等于是签4次字,这种方式还是比较少见的,确实也是比较麻烦,所以实践更多是通过打勾的方式来获得单独同意。
第二个提醒一下单独同意放的位置,因为之前我们有看到会把单独同意和要求患者去选择你是否参与未来研究,以及其他的这种可选的事项放在一起,因为那些都是通过打勾的方式来获得的,因为都是打勾,然后就在下面也顺便加了几个打勾的方框,放在一起了。我们觉得可能稍微有一些误解,或者不太好的地方在哪?因为上面那些打勾的都是患者可选的,他要不要选择参与未来研究?要不要允许申办方把相关的数据,比如说在放到一个研究数据库里,这些都是可选的。换句话说他即使不选,也不影响临床试验的开展,所以我们把它作为一个可选的打勾项。如果说我们图省事,直接把单独同意的打勾项放在这儿的话,那就会导致一个患者他要是不打勾怎么办?所以我们建议把这些打勾项给它单独拿出来,和最后患者同意的那个地方放在一起。当然打勾题干可以再加一些描述,像说为什么这些要他都同意,因为他如果不同意这些的话,临床试验是没法开展的,这些单独同意对于我们临床试验是必要的。这也是提醒大家在放这些单独同意打勾的时候,注意一下位置,不要和那些可选研究的打勾框放在一起。
律师简介
卢 璟
■ 世辉律师事务所
■ 合伙人
卢璟律师先后毕业于北京大学和美国哥伦比亚大学,并获得法学学士和法学硕士学位。加入世辉之前,卢律师是美国盛德国际律师事务所的资深律师,并作为其中国生命科学团队的核心成员工作多年。卢璟律师在生命科学领域有着丰富的法律服务经验,其为客户提供的服务包括:在各类交易或合作项目中(例如:产品许可交易、推广服务外包交易、广阔市场项目、零售渠道合作项目、患者援助项目、数字化平台管理项目等)为企业提供商业谈判、尽职调查、协议起草以及法律及合规风险分析等服务,协助企业搭建数据合规体系以及反腐败合规体系,评估合规治理有效性,在并购交易中开展合规尽职调查,代表企业开展针对员工的内部合规调查等。加入世辉之前,卢律师是美国盛德国际律师事务所(Sidley Austin LLP)的资深律师,并作为其中国生命科学团队的核心成员有超过10年的工作经验。
王新锐
■ 世辉律师事务所
■ 合伙人
王律师毕业于清华大学法学院,执业超过18年。王律师提供合规法律服务的客户包括国内外多家著名科技公司,并为多个中央部委和地方政府的立法和监管工作提供支撑。王律师兼任中国网络安全产业联盟数据安全委员会副主任委员、隐私计算联盟法律专家、清华大学法学院课程讲师、国际商会(ICC)数据治理工作组专家等职务。在数据保护领域,王律师先后获得ALB、The Legal 500、China Law & Practice、Legalband等多个法律评级机构颁发的奖项。王律师曾为多家世界500强的医药企业提供数据合规服务,包括搭建数据合规体系,修改与第三方的数据处理协议,针对企业的数字化业务模式提供数据合规解决方案等。
点击图片,了解更多
世辉观点 | 如何基于个人信息保护法的要求去修改临床试验协议,包括知情同意书等(上)—— 临床试验协议的修改 世辉观点 | HCP的个人信息保护 世辉观点 | 人遗资源条例细则问答 世辉观点 | 脱敏临床试验数据的《个人信息保护法》合规 世辉观点 | 中国数据保护法规如何影响Web3.0市场 世辉观点 | 企业境外上市过程面临的数据合规问题和相关风险 2021版 PIPL Compliance of Coded Clinical Trial Data Shihui Articles | What does the PIPL mean for an HR manager? How should a company conduct compliance investigation under PIPL?