2018年5月25日,欧盟关于数据保护的2016/679号条例(又称《通用数据保护条例》,GDPR)正式生效。GDPR废除了此前欧洲关于数据保护的立法――95/46/EC号指令,而鉴于欧盟研究的全球影响力以及需要进行互操作的国际研究网络所处的重要地位,这势必会对欧洲及其他地区的生物医学研究和数字健康技术产生重大影响。本文介绍了GDPR如何成为构建数据保护治理的关键工具;作为对其潜在影响的实时预测,还分析了GDPR在一场法律争议中的影响,该争议涉及最初由Shardna(全球首批基因组生物样本库之一)搭建的数据库。
 
  GDPR旨在协调欧盟的数据保护立法,其目标是为公民提供对个人数据的更多保护和赋权,同时加强欧盟内部的个人数据保护。这一目标旨在提供监管支持,以建立一个完整的数字单一市场――这是让-克洛德·容克(Jean-ClaudeJuncker)主席领导下的欧盟委员会的政策基石。GDPR采用了一种基于风险并针对具体情况的方法,目的是确保在整个数据处理中设计和实施适当的数据保护措施(正如被写入的“从设计着手保护隐私和默认隐私保护”原则),其核心是赋予数据主体新的权利(如“被遗忘的权利”和“数据可移植性的权利”)。为此,GDPR提高了数据控制方的责任意识,并推出新的去中心化问责模式。此外,GDPR还为科学研究处理敏感数据设立了专门条款,要求提供组织和技术保障(如数据假名化),以及在敏感数据需要进行大规模系统处理时授权指定数据保护专员。

 

“大数据”生物医学的治理

 

  大数据生物医学面临的监管挑战主要在于:一是数据固有的开放式潜力,其数字兼容性使其在研究中变得更有价值,而这些研究可能与收集样本或数据的原始目的完全背离,从而导致“知情同意”这一经典理论基础被削弱了;二是数据在所有数字化人类特征(从基因组到社交网络“日志”)中越来越高的辨识度和不断扩大的范围,随之而来的便是自我宣称的隐私被侵蚀。尽管处在不同的技术层面,人们的反应明显呈现为两种风格,而其目的则都是为了从技术上解决问题。
 
  第一种包括试图通过更复杂的数字化来解决数字时代的难题,例如最近的多方安全计算,这种计算使得基因组诊断成为可能,同时还能保护受试者的隐私。第二种是利用治理,通过流程体系结构和分布式机构将权力结构重新配置(如建立信任技术的建议),将重点从隐私问题本身转移到获取对数据的控制和对其所有者的信任,从而避免数据隐私与数据可用性的零和博弈。
 
  治理机制在当代生物医学兴起的过程中一直发挥着核心作用,同时也是制定欧洲科学政策的关键:一方面,随着市场力量的进步和“利益相关者”的多元化,国家权力和管理机构部分退出,开启了针对决策的重大调整(“去中心化”);另一方面,更多依赖软规则工具,例如标准、行为准则和道德门槛(“标准化”),而不是僵化的立法干预形式。反过来,这两个特征又都是构建GDPR不可或缺的组成部分。

 

去中心化

 

  尽管GDPR具有约束力和严厉的处罚力度(如果违反,罚款最高可达2000万欧元,或占公司全球年收入的4%),但GDPR将集权分散出去,把国家和欧盟的职责委托给数据控制方(即个人、公司、协会或其他控制个人数据处理的实体)。“问责原则”规定,数据控制方必须对数据保护采取积极主动的办法,并负责事前评估、实施以及事后对适当措施的核验,以确保和证明数据处理符合GDPR的要求。
 
  在说明哪些措施体现了控制方的义务,并根据处理的性质、范围、背景和目的来确定这些措施时,GDPR旨在推广一种基于控制方、事件敏感性和特定背景的数据保护方法。这标志着欧盟的数据保护工作实现了从“家长式”管理向“自主式”管理的转变。有趣的是,有人在一场关于隐私法的会议上无意中听到了下面的评论:“因为GDPR,欧盟的数据保护工作回到了20世纪60年代。”
 
  向去中心化、基于控制方和问责制的模式转变取得了显著进展,尤其是由“高清晰度医学”的关键推动者提出的“动态知识资源库”的出现。GDPR规定,用于科学研究的进一步数据处理“应被视为符合最初收集个人资料的原始目的”。此外,GDPR还引入了兼容性评估标准,由数据控制方负责执行,目的在于逐案确定个人数据的进一步处理(未经数据主体同意)是否符合最初收集数据时的原始目的。这项“兼容性测试”应考虑的因素包括:个人数据的性质,尤其是是否对特殊类型的个人数据进行处理;收集个人资料的目的与预期的处理目的之间的联系;在进一步使用数据方面,根据数据主体与控制方的关系判断数据主体的合理期望;收集个人数据的背景。

 

标准化

 

  这种数据处理的灵活性可延伸至人类生物医学研究的基本原则――知情同意。虽然GDPR要求数据主体“明确知情并同意”,但研究人员在收集数据时可能无法完全确定今后所有可能的研究目的。鉴于此,GDPR指出,如果同意过于明确会影响研究目的,应允许数据主体在符合一些条件时对某些领域的科学研究表示同意,同时研究应符合公认的科学研究伦理标准。
 
  这一关键规定与关于合理知情同意模式的生物伦理争辩存在交集,它主要有两个主要含义。首先,在数据收集过程中,当用于特定研究的明确同意标准被证明无法满足时(如生物样本库的例子),这一规定消除了之前的担忧,充分利用GDPR的立法权重,为获得广泛同意提供了支持。有趣的是,工作小组发布了进一步明晰GDPR中“同意”概念的准则。这些准则再次确认,作为默认选择,必须获得明确同意。同时,它们在研究目的之间做了细微区分,要求对其进行“详细描述”,不应该只是“充分说明”。出现这些情况时,还建议采取一些额外保障措施。例如,在项目开始前提供综合研究计划,提高项目发展的透明度,使参与者能够行使撤回同意的权利。这一解释性准则不仅提供了“更严格的解释”和“高度的审查”,而且为控制方在任何时候都可根据预期的研究目的获得广泛同意而铺平道路。其次,在确定为科学研究目的进行数据处理的范围方面,这一条款使制度化伦理(即伦理委员会的指导方针以及其他软性法律文书,如职业行为守则)更加强化。更宽泛地说,这一作用在制定通用实践标准方面得到了加强。由于缺乏可与规范临床研究相媲美的具有约束力的立法要求,人类生物样本的研究已经在很大程度上进行了回避。
 
  这一准则被设想为该领域的参考标准,使欧盟成员国及其他国家和地区之间的国际协调成为可能。然而,GDPR的具体执行情况是否能够凭借单一的行为准则带来广泛的影响还有待观察。或者,GDPR加大对制度化伦理的投资,最终通过当地伦理委员会的扩散而促进监管分化。

 

GDPR测试

 

  事实上,欧洲的数据保护工作取代僵化的统一规范而实施灵活的治理制度(尽管成员国可能会为基因组和健康相关数据的处理制定进一步规定),存在自相矛盾之处。
 

 

 

  一方面,除了控制方的自由裁量权外,GDPR还支持影响深远的“研究豁免”,以应对敏感数据处理的严格限制,放宽对同意、进一步处理和存储的要求。对“技术开发和示范”“应用研究”和“私人资助研究”等科学研究名义下开展的活动采用非常宽泛的定义,扩大了研究豁免的范围。通过将这些规定结合起来,制药企业、直接对消费者进行基因检测的公司以及数字技术公司等控制方声称可在科学研究活动范围内对(敏感的)个人数据进行处理,它们将直接受益于对数据控制方(而非数据主体)有利的监管空间。
 
  另一方面,兼容性测试等涉及敏感内容的方法以及进一步强化制度化伦理的做法,都可视为加强对数据主体的保护,并为促进其实质性(而非象征性)地参与研究工作创造条件。
 
  卡利亚里法庭(意大利)曾做出一审判决,推翻了意大利数据保护局(DPA)终止英国蒂齐亚纳生命科学有限公司有关ShardnaSpA数据库活动的决定,这一具有里程碑意义的判决很好地诠释了这一点。这是意大利法院第一次做出此类裁决。Shardna是意大利的一家基因组生物样本库,存储有遗传、健康和家谱数据(后者是从超过4个世纪的市政和教区档案记录中收集的),涉及大约1.2万名基因互相关联的奥利亚斯特拉居民。奥利亚斯特拉是意大利撒丁岛上一个与世隔绝的地区,百岁老人随处可见。Shardna在2016年被蒂齐亚纳收购,并在当地社区引发争论,包括研究参与者试图阻止外国机构对Shardna数据库的营利性收购。
 
  DPA决定对蒂齐亚纳的收购设置临时障碍,其依据是蒂齐亚纳作为新的数据控制方,必须将“数据控制方的变更以及新控制方可能会因为医学遗传领域科研目的而进行进一步数据处理”告知数据主体,并重新征得信息存储于Shardna数据库的所有数据主体的同意。相反,卡利亚里法庭裁定这项规定“要求过高”,因为新的数据控制方“追求的是与Shardna相同的目标”,即“已征得同意的科学研究目的”。
 
  尽管DPA的决定和将其推翻的裁决都与意大利的数据保护法相一致,但对该判决进行申诉预计将在GDPR框架下进行。预计对此案的裁决将围绕以下评估进行:数据控制方的变更是否导致进一步处理个人数据;其范围是否符合征得同意时的最初目的。可以说,这样的评估最终会得出这样的结论:蒂齐亚纳极有可能不会为了推进自己的肿瘤学和免疫学研究项目而对Shardna最初建立的数据库进行进一步处理,不管它是否继续开展最初由Shardna发起的系列研究。
 
  评估这种对数据进一步处理的兼容性需要对科学研究的抽象概念进行阐释(Shardna和蒂齐亚纳对数据进行处理的明确目的)。这包括对两个机构开展的研究工作进行审查,并认识到这两个机构不仅在研究方案和目标上存在重大差异,而且在治理方式、价值观和愿景方面也迥然不同。Shardna是一个由本地人拥有并管理的生物样本库,根植于奥利亚斯特拉社区(名称本身就让人想起青铜时代居住在撒丁岛的Shardana人)。因此,它能够在当地人口中获得较高的招募率,因为它的研究项目关注的是常见于奥利亚斯特拉的多因子疾病的遗传。相比之下,蒂齐亚纳是一家以营利为导向的国际化生物技术公司,拥有明确的研究重点,其研究重心与当地社区联系薄弱。因此,无论Shardna最初征得的同意有多“广泛”,都可以提出一个令人信服的理由:由于数据控制方发生了变化,数据主体和控制方之间的关系――GDPR为确定进一步处理的兼容性而设立的关键标准――已经发生了重大改变。这可能会使数据的进一步处理背离初衷,因此需要征得研究受试者的同意。
 
  无论结果如何,该案例都会成为一个典型的试验,因为它的裁决必将为当代生物医学中的两个核心问题确立判例。欧洲科学家和公民借助这一立法工具的广泛性集体参与其中,将会是确保GDPR在科学和社会领域具有强大影响力的关键。总之,将更广泛的研究自由和更严苛的研究问责之间的关系转化为实践,为GDPR划定了范围,而从更广义的层面上说,是界定了欧盟通过技术科学治理进行试验的范围。

 

资料来源 Science

责任编辑 田心