藥物臨床試驗(yàn)會(huì)涉及對(duì)受試者醫(yī)療健康信息等個(gè)人信息的處理。醫(yī)療健康信息具有敏感性，一旦被泄露或被非法使用，容易導(dǎo)致個(gè)人的人格尊嚴(yán)或人身、財(cái)產(chǎn)安全受到侵害。因此，2021年11月1日實(shí)施的《中華人民共和國(guó)個(gè)人信息保護(hù)法》（以下簡(jiǎn)稱《個(gè)保法》）明確將醫(yī)療健康信息規(guī)定為敏感個(gè)人信息，并施加較一般個(gè)人信息更為嚴(yán)格的保護(hù)。

在《個(gè)保法》實(shí)施前，申辦者/研究者主要遵照《藥物臨床試驗(yàn)質(zhì)量管理規(guī)范》（以下簡(jiǎn)稱GCP）的規(guī)定在取得受試者的知情同意后處理受試者的個(gè)人信息。《個(gè)保法》實(shí)施后，除GCP要求的應(yīng)當(dāng)告知受試者的信息，還對(duì)個(gè)人信息處理者提出新要求。例如：應(yīng)當(dāng)告知受試者個(gè)人信息的類型、處理目的、處理方式、保存期限；涉及敏感信息的，還應(yīng)告知受試者處理敏感個(gè)人信息具有特定目的和充分的必要性；告知受試者行使《個(gè)保法》規(guī)定權(quán)利的方式和程序等。也就是說(shuō)，藥物臨床試驗(yàn)中的個(gè)人信息處理者應(yīng)當(dāng)在滿足GCP規(guī)定義務(wù)的同時(shí)，滿足《個(gè)保法》規(guī)定的義務(wù)。

歐盟也有類似法規(guī)要求。歐盟數(shù)據(jù)保護(hù)委員會(huì)（EDPB）曾于2019年1月23日應(yīng)歐盟委員會(huì)健康和食品安全總司要求出具《關(guān)于臨床試驗(yàn)條例與通用數(shù)據(jù)保護(hù)條例之間相互作用的問答之3/2019號(hào)意見》[Opinion 3/2019 concerning the Questions and Answers on the interplay between the Clinical Trials Regulation (CTR) and the General Data Protection Regulation(GDPR)，以下簡(jiǎn)稱《EDPB 3/2019號(hào)意見》]，就《臨床試驗(yàn)條例》（CTR）與《通用數(shù)據(jù)保護(hù)條例》（GDPR）關(guān)于臨床試驗(yàn)所涉?zhèn)€人數(shù)據(jù)處理的合法性基礎(chǔ)進(jìn)行了分析。

本文結(jié)合《EDPB 3/2019號(hào)意見》，梳理、總結(jié)我國(guó)《個(gè)保法》和GCP的相關(guān)規(guī)定，對(duì)中國(guó)和歐盟臨床試驗(yàn)場(chǎng)景下的醫(yī)療健康信息處理的合法性基礎(chǔ)進(jìn)行探討和比較，為相關(guān)申辦者/研究者提供參考。

臨床試驗(yàn)規(guī)范與數(shù)據(jù)保護(hù)法中的“知情同意”是否等同

我國(guó)GCP和《個(gè)保法》對(duì)藥物臨床試驗(yàn)中個(gè)人信息處理都強(qiáng)調(diào)“知情同意”的重要性。GCP中的“知情同意”，指受試者被告知可影響其做出參加臨床試驗(yàn)決定的各方面情況后，確認(rèn)同意、自愿參加臨床試驗(yàn)的過(guò)程。“知情同意”也是《個(gè)保法》規(guī)定的個(gè)人信息處理的一般性基礎(chǔ)，即除法定無(wú)需取得同意的情況外，個(gè)人信息處理者應(yīng)當(dāng)取得個(gè)人同意方可處理個(gè)人信息，且同意應(yīng)當(dāng)由個(gè)人在充分知情的前提下自愿、明確作出。目前，我國(guó)尚無(wú)監(jiān)管細(xì)則或司法裁判就GCP與《個(gè)保法》之間的相互影響，及其各自項(xiàng)下的“知情同意”的關(guān)系進(jìn)行界定。

歐盟《EDPB 3/2019號(hào)意見》則對(duì)CTR中的“知情同意”與GDPR中的“同意”之間的關(guān)系進(jìn)行了厘定。

>>“知情同意的作出”與“同意的作出”

EDPB認(rèn)為，CTR中的“知情同意”不能與GDPR中的“同意”相混淆。

CTR旨在遵循《赫爾辛基宣言》中涉及人的研究的倫理要求。在臨床試驗(yàn)中獲得受試者知情同意，是保障《歐盟基本權(quán)利憲章》規(guī)定的人格尊嚴(yán)和個(gè)人完整權(quán)利的主要措施，EDPB認(rèn)為其并非被設(shè)計(jì)為一項(xiàng)數(shù)據(jù)保護(hù)合規(guī)工具。我國(guó)GCP第三條亦有類似規(guī)定：“藥物臨床試驗(yàn)應(yīng)當(dāng)符合《世界醫(yī)學(xué)大會(huì)赫爾辛基宣言》原則及相關(guān)倫理要求，受試者的權(quán)益和安全是考慮的首要因素，優(yōu)先于對(duì)科學(xué)和社會(huì)的獲益。倫理審查與知情同意是保障受試者權(quán)益的重要措施。”

GDPR（Recital 32）則規(guī)定：“同意”必須是自愿作出的（freely given）、具體的（specific）、知情的（informed）和明確的（unambiguous）的，如涉及處理健康數(shù)據(jù)（data concerning health，類似于我國(guó)《個(gè)保法》中的“醫(yī)療健康信息”）等特殊類型的數(shù)據(jù)時(shí)，還需獲得明示同意（explicit consent）。

值得注意的是，根據(jù)GDPR，當(dāng)數(shù)據(jù)主體和控制者之間存在明顯不對(duì)等時(shí)，“同意”不能成為個(gè)人數(shù)據(jù)處理的有效合法性基礎(chǔ)。

如果一項(xiàng)臨床試驗(yàn)是非干預(yù)性的，即不干涉患者診療而只是觀察性地收集、記錄患者的數(shù)據(jù)，則申辦者/研究者與患者之間不會(huì)被視為存在明顯不對(duì)等。然而，在干預(yù)性的臨床試驗(yàn)中，因受試者身體健康狀況欠佳等，申辦者/研究者與受試者之間通常會(huì)存在不對(duì)等的情況。對(duì)此，CTR規(guī)定，“知情同意”應(yīng)“自愿作出”，并要求研究者充分考慮潛在受試者是否屬于經(jīng)濟(jì)性或社會(huì)性的弱勢(shì)群體，或者處于組織上或等級(jí)上的依賴地位，從而可能影響受試者參與臨床試驗(yàn)的決定。

我國(guó)GCP也規(guī)定了類似歐盟CTR的弱勢(shì)受試者保護(hù)機(jī)制。GCP第十一條第（十）項(xiàng)明確，“弱勢(shì)受試者，指維護(hù)自身意愿和權(quán)利的能力不足或者喪失的受試者，其自愿參加臨床試驗(yàn)的意愿，有可能被試驗(yàn)的預(yù)期獲益或者拒絕參加可能被報(bào)復(fù)而受到不正當(dāng)影響。包括：研究者的學(xué)生和下級(jí)、申辦者的員工、軍人、犯人、無(wú)藥可救疾病的患者、處于危急狀況的患者，入住福利院的人、流浪者、未成年人和無(wú)能力知情同意的人等。”GCP第十二條要求，倫理委員會(huì)應(yīng)當(dāng)特別關(guān)注弱勢(shì)受試者，以保護(hù)受試者的權(quán)益和安全。

盡管歐盟CTR已要求“知情同意”應(yīng)“自愿作出”，但是EDPB仍認(rèn)為：即使根據(jù)CTR獲得了“知情同意”，如果受試者與申辦者/研究者之間存在明顯不對(duì)等，CTR項(xiàng)下的知情同意尚不能滿足GDPR意義上“自愿作出”的同意的標(biāo)準(zhǔn)，因而不能構(gòu)成GDPR項(xiàng)下處理個(gè)人數(shù)據(jù)的合法性基礎(chǔ)。《EDPB 3/2019號(hào)意見》考慮到了臨床試驗(yàn)場(chǎng)景下“知情同意”背后的倫理規(guī)范與數(shù)據(jù)保護(hù)法設(shè)計(jì)之間的區(qū)別，并特別關(guān)注受試者與申辦者/研究者之間的實(shí)質(zhì)不對(duì)等性，因而否認(rèn)“知情同意”作為個(gè)人數(shù)據(jù)處理的合法性基礎(chǔ)的邏輯有其合理性，值得借鑒和參考。

我國(guó)GCP第十一條第(十一)項(xiàng)、第二十四條第(十三)項(xiàng)等亦規(guī)定“知情同意”應(yīng)是“自愿”的。《個(gè)保法》已實(shí)施一周年，目前尚無(wú)類似《EDPB 3/2019號(hào)意見》的監(jiān)管細(xì)則或司法裁判就臨床試驗(yàn)下的“知情同意”是否滿足《個(gè)保法》下的“知情同意”進(jìn)行釋明。

筆者認(rèn)為，我國(guó)GCP中的“知情同意”與《個(gè)保法》中的“知情同意”并不等同。原因是GCP作為醫(yī)藥行業(yè)監(jiān)管規(guī)范，《個(gè)保法》作為數(shù)據(jù)保護(hù)法，兩者雖然都有“知情”“同意”的要求，但其各自的背景和目的并不相同。因此，藥物臨床試驗(yàn)項(xiàng)下的“知情同意”并不適宜作為個(gè)人信息處理的合法性基礎(chǔ)，在《個(gè)保法》背景下，臨床試驗(yàn)的申辦者/研究者作為醫(yī)療健康信息等敏感個(gè)人信息的處理者，有必要重新審視其處理個(gè)人信息的合法性基礎(chǔ)。

>>“知情同意的撤回”與“同意的撤回”

EDPB認(rèn)為，CTR項(xiàng)下“知情同意的撤回”與GDPR項(xiàng)下“同意的撤回”亦有所區(qū)別。

CTR明確規(guī)定，為尊重個(gè)人數(shù)據(jù)保護(hù)權(quán)利，同時(shí)為保障臨床試驗(yàn)數(shù)據(jù)的可靠性（reliability）、穩(wěn)健性（robustness）及受試者的安全，應(yīng)該規(guī)定“知情同意的撤回”不影響先前已進(jìn)行的臨床試驗(yàn)活動(dòng)，例如基于“知情同意”撤回前已獲得的數(shù)據(jù)存儲(chǔ)和使用。

然而，根據(jù)GDPR第7(3)條、第17(1)(b)條，一般情況下，如果是基于“同意”進(jìn)行數(shù)據(jù)處理，數(shù)據(jù)主體有權(quán)隨時(shí)撤回“同意”；“同意”一旦被撤回，盡管撤回前進(jìn)行的數(shù)據(jù)處理活動(dòng)的效力不受影響，但是控制者應(yīng)當(dāng)停止后續(xù)數(shù)據(jù)處理活動(dòng)，并在沒有其他法律依據(jù)就數(shù)據(jù)進(jìn)行留存的情況下把數(shù)據(jù)刪除。對(duì)此，我國(guó)《個(gè)保法》亦有類似規(guī)定。

從上述CTR和GDPR的規(guī)定可見，兩者在“知情同意的撤回”與“同意的撤回”的內(nèi)涵及外延上存在一定區(qū)別。從藥品監(jiān)管角度而言，出于保障臨床試驗(yàn)質(zhì)量、受試者安全等目的，臨床試驗(yàn)數(shù)據(jù)必須保持其原始性、準(zhǔn)確性、完整性，而不得隨意修改、掩蓋和刪除。

我國(guó)GCP亦就臨床試驗(yàn)數(shù)據(jù)質(zhì)量作出嚴(yán)格要求。目前，我國(guó)尚無(wú)監(jiān)管細(xì)則或司法裁判就“知情同意的撤回”與“同意的撤回”之間的關(guān)系進(jìn)行界定，類比上文關(guān)于“知情同意的作出”與“同意的作出”的分析，筆者認(rèn)為，我國(guó)GCP中“知情同意的撤回” 與《個(gè)保法》中“同意的撤回”的概念亦不等同。

臨床試驗(yàn)所涉?zhèn)€人信息處理的具體合法性基礎(chǔ)

如果臨床試驗(yàn)場(chǎng)景下的“知情同意”不構(gòu)成個(gè)人信息保護(hù)法規(guī)意義上的“同意”的合法性基礎(chǔ)，那么相關(guān)個(gè)人信息處理活動(dòng)應(yīng)基于什么合法性基礎(chǔ)進(jìn)行？對(duì)此，《EDPB 3/2019號(hào)意見》基于臨床試驗(yàn)場(chǎng)景下數(shù)據(jù)的應(yīng)用階段、處理目的進(jìn)行了區(qū)分。

>>初始應(yīng)用（Primar Use）

初始應(yīng)用，指根據(jù)臨床試驗(yàn)方案對(duì)受試者個(gè)人健康數(shù)據(jù)進(jìn)行的處理，其過(guò)程涵蓋從試驗(yàn)開始到試驗(yàn)結(jié)束直至留存期限屆滿而刪除數(shù)據(jù)的整個(gè)過(guò)程。其又可細(xì)分為兩種類型的數(shù)據(jù)處理活動(dòng)：一是“與可靠性和安全性目的相關(guān)的處理活動(dòng)”，指與醫(yī)療保健目的、通過(guò)可靠(reliable)而穩(wěn)健(robust)的臨床試驗(yàn)數(shù)據(jù)達(dá)到藥品質(zhì)量和安全標(biāo)準(zhǔn)目的相關(guān)的處理活動(dòng)；二是“僅與研究活動(dòng)相關(guān)的處理活動(dòng)”。兩種數(shù)據(jù)處理活動(dòng)所依據(jù)的法律基礎(chǔ)不同，具體區(qū)別如下。

1.與可靠性和安全性目的相關(guān)的處理活動(dòng)

EDPB認(rèn)為，CTR及相關(guān)立法明確規(guī)定的“與可靠性和安全性目的相關(guān)的數(shù)據(jù)處理活動(dòng)”，可以適用GDPR第6(1)(c)條規(guī)定的“為履行控制者所負(fù)的法定義務(wù)所必需”的合法性基礎(chǔ)。據(jù)此，臨床試驗(yàn)過(guò)程中為安全報(bào)告、監(jiān)管機(jī)構(gòu)檢查、根據(jù)歸檔要求保留臨床試驗(yàn)數(shù)據(jù)等進(jìn)行個(gè)人數(shù)據(jù)處理，可被視為臨床試驗(yàn)申辦者/研究者為履行法定義務(wù)所必須。此外，處理特殊類型的個(gè)人數(shù)據(jù)，如健康數(shù)據(jù)，還應(yīng)滿足GDPR第9(2)(i)條規(guī)定的“數(shù)據(jù)處理為實(shí)現(xiàn)在公共健康領(lǐng)域的公共利益所必需，比如……為保證醫(yī)療保健、藥品、醫(yī)療器械高標(biāo)準(zhǔn)的質(zhì)量和安全”。

類似GDPR，我國(guó)《個(gè)保法》第十三條第(三)項(xiàng)規(guī)定了“為履行法定職責(zé)或者法定義務(wù)所必需”的合法性基礎(chǔ)，視具體臨床試驗(yàn)方案而定，可以考慮作為臨床試驗(yàn)過(guò)程中處理個(gè)人信息的合法性基礎(chǔ)。此外，就醫(yī)療健康信息等敏感個(gè)人信息的處理而言，《個(gè)保法》第二十八條還要求具有“特定的目的和充分的必要性”，但并未就具體判定標(biāo)準(zhǔn)進(jìn)行展開，對(duì)此，實(shí)踐中有必要結(jié)合具體臨床試驗(yàn)方案對(duì)處理特定個(gè)人信息的必要性進(jìn)行分析。

2.僅與研究活動(dòng)相關(guān)的處理活動(dòng)

EDPB認(rèn)為，“僅與研究活動(dòng)相關(guān)的處理活動(dòng)”不能依賴“為履行控制者所負(fù)的法定義務(wù)所必需”作為數(shù)據(jù)處理的合法性基礎(chǔ)，其可適用的合法性基礎(chǔ)包括：GDPR第6(1)(a)條項(xiàng)下的“同意”；如涉及健康數(shù)據(jù)等特殊類型數(shù)據(jù)的處理，還應(yīng)滿足GDPR第9(2)(a)條規(guī)定的“明示同意”。如上文所述，在干預(yù)性的臨床試驗(yàn)場(chǎng)景下，鑒于受試者與申辦者/研究者之間的不對(duì)等，臨床試驗(yàn)項(xiàng)下的“知情同意”可能無(wú)法滿足GDPR項(xiàng)下“同意”的標(biāo)準(zhǔn)，因而導(dǎo)致“同意”在多數(shù)情況下可能不適宜作為數(shù)據(jù)處理的合法性基礎(chǔ)。

較“同意”而言可能更為恰當(dāng)?shù)暮戏ㄐ曰A(chǔ)是：GDPR第6(1)(e)條項(xiàng)下的“為執(zhí)行基于公共利益的任務(wù)所必需”、第6(1)(f)項(xiàng)下的“實(shí)現(xiàn)控制者或第三方追求的合法利益所必需”；如涉及健康數(shù)據(jù)等特殊類型數(shù)據(jù)的處理，還應(yīng)滿足GDPR第9條規(guī)定的禁止處理之例外情形，視具體臨床試驗(yàn)情況而定，包括GDPR第9(2)(i)條“為實(shí)現(xiàn)公共健康領(lǐng)域的公共利益所必需”、第9(2)(j)條“為公共利益進(jìn)行科學(xué)研究所必需”。具體而言，當(dāng)臨床試驗(yàn)是依法直接基于行政命令、任務(wù)而進(jìn)行，臨床試驗(yàn)過(guò)程中的個(gè)人數(shù)據(jù)處理可被視作“為執(zhí)行基于公共利益的任務(wù)所必需”；其他情形下，個(gè)人數(shù)據(jù)的處理可基于“為實(shí)現(xiàn)控制者或第三方追求的合法利益所必需”，但是數(shù)據(jù)主體享有的個(gè)人數(shù)據(jù)保護(hù)相關(guān)的權(quán)益、基本權(quán)利和自由優(yōu)先于前述合法利益的除外。

類似GDPR，我國(guó)《個(gè)保法》第十三條第（四）項(xiàng)、第（五）項(xiàng)分別規(guī)定了以下個(gè)人信息處理的合法性基礎(chǔ)：“為應(yīng)對(duì)突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全所必需”和“為公共利益實(shí)施新聞報(bào)道、輿論監(jiān)督等行為，在合理的范圍內(nèi)處理個(gè)人信息”。視具體情況而定，此二項(xiàng)亦可考慮作為臨床試驗(yàn)相關(guān)活動(dòng)過(guò)程中處理個(gè)人信息的合法性基礎(chǔ)。比如，在新冠肺炎疫情背景下進(jìn)行的特定個(gè)人信息處理活動(dòng)，可以考慮依賴“為應(yīng)對(duì)突發(fā)公共衛(wèi)生事件所必需”的合法性基礎(chǔ)。此外，如前文所述，就醫(yī)療健康信息等敏感個(gè)人信息的處理而言，《個(gè)保法》第二十八條要求的“特定的目的和充分的必要性”亦需關(guān)注。

>>二次使用（Secondary Use）

二次使用，是指在臨床試驗(yàn)方案之外，為科研目的使用受試者個(gè)人數(shù)據(jù)。如果申辦者/研究者將臨床試驗(yàn)過(guò)程中獲得的個(gè)人數(shù)據(jù)用于臨床試驗(yàn)方案以外的其他科研目的，應(yīng)當(dāng)具備初始應(yīng)用之外的法定理由，具體的合法性基礎(chǔ)與初始應(yīng)用的合法性基礎(chǔ)可能相同，但也可能不同。

GDPR第5(1)(b)條規(guī)定，根據(jù)GDPR第89(1)條采取適當(dāng)保障措施的情況下，如果基于公共利益進(jìn)行歸檔，出于科學(xué)、歷史研究或統(tǒng)計(jì)目的，而進(jìn)一步進(jìn)行數(shù)據(jù)處理不視為不符合初始目的（即相符性推定，presumption of compatibility）。也就是說(shuō)，該等情況下二次使用臨床試驗(yàn)數(shù)據(jù)無(wú)需滿足新的合法性基礎(chǔ)。同時(shí)，EDPB亦坦陳，鑒于該問題的復(fù)雜性，EDPB尚需進(jìn)一步關(guān)注并出臺(tái)指引。

我國(guó)《個(gè)保法》中尚未制定“相符性推定”規(guī)則，二次使用可依賴的具體合法性基礎(chǔ)應(yīng)當(dāng)作為獨(dú)立的使用場(chǎng)景，依法就具體情況進(jìn)行個(gè)案判定。

結(jié)語(yǔ)

綜上，臨床試驗(yàn)涉及的個(gè)人信息處理問題較為復(fù)雜，臨床試驗(yàn)場(chǎng)景下的“知情同意”不宜簡(jiǎn)單直接等同于《個(gè)保法》意義上的“同意”。

結(jié)合臨床試驗(yàn)的類型、方案等具體情況，臨床試驗(yàn)中個(gè)人信息處理可依賴的合法性基礎(chǔ)可能包括“法定義務(wù)”“公共利益”等，需個(gè)案分析。對(duì)此，作為醫(yī)療健康信息等敏感個(gè)人信息的處理者，申辦者/研究者有必要在開展臨床試驗(yàn)前就臨床試驗(yàn)方案涉及的個(gè)人信息處理的合法性基礎(chǔ)進(jìn)行審慎評(píng)估。

此外，值得注意的是，臨床試驗(yàn)等藥物研發(fā)活動(dòng)中涉及的個(gè)人醫(yī)療健康信息處理活動(dòng)，亦需遵守《個(gè)保法》中公開透明原則、個(gè)人信息跨境提供規(guī)則、個(gè)人信息主體權(quán)利保障等規(guī)定的規(guī)制，對(duì)此還需進(jìn)一步探討。

（環(huán)球律師事務(wù)所 曲曉琨）

本文屬學(xué)術(shù)性探討，除法律法規(guī)明確規(guī)定外，不作為執(zhí)法依據(jù)。

(責(zé)任編輯：陸悅)