众所周知，对于《通用数据保护条例》GDPR的解释和实施，欧洲数据保护委员会（European Data Protection Board，EDPB），包括其前身——第29条工作组，所发布的指导意见最为权威。经过DPO社群中热心同学的努力，第七份“EDPB及第29条工作组”的指导意见——“关于《临床试验条例》（CTR）与《通用数据保护条例》（GDPR）间相互关系的问答文件的意见3/2019”的中文全文翻译，现在推出。目前，社群还在翻译其他的指导意见，预计很快完成。在此，把译者前言贴出来。

译者前言

《通用数据保护条例》（GDPR）生效之后，其将如何适用于临床试验，存在很多困惑。例如，GDPR要求尊重、保障参与试验的个人数据主体的一系列权利，但开展临床试验的（非医疗机构）组织往往并不希望直接与个人参与者有互动，也不想确定知晓这些参与人的真实身份。如何落实个人数据主体的权利就成为棘手问题之一。此外，临床试验的个人数据处理必然涉及到“健康数据”。在GDPR中，健康数据被划归为“特殊类型的个人数据”，享有更高的保护要求。这是临床试验中个人数据保护的复杂性的又一体现。

欧盟委员会越来越意识到GDPR与《临床试验法规》（CTR，536/2014）之间的相互关系需要澄清。目前，其正在准备关于GDPR和CTR之间相互作用的问答（Q & A）。在该Q & A正式公布之前，欧盟委员会已要求欧洲数据保护委员会（EDPB）就问答提出意见和建议。2019年1月23日，EDPB公开发布了对欧盟委员会准备的Q & A的（“正式意见”）。DPO社群组织了对EDPB“正式意见”的全文翻译工作。

EDPB的“正式意见”主要着墨于数据处理的“合法性基础”（lawful processing grounds）。其观点总结起来如下：

研读、翻译这份“正式意见”时，EDPB对GDPB“同意”的坚持让人印象深刻：

“CTR第五章中对知情同意的规定，特别是第28条，主要是对《赫尔辛基宣言》中涉及关于人类的研究项目的核心伦理要求作出回应。获得临床试验参与者知情同意的义务，主要是一项确保《欧盟基本权利宪章》第1条和第3条规定的个人尊严和廉洁权利得到保护的措施；它并不被认为是一种数据保护合规的工具。”

换句话说，EDPB认为CTR中的“同意”，并非GDPR中的“同意”。两者有不同的含义，分别起到不同的功能。按照CTR中相关规定取得参与试验人的“同意”，并不必然意味着满足了GDPR中“同意”的要求。

根据GDPR，同意必须是自由的、具体的、知情的和明确的。EDPB坚持认为“自由”（freely given）的同意意味着个人应该有真正的选择和控制。

如果个人数据主体与处理其个人数据的组织之间存在“明显的不平衡”，则在这样的关系中实际上并不存在“自由”的同意。EDPB在“正式意见”中认为：

“根据临床试验的情况，有可能出现资助者/研究者与参与者之间权力不平衡的情况。CTR明确指出了这些风险，并要求研究者考虑所有相关情况，特别是潜在的主体是否属于经济或社会弱势群体，或者因为特定体制或等级的关系，从而可能会不恰当地影响她或他决定是否参加临床试验。”

也就是说，当参与者处于疾病的状况，或属于经济或社会方面的弱势群体，或存在制度或等级方面的依赖情况时，这种权力的不平衡将导致个人数据主体给出的同意，不满足GDPR关于“同意”应当是“自由给出”的限定。出于这些原因，在EDPB看来，在大多数情况下，同意不能成为临床试验个人数据处理适当的法律依据。

因此在“正式意见”发布之后，有不少专家认为：EDPB对同意近乎“宗教式”的限制，可能导致商业制药组织在欧盟开展研究目的的临床试验非常困难，甚至近乎不可能。EDPB这种的方法显然旨在“最大化”对个人数据主体权利的保护，有可能最终导致相关研究无法开展，进而影响改善公众健康水平的结果。

实际上EDPB对GDPR中“同意”的解释和坚持，也可见于法国CNIL对谷歌5000万欧元的处罚，以及德国反垄断监管机构（Bundeskartellamt）对Facebook收集、合并和使用用户数据方面滥用了其市场支配地位的认定。

显然，GDPR中的“同意”与我国《网络安全法》中“经被收集者同意”，也有着截然不同的含义。这一点通过观察《个人信息安全规范》中对“授权同意”的各种设计即可有直观感受。

洪延青 孟洁

2019年3月10日

下载EDPB“关于《临床试验条例》（CTR）与《通用数据保护条例》（GDPR）间相互关系的问答文件的意见3/2019”中文全文翻译，请点击文末左下角的“阅读原文”。【提取码：ntcy】

关于DPO沙龙活动的有关情况，请见：

DPO社群成果

1. 印度《2018个人数据保护法（草案）》全文翻译（中英对照版）（DPO沙龙出品）

2. 巴西《通用数据保护法》全文中文翻译（DPO沙龙出品）

3. 美国联邦隐私立法重要文件编译第一辑（DPO沙龙出品）

4. 《非个人数据在欧盟境内自由流动框架条例》全文中文翻译（DPO沙龙出品）

5. 第29条工作组《对第2016/679号条例（GDPR）下同意的解释指南》中文翻译(DPO沙龙出品)

6. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”（DPO沙龙出品）

7. 第29条工作组《第2/2017号关于工作中数据处理的意见》（DPO沙龙出品）

8. “美国华盛顿哥伦比亚特区诉Facebook“起诉书全文翻译（DPO沙龙出品）

9. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》（DPO沙龙出品）

10. 法国数据保护局发布针对与商业伙伴或数据代理共享数据的指南

11. 第29条工作组《数据可携权指南》全文翻译（DPO沙龙出品）

12. 德国联邦反垄断局对Facebook数据收集和融合行为提出严格限制（DPO沙龙出品）

13. 德国联邦反垄断局审查Facebook数据收集融合行为的背景情况（DPO沙龙出品）
    

    
    

线下沙龙实录见：

1. 数据保护官（DPO）沙龙第一期纪实
   

2. 第二期数据保护官沙龙纪实：个人信息安全影响评估指南 
   

3. 第三期数据保护官沙龙纪实：数据出境安全评估

4. 第四期数据保护官沙龙纪实：网络爬虫的法律规制 
   

5. 第四期数据保护官沙龙纪实之二：当爬虫遇上法律会有什么风险

6. 第五期数据保护官沙龙纪实：美国联邦隐私立法重要文件讨论

7. 数据保护官（DPO）沙龙走进燕园系列活动第一期

8. 第六期数据保护官沙龙纪实：2018年隐私条款评审工作

9. 第八期数据保护官沙龙纪实：重点行业数据、隐私及网络安全

   
   

线上沙龙见：

1. DPO社群对数据堂事件的精彩点评

2. DPO社群线上讨论第二期：“出售 & 提供” 个人信息之法律与实务对话

3. 用户授权第三方获取自己在平台的数据，可以吗？不可以吗？（DPO沙龙线上讨论第三期）

   
   

时评见：

1. 数据安全事件时评第一期

2. 数据安全事件时评第二期

3. 【时事五】微软、Facebook、谷歌和Twitter联合推出数据迁移项目：数据可移植性的开源计划

4. 【时事六】 星巴克、阿里巴巴牵手“新零售”之数据合规深度评论

5. 【时事七】美国通过《NIST小企业网络安全法》

6. 【时事八】国际数据流动：欧盟委员会启动对日本的充分性决定流程

7. 【时评九】加州IoT设备网络安全法对物联网法律之影响（附法案翻译）

8. 【时评十】五问五答《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》

9. 【时评十一】社交网络平台，需要多点爱还是多点管？

10. 日本拟效仿德国：对IT巨头非法收集个人信息适用“反垄断法”

11. 扎克伯格最新愿景：将Facebook打造成“关注隐私的社交网络“
    

    
    

DPO社群成员观点

1. 个人信息委托处理是否需要个人授权？（DPO社群成员观点）
   

2. 企业如何告知与保护用户的个人信息主体权利（DPO社群成员观点）

3. GDPR“首张”执行通知盯上AlQ公司的前期后后（DPO社群成员观点）

4. 隐私条款撰写调研报告（DPO社群成员观点）

5. 我看到的数据安全（DPO社群成员观点）

6. 数据爬取的法律风险综述（DPO社群成员观点）

7. 银行业金融数据出境的监管框架与脉络（DPO社群成员观点）

8. 解析公安机关《互联网个人信息安全保护指引（征求意见稿）》（DPO社群成员观点）

9. 详解GDPR向Google亮剑缘由（DPO社群成员观点）

10. 从生产安全体系视角看数据安全（DPO社群成员观点）