贾 敏,訾明杰,王维东,刘 强,陆 麒,韩 梅

(1 中国中医科学院西苑医院医学伦理委员会,北京 100091;2 世界中医药学会联合会,北京 100101;3 上海交通大学医学院附属仁济医院伦理委员会,上海 200001;4 德恒律师事务所,北京 100033)

2023年2月底,国家卫生健康委员会、教育部、科技部及国家中医药管理局新发的《关于印发涉及人的生命科学和医学研究伦理审查办法的通知》(以下简称“新办法”),在《涉及人的生物医学研究伦理审查办法》(以下简称“11号令”)基础上,对伦理审查范围进行了调整,将医疗机构进行的涉及人的生物医学研究扩展到所有涉及人的生命科学和医学研究均包含在内,结合新办法对审查细节的进一步要求,伦理审查的范围变化将对机构伦理工作者有较大的影响。专家们就如何认识这些变化以及在日常工作中如何落实这些程序进行讨论,中国中医科学院西苑医院医学伦理委员会秘书贾敏、工作人员王维东整理了专家讨论内容,形成本文。

訾明杰：①“新办法”制定所参考的依据较“11号令”的范围更广。“新办法”第一条指出其制定的依据为《中华人民共和国民法典》《中华人民共和国基本医疗卫生与健康促进法》《中华人民共和国科学技术进步法》《中华人民共和国生物安全法》《中华人民共和国人类遗传资源管理条例》等。涉及人的生命科学和医学研究中常需要收集受试者个人信息,个人信息使用的注意事项及如何进行信息保护是研究中的重要环节,故“新办法”的制定还参考了《中华人民共和国个人信息保护法》等法律法规。这些法律法规也为“新办法”对于审查范围的变化提供了充分的依据。

②与“11号令”对照,“新办法”的适用范围扩大到境内的医疗卫生机构、高等学校、科研院所等。开展涉及人的生命科学和医学研究伦理审查工作均涵盖在内,此与“11号令”相比,其适用范围(各级各类医疗卫生机构,此次增加了高等学校、科研院所等)有扩大。

③“新办法”将“受试者”调整为研究参与者。“新办法”第三条将人为受试者或者使用人的生物样本、信息数据中被使用人统称研究参与者。广义上分析“研究参与者”应该包括所有参与研究的角色,比如研究机构、研究者、申办者、研究合同组织,但从“新办法”的上下文分析,以及其所涉及的职责,我们认为“研究参与者”应该指的依然是研究受试者,以及提供生物样本、信息数据的被使用人。

④审查范围的变化,应充分考虑审查范围相对应的职责和所涉及的研究参与者的权益保护。“新办法”的审查范围新增了“采用物理学、化学、生物学、中医药学等方法对人的生殖、生长、发育、衰老等进行研究的活动”。从目前已经发表的文献可知,国际高分影响因子的文章很多是关于人群的长程观察,包括对人的生殖、生长、发育、衰老的全过程的观察,这类研究属于生命科学的一部分,是审查范围是一个扩大,亦增加了研究的种类。但同时,人的生物样本、信息数据(包括健康记录、行为等)的研究亦在本办法的范畴内,据目前的情况,生物样本库和信息库的存储不仅仅在医疗机构,有很多社会第三方生物样本库所存储的样本和信息都符合这个范畴。这些生物样本和信息数据的保有者在存储、提供、传输相应的样本和信息数据时,应符合《个人信息保护法》《生物安全法》《人类遗传资源管理条例》等要求。需要保护个人的信息、符合生物安全、符合人类遗传资料的管理,保有者应承担相应的职责,而伦理委员会在审查这类研究,或者接受委托进行审查这类研究时,应充分考虑法规相关的要求。对此“新办法”第二十八条指出,机构与企业等其他机构合作开展研究的,需要以协议方式明确生物样本、信息数据的使用范围、处理方式,并在研究结束后监督其妥善处置。根据该条内容,医疗机构需要跨机构使用医疗数据、生物样本时,机构的责任需要在协议或者合同中确认,而伦理委员会在接受该项目时应该关注协议或者合同[1]。

⑤审查范围的变化提示审查相应的项目时需要明确其来源及其合规性。前文提及第三条的审查的范围变化,“新办法”第十八条指出,涉及人的生命科学和医学研究的研究者在申请初始伦理审查时应当向伦理审查委员会提交的材料中有要求:提供生物样本、信息数据的来源证明。对于医疗机构的研究者,提供来源证明不是难点,其来源多为本院的生物样本库或信息中心获取的数据;对于社会第三方机构,或者委托审查,当接受第三方委托审查时,被委托审查的单位的伦理委员会,需要对生物样本/信息数据的来源进行关注,关注其来源的数据信息是否符合法规要求,比如是否去链接、匿名化,是否涉及个人敏感信息等。此外,来源证明可能需要相关部门的确认,如信息中心或者生物样本库。以中国中医科学院西苑医院为例,有研究者需调集所有抑郁症患者的信息,对此我们需要审查研究者提取信息时是否做到脱敏,或者匿名化,或者去链接,如果该信息涉及知识产权等,还需要考虑数据来源是否可能有知识产权责权、利益冲突等细节,比如研究者是否有权力调集全院抑郁症患者数据,调集其他医师的诊疗数据是否需要经过医师本人允许等?需要说明的是,来源证明的出具可能存在一个“死结”现象,即出具来源证明的部门可能需要提供研究的伦理批件后方可提供生物样本及信息数据的来源证明;而按照“新办法”要求研究者提交来源证明后方可申请伦理审查。故先出具来源证明还是先通过伦理审查为我们关注的问题之一。

⑥审查范围中对于研究类型的变化,不同研究需要着眼细节。比如审查回顾性研究以信息数据为主要内容的项目,根据《个人信息保护法》第四条规定“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。”众所周知,健康记录中包含大量个人信息,其记录方式、存储地点多样,随着科技和生活方式的变化,如各种App、个人用户端口、云端平台等,在技术上是可以实现不经知晓或本人同意即可捕捉到其数据,这些捕捉的数据是否归属于健康记录或者行为学?个人信息存储或者使用,需要如何进行处理才能成为研究数据进入伦理审查?是否需要在方案中明确说明处理操作方法?目前广泛开展的真实世界研究,其数据来源十分广泛,如诊疗信息、研究数据库、移动终端、患者报告结局数据及自然人群队列,而伦理委员会在审查这些不同研究类型项目时也应关注细节,包括其设计、操作程序、操作人员的资质等,同时需要我们在伦理审查的指引、规范或者标准操作规程中进行详细描述。依照《个人信息保护法》信息处理者和保有者,不属于个人信息所有者,保有者在处理个人信息时需遵照该法第二十一条的规定,即个人信息处理者委托处理个人信息的,应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督。故也需要机构科研处、信息中心等就数据的提取、使用和处理等出台相应的管理措施[2]。

⑦“新办法”提及的“行为学”的研究类型,应结合研究设计可能的风险和研究参与者的获益来确认审查的方式。关于“行为”,MBA智库·百科指出,行为是指人们一切有目的的活动,它是由一系列简单动作构成的,在日常生活中所表现出来的一切动作的统称。当进入有录像的公共场合购物、活动等时,大部分均属于有目的的活动,即行为。获得此类公共行为数据且对行为者无伤害时,是否需要伦理委员会作出相应的判断以免于伦理审查?同时,是否需要提供相应来源证明?此外,行为学研究亦包含医学教育学,此类行为对学生、患者没有造成伤害,但可能对这些群体的获益,如不同教学方式的学习获益、不同护理方式的疾病获益等可能有变化,是否可以进行免伦理审查,亦值得我们思考[3]。

⑧基于“新办法”对伦理审查范围的变化,伦理委员会的工作程序应及时调整。在医学研究中,主要研究者仍然要承担项目的主体责任。伦理委员会具有审查责任,伦理委员会需要在审查范围变化时遵循“新办法”,细化操作规程。对于审查对象和审查程序,伦理委员会需要与机构的多部门沟通从而完成对标准操作规程的修改。在制定或者修改伦理审查制度、程序时,需要把握以下几个方面:第一,针对审查范围的变化,需考虑审查对象、审查申请人的变化。第二,对外,需考虑设立相应的程序、制度,如针对第三方委托或跨机构研究设定相应的程序、制度;对内,应及时制定清晰的申请指引,制定明确的委员审查指南,及时调整审查工作表格。第三,做好审查、沟通及程序的记录,审查过程的合规、有序,方能得出准确的审查结论,及时、准确地做好审查程序及相应的记录。第四,在合规的前提下,需要处理好不同法规间不一致问题。新近发布的《科技伦理审查办法(试行)》与“新办法”有呼应亦有细节的不同,需要综合考虑,并结合实际操作。

刘 强：“新办法”的审查范围明确将生物样本和信息数据的研究包含在内,在伦理审查时可能会涉及的一些相关问题,如样本来源证明、跨机构合作样本转移或数据共享、机构和研究者敏感个人信息的处理等,这些问题的审查要点确实值得我们深入思考。我认为其中不仅涉及伦理,还涉及大量的法律法规要求。因此,这些问题的规范操作可能无法仅仅依靠伦理委员会审查解决。比如,跟企业或者其他的机构合作开展类似项目时,会经历双方协议的签署中责任分工的界定和划分、法务部门的协议审计、立项管理部门的立项审查、伦理审查等。其中伦理审查的时机,各单位操作可能不同,有些医院可能先签合同,立项后再进行伦理审查,有些医院则相反。不同的操作方法可能带来不同的问题,但目前缺乏行业公认模式或统一的规章要求。尤其是《科技伦理审查办法(试行)》发布后,可能会涉及更多大数据、人工智能的研究审查需求,挑战无疑将更加艰巨。这些都需要我们在落实“新办法”过程中,通过探讨和实践找到可靠有效的解决办法。

陆 麒：对于“新办法”伦理审查范围的扩大,一方面增加了生命科学;另一方面,扩大了需要进行伦理审查的机构,即高等院校和科研院所。大家对于“新办法”的出台较大的困惑是,医疗机构与高等院校、科研院所对于伦理审查的认知、审查范围、审查标准,尤其免除伦理审查等情况可能存在较大差异。即某些情况下,对于高等院校和科研院所而言,他们所开展的生物样本或者信息数据方面的研究要么委托医疗机构进行伦理审查,要么直接免除伦理审查;而对于医疗机构而言,该研究涉及个人敏感信息,同时又无法做到匿名化,所以不符合所免除伦理审查的标准。官方解读时亦提及,“新办法”与“11号令”是并行的,后续可能重新修订“11号令”。因此,可能国家卫生健康委员会或国家中医药管理局所覆盖的医疗卫生机构以2023年的“新办法”作为总框架,在实际操作过程中,具体可能还是需要参照将来修订后的《涉及人的生物医学研究伦理审查办法》,这个办法更适用于医疗机构。同样,“新办法”官方解读时亦提及教育部可能会针对高校层面,制定关于人的生命科学研究实施细则。因此,我们认为,不同的机构可能将来参照不同的审查办法。

关于免除伦理审查,如果生物样本和信息数据来自医疗卫生机构,匿名化处理后转移到高校,此时高校的研究者无法联系到受试者,是否能够免除伦理审查?对于医疗机构,在本机构通过技术手段实现对研究者的匿名化,是否同样能够进行免除伦理审查?这些问题都值得我们关注[4]。

关于审查范围,从2016年的“11号令”到今年发布的“新办法”,确实扩大了审查范围,但是对于高等院校、科研院所而言,一部分有关社会学、人类行为学研究等并未涵盖在审查范围中,此类研究需要遵循的法律法规亦缺乏。

訾明杰：第三方拿到生物样本数据委托伦理委员会审查,或者匿名化后的生物样本数据由医疗机构转移到高校,是否涉及法律责任问题和合同签署,需要从法律的层面给予支持。

韩 梅：根据“新办法”第十四条规定,未设立伦理审查委员会或者伦理审查委员会无法胜任审查需要的主体,可以书面委托有能力的机构伦理审查委员会或者区域伦理委员会开展伦理审查,并要求受委托的伦理审查委员会对审查的研究开展跟踪审查。这条规定,是为相关企业开展研究活动提供了一条合理且具有可行性的路径:并没有将企业规定为设立伦理审查委员会的责任主体,而是为其提供了委托审查的路径。如果企业需要与机构合作开展相关研究,或者使用机构提供的生物样本及信息数据,“新办法”第二十八条要求机构应当充分了解研究的整体情况,通过伦理审查、开展跟踪审查,以协议方式明确生物样本、信息数据的使用范围、处理方式,并在研究结束后监督其妥善处置。可见,“新办法”明确了在企业与机构合作的情况下,机构需要承担一定对妥善使用生物样本及信息数据的监管责任[5]。

因此,在委托审查的合同签署时,应当按照“新办法”第三十六条对知情同意书的规定的情形一样,涉及人的生物样本采集的,委托审查合同应当明确约定包括生物样本的种类、数量、用途、保藏、利用(包括是否直接用于产品开发、共享和二次利用)、隐私保护、对外提供、销毁处理等相关内容。受托伦理审查的机构应当对企业获得生物样本的合规性要提出更高要求。

在法律责任承担方面,考虑《个人信息保护法》中将医疗健康信息、生物识别信息列为个人敏感信息,为与个人信息保护相关规定接轨,“新办法”将保护“个人信息”也列为涉及人的生命科学和医学研究的原则。并要求如实将研究参与者个人信息的收集、储存、使用及保密措施情况告知研究参与者并得到许可,未经研究参与者授权不得将研究参与者个人信息向第三方透露。在实践操作中,不仅要求伦理审查委员会委员签署保密协议,独立顾问及其工作人员也应当签署保密协议,承诺对伦理审查工作中获知的敏感信息履行保密义务。涉及国家秘密的,在提交伦理审查和获取研究参与者知情同意时应当进行脱密处理。无法进行脱密处理的,应当签署保密协议并加强管理。未经脱密处理的研究不得在国家医学研究登记备案信息系统上传。

若对个人信息进行了匿名化处理,但是仍造成信息泄露,首先我们要追查信息泄露原因,一方面是信息处理过程和方式有无问题,信息处理过程需要由谁保证,出现问题由谁来承担责任;另一方面,研究者采用电子化招募或者电子研究材料时,是否存在泄露信息的可能。关于责任主体的判定,若为审查单位、研究机构的问题,则研究机构需要承担法律责任;如果数据在转移到高校时已经存在问题,我认为双方都有责任。研究者应谨慎使用数据,防止信息泄露,同时伦理委员会需要发挥监督作用。此次“新办法”对生物样本知情同意书内容有较详细要求,明确了研究者在使用数据时的保密措施及法律责任,伦理委员会监督其个人信息的保存、使用、存储等的方式。此外,我们在进行伦理审查时需要时刻警惕生物样本是否存在流向境外的可能。