臨床科研項目受試者隱私保護的倫理審查*

劉 丹，周吉銀

(陸軍軍醫(yī)大學(xué)第二附屬醫(yī)院國家藥物臨床試驗機構(gòu)，重慶 400037，fairyfair@126.com)

隨著生物醫(yī)學(xué)研究與信息技術(shù)的飛速發(fā)展，互聯(lián)網(wǎng)和大數(shù)據(jù)技術(shù)的廣泛應(yīng)用，在很大程度上改變了過去的研究模式，但電子傳輸和數(shù)字儲存潛藏著極大的隱私泄露風(fēng)險。在臨床研究過程中，從受試者招募到最后結(jié)果發(fā)布，都會涉及大量受試者個人信息，主要包括受試者的身份信息和健康信息[1]。規(guī)范使用并嚴(yán)格保護受試者個人信息是公眾愿意參與臨床研究的前提保證，也是臨床研究各方應(yīng)遵循的基本原則。隱私保護是受試者參加臨床研究的基本倫理訴求。本文試圖從受試者隱私保護的現(xiàn)狀、隱私保護的難點和提高受試者隱私保護的建議三個方面探討臨床科研受試者隱私保護的倫理審查。

1 受試者隱私保護的現(xiàn)狀

受試者健康信息是有關(guān)受試者生理和心理的特殊數(shù)據(jù)，包含范圍廣，如果將儲存和收集的信息披露給第三方，可能會給受試者帶來傷害、污名化或痛苦。在醫(yī)學(xué)與信息技術(shù)飛速發(fā)展的當(dāng)下，這一資源的學(xué)術(shù)價值、社會價值和商業(yè)價值日益凸顯，成為倫理學(xué)者、受試者、研究者、醫(yī)療機構(gòu)、科研機構(gòu)、企業(yè)及政府等各方關(guān)注的焦點。2016年11月，國際醫(yī)學(xué)科學(xué)組織理事會發(fā)布了《涉及人的健康相關(guān)研究國際倫理準(zhǔn)則》。本次修訂為適應(yīng)生物醫(yī)學(xué)研究的新變化，在健康相關(guān)研究中的數(shù)據(jù)收集、儲存和使用方面，提出了“倫理治理”概念，并對獲取數(shù)據(jù)用于研究而存在的隱私風(fēng)險，以及如何進行保護作出相應(yīng)的指導(dǎo)[2]。在近年來頒布的《信息安全技術(shù)個人信息安全規(guī)范》和《中華人民共和國民法典》等法律法規(guī)中，個人信息和公眾隱私權(quán)的保護被提到了前所未有的高度，網(wǎng)絡(luò)和大數(shù)據(jù)技術(shù)的不斷發(fā)展，給隱私保護帶來了新的挑戰(zhàn)。

2 受試者隱私保護的難點

隨著大數(shù)據(jù)技術(shù)和人工智能的開發(fā)與應(yīng)用，醫(yī)療領(lǐng)域內(nèi)數(shù)據(jù)呈爆炸式增長，個人健康信息的傳播迅速，隱私泄露范圍不可預(yù)測且難以控制。2017 年 5 月，英國國家醫(yī)療服務(wù)體系信托基金運營的3家醫(yī)院與谷歌旗下的 Deep Mind合作，在沒有告知患者醫(yī)療記錄數(shù)據(jù)使用方式的情況下，向Deep Mind提供了約160萬患者的詳細(xì)資料，包括艾滋病病毒感染狀況、吸毒過量和墮胎信息等私密數(shù)據(jù)，用于開發(fā)和完善檢測診斷系統(tǒng)的臨床研究[3]。大數(shù)據(jù)技術(shù)帶來便利的同時，也給臨床研究項目的實施與監(jiān)管帶來巨大壓力。受試者隱私保護難度加大，責(zé)任更為艱巨。

2.1 缺乏受試者隱私保護法規(guī)

目前，我國隱私立法還處于初級階段，沒有專門針對臨床研究個人健康信息保護的立法。個人信息中隱私范圍的界定標(biāo)準(zhǔn)尚未統(tǒng)一，隱私保護相關(guān)技術(shù)及其有效性也無可靠的評估標(biāo)準(zhǔn)。2018年施行的《信息安全技術(shù)個人信息安全規(guī)范》，對個人信息的收集、存儲、應(yīng)用、傳輸?shù)雀鳝h(huán)節(jié)作了明確詳細(xì)的規(guī)定，但沒有針對醫(yī)療衛(wèi)生行業(yè)的具體條款[4]。個人健康信息隱私保護相關(guān)的項目法規(guī)較為零散，僅籠統(tǒng)提出公眾的個人隱私受法律保護，沒有統(tǒng)一標(biāo)準(zhǔn)和詳細(xì)指導(dǎo)意見。對研究者不得泄露受試者隱私的相關(guān)要求大都是原則性規(guī)定，臨床研究過程中受試者數(shù)據(jù)的收集、存儲、使用與管理等均缺乏法律約束，更缺乏監(jiān)管。單純通過技術(shù)手段很難限制研究者對受試者信息的使用，主要依靠研究者自律。

2.2 倫理審查和監(jiān)督不足

保護受試者權(quán)益的第一道防線，即倫理審查。隨著生物醫(yī)學(xué)的發(fā)展進步，研究涉及的領(lǐng)域越來越專業(yè)，未知空間愈發(fā)寬泛，受試者權(quán)益也備受挑戰(zhàn)。目前，各醫(yī)療機構(gòu)倫理委員會能力建設(shè)不平衡，組成委員中缺乏信息安全方面的專家。大多數(shù)醫(yī)療機構(gòu)未對受試者健康相關(guān)信息的管理建立完善的數(shù)據(jù)安全與監(jiān)督機制。針對隱私保護的倫理審查重點僅局限在初始審查階段，研究開展過程中，從受試者招募、篩選、入組，到后階段數(shù)據(jù)處理、使用和存儲的全過程，倫理委員會的監(jiān)督并未落到實處。這源于倫理委員會難以有效干預(yù)受試者的醫(yī)療數(shù)據(jù)管理，對受試者隱私保護以及數(shù)據(jù)保密性的審查能力有限[5]。另外，臨床科研項目跟蹤審查普遍不足，是未來亟須加強審查的要點。

2.3 數(shù)據(jù)管理松散

隨著電子病歷系統(tǒng)和臨床研究大數(shù)據(jù)的廣泛應(yīng)用，醫(yī)療機構(gòu)、申辦者和研究者對受試者隱私的保護受到極大挑戰(zhàn)。醫(yī)務(wù)工作者和其他非研究授權(quán)人員可以通過醫(yī)院信息終端方便地獲取受試者病歷信息，包括受試者姓名、年齡、家庭成員、地址、是否攜帶傳染病等隱私內(nèi)容。受試者信息存儲于云端，在上傳、下載過程中也存在巨大風(fēng)險。如何更精準(zhǔn)地限制電子病歷的存儲、調(diào)用及查閱權(quán)限，同時兼顧臨床工作的便利性與患者隱私保護之間的平衡，是大數(shù)據(jù)時代受試者隱私保護所面臨的嚴(yán)峻考驗。此類問題的解決不可能一蹴而就，需要醫(yī)院行政管理部門、臨床試驗機構(gòu)、信息管理部門及倫理委員會等各方共同商討努力，以尋求最佳解決方案，完善和創(chuàng)新電子病歷管理路徑[5]。

2.4 保密技術(shù)的局限性

隱私的范圍隨著科技進步、社會生活環(huán)境的不斷改變而發(fā)生動態(tài)演化。隱私與技術(shù)之間相互制衡，卻又融合統(tǒng)一。大數(shù)據(jù)時代之前，受試者的隱私保護可能僅局限于個體，數(shù)據(jù)的類型、收集、使用和管理等都是明確的，基本可以通過技術(shù)手段處理來達(dá)到保護受試者隱私安全的目的。而在大數(shù)據(jù)時代，信息的全面收集和交叉匹配技術(shù)的應(yīng)用，大數(shù)據(jù)技術(shù)可以輕而易舉地突破技術(shù)設(shè)置防線追溯到個人，通過技術(shù)方法確保受試者隱私安全不再萬無一失。雖然保密技術(shù)能夠在一定程度上防止受試者隱私泄露，但數(shù)據(jù)的準(zhǔn)確性會受到影響。數(shù)據(jù)匿名化后，受試者對其數(shù)據(jù)的控制能力受到限制，不利于受試者對自身信息的控制和健康管理，在診療過程中影響受試者的救治。隨著大數(shù)據(jù)交叉匹配技術(shù)的不斷發(fā)展，匿名化技術(shù)對數(shù)據(jù)的保護能力將越來越有限。大量隱私保護技術(shù)研究中應(yīng)用的都是通用模型，鮮有專門針對臨床研究隱私保護技術(shù)的研究，未來研究需在技術(shù)層面上有所突破。

2.5 風(fēng)險受益難評估

風(fēng)險受益評估是涉及人的健康相關(guān)研究倫理審查的重要內(nèi)容之一，是倫理委員會作出是否允許臨床研究開展的決定的重要依據(jù)。對于所有涉及人的健康相關(guān)研究，受試者的風(fēng)險應(yīng)能被自身或社會的預(yù)期受益所辯護，潛在的風(fēng)險與受益應(yīng)得到合理地平衡，并且風(fēng)險應(yīng)降到最低。風(fēng)險評估時，應(yīng)考慮到可能違反保密規(guī)定的任何后續(xù)影響，雖然這種影響可能很難界定。因為相同的數(shù)據(jù)在不同的情況下會有不同的風(fēng)險，它不僅與數(shù)據(jù)本身有關(guān)，還取決于數(shù)據(jù)的上下游、使用數(shù)據(jù)的過程和數(shù)據(jù)與特定環(huán)境交互所產(chǎn)生的數(shù)據(jù)情況。風(fēng)險評估要適度，對去識別數(shù)據(jù)的公益性研究要避免過度風(fēng)險評估或以風(fēng)險為幌子限制健康信息的共享和應(yīng)用。要遵從國際共識和相關(guān)指南，在隱私泄露或重新識別個人信息風(fēng)險很小的前提下，通過風(fēng)險受益評估，充分發(fā)揮現(xiàn)有健康信息的科學(xué)研究價值，促進健康信息的合理利用[6]。

2.6 生物樣本研究的特殊性

生物樣本研究的數(shù)據(jù)收集包含生物組織和生物信息。近年來，基因測序技術(shù)發(fā)展迅速，相關(guān)臨床研究不斷增多，產(chǎn)生大量的個人基因數(shù)據(jù)，成為當(dāng)前大健康產(chǎn)業(yè)中重要的醫(yī)療研究資源。基因作為一種重要的生物資源，所含信息量巨大，若處理不當(dāng)會有潛在的高度危害。當(dāng)生物樣本研究涉及基因背景時，傳統(tǒng)的刪除相關(guān)身份識別變量或發(fā)布聚合數(shù)據(jù)模式對隱私安全的有效性還有待研究。如非洲族裔基因的多樣性吸引了各國科研機構(gòu)對非洲群體基因數(shù)據(jù)的研究興趣，非洲D(zhuǎn)NA數(shù)據(jù)在國際研究機構(gòu)間的轉(zhuǎn)移已經(jīng)突破了傳統(tǒng)知情同意的邊界，出現(xiàn)了基因樣本的商業(yè)化和利益共享等問題，挑戰(zhàn)了數(shù)據(jù)隱私保護的傳統(tǒng)方式。南非《個人信息保護法》對無法重新識別的去標(biāo)識數(shù)據(jù)尚未進行規(guī)定，但去標(biāo)識化數(shù)據(jù)被重復(fù)識別的可能卻存在，這種情況下法律如何規(guī)范[7]？由于未來生物樣本研究的不可預(yù)測性，任何形式的知情同意都可能是不充分的。參與生物樣本研究的受試者并不是唯一的參與主體，由于DNA 關(guān)聯(lián),其家庭成員也成了潛在的受試者。因此，受試者在同意公布基因組數(shù)據(jù)的同時，也使其家庭成員面臨隱私泄露的風(fēng)險。但現(xiàn)行的知情同意框架并未納入受試者家庭成員，那么該如何保障其家庭成員的權(quán)益呢？此類研究的隱私風(fēng)險評估不應(yīng)局限于孤立的數(shù)據(jù)披露層面，而應(yīng)考慮整體數(shù)據(jù)環(huán)境，從而降低間接識別受試者身份的風(fēng)險。在生物樣本庫的長期研究項目中發(fā)現(xiàn)，受試者對生物樣本或信息收集的控制，雖然可以通過提供或撤回知情同意的方式來維持，但是，同意提供的信息控制力是相當(dāng)有限的[8]。

2.7 保密能力有限

由于臨床研究涉及法律或其他原因，研究者保守研究機密的能力是有限的。保密局限性基于3個原因：①即使有良好的管理體系，也會存在數(shù)據(jù)泄露或被盜而被未經(jīng)授權(quán)的第三方獲得的風(fēng)險；②由于技術(shù)的進步，不同來源的數(shù)據(jù)，如醫(yī)療記錄、就業(yè)記錄等可能被聯(lián)系在了一起，即使受試者身份信息被匿名化或編碼處理，也仍然增加了研究者或其他人識別受試者身份的可能。當(dāng)研究是在較狹小的場所進行，或研究的是非常具體的罕見病時，會增加識別的可能；另外，通過綜合技術(shù)獲得的遺傳信息，如全基因組測序，也增加識別個人身份信息的可能；③釋放保密信息可能是法律要求。例如，研究者有責(zé)任按照規(guī)定向有關(guān)機構(gòu)報告特定傳染?。恍l(wèi)生健康主管部門和倫理委員會認(rèn)證的機構(gòu)有權(quán)查看臨床研究記錄；申辦者派出的臨床監(jiān)查員、稽查員也可能要求獲得保密數(shù)據(jù)的訪問權(quán)限。此類保密方面的局限性，必須做出預(yù)期并告知潛在的受試者。

3 提高受試者隱私保護的建議

3.1 完善受試者隱私保護相關(guān)法律法規(guī)

隱私保護的關(guān)鍵是建立健全相關(guān)法律法規(guī)，通過法律手段防止隱私泄露，做到有章可循、有法可依。諸多發(fā)達(dá)國家如美國、英國、澳大利亞、日本等均從法律層面進行了長期探索與研究，已有較成熟的醫(yī)療數(shù)據(jù)保護立法，在醫(yī)療信息隱私保護領(lǐng)域建立了成熟完備的法律體系，對隱私保護起到規(guī)范作用。我國目前在這一領(lǐng)域的立法尚處于初級階段，相關(guān)行業(yè)間的利益驅(qū)使導(dǎo)致個人隱私權(quán)容易被侵犯。技術(shù)手段和規(guī)章制度必須緊密結(jié)合才能有效解決受試者隱私泄露的問題。在臨床研究過程中加強對受試者數(shù)據(jù)利用管控和對其隱私保護的法律需要已迫在眉睫。應(yīng)加快對受試者隱私保護的立法，關(guān)注立法的細(xì)節(jié)設(shè)計，增強立法的可行性考量及執(zhí)行性，為保障受試者隱私提供充分的法律依據(jù)。在制定和實施隱私保護相關(guān)法律法規(guī)時，要考慮我國的文化背景和基本國情，使隱私保護與社會利益之間的矛盾保持合理平衡，賦予公眾更多的自主權(quán)利，努力構(gòu)建協(xié)調(diào)完備的立法體系[9]。

3.2 加強倫理委員會審查和監(jiān)管

完善的立法體系是保證個人隱私權(quán)的強大后盾，受試者隱私保護的倫理原則是開展臨床科研的前提條件。倫理審查是臨床研究獨有的重要管理要求，倫理委員會的設(shè)立是解決臨床科研隱私泄露問題的關(guān)鍵步驟之一。在臨床研究開展前，倫理委員會需要對研究方案、知情同意書及研究開展條件等進行嚴(yán)格審查，作出是否同意研究開展的決定，并對整個臨床研究過程進行監(jiān)管，嚴(yán)格規(guī)范研究者行為，一旦發(fā)現(xiàn)受試者隱私存在泄漏風(fēng)險，應(yīng)立即責(zé)令相關(guān)方糾正并消除風(fēng)險。如果受試者隱私受到侵犯，應(yīng)當(dāng)要求責(zé)任方依法賠償或承擔(dān)相應(yīng)的法律責(zé)任。有條件的倫理委員會應(yīng)該增加數(shù)據(jù)審核和信息安全專業(yè)相關(guān)的委員，或聘請相關(guān)獨立顧問，并定期組織實地訪查，審查整個研究過程的規(guī)范性，嚴(yán)防信息泄露，妥善保管受試者信息。倫理監(jiān)管不僅需要在倫理原則下制定內(nèi)部管理制度，更需要切實規(guī)范地履行管理職責(zé)，監(jiān)督和防范違反倫理原則和規(guī)定的行為。

3.3 嚴(yán)格落實知情同意

個人享有對自身信息的支配權(quán)，尊重受試者意見，最大限度保證受試者隱私不受侵害。受試者參加臨床研究必須遵循自主性原則，在采集樣本或收集數(shù)據(jù)時，無論是用于特定的研究項目，還是用于無特定目的的未來研究，都需要獲得受試者特定或廣泛的知情同意。在歐美等發(fā)達(dá)國家，廣泛知情同意已在法律層面得到了認(rèn)可，而我國還處在探索階段。我國大部分患者對知情同意的維權(quán)意識較強，但大都缺乏對隱私保護的認(rèn)知與重視[4]。在不影響社會公共利益的情況下，受試者有權(quán)決定是否隱藏或公開個人健康信息。一旦受試者對個人健康信息作出決定，研究者、醫(yī)療機構(gòu)、申辦者都不能越權(quán)進行采集。臨床研究應(yīng)在初始的知情同意時考慮到未來的研究計劃，并獲得受試者同意。進行已知臨床或預(yù)后價值的遺傳學(xué)研究，必須獲得受試者或其監(jiān)護人的知情同意。研究者應(yīng)告知受試者，其身份可通過匿名化技術(shù)、限制訪問數(shù)據(jù)庫等方式得到保護。在未取得受試者同意的情況下，研究者不得將任何研究結(jié)果公開給第三人，包括受試者的親屬。除非該研究符合有關(guān)免除知情同意的規(guī)則，并有保密的安全措施，倫理委員會可以同意免除知情同意的申請。針對此類研究，倫理委員會的審查重點不是獲取知情同意的難度及可行性，而是要關(guān)注研究與個人利益和社會公共利益的一致性，如何促進公眾參與性，提高研究透明度。

3.4 平衡隱私保護和數(shù)據(jù)共享

個人健康信息在促進醫(yī)學(xué)研究和發(fā)現(xiàn)新知識方面具有重要的社會價值，越來越多的研究者利用患者的電子病歷數(shù)據(jù)開展臨床研究。醫(yī)學(xué)數(shù)據(jù)共享和合理利用更應(yīng)重視受試者的隱私安全。一方面，公眾保護個人隱私而享有的各項權(quán)利及價值愿望應(yīng)予以尊重；另一方面，應(yīng)該鼓勵廣泛的、大規(guī)模的數(shù)據(jù)收集和共享，通過資源的高效利用以獲取其他正當(dāng)權(quán)益，從而促進社會價值提升。兩者之間需要達(dá)到平衡，不僅要考慮到隱私泄露的風(fēng)險，也要考量潛在的受益。隱私保護是數(shù)據(jù)共享的適當(dāng)條件，而并非是座信息孤島，應(yīng)營造開放、健康的數(shù)據(jù)共享文化，加快構(gòu)建數(shù)據(jù)共享保障體系[5]。在加強受試者隱私保護的同時，鼓勵健康數(shù)據(jù)的合理開放和有效利用，將部分脫敏數(shù)據(jù)用于醫(yī)學(xué)研究，讓更多的受試者加入到數(shù)據(jù)共享中來，促進資源的更好利用。在相宜的監(jiān)管和治理下，為了個人和社會利益，受試者有義務(wù)分享其健康信息。

3.5 規(guī)范隱私保護主要措施

臨床研究過程中，嚴(yán)格遵守隱私保護程序和倫理標(biāo)準(zhǔn)，防止受試者信息泄露或被盜。知情同意時，應(yīng)在相對私密的空間進行，并在知情同意中對隱私保護進行充分告知，保證受試者的顧慮和疑問得到解決；營造保護隱私的隨訪環(huán)境，在相對私密的診室或?qū)Ｓ迷\室進行隨訪診療，盡量避免多人約談；研究的各種查體表格記錄中有關(guān)受試者的個人信息用統(tǒng)一代碼進行區(qū)分；臨床研究中采集標(biāo)本的管理、檢測、儲存和運輸環(huán)節(jié)應(yīng)當(dāng)保證保密性；在網(wǎng)絡(luò)環(huán)境下，利用數(shù)字化手段收集信息時，要明確隱私保護措施，防止個人信息直接暴露或當(dāng)數(shù)據(jù)出版、整合、共享或鏈接時，受試者個人信息被間接識別；嚴(yán)格控制訪問權(quán)限，避免非法或者未經(jīng)授權(quán)的訪問、修改、泄露、丟失、傳播、損毀；有關(guān)受試者的任何資料須及時整理歸檔，存放在資料室，專人專鎖管理，并備有借閱登記；發(fā)表研究結(jié)果時，有關(guān)受試者的個人信息用代碼替代等。

3.6 加強受試者隱私保護培訓(xùn)

部分研究者漠視受試者隱私權(quán)的同時，受試者本人也缺乏隱私保護意識。這主要體現(xiàn)在研究者在言談中無意識地泄露隱私，以及研究者知情告知范圍不全面。加強隱私保護培訓(xùn)不僅可以提高管理者的管理水平和效率，而且有助于臨床研究相關(guān)人員的隱私保護意識提升，促進臨床研究中主動遵從隱私保護規(guī)定和切實履行知情同意。建議宣傳與普及隱私泄露所造成的危害，將受試者隱私保護的理念貫穿在臨床研究全過程中。研究者、臨床監(jiān)查員、臨床研究協(xié)調(diào)員等研究參與人員須接受保密教育培訓(xùn)、簽訂保密協(xié)議、尊重受試者隱私，從意識上強化受試者隱私保護[5]。

4 結(jié)語

受試者隱私保護有助于增進研究者與受試者之間的信任，維護受試者尊嚴(yán)，為臨床科研項目的開展?fàn)I造和諧的氛圍。僅依靠法律的強制手段和技術(shù)手段無法徹底解決隱私保護難題，我們更應(yīng)重視隱私保護倫理層面的要求。在建立有效的隱私保護機制基礎(chǔ)上，嚴(yán)格遵守基本倫理原則，合理平衡各方利益，尊重受試者的主體價值愿望，最大限度保護受試者隱私安全。