章晓祎 张红霞 朱 伟③

1 2016年版CIOMS伦理准则的修订概况

生物医学技术与信息技术的急速发展已在很大程度上改变了过去的研究模式。转化(医学)研究愈发受到重视，许多研究会大量地收集和使用生物材料及健康数据，研究数据的共享和样本库的联结更受鼓励[1]，以及大数据相关研究也逐渐增多[1-2]。这些新变化在快速推动健康相关研究进展的同时也带来了新的风险与挑战，譬如完全的匿名化在大数据集交叉匹配技术面前变得愈发不现实[1]，利用云计算开展生物医学大数据研究时的保密性和安全性问题[3]等也引发了诸多讨论。

为了向这些试图改善重要健康问题的研究提供更明确的指导，确保其使用合理的研究方法，国际医学科学组织理事会(Council for International Organizations of Medical Sciences,CIOMS)于2016年11月末发布了其重新修订的《涉及人的健康相关研究国际伦理准则》[4]。本次修订不仅为生物医学研究的新变化提出了更相宜的伦理指导，同时将CIOMS于2009年发布的《流行病学研究的国际伦理准则》作了合并。修订合并后，新准则的应用范围有所扩大，涵盖了利用健康相关数据开展的研究，并相应地将书名由原来的“涉及人的生物医学研究”改为了“涉及人的健康相关研究”[1]。

修订后的准则在健康相关研究中的数据收集、储存和使用方面，提出了“伦理治理”概念(准则11)，并对网络环境中获取数据用于研究所存在的隐私风险和如何进行保护作了指导(准则12)。本文将主要讨论准则中与健康数据研究相关的内容，并于最后分享两则具体的伦理审查案例。

2 健康相关研究中数据的收集、储存和使用

新准则第12条针对健康相关研究中的数据收集、储存和使用给出了一套详细而完整的伦理规范，被讨论的数据(库)可以是医疗记录、患者病例或任何其他类型的健康相关数据，其范围不局限于患者的个人医疗数据。准则认为，凡是研究中所用数据的数据主体都应被视为研究参与者[1]。

在数据的收集阶段，准则根据两种常见的数据收集目的，分别提出了不同的知情同意选择和要求。一种是以研究为目的进行的数据收集和储存。当为了已知研究目的的研究收集数据时，应获取具体的知情同意(specific consent)。同时应告知研究参与者所收集数据的将来处置措施，说明是否会储存起来，如储存起来是否可用于将来的其他研究等。尽管大部分人认同为了人类的共同利益而将其数据储存用于将来研究，但仍应为其数据的未来使用取得明确授权，尊重研究参与者的知情权以及对自己数据的自治权。

当尚无特定的研究目的而收集数据时，往往会将数据储存用于将来的可能研究。而数据的储存便引入了“伦理治理”的概念，准则要求数据储存之后，机构必须建立一套治理系统，其主要作用是为将来研究中使用数据获得合理授权，运作核心是保护提供数据的个人权利和福利不受损害。治理系统的重要性在于，数据储存用于将来研究的长期过程中，确保数据的储存、使用和最终用途与研究参与者所同意的情况相一致。为了保证治理适当，准则要求治理系统的框架必须至少对以下条款有具体规定：捐赠者授权的获得与撤回、重新联系捐赠者的情况、研究意外发现的披露程序、反馈研究结果的机制、获取数据用于未来研究的情况(包括审查研究方案的团体、将要开展研究的大体类型)、研究受益分配、如何组织病人/社区参与、被委托数据的法人实体、数据质量控制的措施、身份识别信息的保密办法、与数据分析结果相联的个人信息来源等。

在有了适当的治理基础上，对于尚无特定研究目的的数据收集，便可以使用广泛知情同意(broad consent)方式[1]，来对未来限定于某方面的研究进行知情同意。这是因为，广泛的知情同意之所以可从伦理上被接受，则是依靠该机构已有的适当的治理。准则修订工作小组主席曾对此说明，广泛知情同意实际上是同意认可其所在机构的治理系统，由适当的治理系统来替代个人控制其数据和样本[4]。此外，研究伦理委员会将对每一个使用已储存数据的新研究方案进行审查，确保数据捐赠者已经给予了未来研究的广泛知情同意，以及使用用途在同意范围内。

数据收集阶段的另一种目的是常规的临床情形需要。这种情况下，每日会产生大量的医疗健康数据，这些数据通常会按照医疗机构的内部规定被妥善地储存留档。如能使用这部分资源进行合理的研究分析，对于健康相关研究将有重要意义[5]。但在现实生活中，每一次就诊或治疗时即签署一次知情同意书无疑是过于耗费精力的。为了将来可以合理地利用这部分“沉睡”的数据，准则提出：使用常规临床情形下收集的数据须实施知情的选择退出程序(informed opt-out procedure)。表1中罗列了该程序在执行过程中所须满足的四个条件，以及数据使用时不适用的三种情况。

新准则中还提到，常规临床情形下，有一种数据的收集、储存和使用较为特殊，它们由政府相关部门依法建立的数据登记中心负责收集管理，如我国的全国肿瘤登记中心、新生儿遗传代谢疾病数据等。这类数据有利于我们全面、精确地获得整个人群的健康信息，为公共卫生和流行病学方面的研究提供大量资源。因为是从整个人群收集数据，研究负担和受益的分配更为公平，而且很大程度地避免了在数据收集过程中发生选择偏移[1]。基于这些考虑，这类由政府相关部门成立的人群层面的数据登记中心，在收集数据时往往是强制性的。当该部门发起法律规定的研究活动，如疾病监测，而需使用登记中心的数据，这类研究往往不要求伦理审查，那么也不用考虑能否免除知情同意[1]。不过新准则也对这种情况作了限制：(1)当公共卫生部门发起的研究包含可直接接触个人的新研究活动时(如通过问卷调查获得个人信息的研究)，则不能免除知情同意；(2)当数据使用可能超出公共卫生范畴时，则须重新考虑是否满足免除知情同意的条件；(3)当研究使用来自多个数据登记中心时，则应提交伦理委员会进行审查。所以，尽管这类数据在法规规定收集范围，但在使用时我们仍须根据具体情况，考量使用公权力获得个人数据以用于研究是否合乎伦理。

表1使用常规临床情形下所收集数据的知情选择退出程序[6]

须满足的条件不适用的情况患者必须知晓有这样的程序存在当研究带给个人的风险超过最小风险必须提供给患者充分的信息当使用有争议或有重大影响的技术必须告知患者可以撤回数据当研究在高度脆弱性环境中进行必须为患者提供真正反对的可能

在数据的使用阶段，还有可能发生：研究目的超出了(广泛)知情同意、早期收集的临床数据尚未实施知情选择退出程序等情况。在准则12中也相应给出了可以免除知情同意的三个条件：(1)不免除知情同意，研究不可能或不可行；(2)研究具有重要的社会价值；(3)研究对参与者个人或所在群体的风险不超过最小风险[6]。如不满足，则需要重新获取知情同意。

3 健康相关研究中使用网络环境和数字化工具获取的数据

第22条准则针对使用网络环境和数字化工具获取数据用于健康相关研究作了进一步的伦理指导，并着重说明了在此类研究中对个人隐私的保护。在研究开始前应先对隐私风险进行充分评估，并制定相应的安全措施以降低隐私风险，获得合理的数据使用授权后方可进行研究。在研究过程中，准则还要求进行“全程预测、控制、监察和审查数据的使用及其交互影响”[1]。

隐私保护的需要主要来自于此类研究中潜在的数据安全和侵犯隐私的风险。尽管网络环境中有很多信息和数据是公开状态，但数据主体在发布时可能并未设想过该数据会被用于研究，也往往不太了解自己的数据会被如何储存和使用。此情境下，当人们发现自己的信息和数据在不经意间作了他用，可能会感到被侵犯[1]。尤其是当研究中交叉使用了多个来源数据集后，可能会进一步地提高数据主体的身份被识别的风险，从而导致隐私的泄露。

因而，在使用网络环境和数字化工具获取数据用于研究时，准则仍主张研究人员应告知目标个人他们的数据将被用于研究，并获得合理授权。尽管在告知的具体形式上未作说明，准则在应告知的内容上提出了如下三点：(1)使用数据及信息的目的和背景；(2)保护数据安全及个人隐私的措施以及相关隐私风险；(3)所采取措施的局限性以及现有措施下仍存在的隐私风险。当目标人员拒绝授权时，则应放弃使用其数据。当无法联系到个人时，目前大部分网站都有使用条款，则研究者应至少获得网站所有者的许可，确保数据的使用遵循网站已公布的条款。

准则建议伦理委员会参考那些定期更新的隐私和安全措施清单，如世界卫生组织设想采用的，可满足合理恰当的安全保障要求，比如基于ISO27001标准的信息安全措施等[7]。鉴于目前健康相关研究中的数据共享还存在诸多法规和伦理原则需要协调，新准则在主张数据共享的同时，仅概括性地提到了应根据具体控制措施进行必要调整，并为同样隐私风险的研究提供相同等级的保护。

4 数据共享

不论是在传统的研究模式下还是大数据时代下，CIOMS准则一如既往地认可数据共享的价值和必要性。新准则第24条的评注对数据共享的理由进行了辩护、分析了各相关方在数据共享中的风险及利益考量、并提出了如何创建负责任的数据共享文化。负责任地共享临床研究数据是符合公共利益的，但仍需保护受试者的隐私和尊重其同意的权利。为了减少数据共享的风险，双方应遵守一定的数据使用协议，并采取不会影响数据访问权及可用性的安全措施。监管部门应对数据共享的标准和规范进行统一和协调，伦理委员会在审查时则应要求研究者和申办方在报告中纳入其共享的记录。

5 案例分享

近两年，上海市临床研究伦理委员会(其前身为上海医药临床研究中心独立伦理委员会，国内最早的第三方伦理委员会)受理了诸多数据研究的伦理审查申请。根据数据来源，大致包括利用公共数据库的研究、利用企业自建数据库的研究，以下结合两个具体案例进行分析。

5.1 利用公共数据库进行的研究

该项目为上海某医院研究者发起，通过利用上海建立运作十余年的公共医疗数据库中的患者数据，对患者的预后情况进行研究，研究中不额外收集新的数据，对数据的处理分析工作由第三方团队执行。研究所使用的数据库，通过上海市各医疗机构每年采集并输入特定疾病患者的临床及随访病史资料，辅以信息化处理，实现对患者的管理、治疗的质量控制、临床数据分析等功能，是国内起步较早的数字化医疗信息处理平台。其中的数据并非完全向公众开放，对于相关的医疗机构及其科室人员拥有访问权。该研究采用观察性回顾性队列分析的设计，目的在于通过分析数据库中相关资料完整的历史数据，来比较了解两种治疗模式的预后情况。研究结果可以为特定治疗模式是否改善患者预后提供证据，进而可影响将来临床医生的决策。研究中的两种治疗模式对患者和国家的经济负担也有不同，其结果可能影响未来有关的医保政策，故研究结果还可帮助健康管理部门做出有证据支持的决定。

上海市临床研究伦理委员会在审查该项目时，有几点特别考虑之处：(1)免除知情同意的申请是否可以？(2)如何确定该项目的主要研究者可以使用该数据库中的数据？即如何保证数据来源的合规性？

虽然是公共数据资源库，但并不是完全对外开放，仅有相应科室的医务人员有访问权限，如何规避由第三方进行数据处理所带来的潜在的隐私泄露的风险？在主要研究者提交了一系列材料之后，伦理委员会着重审查了研究目的、数据信息来源的合规性、使用权限、信息隐私保护和保密性措施。在知情同意方面，伦理委员会要求主要研究者提供免除知情同意申请的充分理由；在数据使用权限方面，要求研究者提供了公共数据库质量控制中心允许使用该数据库数据开展研究的证明材料；在规避第三方数据处理团队带来的潜在隐私泄露风险方面，补充了主要研究者与第三方团队的数据处理委托协议，其中对委托的工作内容、数据安全、数据保密做出了明确且严格的规定。

最后，基于该研究具有重要的社会价值，所使用的受试者信息均为匿名化处理之后的群体信息，不涉及受试者个人信息；研究者对数据使用权限以及隐私风险控制措施满足伦理审查要求；且该公共数据库涉及人群较多，自1996年开始登记以来并未进行患者知情同意，回溯知情同意的可能性较低；伦理委员会批准了该研究实施，同意了豁免知情同意的申请。

5.2 利用企业自建数据库进行的研究

该研究由企业资助发起，由医院医生担任主要研究者，使用申办方过去自建数据库中的患者信息。该数据库建立的初衷只是用于登记与该企业生产的医疗产品相关的患者随访信息，并非用于特定研究，只有患者注意事项的告知书，没有签署知情同意书。该数据库经过长时间的信息登记，有相当一部分数据具有一定的科学研究价值，如能用于研究分析，可产生对相关疾病的诊疗和预后有用的信息。该数据库在最初登记患者信息时，没有告知其登记的信息可能被用于将来的研究。

在上述背景下，使用该数据库进行健康相关研究，同样面临两个值得探讨的伦理问题：(1)如何重新获得合理的知情同意或是否满足豁免知情同意的要求？(2)研究团队如何对数据进行保密？

伦理委员会经会议讨论，认为就该阶段利用已有数据进行研究的情况，豁免知情同意的理由比较合理，但由于该数据库将一直存在于该企业，且极可能进一步收集患者的预后信息并用其开展回顾性观察研究，伦理委员会从尊重患者自主权和知情同意权的角度，建议该企业在后续的信息收集过程中应提前告知患者所收集的预后信息可能用于将来的研究。对于第二个问题，伦理委员会要求申请人补充提交了伦理委员会认可的数据分享和保密协议。

当然，伦理委员会在审查该研究时特别关注的要点包括收集的具体受试者信息类型、获得授权的方式、数据存储情况、数据使用时的分享和保密协议条款等，根据研究风险、社会价值、重新获取知情同意的难度以及如何尽可能在建库阶段就做好数据主体的知情同意。

6 讨论和总结

从上述两个案例以及上海市临床研究伦理委员会经常接到的一些咨询案例来看，在大数据时代，健康相关研究的开展模式仍在不断更新，曾经因为种种原因所收集储存的患者健康相关数据已显现重要的研究价值。常规临床情形下收集的数据加以研究设计可成为真实世界证据，帮助监管部门监测与决策。这也使业界和政府更加积极地促使健康相关数据的互通互联，从而创造更多研究成果。欧盟的BRIDGE Health项目旨在打通整合欧盟内16个国家800多家医院的健康信息系统，为公共卫生服务和研究提供信息和数据[8]；美国也在积极推动提高电子病历和临床试验数据之间的交互性，使不同系统间数据的交换和二次使用更便捷[9]，临床诊疗与研究的界限逐渐模糊。我国目前也先后出台了系列法规和标准，如《个人信息安全规范》《信息安全技术 健康医疗信息安全指南》(征求意见稿)等，拟对数据使用的隐私风险进行管理和规范，同时也是为促进数据共享搭建治理框架。

尽管主流观点及新版CIOMS伦理准则中认为，免除知情同意的条件之一是不免除则研究不可为，即除非获取知情同意的难度过大，而不可实现，利用健康数据进行研究仍应获得数据主体的知情同意。但是，随着健康数据研究在推动健康研究和新知识方面的巨大社会价值，也有不少学者从另一层面重新探讨这个问题。他们认为，人们保护个人健康数据而享有的各项权利，旨在维护人们的隐私，防止污名化或不公平，不过同时，人们也可从高效利用资源获得其他正当权利及利益，两者之间需要获得平衡。为了合理的研究目的，在恰当的治理和监管下，从伦理上人们有义务去分享他们的健康信息。这为未经明确同意而二次使用个人健康数据进行研究提供了一种辩护，有望进一步扩大其应用范围[10]。然而这并不是说可以任意使用个人健康数据进行研究，恰恰相反，他们倡议，在时间精力有限的情况下，伦理委员会在审查此类研究时，应更关注研究是否符合公共利益，如何促进公众参与和透明度，而非关注获取知情同意的难度和可行性。

在公共健康利益面前平衡个人的数据隐私权，这在欧盟的《通用数据保护法案》中也有所体现。不同于完全匿名的假名化(pseudonymization)数据概念，试图在科学研究中的数据可用性和个人隐私保护中找到一处平衡，从而促进负责任的数据流动和研究[11]。

对于模式较为传统的临床试验、观察性研究或流行病学研究而言，新版CIOMS伦理准则对于研究中的数据收集、储存和使用方面提出的伦理规范是完整而成体系的，但仍有一些新的发展理念在其覆盖范围之外，比如整合了研究和医疗保健两方面优势的学习型互动保健体系(learning healthcare system)。在这一体系中，数据的连接、共享和研究为整个医疗服务体系提供不断改进和创新的驱动力[12]。对于我们而言，可进一步探索如何在常规临床情形下开展知情的选择退出程序，关注数据研究中的隐私风险及其伦理治理，推动数据负责任地共享和研究的同时，使公众真正受益。