合规
徐军
锦天城律师事务所
高级合伙人
williamx@allbrightlaw.com
刘一伦
锦天城律师事务所
律师
liuyilun@allbrightlaw.com
随
着生物医学研究的不断深入,其所涉及的伦理原则对知情同意的要求愈发严格。《个人信息保护法》(下称“个保法”)将医疗健康信息定义为敏感个人信息,意味着医药企业在药物临床试验(Industry Sponsored Clinical Trail,下称IST)中所采集、处理的受试者数据会包含大量敏感个人信息。如何在IST中应用个人医疗健康数据合规,成为医药企业重点关心的问题。本文拟通过阐述中国现行法律法规对于IST知情同意书(Informed Consent Form,下称ICF)签署的相关规定,结合个保法就处理敏感个人信息的相关要求,为当前IST受试者数据的处理提供ICF架构设计合规建议,以帮助医药企业规避IST中的个人信息处理违规风险。
知情同意
作为IST的通行原则,《世界医学大会赫尔辛基宣言》提出受试者的权益和安全是考虑的首要因素,优先于科学和社会的获益,其中知情同意是保障受试者权益的重要手段。IST中的知情同意,是指受试者被告知可影响其作出参加临床试验决定的各方面情况后,确认同意自愿参加临床试验的过程。该过程应当以签署姓名和日期的书面ICF作为文件证明。知情同意是IST进行的前提,也是一个持续的过程。在研究过程中,研究者将不断寻求受试者的同意,包括向受试者通报研究的任何变化和可能影响其决定继续研究的任何其他信息。
个保法
在《药物临床试验质量管理规范》(Good Clinical Practice,下称GCP)及《涉及人的生物医学研究伦理审查办法》(下称《办法》)规定的知情同意制度基础上,个保法对涉及个人信息的知情同意合规要求作出了细化规定。
定义。个保法第四条及第二十八条区分定义了个人信息及敏感个人信息(下称“相关个人信息”),阐明了个人信息处理行为的种类,同时规定了个人信息处理者处理敏感个人信息的必要条件。
书面同意。个保法规定,同意应由个人在充分知情的前提下自愿、明确作出。相关个人信息的处理如发生变更,应重新取得个人同意。
撤回。个保法第十五条规定,个人有权撤回其同意,但不影响撤回前基于同意已进行的相关个人信息处理活动的效力,且个人信息处理者应提供便捷的撤回同意方式。
条款架构设计
IST开展过程中,相关个人信息处理行为普遍存在告知模糊以及撤回知情同意后相关安排缺失等问题。结合GCP及《办法》规定的知情同意制度与ICF签署要求,以及个保法中对相关个人信息的知情同意合规要求,笔者建议通过以下合规架构的设计,规避相关个人信息处理违规风险。
区别定义。区别定义相关个人信息,将IST中收集、使用、传输的与受试者有关的基本个人信息定义为个人信息,而将与受试者有关的医疗健康数据、人类遗传资源信息定义为敏感个人信息。
明确处理及访问主体。列举个人信息处理者及有权访问相关个人信息的主体,并明确在此处理或访问情形下,申办者将实施何种安全措施以保护相关个人信息。
保护受试者隐私。明确个人信息处理者将对相关个人信息去识别化处理以保护受试者隐私,同时释明拟采取何种去识别化技术手段。
明晰处理目的。说明个人信息处理者的处理目的及情形、此类处理持续期限、相关个人信息预计保留期限。
是否重复使用。释明IST结束后是否会重复使用该类个人信息。如涉及重复使用,笔者建议明确仅用于与当前IST药物相同的医学/科学研究开发项目,如用于其他药物的研究开发项目则需重新获得受试者的书面知情同意。
撤回知情同意后的处理权限。明确受试者撤回知情同意前的相关个人信息仍将保留并用于本IST;列出知情同意完全撤回和部分撤回两个选项,释明各选项含义(以是否收集后续治疗访视或生存访视相关个人信息为区分点),供受试者选择。
结语
以《网络安全法》《数据安全法》及个保法为框架的个人医疗健康数据保护法律体系对医药企业提出了更高的合规要求。医药企业应遵守个保法规定的具体原则及要求,在此基础上谨慎合规地处理相关个人信息,在合法合规的前提下促进医疗健康数据价值的有效转化。
作者 | 锦天城律师事务所高级合伙人徐军、律师刘一伦
本文刊载于《商法》2024年9月刊。如欲阅读电子版,欢迎浏览《商法》官网。
往期专栏精选
长按扫码关注我们
为了让您第一时间获取专业法律资源
请常点“在看”
并将“CBLJ 商法”设为星标
阅读原文查看更多锦天城律师事务所的相关内容
