查看原文
其他

EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译(DPO沙龙出品)

洪延青 网安寻路人 2020-02-26

众所周知,对于《通用数据保护条例》GDPR的解释和实施,欧洲数据保护委员会(European Data Protection Board,EDPB),包括其前身——第29条工作组,所发布的指导意见最为权威。经过DPO社群中热心同学的努力,第七份“EDPB及第29条工作组”的指导意见——“关于《临床试验条例》(CTR)与《通用数据保护条例》(GDPR)间相互关系的问答文件的意见3/2019”的中文全文翻译,现在推出。目前,社群还在翻译其他的指导意见,预计很快完成。在此,把译者前言贴出来。



译者前言


《通用数据保护条例》(GDPR)生效之后,其将如何适用于临床试验,存在很多困惑。例如,GDPR要求尊重、保障参与试验的个人数据主体的一系列权利,但开展临床试验的(非医疗机构)组织往往并不希望直接与个人参与者有互动,也不想确定知晓这些参与人的真实身份。如何落实个人数据主体的权利就成为棘手问题之一。此外,临床试验的个人数据处理必然涉及到“健康数据”。在GDPR中,健康数据被划归为“特殊类型的个人数据”,享有更高的保护要求。这是临床试验中个人数据保护的复杂性的又一体现。


欧盟委员会越来越意识到GDPR与《临床试验法规》(CTR,536/2014)之间的相互关系需要澄清。目前,其正在准备关于GDPR和CTR之间相互作用的问答(Q & A)。在该Q & A正式公布之前,欧盟委员会已要求欧洲数据保护委员会(EDPB)就问答提出意见和建议。2019年1月23日,EDPB公开发布了对欧盟委员会准备的Q & A的(“正式意见”)。DPO社群组织了对EDPB“正式意见”的全文翻译工作。


EDPB的“正式意见”主要着墨于数据处理的“合法性基础”(lawful processing grounds)。其观点总结起来如下:


数据处理

合法性基础

GDPR 第六条)

特殊类型个人数据处理的合法性基础

GDPR 第九条)

可靠性和安全性相关目的的数据处理

6.1c

【法定义务】

9.2(i)

【健康领域的公共利益】

“研究活动相关”的数据处理

在特定条件下适用6.1a

【同意】

在特定条件下适用9.2(a)

【明示同意】

6.1e

【公共利益】

9.2(i)

【健康领域的公共利益】

9.2(j)

【科学研究】

在公共利益不可行时,

6.1f

【正当利益】

9.2(j)

【科学研究】


研读、翻译这份“正式意见”时,EDPB对GDPB“同意”的坚持让人印象深刻:


“CTR第五章中对知情同意的规定,特别是第28条,主要是对《赫尔辛基宣言》中涉及关于人类的研究项目的核心伦理要求作出回应。获得临床试验参与者知情同意的义务,主要是一项确保《欧盟基本权利宪章》第1条和第3条规定的个人尊严和廉洁权利得到保护的措施;它并不被认为是一种数据保护合规的工具。”


换句话说,EDPB认为CTR中的“同意”,并非GDPR中的“同意”。两者有不同的含义,分别起到不同的功能。按照CTR中相关规定取得参与试验人的“同意”,并不必然意味着满足了GDPR中“同意”的要求。


根据GDPR,同意必须是自由的、具体的、知情的和明确的。EDPB坚持认为“自由”(freely given)的同意意味着个人应该有真正的选择和控制。


如果个人数据主体与处理其个人数据的组织之间存在“明显的不平衡”,则在这样的关系中实际上并不存在“自由”的同意。EDPB在“正式意见”中认为:


“根据临床试验的情况,有可能出现资助者/研究者与参与者之间权力不平衡的情况。CTR明确指出了这些风险,并要求研究者考虑所有相关情况,特别是潜在的主体是否属于经济或社会弱势群体,或者因为特定体制或等级的关系,从而可能会不恰当地影响她或他决定是否参加临床试验。”


也就是说,当参与者处于疾病的状况,或属于经济或社会方面的弱势群体,或存在制度或等级方面的依赖情况时,这种权力的不平衡将导致个人数据主体给出的同意,不满足GDPR关于“同意”应当是“自由给出”的限定。出于这些原因,在EDPB看来,在大多数情况下,同意不能成为临床试验个人数据处理适当的法律依据。


因此在“正式意见”发布之后,有不少专家认为:EDPB对同意近乎“宗教式”的限制,可能导致商业制药组织在欧盟开展研究目的的临床试验非常困难,甚至近乎不可能。EDPB这种的方法显然旨在“最大化”对个人数据主体权利的保护,有可能最终导致相关研究无法开展,进而影响改善公众健康水平的结果。


实际上EDPB对GDPR中“同意”的解释和坚持,也可见于法国CNIL对谷歌5000万欧元的处罚,以及德国反垄断监管机构(Bundeskartellamt)对Facebook收集、合并和使用用户数据方面滥用了其市场支配地位的认定。


显然,GDPR中的“同意”与我国《网络安全法》中“经被收集者同意”,也有着截然不同的含义。这一点通过观察《个人信息安全规范》中对“授权同意”的各种设计即可有直观感受。


洪延青 孟洁

2019年3月10日




下载EDPB“关于《临床试验条例》(CTR)与《通用数据保护条例》(GDPR)间相互关系的问答文件的意见3/2019”中文全文翻译,请点击文末左下角的“阅读原文”。【提取码:ntcy】




关于DPO沙龙活动的有关情况,请见:


DPO社群成果

  1. 印度《2018个人数据保护法(草案)》全文翻译(中英对照版)(DPO沙龙出品)

  2. 巴西《通用数据保护法》全文中文翻译(DPO沙龙出品)

  3. 美国联邦隐私立法重要文件编译第一辑(DPO沙龙出品)

  4. 《非个人数据在欧盟境内自由流动框架条例》全文中文翻译(DPO沙龙出品)

  5. 第29条工作组《对第2016/679号条例(GDPR)下同意的解释指南》中文翻译(DPO沙龙出品)

  6. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”(DPO沙龙出品)

  7. 第29条工作组《第2/2017号关于工作中数据处理的意见》(DPO沙龙出品)

  8. “美国华盛顿哥伦比亚特区诉Facebook“起诉书全文翻译(DPO沙龙出品)

  9. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》(DPO沙龙出品)

  10. 法国数据保护局发布针对与商业伙伴或数据代理共享数据的指南

  11. 第29条工作组《数据可携权指南》全文翻译(DPO沙龙出品)

  12. 德国联邦反垄断局对Facebook数据收集和融合行为提出严格限制(DPO沙龙出品)

  13. 德国联邦反垄断局审查Facebook数据收集融合行为的背景情况(DPO沙龙出品)


线下沙龙实录见:

  1. 数据保护官(DPO)沙龙第一期纪实

  2. 第二期数据保护官沙龙纪实:个人信息安全影响评估指南 

  3. 第三期数据保护官沙龙纪实:数据出境安全评估

  4. 第四期数据保护官沙龙纪实:网络爬虫的法律规制 

  5. 第四期数据保护官沙龙纪实之二:当爬虫遇上法律会有什么风险

  6. 第五期数据保护官沙龙纪实:美国联邦隐私立法重要文件讨论

  7. 数据保护官(DPO)沙龙走进燕园系列活动第一期

  8. 第六期数据保护官沙龙纪实:2018年隐私条款评审工作

  9. 第八期数据保护官沙龙纪实:重点行业数据、隐私及网络安全


线上沙龙见:

  1. DPO社群对数据堂事件的精彩点评

  2. DPO社群线上讨论第二期:“出售 & 提供” 个人信息之法律与实务对话

  3. 用户授权第三方获取自己在平台的数据,可以吗?不可以吗?(DPO沙龙线上讨论第三期)


时评见:

  1. 数据安全事件时评第一期

  2. 数据安全事件时评第二期

  3. 【时事五】微软、Facebook、谷歌和Twitter联合推出数据迁移项目:数据可移植性的开源计划

  4. 【时事六】 星巴克、阿里巴巴牵手“新零售”之数据合规深度评论

  5. 【时事七】美国通过《NIST小企业网络安全法》

  6. 【时事八】国际数据流动:欧盟委员会启动对日本的充分性决定流程

  7. 【时评九】加州IoT设备网络安全法对物联网法律之影响(附法案翻译)

  8. 【时评十】五问五答《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》

  9. 【时评十一】社交网络平台,需要多点爱还是多点管?

  10. 日本拟效仿德国:对IT巨头非法收集个人信息适用“反垄断法”

  11. 扎克伯格最新愿景:将Facebook打造成“关注隐私的社交网络“


DPO社群成员观点

  1. 个人信息委托处理是否需要个人授权?(DPO社群成员观点)

  2. 企业如何告知与保护用户的个人信息主体权利(DPO社群成员观点)

  3. GDPR“首张”执行通知盯上AlQ公司的前期后后(DPO社群成员观点)

  4. 隐私条款撰写调研报告(DPO社群成员观点)

  5. 我看到的数据安全(DPO社群成员观点)

  6. 数据爬取的法律风险综述(DPO社群成员观点)

  7. 银行业金融数据出境的监管框架与脉络(DPO社群成员观点)

  8. 解析公安机关《互联网个人信息安全保护指引(征求意见稿)》(DPO社群成员观点)

  9. 详解GDPR向Google亮剑缘由(DPO社群成员观点)

  10. 从生产安全体系视角看数据安全(DPO社群成员观点)


Modified on

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存