taptap点点体育官方网站

隨着生物醫學研究的不斷深入，其所涉及的倫理原則中對知情同意的要求也不斷提高，如何使個人醫療健康數據等在符合知情同意原則的前提下合法合規地應用於各項臨牀研究，已成爲生物醫學研究的熱點問題。2021年《個人信息保護法》（“個保法”）頒佈實施後，以《網絡安全法》《數據安全法》及個保法爲框架搭建的個人醫療健康數據保護法律體系基本成型，個人醫療健康數據的保護力度進一步加大。其中，個保法將“醫療健康”信息定義爲敏感個人信息，意味着醫藥企業在其發起的藥物臨牀試驗（Industry-Sponsored Clinical Trial, “IST”）中，所採集、處理的受試者數據會包含大量敏感個人信息，如何將個保法中規定的處理敏感個人信息所應遵守的義務落實到IST中，成爲了各醫藥企業所重點關心的問題。本文擬通過闡述我國現有法律法規對IST中知情同意書（Informed Consent Form，“ICF”）簽署的相關規定，結合個保法中有關處理個人信息及敏感個人信息的規定，爲當前IST中對於受試者數據的處理提供ICF相關條款架構設計建議，以幫助各醫藥企業規避IST中可能存在的個人信息保護合規風險。

一、何謂知情同意

IST中的知情同意，指受試者被告知可影響其做出參加臨牀試驗決定的各方面情況後，確認同意自願參加臨牀試驗的過程。該過程應當以書面的、簽署姓名和日期的ICF作爲文件證明[1]。對於IST來說，知情同意是進行的前提，試驗開始之前，受試者享有知情同意權。試驗開始之後，知情同意也是一個持續的過程，在研究過程中研究者將不斷尋求受試者的同意，並且將向受試者通報研究的任何變化，以及可能影響其決定繼續研究的任何其他相關信息。

世界醫學大會制定的《世界醫學大會赫爾辛基宣言》中提到，參與醫學研究的醫生有責任保護研究受試者的生命、健康、尊嚴、完整性、自我決定權、隱私和個人信息的保密。該宣言作爲藥物臨牀試驗的通行原則，其提到受試者的權益和安全是考慮的首要因素，優先於對科學和社會的獲益，其中，知情同意作爲涉及人的臨牀研究中最重要的倫理原則之一，體現了對受試者的尊重，是保障受試者權益最重要的手段之一。

在我國，無論是國家藥品監督管理局會同國家衛生健康委員會於2020年頒佈實施的《藥物臨牀試驗質量管理規範》（“GCP”），還是原國家衛生和計劃生育委員會於2016年頒佈實施的《涉及人的生物醫學研究倫理審查辦法》（“倫理審查辦法”），均詳細規定了知情同意制度及ICF簽署要求：

GCP	倫理審查辦法
第三條藥物臨牀試驗應當符合《世界醫學大會赫爾辛基宣言》原則及相關倫理要求，受試者的權益和安全是考慮的首要因素，優先於對科學和社會的獲益。倫理審查與知情同意是保障受試者權益的重要措施。	第十八條涉及人的生物醫學研究應當符合以下倫理原則：（一）知情同意原則。尊重和保障受試者是否參加研究的自主決定權，嚴格履行知情同意程序，防止使用欺騙、利誘、脅迫等手段使受試者同意參加研究，允許受試者在任何階段無條件退出研究。
第十一條（十一）知情同意，指受試者被告知可影響其做出參加臨牀試驗決定的各方面情況後，確認同意自願參加臨牀試驗的過程。該過程應當以書面的、簽署姓名和日期的知情同意書作爲文件證明。	第三十三條項目研究者開展研究，應當獲得受試者自願簽署的知情同意書；受試者不能以書面方式表示同意時，項目研究者應當獲得其口頭知情同意，並提交過程記錄和證明材料。
第二十四條知情同意書和提供給受試者的其他資料應當包括： …… （十三）受試者參加試驗是自願的，可以拒絕參加或者有權在試驗任何階段隨時退出試驗而不會遭到歧視或者報復，其醫療待遇與權益不會受到影響。（十四）在不違反保密原則和相關法規的情況下，監查員、稽查員、倫理委員會和藥品監督管理部門檢查人員可以查閱受試者的原始醫學記錄，以覈實臨牀試驗的過程和數據。（十五）受試者相關身份鑑別記錄的保密事宜，不公開使用。如果發佈臨牀試驗結果，受試者的身份信息仍保密。 ……	第三十六條知情同意書應當包括以下內容： …… （五）研究數據和受試者個人資料的保密範圍和措施；（六）受試者的權利，包括自願參加和隨時退出、知情、同意或不同意、保密、補償、受損害時獲得免費治療和賠償、新信息的獲取、新版本知情同意書的再次簽署、獲得知情同意書等； ……

無論是GCP第二十四條，還是倫理審查辦法第三十六條，均對ICF的內容、簽署要求、受試者個人信息的保密作出規定，但上述各規範並未規定與受試者個人信息的收集、使用、傳輸等有關的處理活動應在ICF中披露至何種程度。

二、個保法相關規定

由全國人大常務委員會發布，並於2021年11月1日實施的個保法中定義了個人信息及敏感個人信息，並對個人信息處理者涉及前述兩類信息的收集、存儲、使用、加工等處理活動所應履行的書面同意、應告知事項，撤回書面同意、重新同意均進行了明確規定：

1.個人信息及敏感個人信息

個保法第四條及第二十八條對個人信息及敏感個人信息作了定義，其規定個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理後的信息。敏感個人信息是一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四週歲未成年人的個人信息。

此外，個保法闡明瞭個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等行爲。對於處理敏感個人信息，個保法規定個人信息處理者只有在具有特定的目的和充分的必要性，並採取嚴格保護措施的情形下纔可處理敏感個人信息。

2.書面同意

個保法規定基於個人同意處理個人信息的，該同意應當由個人在充分知情的前提下自願、明確作出。個人信息的處理目的、處理方式和處理的個人信息種類發生變更的，應當重新取得個人同意。處理敏感個人信息應當取得個人的單獨同意。

此外，依據個保法的規定，處理敏感個人信息除應依據個保法的規定取得單獨書面同意外，如有關法律、行政法規規定了對於該處理應當取得相關行政許可或者作出其他限制的，從其規定。結合到IST中，如敏感個人信息的處理涉及《人類遺傳資源管理條例》（“條例”）中規定的有關人類遺傳資源行政許可或其他限制事項，申辦者除應遵守個保法前述規定外，還應遵守條例的規定。

3.告知事項

個保法第十七條規定，個人信息處理者在處理個人信息前，應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知下列事項：

　　（一）個人信息處理者的名稱或者姓名和聯繫方式；

　　（二）個人信息的處理目的、處理方式，處理的個人信息種類、保存期限；

　　（三）個人行使本法規定權利的方式和程序；

　　（四）法律、行政法規規定應當告知的其他事項。

前款規定事項發生變更的，應當將變更部分告知個人。

對於個人信息處理者處理敏感個人信息的，個保法規定除應告知以上事項外，還應當向個人告知處理敏感個人信息的必要性以及對個人權益的影響；依照個保法規定可以不向個人告知的除外。

4.書面同意的撤回

個保法第十五條規定，基於個人同意處理個人信息的，個人有權撤回其同意。個人信息處理者應當提供便捷的撤回同意的方式。此外，個人撤回同意，並不影響撤回前基於個人同意已進行的個人信息處理活動的效力。

從個保法對個人信息及敏感個人信息的定義來看，IST中收集、使用、傳輸的與受試者有關的基本個人信息屬於個保法定義的個人信息，而與受試者有關的醫療健康數據、人類遺傳資源信息則應屬於個保法定義的敏感個人信息範疇。針對此類個人信息及敏感個人信息，個保法詳細規定了個人信息處理者處理該類信息前應履行的告知義務及須取得的書面同意，以及個人有權撤回其作出的書面同意，同時規定個人撤回同意，不影響撤回前基於個人同意已進行的個人信息處理活動的效力。可見個保法在GCP、倫理審查辦法規定的知情同意制度基礎上，對涉及個人信息及敏感個人信息的知情同意合規要求作出了細化規定。

三、ICF個人信息保護條款架構設計建議

結合GCP、倫理審查辦法規定的知情同意制度及ICF簽署要求，以及個保法中對個人信息及敏感個人信息的知情同意合規要求，考慮到IST開展過程中由申辦者或研究機構提供的ICF內容所普遍存在的問題，即個人信息及敏感個人信息處理行爲的模糊化告知，撤回知情同意後相關個人信息及敏感個人信息處理安排的缺失或不完善等問題，筆者建議可通過以下條款架構的設計，規避或減少可能存在的個人信息保護合規風險：

1.定義個人信息及敏感個人信息

明確個人信息及敏感個人信息的定義，將IST中收集、使用、傳輸的與受試者有關的基本個人信息定義爲個人信息，而將與受試者有關的醫療健康數據、人類遺傳資源信息定義爲敏感個人信息。

2.明確個人信息處理者

列舉個人信息處理者包括哪些，以及哪些主體可以訪問該類個人信息及敏感個人信息。並明確在此訪問或處理情形下，申辦者會組織和維護何種安全措施，以保護該類個人信息及敏感個人信息不會丟失、誤用、被未授權的人訪問、披露、更改或銷燬。

3.如何保護受試者隱私

明確個人信息處理者將對該類個人信息及敏感個人信息採取去識別化技術手段以保護受試者的隱私，同時釋明擬採取何種去識別化技術手段。

4.處理目的及情形

說明個人信息處理者處理該類個人信息及敏感個人信息的目的及情形，並明確在公開、傳輸時將採取去識別化技術手段對該類個人信息及敏感個人信息進行處理，使接收方無法識別受試者的真實身份，並保護受試者隱私。此外，需明晰受試者同意此類處理是參加本IST的前提，以及此類處理所持續的期限，個人信息及敏感個人信息保留的期限。

5.是否重複使用

釋明IST結束後是否會重複使用該類個人信息及敏感個人信息，如涉及重複使用，筆者建議明確僅用於與當前IST藥物相同的醫學/科學研究開發項目中，而不會用於其他藥物的研究開發項目中。如用於其他藥物的研究開發項目，屆時需重新獲得受試者的書面知情同意。

6.撤回知情同意後的處理權限

受試者撤回知情同意後，如仍進行部分治療訪視或生存訪視，在此情形下涉及的個人信息及敏感個人信息，個人信息處理者是否有權處理？國內法律法規並未對此作出規定，相關主管部門也未就該問題作出解答。筆者認爲，站在保證試驗產品的安全性和有效性角度，同時兼顧受試者的個人信息保護，可借鑑美國食品藥品監督管理局（“FDA”）發佈的Data Retention When Subjects Withdraw from FDA-Regulated Clinical Trials中的建議，在ICF知情同意撤回章節明確以下內容：

（一）明確受試者撤回知情同意前的個人信息及敏感個人信息仍將保留並用於本IST；

（二）列出知情同意完全撤回以及知情同意部分撤回兩個選項，並釋明各選項相關含義，供受試者選擇。知情同意完全撤回係指受試者在撤回此知情同意後，將不會再參與個人信息處理者組織開展的任何治療訪視或生存訪視，個人信息處理者僅保留受試者撤回知情同意前的個人信息及敏感個人信息用於本IST；知情同意部分撤回係指受試者在撤回此知情同意後，仍將參與個人信息處理者組織開展的相關治療訪視或生存訪視，個人信息處理者除保留受試者撤回知情同意前的個人信息及敏感個人信息用於本IST外，還將保留在該治療訪視或生存訪視時所收集的受試者個人信息及敏感個人信息用於本IST。

四、結語

以《網絡安全法》《數據安全法》及個保法爲框架的個人醫療健康數據保護法律體系搭建完備後，對醫藥企業提出了更高的合規要求。各醫藥企業應在遵守個保法就相關個人信息處理及保護的原則及要求基礎上，謹慎、合規地處理個人信息及敏感個人信息，在避免個人信息保護合法合規的前提下，促進醫療健康數據價值的有效轉化。

[1] 《藥物臨牀試驗質量管理規範》第十一條。

刺破公司面紗之向清算義務人追究公司商標侵權賠償責任

快評《藥品管理法實施條例修訂草案徵求意見稿》——一文讀懂藥品監管新趨勢

作者：劉一倫

全站搜索

IST中的個人信息保護合規——ICF實操要點

刺破公司面紗之向清算義務人追究公司商標侵權賠償責任

快評《藥品管理法實施條例修訂草案徵求意見稿》——一文讀懂藥品監管新趨勢

相關標籤

關於我們

新聞視點

社會責任

專業領域

專業人員

辦公機構