临床科研项目受试者隐私保护的伦理审查*

刘 丹，周吉银

(陆军军医大学第二附属医院国家药物临床试验机构，重庆 400037，fairyfair@126.com)

随着生物医学研究与信息技术的飞速发展，互联网和大数据技术的广泛应用，在很大程度上改变了过去的研究模式，但电子传输和数字储存潜藏着极大的隐私泄露风险。在临床研究过程中，从受试者招募到最后结果发布，都会涉及大量受试者个人信息，主要包括受试者的身份信息和健康信息[1]。规范使用并严格保护受试者个人信息是公众愿意参与临床研究的前提保证，也是临床研究各方应遵循的基本原则。隐私保护是受试者参加临床研究的基本伦理诉求。本文试图从受试者隐私保护的现状、隐私保护的难点和提高受试者隐私保护的建议三个方面探讨临床科研受试者隐私保护的伦理审查。

1 受试者隐私保护的现状

受试者健康信息是有关受试者生理和心理的特殊数据，包含范围广，如果将储存和收集的信息披露给第三方，可能会给受试者带来伤害、污名化或痛苦。在医学与信息技术飞速发展的当下，这一资源的学术价值、社会价值和商业价值日益凸显，成为伦理学者、受试者、研究者、医疗机构、科研机构、企业及政府等各方关注的焦点。2016年11月，国际医学科学组织理事会发布了《涉及人的健康相关研究国际伦理准则》。本次修订为适应生物医学研究的新变化，在健康相关研究中的数据收集、储存和使用方面，提出了“伦理治理”概念，并对获取数据用于研究而存在的隐私风险，以及如何进行保护作出相应的指导[2]。在近年来颁布的《信息安全技术个人信息安全规范》和《中华人民共和国民法典》等法律法规中，个人信息和公众隐私权的保护被提到了前所未有的高度，网络和大数据技术的不断发展，给隐私保护带来了新的挑战。

2 受试者隐私保护的难点

随着大数据技术和人工智能的开发与应用，医疗领域内数据呈爆炸式增长，个人健康信息的传播迅速，隐私泄露范围不可预测且难以控制。2017 年 5 月，英国国家医疗服务体系信托基金运营的3家医院与谷歌旗下的 Deep Mind合作，在没有告知患者医疗记录数据使用方式的情况下，向Deep Mind提供了约160万患者的详细资料，包括艾滋病病毒感染状况、吸毒过量和堕胎信息等私密数据，用于开发和完善检测诊断系统的临床研究[3]。大数据技术带来便利的同时，也给临床研究项目的实施与监管带来巨大压力。受试者隐私保护难度加大，责任更为艰巨。

2.1 缺乏受试者隐私保护法规

目前，我国隐私立法还处于初级阶段，没有专门针对临床研究个人健康信息保护的立法。个人信息中隐私范围的界定标准尚未统一，隐私保护相关技术及其有效性也无可靠的评估标准。2018年施行的《信息安全技术个人信息安全规范》，对个人信息的收集、存储、应用、传输等各环节作了明确详细的规定，但没有针对医疗卫生行业的具体条款[4]。个人健康信息隐私保护相关的项目法规较为零散，仅笼统提出公众的个人隐私受法律保护，没有统一标准和详细指导意见。对研究者不得泄露受试者隐私的相关要求大都是原则性规定，临床研究过程中受试者数据的收集、存储、使用与管理等均缺乏法律约束，更缺乏监管。单纯通过技术手段很难限制研究者对受试者信息的使用，主要依靠研究者自律。

2.2 伦理审查和监督不足

保护受试者权益的第一道防线，即伦理审查。随着生物医学的发展进步，研究涉及的领域越来越专业，未知空间愈发宽泛，受试者权益也备受挑战。目前，各医疗机构伦理委员会能力建设不平衡，组成委员中缺乏信息安全方面的专家。大多数医疗机构未对受试者健康相关信息的管理建立完善的数据安全与监督机制。针对隐私保护的伦理审查重点仅局限在初始审查阶段，研究开展过程中，从受试者招募、筛选、入组，到后阶段数据处理、使用和存储的全过程，伦理委员会的监督并未落到实处。这源于伦理委员会难以有效干预受试者的医疗数据管理，对受试者隐私保护以及数据保密性的审查能力有限[5]。另外，临床科研项目跟踪审查普遍不足，是未来亟须加强审查的要点。

2.3 数据管理松散

随着电子病历系统和临床研究大数据的广泛应用，医疗机构、申办者和研究者对受试者隐私的保护受到极大挑战。医务工作者和其他非研究授权人员可以通过医院信息终端方便地获取受试者病历信息，包括受试者姓名、年龄、家庭成员、地址、是否携带传染病等隐私内容。受试者信息存储于云端，在上传、下载过程中也存在巨大风险。如何更精准地限制电子病历的存储、调用及查阅权限，同时兼顾临床工作的便利性与患者隐私保护之间的平衡，是大数据时代受试者隐私保护所面临的严峻考验。此类问题的解决不可能一蹴而就，需要医院行政管理部门、临床试验机构、信息管理部门及伦理委员会等各方共同商讨努力，以寻求最佳解决方案，完善和创新电子病历管理路径[5]。

2.4 保密技术的局限性

隐私的范围随着科技进步、社会生活环境的不断改变而发生动态演化。隐私与技术之间相互制衡，却又融合统一。大数据时代之前，受试者的隐私保护可能仅局限于个体，数据的类型、收集、使用和管理等都是明确的，基本可以通过技术手段处理来达到保护受试者隐私安全的目的。而在大数据时代，信息的全面收集和交叉匹配技术的应用，大数据技术可以轻而易举地突破技术设置防线追溯到个人，通过技术方法确保受试者隐私安全不再万无一失。虽然保密技术能够在一定程度上防止受试者隐私泄露，但数据的准确性会受到影响。数据匿名化后，受试者对其数据的控制能力受到限制，不利于受试者对自身信息的控制和健康管理，在诊疗过程中影响受试者的救治。随着大数据交叉匹配技术的不断发展，匿名化技术对数据的保护能力将越来越有限。大量隐私保护技术研究中应用的都是通用模型，鲜有专门针对临床研究隐私保护技术的研究，未来研究需在技术层面上有所突破。

2.5 风险受益难评估

风险受益评估是涉及人的健康相关研究伦理审查的重要内容之一，是伦理委员会作出是否允许临床研究开展的决定的重要依据。对于所有涉及人的健康相关研究，受试者的风险应能被自身或社会的预期受益所辩护，潜在的风险与受益应得到合理地平衡，并且风险应降到最低。风险评估时，应考虑到可能违反保密规定的任何后续影响，虽然这种影响可能很难界定。因为相同的数据在不同的情况下会有不同的风险，它不仅与数据本身有关，还取决于数据的上下游、使用数据的过程和数据与特定环境交互所产生的数据情况。风险评估要适度，对去识别数据的公益性研究要避免过度风险评估或以风险为幌子限制健康信息的共享和应用。要遵从国际共识和相关指南，在隐私泄露或重新识别个人信息风险很小的前提下，通过风险受益评估，充分发挥现有健康信息的科学研究价值，促进健康信息的合理利用[6]。

2.6 生物样本研究的特殊性

生物样本研究的数据收集包含生物组织和生物信息。近年来，基因测序技术发展迅速，相关临床研究不断增多，产生大量的个人基因数据，成为当前大健康产业中重要的医疗研究资源。基因作为一种重要的生物资源，所含信息量巨大，若处理不当会有潜在的高度危害。当生物样本研究涉及基因背景时，传统的删除相关身份识别变量或发布聚合数据模式对隐私安全的有效性还有待研究。如非洲族裔基因的多样性吸引了各国科研机构对非洲群体基因数据的研究兴趣，非洲DNA数据在国际研究机构间的转移已经突破了传统知情同意的边界，出现了基因样本的商业化和利益共享等问题，挑战了数据隐私保护的传统方式。南非《个人信息保护法》对无法重新识别的去标识数据尚未进行规定，但去标识化数据被重复识别的可能却存在，这种情况下法律如何规范[7]？由于未来生物样本研究的不可预测性，任何形式的知情同意都可能是不充分的。参与生物样本研究的受试者并不是唯一的参与主体，由于DNA 关联,其家庭成员也成了潜在的受试者。因此，受试者在同意公布基因组数据的同时，也使其家庭成员面临隐私泄露的风险。但现行的知情同意框架并未纳入受试者家庭成员，那么该如何保障其家庭成员的权益呢？此类研究的隐私风险评估不应局限于孤立的数据披露层面，而应考虑整体数据环境，从而降低间接识别受试者身份的风险。在生物样本库的长期研究项目中发现，受试者对生物样本或信息收集的控制，虽然可以通过提供或撤回知情同意的方式来维持，但是，同意提供的信息控制力是相当有限的[8]。

2.7 保密能力有限

由于临床研究涉及法律或其他原因，研究者保守研究机密的能力是有限的。保密局限性基于3个原因：①即使有良好的管理体系，也会存在数据泄露或被盗而被未经授权的第三方获得的风险；②由于技术的进步，不同来源的数据，如医疗记录、就业记录等可能被联系在了一起，即使受试者身份信息被匿名化或编码处理，也仍然增加了研究者或其他人识别受试者身份的可能。当研究是在较狭小的场所进行，或研究的是非常具体的罕见病时，会增加识别的可能；另外，通过综合技术获得的遗传信息，如全基因组测序，也增加识别个人身份信息的可能；③释放保密信息可能是法律要求。例如，研究者有责任按照规定向有关机构报告特定传染病；卫生健康主管部门和伦理委员会认证的机构有权查看临床研究记录；申办者派出的临床监查员、稽查员也可能要求获得保密数据的访问权限。此类保密方面的局限性，必须做出预期并告知潜在的受试者。

3 提高受试者隐私保护的建议

3.1 完善受试者隐私保护相关法律法规

隐私保护的关键是建立健全相关法律法规，通过法律手段防止隐私泄露，做到有章可循、有法可依。诸多发达国家如美国、英国、澳大利亚、日本等均从法律层面进行了长期探索与研究，已有较成熟的医疗数据保护立法，在医疗信息隐私保护领域建立了成熟完备的法律体系，对隐私保护起到规范作用。我国目前在这一领域的立法尚处于初级阶段，相关行业间的利益驱使导致个人隐私权容易被侵犯。技术手段和规章制度必须紧密结合才能有效解决受试者隐私泄露的问题。在临床研究过程中加强对受试者数据利用管控和对其隐私保护的法律需要已迫在眉睫。应加快对受试者隐私保护的立法，关注立法的细节设计，增强立法的可行性考量及执行性，为保障受试者隐私提供充分的法律依据。在制定和实施隐私保护相关法律法规时，要考虑我国的文化背景和基本国情，使隐私保护与社会利益之间的矛盾保持合理平衡，赋予公众更多的自主权利，努力构建协调完备的立法体系[9]。

3.2 加强伦理委员会审查和监管

完善的立法体系是保证个人隐私权的强大后盾，受试者隐私保护的伦理原则是开展临床科研的前提条件。伦理审查是临床研究独有的重要管理要求，伦理委员会的设立是解决临床科研隐私泄露问题的关键步骤之一。在临床研究开展前，伦理委员会需要对研究方案、知情同意书及研究开展条件等进行严格审查，作出是否同意研究开展的决定，并对整个临床研究过程进行监管，严格规范研究者行为，一旦发现受试者隐私存在泄漏风险，应立即责令相关方纠正并消除风险。如果受试者隐私受到侵犯，应当要求责任方依法赔偿或承担相应的法律责任。有条件的伦理委员会应该增加数据审核和信息安全专业相关的委员，或聘请相关独立顾问，并定期组织实地访查，审查整个研究过程的规范性，严防信息泄露，妥善保管受试者信息。伦理监管不仅需要在伦理原则下制定内部管理制度，更需要切实规范地履行管理职责，监督和防范违反伦理原则和规定的行为。

3.3 严格落实知情同意

个人享有对自身信息的支配权，尊重受试者意见，最大限度保证受试者隐私不受侵害。受试者参加临床研究必须遵循自主性原则，在采集样本或收集数据时，无论是用于特定的研究项目，还是用于无特定目的的未来研究，都需要获得受试者特定或广泛的知情同意。在欧美等发达国家，广泛知情同意已在法律层面得到了认可，而我国还处在探索阶段。我国大部分患者对知情同意的维权意识较强，但大都缺乏对隐私保护的认知与重视[4]。在不影响社会公共利益的情况下，受试者有权决定是否隐藏或公开个人健康信息。一旦受试者对个人健康信息作出决定，研究者、医疗机构、申办者都不能越权进行采集。临床研究应在初始的知情同意时考虑到未来的研究计划，并获得受试者同意。进行已知临床或预后价值的遗传学研究，必须获得受试者或其监护人的知情同意。研究者应告知受试者，其身份可通过匿名化技术、限制访问数据库等方式得到保护。在未取得受试者同意的情况下，研究者不得将任何研究结果公开给第三人，包括受试者的亲属。除非该研究符合有关免除知情同意的规则，并有保密的安全措施，伦理委员会可以同意免除知情同意的申请。针对此类研究，伦理委员会的审查重点不是获取知情同意的难度及可行性，而是要关注研究与个人利益和社会公共利益的一致性，如何促进公众参与性，提高研究透明度。

3.4 平衡隐私保护和数据共享

个人健康信息在促进医学研究和发现新知识方面具有重要的社会价值，越来越多的研究者利用患者的电子病历数据开展临床研究。医学数据共享和合理利用更应重视受试者的隐私安全。一方面，公众保护个人隐私而享有的各项权利及价值愿望应予以尊重；另一方面，应该鼓励广泛的、大规模的数据收集和共享，通过资源的高效利用以获取其他正当权益，从而促进社会价值提升。两者之间需要达到平衡，不仅要考虑到隐私泄露的风险，也要考量潜在的受益。隐私保护是数据共享的适当条件，而并非是座信息孤岛，应营造开放、健康的数据共享文化，加快构建数据共享保障体系[5]。在加强受试者隐私保护的同时，鼓励健康数据的合理开放和有效利用，将部分脱敏数据用于医学研究，让更多的受试者加入到数据共享中来，促进资源的更好利用。在相宜的监管和治理下，为了个人和社会利益，受试者有义务分享其健康信息。

3.5 规范隐私保护主要措施

临床研究过程中，严格遵守隐私保护程序和伦理标准，防止受试者信息泄露或被盗。知情同意时，应在相对私密的空间进行，并在知情同意中对隐私保护进行充分告知，保证受试者的顾虑和疑问得到解决；营造保护隐私的随访环境，在相对私密的诊室或专用诊室进行随访诊疗，尽量避免多人约谈；研究的各种查体表格记录中有关受试者的个人信息用统一代码进行区分；临床研究中采集标本的管理、检测、储存和运输环节应当保证保密性；在网络环境下，利用数字化手段收集信息时，要明确隐私保护措施，防止个人信息直接暴露或当数据出版、整合、共享或链接时，受试者个人信息被间接识别；严格控制访问权限，避免非法或者未经授权的访问、修改、泄露、丢失、传播、损毁；有关受试者的任何资料须及时整理归档，存放在资料室，专人专锁管理，并备有借阅登记；发表研究结果时，有关受试者的个人信息用代码替代等。

3.6 加强受试者隐私保护培训

部分研究者漠视受试者隐私权的同时，受试者本人也缺乏隐私保护意识。这主要体现在研究者在言谈中无意识地泄露隐私，以及研究者知情告知范围不全面。加强隐私保护培训不仅可以提高管理者的管理水平和效率，而且有助于临床研究相关人员的隐私保护意识提升，促进临床研究中主动遵从隐私保护规定和切实履行知情同意。建议宣传与普及隐私泄露所造成的危害，将受试者隐私保护的理念贯穿在临床研究全过程中。研究者、临床监查员、临床研究协调员等研究参与人员须接受保密教育培训、签订保密协议、尊重受试者隐私，从意识上强化受试者隐私保护[5]。

4 结语

受试者隐私保护有助于增进研究者与受试者之间的信任，维护受试者尊严，为临床科研项目的开展营造和谐的氛围。仅依靠法律的强制手段和技术手段无法彻底解决隐私保护难题，我们更应重视隐私保护伦理层面的要求。在建立有效的隐私保护机制基础上，严格遵守基本伦理原则，合理平衡各方利益，尊重受试者的主体价值愿望，最大限度保护受试者隐私安全。