本文作者科斯塔斯·格里诺斯(KostasGlinos)任职于欧盟委员会研究与创新总司,同时担任新加坡国立大学李光耀公共政策学院的客座研究员。
我们正处于“第四次工业革命”的初级阶段,数据获取、处理和交流的能力前所未有。就像所有的革命一样,此次革命前景光明,但同时又危机四伏。对大量隐私遭受侵犯表示愤慨,证明我们对个人数据的保护存在风险,同时提醒我们技术进步的确对政策、价值观和道德提出了挑战。欧盟《通用数据保护条例》(GDPR)已于2018年5月25日生效,该条例为个人数据提供了前所未有的保护和控制,还包括许多适用于研究的规定。虽然这一举措能够增加公众的信任,并因此更乐于分享数据,但许多实施细节和保障措施尚未明确。可以肯定的是,政策的互操作性对于促进欧盟内部和全球研究界之间的数据共享至关重要。
GDPR公布了“从设计着手保护隐私”原则,提高了数据管理人员的地位,确立了数据擦除和可移植性的权利,并规定同意收集和使用数据必须有明确的肯定性行为。它规定,即使欧盟个人数据离开欧盟,也仍然得到欧盟保护。GDPR包括确保个人数据获得保护的条款,但不会对研究和创新造成不当影响。例如,个人数据可能被用于某种研究目的,而这些研究目的与最初收集数据时并不相同;在某些条件下,可在未经事先允许的情况下对个人数据进行处理,并将其用于研究,而个人反对处理或要求擦除的权利可被否决。有些规定则是为敏感数据制定的,如遗传、生物测定和健康数据,或揭示种族、民族血统、政治、宗教信仰的数据。
GDPR为研究中的个人数据设立了基本规则和条件,但也为欧盟成员国制定保障措施和条件提供了灵活性。因此,欧盟国家必须注意,GDPR给予他们的自由裁量权并不会损害互操作性。一些欧盟国家已经制定法律法规,一些正在立法过程中,如《德国数据保护修正法》和《英国数据保护法案》。在全球层面,互操作性同样重要;一个国家研究中的个人数据使用规则可能会影响另一国的数据使用。
互操作性的一个基本方面是数据传输能力。欧盟委员会认为,在GDPR的监管下,一些非欧盟国家已经提供了足够保护,包括阿根廷、以色列、新西兰和美国(仅限于《隐私保护框架》参与方),这意味着个人数据可在未经授权或没有进一步保障的情况下从欧盟转移。
研究界对推广统一的监管方法颇感兴趣,以实现便利访问和法律上的互操作性,包括数据在云计算环境中的共享――可以在世界任何地方进行访问。GDPR已经使欧盟监管框架实现现代化,但仍然需要国际协调,以形成各国与各地区之间的法律互操作性。这必须与解决互操作性的技术、组织障碍以及欧洲开放科学云或螺旋星云等数据计划联系起来。在研究数据联盟(RDA)等全球论坛以及已经在这一领域推出创新药物计划等的社区主导的倡议中,协调工作可能会受到影响。研究数据联盟一直与科学技术数据委员会(CDST)和国家信息标准组织(NISO)合作,共同研究法律的互操作性。
GDPR是一个里程碑,但从技术、法律和治理方面来看,全球范围内跨国、跨界的个人数据共享研究仍将是全球科学界面临的挑战和机遇。
资料来源 Science
责任编辑 田心