意大利明确出于医学研究目的处理个人数据时应采取的保障措施

欧盟GDPR中的相关规定

关于出于科学研究目的处理个人数据的合法性基础，欧洲数据保护委员会（EDPB）在“关于《临床试验条例》（CTR）和《一般数据保护条例》（GDPR）之间相互作用的问题和答案的第 3/2019 号意见”【Opinion 3/2019 concerning the Questions and Answers on the interplay between the Clinical Trials Regulation (CTR) and the General Data Protection regulation (GDPR)】中特别强调了在医学研究领域中进行个人数据处理的特殊性。科学研究通常涉及到大规模的数据处理，这些数据可能包含敏感信息。该意见同时指出，出于公共利益临床研究目的的个人数据处理应基于GDPR第9条第2款(j)项提供的例外条款。

GDPR第9条第1款规定，应当禁止处理“对于显示种族或民族背景、政治观念、宗教或哲学信仰或工会成员的个人数据、基因数据、为了特定识别自然人的生物性数据以及与自然人健康、个人性生活或性取向相关的数据”。但在随后第2款第(j)项豁免了出于“科学或历史研究目的”处理上述数据的限制，并同时提出需要符合第89条第1款关于“在特定情况下处理个人数据时必须采取的防护措施”的规定，并符合合比例性、必要性等。然而，在GDPR第89条第1款中，并未详述“必须采取的防护措施”的具体要求，而仅列明“为了实现公共利益、科学或历史研究或统计目的而处理，应当采取符合本条例的恰当防护措施，保障数据主体的权利与自由。这些防护措施应当确保，为了保证数据最小化原则，已经采取技术与组织性的措施”。

意大利DPA进一步明确无法取得同意时的保障措施

2024年5月9日，意大利数据保护机构（Garante）在其发布的一项决定中进一步明确了在出于医学研究目的处理个人数据时，出于伦理或者组织原因，数据控制者无法取得数据主体同意的情况下，数据控制者必须采取的保障措施。

“意大利隐私法”第110条规定了在医学、生物医学和流行病学研究目的下处理健康数据时的两个例外情况。特别是，当：

1. 研究是基于法律、法规或欧盟法进行的情况下，根据GDPR第9(2)(j)条款执行。在这些情况下，数据控制者必须进行并公布数据保护影响评估（DPIA）；或者

   
   

2. 由于特定原因，通知数据主体被证明不可能，或者需要付出了不成比例的努力，或者存在风险使得实现研究目标不可能或严重影响实现研究目标。在这些情况下，数据控制者必须：

1. 采取适当的措施保护数据主体的权利、自由和合法利益；
   
   
2. 从相关地方伦理委员会获取对研究计划的合理积极意见；并
3. 遵守Garante确定的保障措施。

Garante此次发布的保障措施，适用于处理健康数据以进行医学研究的情况，且相关数据主体应为：

1. 已故，或

   
   

2. 由于伦理或组织原因无法联系：

   
   

1.  “伦理”原因涉及到一个个体不知道自己的情况的场景，向他们提供隐私通知将意味着向他们透露可能会对他们造成实质或心理伤害的研究新闻；
   
   
2. “组织上的不可能”原因涉及到在不收集无法联系的个人的数据的情况下，考虑到应被纳入研究的总被试者人数，将对研究结果的质量产生重大影响，并考虑到包括被纳入的标准、登记方式、样本的统计数量和自原始数据收集以来经过的时间在内的因素。这包括：（1）在考虑到被试者队列的高人数的情况下，联系被试者将需要不成比例的努力，但这应该只在特殊情况下考虑；以及（2）在进行了一切合理的努力尝试联系被试者之后，他们似乎在被纳入研究时已经死亡或无法联系到。Garante澄清，该过程包括核实相关个人是否还活着，查阅临床文件中提供的详细信息，使用如电话联系方式（如提供）等公开联系方式。

在上述情况下，Garante要求控制者采取一定的保障措施。除了“意大利隐私法”第110条阐述的措施外，数据控制者还必须：

1. 在研究项目中仔细解释和记录上述伦理或组织原因的存在；

   
   

2. 在适用的情况下，还要记录为尝试联系相关个人所做的合理努力；

   
   

3. 进行并公布数据隐私影响评估（DPIA），并向Garante通报。

参考资料

推荐阅读：

1. 我国医疗行业数据治理路径

2. 医疗健康行业中个人信息去标识化的技术方案