个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等[1]。临床研究场景下的个人信息范围、合规主体及在《个人信息保护法》及相关标准
一、临床研究场景下哪些个人信息受《个人信息保护法》的规制?
根据《信息安全技术 健康医疗数据安全指南》(GB/T 39725-2020),临床试验中涉及的个人信息和数据包括基本人口学资料、检查信息、检验信息、药品医嘱、非药品医嘱、手术信息、病理信息、骨髓穿刺、生命体征、诊断信息、处方信息、病历数据、患者报告结局、费用信息、基因信息及其他临床科研相关数据[2],其中,需要追溯到个人的情况,应当参考卫健委《临床试验数据管理工作技术指南》和《信息安全技术 个人信息安全规范》(GB/T 35273-2017)等相关法律法规和标准,建立数据保密及患者个人隐私保护制度。
《信息安全技术 健康医疗数据安全指南》根据数据重要程度和风险级别以及对个人健康医疗数据主体可能造成的损害以及影响的级别,将健康医疗数据划分为5级,信息的敏感程度越高,对处理者的合规要求越严格。临床研究场景下主要涉及第2级数据,在数据安全保障措施方面宜进行去标识化处理(采用受试者鉴认代码代替受试者姓名),经过部分去标识化处理后的数据仍可识别相应个人,是《个人信息保护法》规制的个人信息类型,应通过协议或领地公开共享模式进行数据管控。原则上,知情同意书和受试者鉴认代码表由医疗机构保存,健康医疗相关企业只能获得去标识化后的数据。
二、谁需要遵循《个人信息保护法》的要求
在管辖范围上,《个人信息保护法》采取了“属地“兼”属人“的原则。《个人信息保护法》对在中华人民共和国境内的个人信息处理行为有管辖权,以处理行为发生地为标准(即属地原则),无论处理者是否在境内设立,或者处理的是否为境内自然人的个人信息,只要处理行为发生在境内,即受《个人信息保护法》的制约;《个人信息保护法》对在境外处理境内自然人信息的行为也具有管辖权,以“保护对象”为标准(即属人原则),即使有关个人信息处理活动的控制者或处理者不在境内设立,但若其“向境内自然人提供产品或者服务为目的”、“分析、评估境内自然人的行为”及存在我国其他法律、行政法规规定的情形,个人信息处理者也需要遵守《个人信息保护法》[3]。
境外个人信息处理者应当在我国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送我国履行个人信息保护职责的有关部门[4]。
三、临床研究相关方的法律地位及责任承担
《信息安全技术 健康医疗数据安全指南》借鉴欧盟《通用数据保护条例》(General Data Protection Regulation,简称GDPR)的角色划分方式,将参与健康医疗数据使用和处理的相关方分为四大类角色:
(1)个人健康医疗数据主体(简称主体)是指个人健康医疗数据所标识的自然人。
(2)健康医疗数据控制者(简称控制者)是指能够决定健康医疗数据处理目的、方式及范围等的组织或个人。
(3)健康医疗数据处理者(简称处理者)是代表控制者采集、传输、存储、使用、处理或披露其掌握的健康医疗数据,或为控制者提供涉及健康医疗数据的使用、处理或者披露服务的相关组织或个人。
(4)健康医疗数据使用者(简称使用者)是指不属于主体,也不属于控制者和处理者,但对健康医疗数据进行利用的相关组织或个人。
按照上述角色划分方式,在前瞻性临床研究、回顾性临床研究和产品上市后研究场景下,申办者和医疗机构共同承担控制者的角色,受试者是主体。在临床路径研究中,作为发起者的医疗机构、学术研究组织或健康医疗企业扮演控制者的角色,相关医护人员是主体。在各类研究中,申办者委托参与临床试验的CRO公司、SMO公司、信息系统供应商、数据分析公司等受托方扮演处理者的角色。
与此不同,《个人信息保护法》将《信息安全技术 健康医疗数据安全指南》定义的“个人信息控制者”改为“个人信息处理者”,将“个人信息处理者”,改称为“接受委托处理个人信息的受托人”。按照《个人信息保护法》的角色划分方式,不同临床研究项目中的个人信息处理者和主体界定如下图[5-6]。
关于各角色的责任和义务,《个人信息保护法》规定,个人信息处理者对其个人信息处理活动负责,应当采取必要措施保障所处理的个人信息的安全,并对受托人的个人信息处理活动进行监督。个人信息处理者与受托人之间则是委托合同关系,受托人按照约定处理个人信息,采取必要措施保障所处理的个人信息的安全,并协助个人信息处理者履行本法规定的义务[7]。
临床研究场景下的个人信息处理者通常为临床试验机构和作为申办者的健康医疗企业。按照《个人信息保护法》规定,当侵害个人信息权益造成损害的,临床试验机构和申办者应当依法承担连带责任,受到侵害的个人信息主体可以向其中任何一方主张权利[8]。受托人则在自己的责任范围内承担与过错赔偿责任。按照相关法律规定,如受托人违反合同义务处理个人信息导致个人权益造成损害的,临床试验机构和申办者在承担责任之后可以向受托人追偿。
注释:
[1] 《个人信息保护法》第四条第二款
[2] 《信息安全技术 健康医疗数据安全指南》(GB/T 39725-2020) 11.3临床研究数据安全
[3] 《个人信息保护法》第三条
[4] 《个人信息保护法》第五十三条
[5] 《个人信息保护法》第七十三条 (一)
[6] 《个人信息保护法》第二十一条
[7] 《个人信息保护法》第五十九条
点“在看”,送我一朵小黄花
