IST中的個人信息保護合規
作者:徐軍 劉一倫 2024-11-13隨著生物醫學研究的不斷深入,其所涉及的倫理原則對知情同意的要求愈發嚴格。《個人信息保護法》(下稱“個保法”)將醫療健康信息定義為敏感個人信息,意味著醫藥企業在藥物臨床試驗(下稱“IST”)中所采集、處理的受試者數據會包含大量敏感個人信息。如何在IST中應用個人醫療健康數據合規,成為醫藥企業重點關心的問題。本文擬通過闡述中國現行法律法規對于IST知情同意書(下稱“ICF”)簽署的相關規定,結合個保法就處理敏感個人信息的相關要求,為當前IST受試者數據的處理提供ICF架構設計合規建議,以幫助醫藥企業規避IST中的個人信息處理違規風險。
知情同意
作為IST的通行原則,《世界醫學大會赫爾辛基宣言》提出受試者的權益和安全是考慮的首要因素,優先于科學和社會的獲益,其中知情同意是保障受試者權益的重要手段。IST中的知情同意,是指受試者被告知可影響其作出參加臨床試驗決定的各方面情況后,確認同意自愿參加臨床試驗的過程。該過程應當以簽署姓名和日期的書面ICF作為文件證明。知情同意是IST進行的前提,也是一個持續的過程。在研究過程中,研究者將不斷尋求受試者的同意,包括向受試者通報研究的任何變化和可能影響其決定繼續研究的任何其他信息。
個保法
在《藥物臨床試驗質量管理規范》(下稱“GCP”)及《涉及人的生物醫學研究倫理審查辦法》(下稱“辦法”)規定的知情同意制度基礎上,個保法對涉及個人信息的知情同意合規要求作出了細化規定。
定義。個保法第四條及第二十八條區分定義了個人信息及敏感個人信息(以下統稱“相關個人信息”),闡明了個人信息處理行為的種類,同時規定了個人信息處理者處理敏感個人信息的必要條件。
書面同意。個保法規定,同意應由個人在充分知情的前提下自愿、明確作出。相關個人信息的處理如發生變更,應重新取得個人同意。
撤回。個保法第十五條規定,個人有權撤回其同意,但不影響撤回前基于同意已進行的相關個人信息處理活動的效力,且個人信息處理者應提供便捷的撤回同意方式。
條款架構設計
IST開展過程中,相關個人信息處理行為普遍存在告知模糊以及撤回知情同意后相關安排缺失等問題。結合GCP及辦法規定的知情同意制度與ICF簽署要求,以及個保法中對相關個人信息的知情同意合規要求,筆者建議通過以下合規架構的設計,規避相關個人信息處理違規風險。
區別定義。區別定義相關個人信息,將IST中收集、使用、傳輸的與受試者有關的基本個人信息定義為個人信息,而將與受試者有關的醫療健康數據、人類遺傳資源信息定義為敏感個人信息。
明確處理及訪問主體。列舉個人信息處理者及有權訪問相關個人信息的主體,并明確在此處理或訪問情形下,申辦者將實施何種安全措施以保護相關個人信息。
保護受試者隱私。明確個人信息處理者將對相關個人信息去識別化處理以保護受試者隱私,同時釋明擬采取何種去識別化技術手段。
明晰處理目的。說明個人信息處理者的處理目的及情形、此類處理持續期限、相關個人信息預計保留期限。
是否重復使用。釋明IST結束后是否會重復使用該類個人信息。如涉及重復使用,筆者建議明確僅用于與當前IST藥物相同的醫學/科學研究開發項目,如用于其他藥物的研究開發項目則需重新獲得受試者的書面知情同意。
撤回知情同意后的處理權限。明確受試者撤回知情同意前的相關個人信息仍將保留并用于本IST;列出知情同意完全撤回和部分撤回兩個選項,釋明各選項含義(以是否收集后續治療訪視或生存訪視相關個人信息為區分點),供受試者選擇。
結語
以《網絡安全法》《數據安全法》及個保法為框架的個人醫療健康數據保護法律體系對醫藥企業提出了更高的合規要求。醫藥企業應遵守個保法規定的具體原則及要求,在此基礎上謹慎合規地處理相關個人信息,在合法合規的前提下促進醫療健康數據價值的有效轉化。
