Publication临床试验

欧盟法规 | GDPR与临床试验受试者信息保护

Voisin Consulting Life Sciences default post thumbnail

GDPR在数据监管方面的关键性要求

1. 更强的信息透明度：

GDPR要求数据掌控者必须告知主体有关其个人数据处理相关的信息（目的、方式、留存期限）并赋予八项权利（信息、透明度、可访问性、更改、删除、可移植性、限制和反对使用，包括不受纯自动化决策影响的权利）以及三项优先权利（撤销授权同意、向监管机构提出投诉，以及在数据受到泄露时的知情权）

2. 管辖范围覆盖全球：

GDPR适用于欧盟数据掌控者和处理者对个人数据的处理，即便是处理过程发生在欧盟之外，同时也适用于向欧盟患者提供服务的非欧盟数据掌控者和处理者对其个人数据的处理（包括在临床试验过程中所收集的健康情况数据）。

3. 更强的问责机制和监管权力：

GDRP要求数据掌控者和处理者必须实时记录其数据处理过程及方式以证明其合规性，包括所使用的技术手段、数据使用者组织架构和对法规所规定的措施的实施情况，以及DPIA的执行。该条令赋予了监管机构以调查、指正、权威、咨询等相关权力，以及对不符合GDPR的行为处以巨额行政罚款的权力（最高可达该公司/机构在全球范围内4%的年营业额或 2000 万欧元，以较高者为准）。

GDPR与临床试验受试者信息保护

当我们谈论GDPR在临床试验应用场景中，主要是指数据主体（即其数据被处理的个人），特别是受试者的个人数据被采集、分析、整理，并能够在欧洲经济区之外传输和保存。在临床试验中所收集到的都是个人数据，因为它们要么是保留在研究地点的那些受试者的直接身份信息（详细联系方式），要么是能用来间接识别那些转移到研究地点之外的受试者的数据（即假名数据，用患者编号来进行编码）。这也就是为什么保护患者的个人数据是临床试验设计的关键部分，并且越来越被伦理委员会(EC) 所重视。

尽管欧盟的临床试验法规和指南已经为个人数据提供了强有力的保护，但一些申办者作为数据的“ 掌控者” （决定“ 为什么” 和“ 如何” 处理数据的人），并不总能遵守有关数据保护的具体要求，那些“ 处理者”（按照数据掌控者的指示进行操作的其他人）往往也不会。例如，在过去的Directive95/46/EC条例中，强制要求欧盟以外的数据掌控者，在其处理数据的每个欧盟国家指定一名数据保护代表(DPR)，而在实际操作中却很少有申办方这样做。

然而现行的GDPR则会对类似的不合规行为进行严厉处罚，并对个人信息保护做出了更完善的规定。得益于此，患者能够对他们的权利有更好的掌握，并且申办者不得不认真遵守和履行他们的责任。根据GDPR的要求，申办者必须任命负责人，即数据保护官（DPO）来监督合规性，同时进行风险分析（在 GDPR 中，数据保护相关影响评估的简称为DPIA），并且如果需要在欧盟以外使用欧盟患者数据，还需要指派代表（DPR），并将这些合规内容记录在案，否则就会面临监管机构（即负责数据保护的国家独立公共机构）的管控和制裁。

GDPR 和临床试验中的授权同意

GDPR规定禁止处理包括个人健康数据在内的特殊类数据（敏感数据），但一些GDPR 中规定的有限案例不在此限制范围内。如果需要处理敏感数据，对于申办者而言，获得授权的法律依据之一，是在GDPR 框架下获得授权同意。需要注意的是，这不能与临床试验法规中的授权同意相混淆。尽管GDPR的要求适用于包括临床试验在内的所有类型数据的处理，当临床试验相关法规与GDPR存在不一致时，其相关法规要求必须优先于GDPR 被考虑。

根据GDPR规定，明确的授权同意包括自由选择权，其授权内容必须具体且充分，受试者必须充分知会，并且相关信息的表述是清晰易读的。“自由选择” 意味着受试者能够真正地进行选择，从而掌控授权主动性。此外，临床试验可能会出现申办者、监管方和受试者之间权力不平衡的状况，例如，欧洲数据保护委员会(EDPB) 认为，当受试者身体状况不佳、属于经济或社会弱势群体，或处于任何机构或等级依赖时，就会出现这种情况。因此，在大多数情况下，授权同意并不适合作为支撑临床试验的法律基础，而必须依赖其他保护公共利益或数据掌控者合法利益的法律条文。

众所周知，在临床试验中，必须通过与受试者签署信息知情授权同意书(PIL-ICF)，以获得其参与试验的明确同意。该同意书必须在进行任何研究活动之前获取。此要求是为了确保能够保护人类尊严权和受试者权益完整性而订立的一项措施，但并不被视为受GDPR 保护的数据保护合规性工具。相比之下，GDPR引入了一系列更严格的规范要求，进一步强化了临床试验规定：

使受试者能够就不同部分数据分别确认是否同意授权，并要求数据掌控者收集仅限于必要的数据
保存记录来证明受试者同意授权的内容、他们被告知的内容以及他们同意授权的时间及方式
使授权同意易于被撤回
对未成年人或无行为能力受试者的授权提出了更严格的要求
申办者有义务重新通知受试者，并再次征求他们的授权同意，以便将在临床试验中收集的数据用于与临床试验最初目的不符的其他目的。

因此根据GDPR 要求，临床试验中申办者必须在 PIL-ICF 中新增这些信息，为受试者提供有关使用其个人数据和权利的所需信息和法律依据。

GDPR 在具体实施层面遇到的挑战

GDPR旨在平衡申办者和受试者之间的权力，对前者加以法规管控，对其透明度提出要求，并赋予后者控制其数据的权力，以保证这些数据能够得到安全的处理和充分保护。尽管有这些保障措施，公共卫生的合法利益有时还是会改变这一平衡，往往向申办者和其他临床试验利益相关者倾斜。正如最近在许多国家的新冠疫情危机中所呈现的那样，医疗数据已被大量收集，其过程的透明性完全无法得到保障。此外，在这场危机中，许多临床试验受到影响，申办者不得不在短时间内采取措施（如家访和未在研究方案计划中出现的给药、远程监测和授权同意，将受试者转移到其他地点等），从而增加数据泄露的风险。目前虽然没有出现明显的隐患，但我们可以预见到，未来的索赔和监查的数量会大大增加。

GDPR带动越来越多的国家和地区开始跟随欧盟的脚步前进。对于受试者数据保护意识的提高是全球性的，并将在未来影响世界各地的临床试验受试者。

发布于：2020年8月17日