刘瑞爽

1 背景

大数据时代开启了一次重大的时代转型[1]159。信息技术的高速发展，医学研究迅速向数据密集型发展[2]，个人敏感数据如基因数据、生物识别数据以及个人健康数据正以史无前例的规模被重复利用和链锁，这无疑会显著提高人类的健康水平，但同时对小数据时代的传统伦理审查机制带来了挑战，伦理审查实践中也产生了诸多的新问题。例如，依据我国相关法律规定，《药物临床试验质量管理规范》(Good Clinical Practice,GCP)、《涉及人的生物医学研究伦理审查办法》，医学研究中的伦理审查是法定的受试者保护机制，知情同意与伦理委员会是法定的受试者保护主要手段。但是，大数据相关医学研究中，仅靠个人的知情同意和伦理委员会审查已经不足以有效保护个人基本权利，尤其是个人数据权利(个人数据权利与个人信息权利因内涵趋同，国际上通常混用[3]11-15)。再如，传统的具体知情同意方式已不足以应对大数据时代的数据反复挖掘使用的特点(如对生物样本的基因数据处理)。还如，小数据时代的数据安全措施已经不足以应对大数据时代对特定个体身份的再识别等。为了应对大数据时代的挑战，保护个人数据权这一欧盟宪法确立的基本权利，欧盟出台了《通用数据保护条例》(General Data Protection Regulation，GDPR)，于2018年5月25日生效。结合我国实践，与我国现行伦理审查法律、法规相比较，GDPR对我国医学研究伦理审查有着较为全面的启示和借鉴意义。

2 对医学研究伦理审查理念的启示与借鉴意义

2.1 对不同数据处理目的的理解、判断与区别化处理原则

大数据时代，数据处理目的相互掺杂、转化迅速，难以简单笼统地划出各个目的的清晰边界。依据GDPR规定，数据处理目的不同，数据的处理具有相对应的具体措施，例如，对商业目的的数据处理，须严格遵循一般数据处理原则，全面保障个人数据权利。但特殊目的的处理除外，例如，GDPR第八十九条具体规定了以科学研究目的处理个人数据相关的保障与权利克减(derogation)。GDPR在其前言中专门指出，对于研究目的应做广义的解释，其中包括“技术开发与发展、基础研究、应用研究和私人资助的研究”，其保障科学自由、鼓励创新、灵活务实的立法精神跃然纸上，这一点特别值得我国借鉴。

相较于小数据时代，大数据时代数据处理的各种目的往往掺杂、交织在一起，难以截然分开。小数据时代的科学研究，通常是基于一个或若干假设，再设计研究方案，沿用小数据随机抽样的思维，采用小数据时代的技术(如随机双盲对照)，开展研究并对数据进行统计学处理，最终对研究中假设进行验证。该小数据研究是商业目的还是科学目的，比较容易区分、判断。不同于小数据时代有限的记录、存储、运算等能力，大数据具有“5V”的特点，采用“样本=总体”的全数据思维模式[1]27-44，其算法、算力完全可以处理小数据时代不可能处理的数据，可以做到不再以假设为出发点，而通过对全数据的分析反复挖掘新的关联，并进行分析、解释、转化、使用、预测，可以说能够做到在实践中研究，研究后迅速转化为实践所用。如此循环往复，各种目的相互掺杂、互为动力、转化迅速，促进商业活动中发现新关联、新规律。除此之外，公共利益、国家利益、其他个人利益在各个目的的数据处理过程中均有可能涉及，例如涉及公共卫生的大数据研究或健康医疗大数据平台的建立，均涉及研究目的、商业目的、公共利益建档目的等各种目的掺杂、转化的问题。在大数据时代，我们应当注意到个人数据处理目的不再单纯这一特点，借鉴GDPR对科学研究的宽泛解释及鼓励科研的精神，在伦理审查中应具体到个案，以宽泛的态度，具体分析某一处理活动是单纯为了某一研究目的，还是掺杂了诸如商业、公共利益建档等目的。如果宽泛理解该个案与研究目的相关，就可以依据公认的伦理标准与法律规定，为了研究的顺利进行，考虑对数据处理的原则予以宽松、对某些个人数据权利予以克减。

2.2 确立“谁的信息谁做主”的保护理念

2.2.1 “谁的信息谁做主”的保护理念在GDPR中的体现

GDPR要求在数据处理全程的每一个细节均应保护个人数据权利，医学研究当然也不例外。GDPR确立了“谁的信息谁做主”的保护理念[3]19，是“权利意识、契约精神”的法治精神在大数据时代的体现，对于医学研究的伦理审查必不可少。

个人数据处理原则体现了“谁的信息谁做主”的保护理念。欧盟个人信息保护模式被称为一套监管体系标准之下的“原则驱动体系”，GDPR第五条规定的个人数据处理原则有：合法、公开透明；目的限制；最小必要；数据准确性；数据存储限制；数据完整性、保密性；数据控制者责任。从这些原则看，“谁的信息谁做主”理念基础在GDPR中是不可动摇的。

GDPR明确赋予自然人个人数据权利，体现了“谁的信息谁做主”的保护理念。GDPR明确规定了数据主体对数据处理享有的权利包括但不限于：知情权、数据访问权、更正权、删除权(被遗忘权)、限制处理权(冻结权)、对自动化决策(包括画像)的自主权、数据可携带权(复制权)、反对权、随时退出权、申诉权等。

GDPR明确规定了数据控制者、处理者保障个人数据权利的义务及责任的转移，体现了“谁的信息谁做主”的保护理念。与个人数据权利相对应的是，GDPR规定了数据控制者、处理者(无论是政府机构、商业机构还是其他组织、个人等)应当采取符合最小必要原则的适当的技术与组织措施保障这些权利的义务，例如GDPR在第十三条和第十四条明确规定数据控制者应建立向数据主体充分告知的机制与模式，告知的信息包括从数据收集、存储、加工、分享、使用等数据处理全流程的相关信息。GDPR第四章规定了数据控制者、处理者的数据安全保障义务。例如， GDPR规定控制者应采取适当的技术与组织措施(如匿名化)执行数据保护原则(如最小必要原则)，应将个人数据保护的理念内嵌于数据处理的全流程。控制者应确保并能够证明数据处理是依据GDPR所进行，必须制定合规的数据保护政策，并“举证责任倒置”，由控制者对自己的行为是否合规承担举证责任，而非由数据主体举证证明数据控制者是否合规。在处理个人数据前应进行充分的风险评估，必要时进行事先的风险咨询。在个人数据泄露时应视情况报告监管部门并通知数据主体。前述手段只是GDPR所要求数据控制者需要履行义务的一部分，但足以证明这些义务都是为了保证个人数据处理原则的贯彻与个人数据处理权利的实现，足以体现“我的信息我做主”的信息自决理念。在这一理念驱动下，GDPR传递的信息是：自然人对与其相关的个人数据享有人身及财产权利。

在个人数据权利受到损害后，GDPR规定了个人的行政、司法等充分、有效的权利救济(例如，除传统的个人可采用的民事、行政、刑事救济手段外，还规定了公益诉讼手段)，对赔偿权利予以了有力保障，充分体现了对“我的信息我做主”的理念的保障。

简而言之，结合GDPR全文语境，GDPR的逻辑前提是个人数据属于自然人，数据处理活动关乎自然人的人身权与财产权。在此逻辑前提下，GDPR制定了体现“谁的信息谁做主”的个人数据处理基本原则、数据主体的基本权利、数据控制者、处理者的数据安全保障义务与责任、数据处理知情同意具体制度、数据泄露的救济途径等机制。GDPR关于对个人数据保护的原则将“我的数据我做主”的理念贯穿于个人信息处理的各个环节。数据是我的，如何处理，以我的意见为主，这是第一重要的，其次才是你如何用的问题[3]49。如果没有“谁的信息归谁所有”的逻辑前提，GDPR将如同无本之木、无源之水。

2.2.2 “我的信息我做主”在我国法律中的体现及医学研究伦理审查中的运用

相较于GDPR，尽管我国法律尚未明文规定个人数据的权属，但也是以个人信息属于个人所有为逻辑前提的。例如，《网络安全法》第四十一条规定，收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。如果不以个人拥有对其个人信息的人身权、财产权为前提，法律不会作出“我的信息我做主”这样的规定。

实践中，不乏有人认为个人数据被采集之后，在数据控制者、处理者的控制尤其在加工之后，谁掌握数据，谁就当然享有对数据主体之个人数据的财产权益。例如，不乏有医务人员认为因病历为医务人员书写形成，故病历中个人信息属于医院，不属于患者，医务人员可以对病历随意用于研究，这显然是缺乏伦理、法律依据的，违背“我的信息我做主”的法治精神。尊重患者个人数据保护权、“谁的信息谁做主”的理念需要被进一步落实，纠正实践中在未获得知情同意的情况下擅自将病历用于医学研究的乱象，保障个人数据权这一基本权利。

2.3 保护个人数据权利的必要性

在尊重个人数据保护权的前提下，平衡好个人数据保护与数据流动中各方利益，是GDPR的主线，贯穿于GDPR全文。这一主线对我们的启示是：保护个人数据权利，与促进数据流动并无矛盾。只有有力保护数据主体的个人数据权利，方可保证数据流动的有序性；只有数据流动是有序的，方能符合人类利益、国家利益、公共利益、自然人利益等多方利益的平衡，避免人类历史上最大挑战中的“科技颠覆”对人类的威胁[4]。

有人认为，大数据时代强调个人信息权利保护会影响数据流动的效率、阻碍创新。这种观点是错误的。大数据时代，更应强调个人数据的保护，这是人文主义的基本要求。对个人信息保护不力，损害个人基本权利，进一步导致人人自危，其危害包括但不限于：一是数据泄露的风险指数级增加会冲击个人隐私与安全。二是会给企业、科研机构带来不利影响，阻碍创新。例如，“信息孤岛”和“信息滥用”的并存；不规范的企业以数据创新之名，行数据倒卖之实，最终形成“劣币驱逐良币”，遵守伦理与法律的企业的合法权益反而被不正当竞争所侵害。三是对国家竞争力和国家安全不利[3]2-3。因此，对个人数据予以积极保护，并尽快予以立法规范，在医学研究伦理审查中应坚持对个人信息权益的保护为重点审查内容。

电脑消费主要有有两大特点：一是消费额度偏大，电脑几乎是大学生最昂贵的消费，不仅价格高，而且涉及到电脑宽带网络服务的费用也不小，当电脑出现问题时所需的维修费用也不菲。二是对于实用性的要求越来越高，很多办公软件以及绘图软件必须依托电脑完成，无论是在情感需要还是在学习需要，大学生消费时最关注的地方依旧是电脑产品的价格和实用性。

2.4 风险观念的转变

2.4.1 数据泄露的风险体现在数据处理全程的各个环节

GDPR以“概括+列举”的方式对“数据处理”作出全面、严谨的定义：数据处理是指任何单一或系列针对单一个人数据或系列个人数据所进行的包括但不限于自动化形式的操作行为，例如，对个人数据的收集、记录、组织、构造、存储、调整、更改、恢复、咨询、使用、通过传输披露、散布或其他方式对他人公开、排列或组合、限制、删除或销毁。在医学研究中处理数据的各个环节，均存在个人数据泄露的风险，这需要医学研究方案中体现研究全程对数据安全措施予以全面、具体的规划与设计。

2.4.2 大数据时代的数据处理往往存在高风险

实践中，有的伦理审查委员对于“不伤害”狭义地理解为不伤害身体，对风险的认识仍停留在仅关注生命健康、安全方面，忽视了大数据时代个人数据被不正当处理、个人信息泄露、侵害隐私权所带来的社会心理风险。不同于“小数据时代”，大数据时代被不正当处理、个人信息泄露所带来的社会心理风险不仅远远高于“最小风险”，甚至往往会产生高风险，一旦个人信息泄露，可能会对数据主体(受试者)产生极其严重的后果，例如，大数据时代的用户画像、虚拟人、基因分析与解释等可能带来的对个人甚至是对其家族成员带来的歧视风险、心理焦虑或压抑。大数据时代，甚至带来的是对公平正义新的诠释、对人的自由意志的挑战[1]195。因此，在医学研究伦理审查中，应转变观念，不仅要重视受试者生命健康安全，也要重视数据安全，高度重视大数据时代个人数据(尤其是健康相关数据、基因数据等敏感数据)泄露的风险，防患于未然。

3 对医学研究中数据处理原则的启示

3.1 医学研究应遵循一般数据处理原则

GDPR第五条规定了一般数据处理原则：合法、公平、透明；目的限制；数据最小化；数据准确；限期存储；数据的完整性与保密性；行为者责任(举证责任倒置原则)等。我国《网络安全法》也明确规定了数据处理的“安全、正当、必要”原则，可见，在数据处理原则的立法精神上我国法律与GDPR是一致的。我们应借鉴GDPR，对 “合法正当必要”原则进一步细化，以利于具体操作。

3.2 医学研究在数据处理原则方面的特殊性

3.2.1 医学研究在个人数据处理原则方面的宽松

3.2.2 关于特殊种类数据(个人敏感数据)的处理原则

GDPR原则上禁止对敏感数据的处理，除非符合法律明确规定的条件，例如科研目的的数据处理。健康相关数据、生物识别数据、基因数据等属于个人敏感数据，医学研究中通常涉及这些特殊种类的数据处理，按照GDPR属于合法处理。但鉴于个人敏感数据处理的高风险性，对于医学研究中的数据安全措施及知情同意则应有更高的要求，而不是更宽松的要求。

4 对医学研究知情同意的启示

4.1 对传统知情同意的细化补充

实践中，有的知情同意过程浮于表面，仅追求签字，不追求让受试者真正知情理解，知情同意沦为形式，不能真正保护受试者的知情后自主决定的权利。而GDPR对知情同意书及知情同意过程全面而具体的规定，有助于医学研究中知情同意过程对程序正当的保证。GDPR规定，一般情况下收集个人数据应获得数据主体的明示同意。数据主体的“同意”指的是数据主体通过某个声明，或者通过某项清晰的确信行动而自由给出的、具体的、充分知悉的、不含混的表明同意对其相关个人数据进行处理的意愿。GDPR对知情同意的重视贯穿全文，不仅重视知情同意定义的周延，更重视知情同意过程的可操作性，对于知情同意书则要求语言简洁、通俗易懂、易于获得，撤回同意与给出同意应同样重要等。

4.2 关于再次使用数据前的告知与泛知情同意

关于大数据研究(包括生物样本库研究)，GDPR的最大亮点之一在于对泛知情同意的认可。GDPR规定，在数据收集时通常无法完全确定用于科学研究目的的个人数据处理的目的。因此，在符合公认的科学研究伦理标准时，应允许数据主体同意在某些领域的科学研究。数据主体应有机会在预期目的允许的范围内仅同意某些研究领域或研究项目某个部分。在伦理审查中，我们通常可以批准研究采用泛知情同意的方式(如生物样本库的相关研究往往采用泛知情同意的方式)，其依据主要是公认的伦理标准和效力较低的、语义含混的部门规章，但缺乏狭义法律层面的明确规定。GDPR的这一规定则意味着泛知情同意在欧盟有了明确的法律依据。笔者认为，我国也应在个人信息保护立法方面明确规定泛知情同意的合法性，以利于做好尊重自主原则与大数据创新之间的平衡。

4.3 研究中对去识别数据处理的知情同意豁免

知情同意原则上应当适用于已识别的(identified)或可识别的(identifiable)自然人有关的所有信息；反之，如果信息不可识别，则可以免除知情同意。因此，确定信息是否能够用于识别特定人至关重要。GDPR规定经假名化处理的个人数据，如果通过结合其他信息即可指向某一自然人的，该信息也应被视为可识别信息。问题是，大数据时代，符合这种条件的信息越来越多，而且不具备特定性，在某一个场景不可识别的，在另一个场景则属于可识别信息。那么，伦理审查中如何具体界定信息是否已经去识别呢？GDPR指出，在确定某一方式是否可能被用于对受试者的再识别时，应考虑所有的因素，如时间成本、金钱成本以及技术的可行性。如果确定在考虑了上述因素后，研究所涉及的数据仍属于不可识别状态，则在本次科学研究中可以免除知情同意。实践中，有研究机构和医疗机构达成协议，由医疗机构对病历资料去识别，然后提供给研究机构去识别的数据，那么此类研究中是否可以免除知情同意呢？这需要具体到个案进行分析。例如，如果在初始采集患者个人信息前，医疗机构已经告知患者可能将其个人信息用于某领域的研究，则符合泛知情同意的要求，研究机构可以免除本次研究中数据处理的知情同意。如果在初始采集患者个人信息前，医疗机构没有告知患者将其个人信息用于某领域研究，或者明显超出原初采集的研究目的，这时医疗机构将去识别数据提供给研究机构开展研究，则缺乏知情同意要件。该行为属于秘密取得患者个人数据，违反合法、公平、透明的原则，违反医疗机构保密义务，实际上剥夺了患者个人数据权利(如知情权、异议权、随时退出权等)，侵害了患者的人格尊严，危及医患信任关系。因此，尽管属于去识别信息，研究机构也不宜当然免除本研究目的的知情同意。

5 对医学研究中保护受试者权利的启示

5.1 数据处理中应尽可能尊重个人数据保护权利

GDPR规定了所有数据处理情形的个人数据保护权，如知情权(获得信息权)；访问权(查阅权)；更正权；删除权(被遗忘权)；限制处理权；关于更正或擦除或限制处理中的被通知权；数据携带权(可复制权)；反对权；对自动化决策(包括用户画像)的自主决定权、申诉权、获赔权等。尊重与保护个人数据权利是第一位的，即便科研目的的数据处理在原则方面有所宽松、权利有所克减，但毋庸置疑的是研究目的的数据处理应当尽可能地保护个人数据权利。

5.2 医学研究目的个人数据保护权利的克减

GDPR规定，个人数据权利不是绝对的。如果强调某些个人数据权利可能彻底阻碍或严重阻碍医学研究的进行，可以在符合法定情形的前提下，对其访问权、更正权、限制处理权、反对权等权利进行克减，以利于医学研究的开展。前述权利克减的法定情形包括但不限于：(1)满足特定目的：如医学研究目的；(2)此类权利可能彻底阻碍或严重阻碍实现上述目的；(3)克减对于实现上述目的是必要的；(4)采取了必要的措施，例如适当的技术与组织措施保障数据安全，遵循最小必要原则等数据处理原则，前述措施足以保障数据主体的基本权利与自由。

6 强化医学研究中申办方、研究方的数据安全保障义务

一切皆可数据化。只要技术上达到了一定的水准，人类一切活动均可予以数据化[1]123，然后这些个人数据可被用于研究，如进行数据画像，探索规律，这使得创新有了前所未有的广阔前景。但技术高速的发展犹如一把双刃剑，不仅受试者，伦理审查委员也不一定看得懂技术，甚至专业人士，如数据科学家也不一定能够窥及大数据技术的全貌。对技术不甚了解，使得伦理审查对研究的风险不再有足够的能力去把握，这时仅靠传统的知情同意和伦理委员审查已经不足以保护受试者的合法权益，“只要同意就可免责”已经不适用大数据时代的研究，新的风险评估、数据安全与责任承担等机制亟待建立与完善。基于此，正如国际通行做法，GDPR将责任向控制、处理数据的行为者转移，对风险评估、数据安全保障做了新规定，采取了过错推定责任及举证责任倒置，由研究者、发起者等控制、处理数据的行为者来证明充分履行告知义务以及采取了适当的技术与组织措施保障数据安全及受试者数据权利。如果违反条例规定，造成损害，除了对受害人民事巨额赔偿外，还将承担最高达全球收入4%(或者2 000万欧元)的巨额罚款，违法成本之高足以起到震慑作用，例如，最近脸书(Facebook)公司因对欧盟300万用户个人数据泄露负有责任，可能会被处以数亿欧元的处罚[5]。因此，如何履行好数据安全的义务，以保障个人信息权利，是医学研究伦理审查中要重点关注的。我们可以借鉴GDPR的规定，要求控制者应当考虑数据处理的性质、范围、语境与目的，评估数据处理对自然人权利与自由所带来的不同概率和程度的风险，之后采取适当的技术与组织措施，以保障数据主体的权利和自由。何为“适当的技术与组织措施”？GDPR列举了匿名化的技术措施、有约束力的企业规则、充分的保障措施、数据保护专员的设置、数据控制者选任有资质的处理者、全程数据记录并保证完整性、个人数据泄露的报告与通知义务、个人数据泄露后的补救措施、行业的认证机制等。GDPR指出这些并不是全部措施，而强调应穷尽一切可能的合理方法去保障数据安全。在伦理审查中，判断这些措施适当与否，需要在具体案例中综合法律、伦理、技术、成本等因素全面分析和考虑。正如GDPR所规定的，在医学研究中，最基本的标准是要遵循一些公认的伦理原则，如，尊重、自主、有利、公正等原则，对数据善加利用，同时还应当遵循目前的医学研究相关法律法规。目前，常见的技术措施有匿名化、身份隐私、内部权限、加密技术等。随着计算机技术的发展，针对表格型、图像/视频型、信号型、文本型数据采取相应的去识别技术，这方面的进步，有助于科学家以最小的数据泄露风险获得医疗大数据[6]。

7 对国际合作医学研究中数据出境的启示

GDPR采用 “长臂管辖”，因此，尽管研究是在中国开展的，但与欧盟成员国之间的国际合作医学研究，仍应严格遵循GDPR的规定。关于数据的跨境传输，GDPR规定在满足充分性决定条件或者适当的保障措施后，可以将欧盟的个人数据传输给第三国或地区、国际组织。第三国或地区、国际组织满足充分性决定的条件诸如：法治、尊重人权与基本自由等。适当的保障措施诸如：公共当局或机构之间具有法律约束力和可执行的文书；有约束力的机构规则；经批准的标准数据保护条款；具有约束力和可执行的承诺；数据保护合同等。笔者认为，GDPR在国际合作方面给我国的伦理审查启示包括但不限于：(1)数据国际传输应符合国家关于健康数据尤其是人类遗传资源的跨境传输的法律规定；(2)鼓励数据本地化存储；(3)应告知数据主体跨境传输的事实，征得数据主体的知情同意；(4)数据跨境传输的国家、地区或国际组织的数据保护水平应不低于中国法律的要求；(5)机构层面，应制定在健康数据跨境传输方面的有约束力的机构规则或采取适当的保障措施。这些都是伦理审查中必须重视的。