2018年5月25日，欧盟关于数据保护的2016/679号条例（又称《通用数据保护条例》，GDPR）正式生效。GDPR废除了此前欧洲关于数据保护的立法――95/46/EC号指令，而鉴于欧盟研究的全球影响力以及需要进行互操作的国际研究网络所处的重要地位，这势必会对欧洲及其他地区的生物医学研究和数字健康技术产生重大影响。本文介绍了GDPR如何成为构建数据保护治理的关键工具；作为对其潜在影响的实时预测，还分析了GDPR在一场法律争议中的影响，该争议涉及最初由Shardna（全球首批基因组生物样本库之一）搭建的数据库。

 

　　GDPR旨在协调欧盟的数据保护立法，其目标是为公民提供对个人数据的更多保护和赋权，同时加强欧盟内部的个人数据保护。这一目标旨在提供监管支持，以建立一个完整的数字单一市场――这是让-克洛德·容克（Jean-ClaudeJuncker）主席领导下的欧盟委员会的政策基石。GDPR采用了一种基于风险并针对具体情况的方法，目的是确保在整个数据处理中设计和实施适当的数据保护措施（正如被写入的“从设计着手保护隐私和默认隐私保护”原则），其核心是赋予数据主体新的权利（如“被遗忘的权利”和“数据可移植性的权利”）。为此，GDPR提高了数据控制方的责任意识，并推出新的去中心化问责模式。此外，GDPR还为科学研究处理敏感数据设立了专门条款，要求提供组织和技术保障（如数据假名化），以及在敏感数据需要进行大规模系统处理时授权指定数据保护专员。

　　大数据生物医学面临的监管挑战主要在于：一是数据固有的开放式潜力，其数字兼容性使其在研究中变得更有价值，而这些研究可能与收集样本或数据的原始目的完全背离，从而导致“知情同意”这一经典理论基础被削弱了；二是数据在所有数字化人类特征（从基因组到社交网络“日志”）中越来越高的辨识度和不断扩大的范围，随之而来的便是自我宣称的隐私被侵蚀。尽管处在不同的技术层面，人们的反应明显呈现为两种风格，而其目的则都是为了从技术上解决问题。

 

　　第一种包括试图通过更复杂的数字化来解决数字时代的难题，例如最近的多方安全计算，这种计算使得基因组诊断成为可能，同时还能保护受试者的隐私。第二种是利用治理，通过流程体系结构和分布式机构将权力结构重新配置（如建立信任技术的建议），将重点从隐私问题本身转移到获取对数据的控制和对其所有者的信任，从而避免数据隐私与数据可用性的零和博弈。

 

　　治理机制在当代生物医学兴起的过程中一直发挥着核心作用，同时也是制定欧洲科学政策的关键：一方面，随着市场力量的进步和“利益相关者”的多元化，国家权力和管理机构部分退出，开启了针对决策的重大调整（“去中心化”）；另一方面，更多依赖软规则工具，例如标准、行为准则和道德门槛（“标准化”），而不是僵化的立法干预形式。反过来，这两个特征又都是构建GDPR不可或缺的组成部分。

　　尽管GDPR具有约束力和严厉的处罚力度（如果违反，罚款最高可达2000万欧元，或占公司全球年收入的4%），但GDPR将集权分散出去，把国家和欧盟的职责委托给数据控制方（即个人、公司、协会或其他控制个人数据处理的实体）。“问责原则”规定，数据控制方必须对数据保护采取积极主动的办法，并负责事前评估、实施以及事后对适当措施的核验，以确保和证明数据处理符合GDPR的要求。

 

　　在说明哪些措施体现了控制方的义务，并根据处理的性质、范围、背景和目的来确定这些措施时，GDPR旨在推广一种基于控制方、事件敏感性和特定背景的数据保护方法。这标志着欧盟的数据保护工作实现了从“家长式”管理向“自主式”管理的转变。有趣的是，有人在一场关于隐私法的会议上无意中听到了下面的评论：“因为GDPR，欧盟的数据保护工作回到了20世纪60年代。”

 

　　向去中心化、基于控制方和问责制的模式转变取得了显著进展，尤其是由“高清晰度医学”的关键推动者提出的“动态知识资源库”的出现。GDPR规定，用于科学研究的进一步数据处理“应被视为符合最初收集个人资料的原始目的”。此外，GDPR还引入了兼容性评估标准，由数据控制方负责执行，目的在于逐案确定个人数据的进一步处理（未经数据主体同意）是否符合最初收集数据时的原始目的。这项“兼容性测试”应考虑的因素包括：个人数据的性质，尤其是是否对特殊类型的个人数据进行处理；收集个人资料的目的与预期的处理目的之间的联系；在进一步使用数据方面，根据数据主体与控制方的关系判断数据主体的合理期望；收集个人数据的背景。

　　这种数据处理的灵活性可延伸至人类生物医学研究的基本原则――知情同意。虽然GDPR要求数据主体“明确知情并同意”，但研究人员在收集数据时可能无法完全确定今后所有可能的研究目的。鉴于此，GDPR指出，如果同意过于明确会影响研究目的，应允许数据主体在符合一些条件时对某些领域的科学研究表示同意，同时研究应符合公认的科学研究伦理标准。

 

　　这一关键规定与关于合理知情同意模式的生物伦理争辩存在交集，它主要有两个主要含义。首先，在数据收集过程中，当用于特定研究的明确同意标准被证明无法满足时（如生物样本库的例子），这一规定消除了之前的担忧，充分利用GDPR的立法权重，为获得广泛同意提供了支持。有趣的是，工作小组发布了进一步明晰GDPR中“同意”概念的准则。这些准则再次确认，作为默认选择，必须获得明确同意。同时，它们在研究目的之间做了细微区分，要求对其进行“详细描述”，不应该只是“充分说明”。出现这些情况时，还建议采取一些额外保障措施。例如，在项目开始前提供综合研究计划，提高项目发展的透明度，使参与者能够行使撤回同意的权利。这一解释性准则不仅提供了“更严格的解释”和“高度的审查”，而且为控制方在任何时候都可根据预期的研究目的获得广泛同意而铺平道路。其次，在确定为科学研究目的进行数据处理的范围方面，这一条款使制度化伦理（即伦理委员会的指导方针以及其他软性法律文书，如职业行为守则）更加强化。更宽泛地说，这一作用在制定通用实践标准方面得到了加强。由于缺乏可与规范临床研究相媲美的具有约束力的立法要求，人类生物样本的研究已经在很大程度上进行了回避。

 

　　这一准则被设想为该领域的参考标准，使欧盟成员国及其他国家和地区之间的国际协调成为可能。然而，GDPR的具体执行情况是否能够凭借单一的行为准则带来广泛的影响还有待观察。或者，GDPR加大对制度化伦理的投资，最终通过当地伦理委员会的扩散而促进监管分化。

　　事实上，欧洲的数据保护工作取代僵化的统一规范而实施灵活的治理制度（尽管成员国可能会为基因组和健康相关数据的处理制定进一步规定），存在自相矛盾之处。