李宪辰,康 玫,邱 燕,赫慧琛,耿雯倩,钱碧云，3,祝延红,江一峰，丁雪鹰**

(1 上海市第一人民医院临床研究中心，上海 200080，lixianchenlxc@126.com；2 上海交通大学中国医院发展研究院，上海 200025；3 上海交通大学医学院临床研究中心，上海 200025)

在鼓励发展生物医药产业的政策背景下，由研究者发起的临床研究数量持续增加，因其研究范围广泛，贴近真实诊疗环境，在解决临床问题、提高诊治水平、促进临床创新方面具有重要意义。但与制药或医疗器械企业发起的临床研究相比，多数研究者发起的临床研究缺乏规范管理，对受试者的隐私保护缺乏或不足是其中的重要问题。医疗数据是临床研究的重要基础，是受试者个人信息的重要载体，本文拟对研究者发起的临床研究数据涉及的隐私保护进行分析和讨论。

1 隐私权的基本概念和基本保护要求

隐私权是一种基本的人格权利，个人医疗健康信息属于个人隐私权的保护范畴。无论出于何种目的，利用其开展相关活动的任何行为应当接受法律或法规监管。《赫尔辛基宣言》要求“必须采取所有预防措施保护研究对象的隐私，必须对他们的个人信息给予保密”。为充分保护个人隐私权，各国政府或地区纷纷出台相关法律或规范性文件。如美国的《HIPAA》，欧盟的《通用数据保护条例》，加拿大、澳大利亚、日本、新加坡等国也建立了相应的数据保护法案，并在实践过程中不断完善[1]。我国目前尚无明确的单独立法，相关保护规定体现在不同的法律、法规中，如《中华人民共和国网络安全法》等，但尚未针对健康医疗信息进行明确要求。2018年国家卫生和计划生育委员会出台了《国家健康医疗大数据标准、安全和服务管理办法(试行)》为健康医疗数据的利用提供了指导意见。根据相关法律及指导意见，及时发现隐私侵犯风险，对医院临床研究的数据利用行为进行管理是医院科研管理或研究数据管理部门的重要任务。

2 研究者发起的临床研究数据涉及隐私侵犯的常见问题

2.1 数据处理和分析手段的进步加大隐私泄露风险

临床研究中的数据来源包括一般临床数据、生物数据、健康设备数据和管理数据。这些数据散布于各个系统，来源较为复杂。随着互联网与信息技术的快速发展与进步，多数医院已经完成信息系统的搭建与整合工作。同时，人工智能、自然语言处理与大数据分析的应用将可提取的信息量进一步提升，为临床研究的多场景应用提供了更加便利的条件，但信息体量的增大和分析技术的进步带来了更多的隐私侵犯风险。大数据技术可高度聚集包含个人敏感信息的数据[2]，其所依赖的平台和技术人员可能无意识泄露，或通过贩卖牟利或因遭受外部攻击而被盗取。统计数据显示，医疗行业的数据泄露威胁高居行业首位，远高于排名第二的金融行业[3]。

2.2 研究者对隐私保护的认识不足

临床研究应结合研究目的与设计类型合理设置数据指标与采集范围，涉及敏感信息还应独立收集或采取保密措施。在实际开展的临床研究中，有研究者出于方便目的直接套用其他研究的数据采集表或为获得更多信息而设定宽泛的采集范围，体现了研究者对研究数据非必须采集则不采集的认识不足。有研究者在数据采集表上直接收集受试者的姓名、手机号码、身份证号、家庭住址、财产状况等高度敏感信息，未独立保存或采取适当的保密措施，反映了研究者对受试者敏感信息的保护意识不强，一旦敏感信息泄露，将侵犯受试者的个人隐私。此外，研究者在撰写知情同意书或实施知情同意时对个人信息收集知情不规范的现象亦较为常见。

2.3 研究数据存取缺乏安全审查机制

信息化使得临床研究的数据更容易获取，纸质方式的数据收集与管理已逐渐被电子化工具取代。目前常见的存储方式主要有电子文档或表格、第三方数据库、科研系统等。电子文档或表格类数据相对简单，方便研究者自行管理，但多数缺乏充分的保护措施。第三方开发的数据库或网络数据系统在数据管理功能上比前者有所提升，但大量的数据库未经过安全认证，或数据全托管于服务商而非研究者独自占有。因缺乏实质性的安全审查与权限监管机制，此类数据处于信息泄露的高风险地带。

2.4 数据利用及共享过程缺乏保护措施

通过邮件、U盘或网络硬盘等方式发送数据委托他人进行分析，按照相关杂志、注册网站要求等提交研究数据是常见的研究数据利用及共享方式。在此场景下，数据全部传输，隐私、敏感数据未进行脱敏处理等无保护措施的问题发生较多。如通过对中国临床试验注册中心网站下属临床试验数据共享平台上发布的研究数据进行检索发现，部分共享研究数据中包含受试者姓名，甚者还包含电话、家庭住址等明码标注的敏感信息。通过简单的搜索，无需注册即可下载获取。缺乏足够的安全意识、专业加密或数据脱敏措施的可及性较低是此情形下引发隐私侵犯的主要原因。

2.5 研究数据的销毁尚没有明确规定

根据相关法律法规要求，临床研究的数据应当保存以备核查，一般不存在数据销毁事件。但在真实的数据管理过程中，用于存储数据的设备因各种原因需要维修或更换。由于数据存储依赖介质的磁性，简单的删除或格式化操作并没有完成对数据的实际销毁，可通过技术手段进行数据的高度复原[4]。目前，临床试验的相关法律法规，技术指导文件等均未对此问题予以明确规定或指导[5]。数据销毁的要求虽不常见，但在数据保护以及受试者隐私保护方面的风险应当予以重视。

3 临床研究中对受试者隐私数据保护的建议

3.1 建立或完善临床研究数据管理体系

数据安全管理是医院的重要任务，亦有相应的管理部门、体系以及制度。但临床研究的形式多样，对受试者隐私保护以及数据管理提出更高要求。现有的数据管理体系和制度管理范围有限，对数据的使用和限制非常严格，不利于临床研究的开展。随着对研究者发起的临床研究规范性与质量的重视，以专业化方式管理临床研究数据势在必行。有必要完善现有的医院数据管理体系或设立专业的临床研究管理部门，结合《临床试验数据管理工作技术指南》[5]《DAMA数据管理知识体系指南》等相关法律法规或技术指导文件，从医院整体和项目操作层面建立完整的临床研究数据管理体系，以确保数据质量、安全、完整、可用与可理解[6]。

3.2 加强对临床研究数据管理的伦理审查

医院伦理委员会是保护受试者利益、推进科学研究开展的重要机构和保障。《涉及人的生物医学研究伦理审查办法》为伦理委员会审查研究项目提供了较为全面的指导，其中涉及患者个人隐私保护的内容主要有：研究应当符合保护隐私的伦理原则；申请材料是否有对受试者个人信息及相关资料的保密措施；知情同意书中是否包含对研究数据和受试者个人资料的保密范围和措施等[7]。对于数据收集的具体指标是否合理、数据采集表或病例报告表是否涉及敏感信息、研究过程中是否发生数据泄露或超范围采集数据等行为的审查较少。因此，加强伦理委员会对临床研究中涉及个人隐私相关数据的审查是受试者隐私权益保护的重要措施。应当考虑从以下方面加强对临床研究数据管理的伦理审查：临床收集数据涉及个人隐私的范围和定义是否恰当、明确；涉及个人隐私数据方面的知情同意告知是否规范、充分；研究过程中实际存取、使用和管理数据的行为是否合规；受试者个人隐私的保护措施是否执行到位等。此外，还可通过设置数据管理专业的伦理审查委员席位以确保相关审查的科学性和持续性。

3.3 提高研究人员对隐私保护的认识

研究者是直接收集、使用患者相关数据的主体，提高其对受试者隐私保护的意识是保护受试者个人隐私权益的重要基础。该群体所接受的受试者个人隐私权益保护的教育内容相对较少，培训严重不足，导致其缺乏足够的保护意识[8]，是造成目前受试者隐私数据泄露的主要原因之一。有必要对研究者广泛开展受试者隐私数据保护教育，主要包括①充分告知受试者。对于数据采集的对象，应当尽可能地将数据采集、存储和利用方式充分告知受试者;②最小化原则[1]。仅采集必要的医疗数据。委托他人进行数据分析，应当提供脱敏或非详细数据；③确保数据安全。涉及患者的个人隐私数据应当与研究数据隔离并妥善保存。并按照研究目的和研究职责，严格控制数据的访问权限。

3.4 开展临床研究数据隐私保护的相关研究

由于信息技术的高速发展，数据的获取和传播相对容易。除建立数据管理体系、加强伦理审查和提高隐私保护意识外，还应针对目前数据管理中的一些技术热点，在医学研究领域开展转化和应用研究。如采用何种技术可安全高效的管理研究数据的采集、存储与备份；除物理方式破坏外，探索对待销毁数据更有价值的处理方式；优化研究数据共享传输过程中的加密技术和脱敏算法等[9-10]。

4 展望：在医学研究和隐私保护之间寻找平衡

临床研究涉及的数据范围广泛、类型多样，给患者隐私保护带来较大挑战。通过识别研究者发起的临床研究中涉及个人隐私侵犯的常见风险，建立数据管理体系、加强伦理审查和提高隐私保护意识是确保临床研究数据质量、保护个人隐私不受侵犯的有效措施。除本文所提及的院内数据外，健康隐私数据还包括医疗保险、智能健康终端设备和社交媒体等。这类数据亦是临床研究的数据来源，由于面临的环境更加开放复杂，如何确保开展医学研究与保护受试者个人隐私权益之间的平衡是一个需要持续讨论的问题。对欧美等发达国家或地区出台的健康保护法案对医学研究影响的研究表明[11-12]，健全法案的出台对个人的隐私权进行了全方位的保护，但同时也对研究的向前发展造成了一定的阻力。我国正处于隐私保护不断完善和医学科研需求高速增长的时期，除借鉴发达国家和地区全面的隐私保护政策以外，围绕数据管理体系建设、数据安全防护技术、隐私保护与医学科研需求平衡等方面开展研究，是促进医学研究事业进步，保护受试者个人隐私权益的重要工作。