陈 潮 杨 铭 李 雪 陈晓云

近年来，在全球医药产业创新发展的背景下，真实世界研究(real world study，RWS)越来越引起人们的关注。从国外看，2016年美国通过《21 世纪治愈法案》[1]提出“真实世界证据”(real world evidence，RWE)，2017年～2019年陆续发布《使用真实世界证据支持医疗器械监管决策》[2]《真实世界证据计划的框架》[3]等。从国内看，2019年国家药品监督管理局药品审评中心发布了《真实世界证据支持药物研发的基本考虑》[4]《真实世界证据支持药物研发与审评的指导原则(试行)》[5]等文件，为指导规范RWE用于支持药物研发、审评，保障药物研发工作质量和效率提供了政策支持[6]。整体来说，RWS贴近真实的诊疗环境，样本量大、随访周期长，但与随机对照临床试验相比，系统性管理相对缺乏，受试者的隐私保护更是容易忽略的环节。本文针对RWS的特点，探讨受试者隐私保护的相关问题及注意事项。

1 RWS的隐私保护范畴与现状

1.1 RWS的定义

RWS即在真实世界环境下收集与患者有关的真实世界数据(real world data，RWD)，通过分析获得医疗产品的使用价值及潜在获益或RWE。RWS的类型大致分为非干预性(观察性)研究和干预性研究[5]。

1.2 RWS隐私保护的范畴

RWS中涉及隐私的数据主要包括:(1)人口身份信息，包括姓名、年龄、性别、民族等统计学信息以及证件(身份证号、居住证、护照号、社会保障卡号等)；(2)通讯信息：电话号码、邮箱、账号等；(3)生物识别信息：基因、指纹、声纹、面部特征、步态信息等；(4)健康状况信息：受试者的疾病史、家族史、化验结果等个人的医疗记录，传染病史、女性生育史或男性性功能等信息；(5)医疗支付数据：医疗交易信息和保险信息；(6)公共卫生监测数据：药品安全性监测、死亡信息登记、健康监测[7]；(7)其他涉及人格尊严、人身、财产安全的个人信息。

1.3 RWS隐私保护的现状

RWS因其研究范围广、疗效指标多、时间跨度宽、数据量大等特点，给隐私保护带来了更大的挑战，加之研究者认识不足、管理体系建设不完善等问题，RWS隐私泄露风险更大，问题更复杂。虽然在法规和文件中多次强调保护受试者隐私，但是在实际操作中并没有引起足够的重视[8]。主要问题表现如下。

1.3.1 管理制度不健全

最新颁布的《个人信息保护法》明确规定，国家网信部门和国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作，对个人信息保护和监管职责作出规定，包括开展个人信息宣传教育、指导监督个人信息保护工作、接受处理相关投诉举报、组织对应用程序等进行测评、调查处理违法个人信息处理活动等。但部分医疗机构缺乏患者个人隐私有关的管理体系及制度，加上经费及信息技术人员短缺等问题导致信息系统的数据保护技术手段落后无法满足安全需求。造成没有访问权限的研究者利用他人权限或系统漏洞直接获取患者信息用于研究。

1.3.2 隐私保护意识缺乏

(1)申办方：RWS在药物研发中愈发重要，申办方、招募公司等在巨大利益驱动下非法采集，甚至贩卖受试者信息，导致受试者隐私泄露，侵害受试者权益[9]。(2)研究者：部分研究者隐私保护意识淡薄，医疗机构缺乏有关个人隐私保护的培训。RWS对受试者入选和排除标准限制相对宽松，导致很多研究者为获取更多数据而设定超越研究目的的数据采集范围。此外，较多研究者仅从自身或研究的角度考虑问题。例如，在研究人员所在的文化背景中可以公开的信息，在受试者所在的文化背景中可能就是隐私[10]。(3)受试者：有研究表明，因患者对知情同意相关认知、标本处理流程的关心度及认知度较低，对自身隐私信息不够重视，未意识到自己权益受到侵犯[11]。

1.3.3 技术壁垒

RWS使用的数据库五花八门，大部分缺乏安全评估及认证，数据存储环境不符合隐私保护要求。

1.3.4 伦理委员会作用未充分体现

一些医院伦理委员会审查RWS项目忽略受试者隐私权益保护，缺乏对于研究数据是否涉及敏感信息及数据安全性的审查。医疗机构亦未赋予伦理委员会统筹协调及惩处权利，造成伦理委员会无权限监管RWS中的数据使用，无法开展调查与监测，确保受试者权益。

1.4 真实世界受试者隐私保护的法规依据

1.4.1 法律规范明确了隐私保护原则

2020年颁布的《民法典》在个人隐私保护方面体现三方面基本理念。(1)以合法性为前提，总则编第111条明确“获取他人个人信息，应当依法取得并确保信息安全”，主要是为限制非法收集、使用、买卖以及提供他人个人信息等违法行为。(2)以有限性为入手点，人格权编第1 034条～1 039条规范了信息数据获取范畴，着重惩治超权限、超研究目的获取和使用个人信息等行为。(3)以责任性为落脚点，侵权责任编第1 126条明确“医疗机构及其医务人员应当对患者的隐私和个人信息保密”，聚焦现实中存在的侵犯隐私责任承担主体不清晰等客观问题。

具体到RWS领域，《药品管理法》要求药物研制活动遵守质量管理规范，制定临床试验方案并经过伦理委员会审定，保护社会公共利益与受试者合法权益。例如，在第21条指出：“……如实说明和解释临床试验的目的和风险，取得知情同意书……”，进一步表明研究方式之间的差异不能削弱受试者个人隐私保护力度，保护受试者合法权益的基本原则一脉相承。

随着近年来数据产业高速发展，数据采集、存储、管理、加工流程的法律依据欠缺的矛盾突出。2021年我国又相继出台了《数据安全法》《个人信息保护法》，建立数据分级分类管理制度，确定重要数据保护目录，促进数据应用和交易的规范化；在《个人信息保护法》中详细规定个人权利、信息处理者义务、监管部门职责，使得隐私保护实践中的权责关系更加清晰，针对侵犯隐私的处罚行为有法可依。

1.4.2 部门规章明确了隐私保护实施路径

个人隐私保护相关的部门规章主要包括《涉及人的生物医学研究伦理审查办法》《药物临床试验质量管理规范》《信息安全技术健康医疗数据安全指南》[7]等，这些法规从不同角度细化了个人隐私保护的制度、方法、技术手段等。

其中，《涉及人的生物医学研究伦理审查办法》要求药物临床试验行为必须经过伦理委员会的独立审查。《药物临床试验质量管理规范》规范了试验资料的记录、处理、保存方式，查阅人员和查阅行为管理手段，在“鉴认代码代替受试者姓名、剩余标本管理使用授权”等细节上提出具体要求。《信息安全技术健康医疗数据安全指南》[7]建立了1级～5级数据分级体系，明确数据主体、控制者、处理者、使用者各自角色责任，要求围绕数据收集、提取、运输、存储、交换、销毁周期，强化加密技术使用与介质管控，建立授权审批机制。

2 不同来源的RWE隐私保护需注意的问题

2.1 医院信息系统数据

2.1.1 定义

患者人口学特征、临床特征、诊断、治疗、实验室检查、安全性和临床结局等具有“涉私涉密程度高、存储量大、类型众多”等特点，但是在RWS中又应用较广。这些数据多为既往临床诊疗中积累的门诊住院信息，在采集之初对于其研究应用目的尚不明确，通常采用泛知情同意或知情选择退出。即除非患者明确拒绝，否则其相关材料可被留存并用于研究[12]。因此，申办方在研究过程中不得直接接触，研究者需要经过编码去标识化等处理后才能提供给第三方使用。

2.1.2 受试者招募的隐私保护

RWS中，研究者会利用信息系统进行受试者招募，这样可以加快研究进度，节约经费，但必须尊重及保护潜在受试者的隐私，招募方式需在方案中说明并通过伦理委员会审核批准，此外未获得联络许可前不可贸然与潜在受试者联系，该许可可以是事先的泛知情同意、对招募广告的回应或经治医师向患者的事先征询同意，此外不可收集与研究目的不直接相关的信息(如与研究不相关的病史等)。招募形式通常分为：(1)电话招募:电话招募开始前，研究人员应做好充足准备，熟读方案，掌握入组人群特征，明确入选和排除标准，了解研究各阶段的注意事项。与潜在受试者沟通要语言简洁态度礼貌，研究人员与潜在受试者的沟通内容及相关文件必须通过伦理委员会审核批准，且无论是否入组，收集的信息都应保密，同时仅在潜在受试者初步显示合格并且有兴趣进行研究时，才能要求其提供身份信息。(2)面对面招募：当潜在受试者在常规就诊或住院期间，负责医生发现了其符合研究入选和排除的相关信息，征得其同意后可询问一些常规临床信息作为招募的一部分，如饮食习惯、病史等。符合条件的进入筛选，但潜在受试者签署知情同意书之前不得进行与其常规诊疗无关的检查，更不能进行任何样本及病例信息收集用于RWS。(3)邮件招募：不可以直接将招募信息发送到潜在受试者的邮箱，应先发送询问邮件，确定对方参加意愿得到肯定回应后方可发送招募信息。此外还有电视招募、网站招募等形式，研究者可以根据具体情况确定招募方式，也可以同时选择多重招募方式。

2.2 登记研究数据

产品登记、健康服务登记、疾病登记和死亡登记等数据的准确性较高、结构化强、人群代表性较好，但此类数据涉及大量医疗对象的个体敏感信息，若管理不当将引发个人隐私泄漏和数据的不正当使用等问题。鉴于该类数据伴随互联网技术发展而产生，此类隐私保护既需要法规的完善，更需要依赖技术安全措施的保护。匿名算法、访问权限模型及隐私分离算法等都是目前防止个人身份标识信息和医疗敏感信息的泄露的重要手段，但随着越来越多的数据连入网络，如何将个人信息去隐私化是必须重视的难题和挑战[13]。

2.3 药品安全性主动监测数据

药品安全性监测数据是药物警戒的基本内容。该类数据主要来源于国家药品不良反应监测中心，部分来源于医疗机构和企业的数据库。由于规范化程度极低，使用该类数据开展RWS应当二次开发，对数据进行规范化处理和整体化分析。虽然此类数据的结果发表往往不涉及隐私泄露，但还是要注意RWS上报中的信息保护，防止造成受试者隐私扩散的影响。

2.4 组学数据

组学数据作为精准医学的重要支撑，主要包括基因组、表观遗传组、转录组、蛋白质组和代谢组等数据。组学数据的隐私威胁会导致遗传及疾病信息泄露，致使被泄露个体在婚姻、工作中被歧视。人种或区域的组学数据隐私泄露将会为基因战争提供机会，威胁国家安全，因此涉及大量组学数据或组学数据出境的，应按照《中华人民共和国遗传资源管理条例》进行审批或备案。组学数据涉及的隐私泄露问题包括：(1)通过组学数据进行个体识别；(2)组学数据含有家族血缘关系信息；(3)组学数据与遗传、先天性疾病等密切关联，涉及个体健康隐私；(4)组学数据含有未被提取的敏感信息。由于组学数据主要采用密码学、匿名、差分隐私和混合方法实现隐私保护，所以应当限制第三方对组学样本数据的访问和使用权限，妥善保管组学样本个人信息，以聚合形式披露数据。此外，为防止通过基因型推断及链接攻击等方式的隐私泄露，应当构建模型评估隐私泄露风险与共享数据价值。

2.5 个体健康监测数据

RWS也会通过移动设备(如智能手机、可穿戴设备)实时采集个体生理体征指标，经健康监测数据接入协议传入云端[14]。为了防止该类数据泄露隐私，研究者应向数据提供方(潜在受试者)说明所获取的具体信息及用途，征得其书面同意，利用数据端加密、限制发布规则等方式保护隐私。

2.6 患者随访数据

以临床研究为目的，医院随访部门或第三方授权服务商以信件、电话、门诊、短信、网络随访等方式对离院患者开展临床终点、康复指导、用药提醒、满意度调查等服务，在此过程中收集的院外数据通常存储于医院随访数据系统[15]。RWS使用该类数据应遵循医疗行业的伦理规范和信息安全等级保护规范，提取业务所需最小数据集。

2.7 敏感个人信息

2.7.1 定义

敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

2.7.2 敏感数据分级保密

个人敏感信息依据用途、受试者个体的文化背景与环境会产生不同程度的敏感性。因此，在RWS中应当对于受试者信息进行敏感性分级。其中，低敏感度数据：可公开或大范围访问使用的数据。例如，去标识化的数据，研究者均可以用于研究分析。中敏感度数据：可追溯受试者身份信息，受试者医疗资料，该类数据在RWS中仅限经过授权的研究者按照授权范围使用。高度敏感数据：涉及受试者人格、尊严、安全或特殊病种等信息。此类信息需要对受试者充分知情并增加隐私保护措施[16]。

2.7.3 弱势群体及特殊人群

未成年人：考虑到不同年龄段的未成年人的成熟程度不同，根据他们认知程度的差异进行知情同意，使他们对参与临床试验过程中的隐私及数据充分了解。部分RWS研究周期可能达到数年甚至数十年，考虑到未成年人的价值观和知识面会随着年龄增长而变化，研究执行期内，受试者成年后应再次签署知情同意。此外有关发育生理学等信息应格外重视，防止泄露后对未成年人身心健康造成伤害。值得注意的是，不满十四周岁未成年人的个人信息属于敏感个人信息，应予以严格保护，并对此制定专门的个人信息处理规则。

传染病患者、罪犯、先天性疾病患者等特殊受试者:对于此类受试者，隐私泄露会造成其遭到社会排挤或歧视。例如，在疫情防控期间，多名患者因隐私泄露而深受其害，在RWS中，涉及传染病、先天性疾病等应格外注意，除了在研究数据处理过程中去敏化、去标识化，也应加强随访过程的隐私保护，特殊受试者知情、随访做好隔离，诊断及敏感信息不写在病例封面及床头卡上。

3 RWS的隐私保护责任承担、预防及风险应对措施

3.1 隐私保护的责任主体

3.1.1 数据提供者

受试者一般是数据提供者且一般最为关注自身的隐私保护。而通常数据提供者无法控制自己的信息是否被泄露，对自己的信息被非法利用的行为也无任何防范能力。因此，需要个人提升权益保护意识，认真读懂知情同意书等文件后方可签字，不以任何形式提供与就诊或研究不相关的信息。当受试者发现个人信息被泄露后，可第一时间撤回知情同意，并要求研究者中止泄密。

3.1.2 数据使用者

研究者、申办方作为数据隐私保护责任主体，应当确保受试者隐私和安全，并在受试者隐私和安全遭受危害时通知受试者。研究者作为数据使用与隐私保护的主要力量，其态度与意识决定了受试者隐私保护的工作质量。研究方案中受试者隐私保护的细则制定、安全技术使用等方面都应当予以重点关注，尤其要确保应用于统计的数据信息已经进行过去敏化和去标识化，并不包含可以识别到具体受试者的相关信息。针对记录了受试者真实身份识别信息和编码对应关系的文件做到有效归档和妥善保存。

3.1.3 数据接触者

研究者、申办方、统计人员、临床协调员等必须提高隐私保护意识，涉及隐私数据妥善处理及保存，根据自己的授权严格约束数据访问权限。其中，试验申办方可以发挥积极的沟通协调作用，包括评估获取受试者隐私信息的必要性，受试者信息泄露风险防范措施有效性，明确各方在试验数据隐私保护中的责任义务。安排专人确保信息的准确性，按照适当流程处理、存储和维护数据，对于涉及到的隐私信息，实施重点数据的脱敏化，执行隐私泄露的风险应对措施。

3.1.4 伦理委员会及其他监管主体

伦理委员会审查包括试验方案、研究者手册、安全性资料、受试者信息在内的全套文件，详细论证试验的科学性与伦理性。从事前防范入手，保护受试者在试验过程中的个人隐私。重点审查是否存在强迫、利诱等不正当方式同意参加试验的情况，核实知情同意书不包含使得受试者放弃合法权益、研究者及申办方免除自身责任的内容，间接推动研究者、申办方，乃至受试者对于个人隐私信息保护的重视。此外，监管机构、医疗机构、企业也应承担隐私保护的监督责任，建立多主体参与的监督体系来实施监控和防范侵犯隐私行为。

3.2 预防隐私泄露的管理措施和机制

一是详细规定收集的信息及用途，不是为了获得更多信息而设定宽泛的采集范围；二是在知情同意书中充分告知受试者其个人信息均属保密，研究团队获得数据将按法律规定使用；三是保证诊疗环境的私密独立，知情同意及随访均在受试者接待室等专用房间进行；四是对不同角色进行权限配置及授权，控制接触数据的人员，提供研究所需的最小数据集；五是本地化数据存储，知情同意书、信息表化验单原件等由医疗机构保存，电子信息应当保存在本地服务器而非云端。

此外，大多数研究机构通过搭建集成平台将散落的数据整合起来，为RWS提供便利，但同时信息平台、云端及技术人员的介入也增加了隐私泄露风险。因黑客入侵网络导致用户信息大量泄露的安全事件层出不穷,因此，个人信息、健康状况、医疗应用数据等敏感的个人信息处理及使用要采取去标识化处理和隐私信息匿名化措施。

3.3 隐私泄露后的应对

一方面，应当开展风险评估。内容包括但不限于：确认泄露的信息、对数据提供者的潜在风险、风险事件发生概率、数据提供者承受风险的能力等。另一方面，积极开展风险补救措施，具体包括：(1)全方位排查原因。除了找出泄露源头及时制止信息扩散，告知被泄露方、受试者可提出撤回知情同意，中止个人信息继续被使用等工作之外，更重要的是从制度、机制、人员管理、技术应用等多角度入手，仔细查找受试者隐私保护存在的风险。(2)组织针对性整改。制度上，修订管理规章，完善标准操作规程，加大内部监管力度；机制上，规范研究者使用查看信息权限，深化隐私安全防范；人员管理上，对涉及信息泄露的人员加强培训，提高其保密意识；技术应用上，增加保密科技使用，开展系统维护和更新版本，填补安全漏洞。(3)及时进行问责追责。建立惩罚性赔偿制度，对泄露隐私的责任人采取惩处措施，造成严重后果的依法主张赔偿。

4 思考

4.1 政策及监管

虽然近年来国家和行业相关部门出台了一系列医疗隐私保护的法律法规和行业标准，在政策上提出了个人隐私保护、数据使用规格、医疗信息共享等管理要求。但是RWS作为一个新兴研究方式，监管部门及行业协会应尽快制定发布在此研究模式下的隐私保护相关技术措施并建立相应的惩罚措施，让RWS的隐私保护真正地有章可循，有法可依。

4.2 医疗机构管理

医疗机构作为RWS受试者隐私数据的收集方、使用方及存储方，在受试者权益保护中担任重要管理角色，相关管理部门应建立受试者隐私保护制度和管理体系，有条件的建议成立数据安全委员会，配备相应技术和管理人员对RWS中受试者数据使用进行审查审批，保护受试者隐私，监管研究者行为。伦理委员会作为保护受试者权益与安全的专门机构，在日常监督中强化受试者隐私保护，实时监管研究者、申办方是否按照要求履行保密责任。当敏感信息需要传输、共享，甚至公开时，发挥协调监督作用确保受试者权益不受侵犯。此外，伦理委员会有权对泄露受试者隐私、伤害受试者权益的行为进行职权内的处罚，如罚金、责令限期整改、暂停研究等。当受试者发现隐私受到侵犯时，可以向伦理委员会反映情况，以获得相应的帮助[17]。

此外，医疗机构应加强相关研究者和医务人员有关受试者权益的相关培训，提升职工隐私保护意识。做好RWS的准入教育，增强研究者的伦理知识，明确其权限和义务，切实保护患者隐私。同时，医疗机构应充分尊重受试者和患者意愿，以受试者和患者是否同意提供信息为前提。可通过张贴宣传资料、大厅广播等形式向就诊者宣传隐私保护措施，提升其隐私保护意识，提醒就诊者无需提供与就诊目的无关的个人信息，当个人隐私遭到侵犯亦可通过合法途径维护权益[18]。

4.3 技术保护措施

在医疗大数据背景下，RWS需要更多的探索和尝试，直接通过医院现有门诊、住院及检验检查系统搜寻潜在受试者，面临权限分配不当、搜索轨迹无法保留、不可避免查看到与研究无关的信息等问题。因此，很多医疗机构尝试建立临床研究一体化平台，包括日常管理、项目管理、多中心临床科研数据采集与管理平台、受试者随访、专病数据库等功能。为了更好地保障受试者权益，保证系统的安全性，该类系统应具备以下功能：(1)访问安全性：权限管理是保障系统安全的重要手段，包括用户认证(特定用户才可以登陆系统)和授权(授予用户访问该资源的权限)。(2)数据安全性：系统安全性包括了网络应用系统、用户操作系统和数据库管理系统三个层次；防火墙和入侵检测是网络应用系统防范的两种常用模式。用户操作系统安全技术包括登陆拦截、拦截访问请求等。数据库则通过加密技术保障安全，这样即使数据丢失或被窃取也无法被读取和破译，保障数据安全。(3)去敏化技术应用：受试者与研究者姓名、个人电话号码、邮箱、住址等信息，建议删除、置空或者进行泛化处理。对于后续逻辑分析必需的数据，基于原数据通过随机化生成新标识替换；需要追溯受试者情况的，由研究者建立内部代码索引，并实施专人管理[19]。

5 结语

医疗以及药物研发是关系到民生与社会福祉的重要领域。RWS可以涵盖上市前临床研发以及上市后再评价等诸多环节，兼具依托现实医疗环境、投入成本可控等优点，在药物研发领域的重要性日益凸显。与此同时，RWS不可避免涉及临床试验的隐私及保护问题，随着社会法治建设的逐步深入，隐私权保护的氛围日趋形成[20]。本文从受试者隐私保护的法律法规和监管政策出发，从医疗机构管理、RWS设计等角度对受试者隐私数据安全、去敏措施进行了初步探索，旨在为未来持续深入研究提供参考和借鉴。