編譯 許林玉

2018年5月25日，歐盟關(guān)于數(shù)據(jù)保護(hù)的2016/679號條例（又稱《通用數(shù)據(jù)保護(hù)條例》，GDPR）正式生效。GDPR廢除了此前歐洲關(guān)于數(shù)據(jù)保護(hù)的立法——95/46/EC號指令，而鑒于歐盟研究的全球影響力以及需要進(jìn)行互操作的國際研究網(wǎng)絡(luò)所處的重要地位，這勢必會對歐洲及其他地區(qū)的生物醫(yī)學(xué)研究和數(shù)字健康技術(shù)產(chǎn)生重大影響。本文介紹了GDPR如何成為構(gòu)建數(shù)據(jù)保護(hù)治理的關(guān)鍵工具；作為對其潛在影響的實時預(yù)測，還分析了GDPR在一場法律爭議中的影響，該爭議涉及最初由Shardna（全球首批基因組生物樣本庫之一）搭建的數(shù)據(jù)庫。

GDPR旨在協(xié)調(diào)歐盟的數(shù)據(jù)保護(hù)立法，其目標(biāo)是為公民提供對個人數(shù)據(jù)的更多保護(hù)和賦權(quán)，同時加強(qiáng)歐盟內(nèi)部的個人數(shù)據(jù)保護(hù)。這一目標(biāo)旨在提供監(jiān)管支持，以建立一個完整的數(shù)字單一市場——這是讓-克洛德·容克（Jean-Claude Juncker）主席領(lǐng)導(dǎo)下的歐盟委員會的政策基石。GDPR采用了一種基于風(fēng)險并針對具體情況的方法，目的是確保在整個數(shù)據(jù)處理中設(shè)計和實施適當(dāng)?shù)臄?shù)據(jù)保護(hù)措施（正如被寫入的“從設(shè)計著手保護(hù)隱私和默認(rèn)隱私保護(hù)”原則），其核心是賦予數(shù)據(jù)主體新的權(quán)利（如“被遺忘的權(quán)利”和“數(shù)據(jù)可移植性的權(quán)利”）。為此，GDPR提高了數(shù)據(jù)控制方的責(zé)任意識，并推出新的去中心化問責(zé)模式。此外，GDPR還為科學(xué)研究處理敏感數(shù)據(jù)設(shè)立了專門條款，要求提供組織和技術(shù)保障（如數(shù)據(jù)假名化），以及在敏感數(shù)據(jù)需要進(jìn)行大規(guī)模系統(tǒng)處理時授權(quán)指定數(shù)據(jù)保護(hù)專員。

“大數(shù)據(jù)”生物醫(yī)學(xué)的治理

大數(shù)據(jù)生物醫(yī)學(xué)面臨的監(jiān)管挑戰(zhàn)主要在于：一是數(shù)據(jù)固有的開放式潛力，其數(shù)字兼容性使其在研究中變得更有價值，而這些研究可能與收集樣本或數(shù)據(jù)的原始目的完全背離，從而導(dǎo)致“知情同意”這一經(jīng)典理論基礎(chǔ)被削弱了；二是數(shù)據(jù)在所有數(shù)字化人類特征（從基因組到社交網(wǎng)絡(luò)“日志”）中越來越高的辨識度和不斷擴(kuò)大的范圍，隨之而來的便是自我宣稱的隱私被侵蝕。盡管處在不同的技術(shù)層面，人們的反應(yīng)明顯呈現(xiàn)為兩種風(fēng)格，而其目的則都是為了從技術(shù)上解決問題。

第一種包括試圖通過更復(fù)雜的數(shù)字化來解決數(shù)字時代的難題，例如最近的多方安全計算，這種計算使得基因組診斷成為可能，同時還能保護(hù)受試者的隱私。第二種是利用治理，通過流程體系結(jié)構(gòu)和分布式機(jī)構(gòu)將權(quán)力結(jié)構(gòu)重新配置（如建立信任技術(shù)的建議），將重點從隱私問題本身轉(zhuǎn)移到獲取對數(shù)據(jù)的控制和對其所有者的信任，從而避免數(shù)據(jù)隱私與數(shù)據(jù)可用性的零和博弈。

治理機(jī)制在當(dāng)代生物醫(yī)學(xué)興起的過程中一直發(fā)揮著核心作用，同時也是制定歐洲科學(xué)政策的關(guān)鍵：一方面，隨著市場力量的進(jìn)步和“利益相關(guān)者”的多元化，國家權(quán)力和管理機(jī)構(gòu)部分退出，開啟了針對決策的重大調(diào)整（“去中心化”）；另一方面，更多依賴軟規(guī)則工具，例如標(biāo)準(zhǔn)、行為準(zhǔn)則和道德門檻 （“標(biāo)準(zhǔn)化”），而不是僵化的立法干預(yù)形式。反過來，這兩個特征又都是構(gòu)建GDPR不可或缺的組成部分。

去中心化

盡管GDPR具有約束力和嚴(yán)厲的處罰力度（如果違反，罰款最高可達(dá)2 000萬歐元，或占公司全球年收入的4%），但GDPR將集權(quán)分散出去，把國家和歐盟的職責(zé)委托給數(shù)據(jù)控制方（即個人、公司、協(xié)會或其他控制個人數(shù)據(jù)處理的實體）?！皢栘?zé)原則”規(guī)定，數(shù)據(jù)控制方必須對數(shù)據(jù)保護(hù)采取積極主動的辦法，并負(fù)責(zé)事前評估、實施以及事后對適當(dāng)措施的核驗，以確保和證明數(shù)據(jù)處理符合GDPR的要求。

在說明哪些措施體現(xiàn)了控制方的義務(wù)，并根據(jù)處理的性質(zhì)、范圍、背景和目的來確定這些措施時，GDPR旨在推廣一種基于控制方、事件敏感性和特定背景的數(shù)據(jù)保護(hù)方法。這標(biāo)志著歐盟的數(shù)據(jù)保護(hù)工作實現(xiàn)了從“家長式”管理向“自主式”管理的轉(zhuǎn)變。有趣的是，有人在一場關(guān)于隱私法的會議上無意中聽到了下面的評論：“因為GDPR，歐盟的數(shù)據(jù)保護(hù)工作回到了20世紀(jì)60年代?！?/p>

向去中心化、基于控制方和問責(zé)制的模式轉(zhuǎn)變?nèi)〉昧孙@著進(jìn)展，尤其是由“高清晰度醫(yī)學(xué)”的關(guān)鍵推動者提出的“動態(tài)知識資源庫”的出現(xiàn)。GDPR規(guī)定，用于科學(xué)研究的進(jìn)一步數(shù)據(jù)處理“應(yīng)被視為符合最初收集個人資料的原始目的”。此外，GDPR還引入了兼容性評估標(biāo)準(zhǔn)，由數(shù)據(jù)控制方負(fù)責(zé)執(zhí)行，目的在于逐案確定個人數(shù)據(jù)的進(jìn)一步處理（未經(jīng)數(shù)據(jù)主體同意）是否符合最初收集數(shù)據(jù)時的原始目的。這項“兼容性測試”應(yīng)考慮的因素包括：個人數(shù)據(jù)的性質(zhì)，尤其是是否對特殊類型的個人數(shù)據(jù)進(jìn)行處理；收集個人資料的目的與預(yù)期的處理目的之間的聯(lián)系；在進(jìn)一步使用數(shù)據(jù)方面，根據(jù)數(shù)據(jù)主體與控制方的關(guān)系判斷數(shù)據(jù)主體的合理期望；收集個人數(shù)據(jù)的背景。

標(biāo)準(zhǔn)化

這種數(shù)據(jù)處理的靈活性可延伸至人類生物醫(yī)學(xué)研究的基本原則——知情同意。雖然GDPR要求數(shù)據(jù)主體“明確知情并同意”，但研究人員在收集數(shù)據(jù)時可能無法完全確定今后所有可能的研究目的。鑒于此，GDPR指出，如果同意過于明確會影響研究目的，應(yīng)允許數(shù)據(jù)主體在符合一些條件時對某些領(lǐng)域的科學(xué)研究表示同意，同時研究應(yīng)符合公認(rèn)的科學(xué)研究倫理標(biāo)準(zhǔn)。

這一關(guān)鍵規(guī)定與關(guān)于合理知情同意模式的生物倫理爭辯存在交集，它主要有兩個主要含義。首先，在數(shù)據(jù)收集過程中，當(dāng)用于特定研究的明確同意標(biāo)準(zhǔn)被證明無法滿足時（如生物樣本庫的例子），這一規(guī)定消除了之前的擔(dān)憂，充分利用GDPR的立法權(quán)重，為獲得廣泛同意提供了支持。有趣的是，工作小組發(fā)布了進(jìn)一步明晰GDPR中“同意”概念的準(zhǔn)則。這些準(zhǔn)則再次確認(rèn)，作為默認(rèn)選擇，必須獲得明確同意。同時，它們在研究目的之間做了細(xì)微區(qū)分，要求對其進(jìn)行“詳細(xì)描述”，不應(yīng)該只是“充分說明”。出現(xiàn)這些情況時，還建議采取一些額外保障措施。例如，在項目開始前提供綜合研究計劃，提高項目發(fā)展的透明度，使參與者能夠行使撤回同意的權(quán)利。這一解釋性準(zhǔn)則不僅提供了“更嚴(yán)格的解釋”和“高度的審查”，而且為控制方在任何時候都可根據(jù)預(yù)期的研究目的獲得廣泛同意而鋪平道路。其次，在確定為科學(xué)研究目的進(jìn)行數(shù)據(jù)處理的范圍方面，這一條款使制度化倫理（即倫理委員會的指導(dǎo)方針以及其他軟性法律文書，如職業(yè)行為守則）更加強(qiáng)化。更寬泛地說，這一作用在制定通用實踐標(biāo)準(zhǔn)方面得到了加強(qiáng)。由于缺乏可與規(guī)范臨床研究相媲美的具有約束力的立法要求，人類生物樣本的研究已經(jīng)在很大程度上進(jìn)行了回避。

這一準(zhǔn)則被設(shè)想為該領(lǐng)域的參考標(biāo)準(zhǔn)，使歐盟成員國及其他國家和地區(qū)之間的國際協(xié)調(diào)成為可能。然而，GDPR的具體執(zhí)行情況是否能夠憑借單一的行為準(zhǔn)則帶來廣泛的影響還有待觀察?；蛘撸珿DPR加大對制度化倫理的投資，最終通過當(dāng)?shù)貍惱砦瘑T會的擴(kuò)散而促進(jìn)監(jiān)管分化。

GDPR測試

事實上，歐洲的數(shù)據(jù)保護(hù)工作取代僵化的統(tǒng)一規(guī)范而實施靈活的治理制度（盡管成員國可能會為基因組和健康相關(guān)數(shù)據(jù)的處理制定進(jìn)一步規(guī)定），存在自相矛盾之處。

一方面，除了控制方的自由裁量權(quán)外，GDPR還支持影響深遠(yuǎn)的“研究豁免”，以應(yīng)對敏感數(shù)據(jù)處理的嚴(yán)格限制，放寬對同意、進(jìn)一步處理和存儲的要求。對“技術(shù)開發(fā)和示范”“應(yīng)用研究”和“私人資助研究”等科學(xué)研究名義下開展的活動采用非常寬泛的定義，擴(kuò)大了研究豁免的范圍。通過將這些規(guī)定結(jié)合起來，制藥企業(yè)、直接對消費(fèi)者進(jìn)行基因檢測的公司以及數(shù)字技術(shù)公司等控制方聲稱可在科學(xué)研究活動范圍內(nèi)對（敏感的）個人數(shù)據(jù)進(jìn)行處理，它們將直接受益于對數(shù)據(jù)控制方（而非數(shù)據(jù)主體）有利的監(jiān)管空間。

另一方面，兼容性測試等涉及敏感內(nèi)容的方法以及進(jìn)一步強(qiáng)化制度化倫理的做法，都可視為加強(qiáng)對數(shù)據(jù)主體的保護(hù)，并為促進(jìn)其實質(zhì)性（而非象征性）地參與研究工作創(chuàng)造條件。

卡利亞里法庭（意大利）曾做出一審判決，推翻了意大利數(shù)據(jù)保護(hù)局（DPA）終止英國蒂齊亞納生命科學(xué)有限公司有關(guān)Shardna SpA數(shù)據(jù)庫活動的決定，這一具有里程碑意義的判決很好地詮釋了這一點。這是意大利法院第一次做出此類裁決。Shardna是意大利的一家基因組生物樣本庫，存儲有遺傳、健康和家譜數(shù)據(jù)（后者是從超過4個世紀(jì)的市政和教區(qū)檔案記錄中收集的），涉及大約1.2萬名基因互相關(guān)聯(lián)的奧利亞斯特拉居民。奧利亞斯特拉是意大利撒丁島上一個與世隔絕的地區(qū)，百歲老人隨處可見。Shardna在2016年被蒂齊亞納收購，并在當(dāng)?shù)厣鐓^(qū)引發(fā)爭論，包括研究參與者試圖阻止外國機(jī)構(gòu)對Shardna數(shù)據(jù)庫的營利性收購。

DPA決定對蒂齊亞納的收購設(shè)置臨時障礙，其依據(jù)是蒂齊亞納作為新的數(shù)據(jù)控制方，必須將“數(shù)據(jù)控制方的變更以及新控制方可能會因為醫(yī)學(xué)遺傳領(lǐng)域科研目的而進(jìn)行進(jìn)一步數(shù)據(jù)處理”告知數(shù)據(jù)主體，并重新征得信息存儲于Shardna數(shù)據(jù)庫的所有數(shù)據(jù)主體的同意。相反，卡利亞里法庭裁定這項規(guī)定“要求過高”，因為新的數(shù)據(jù)控制方“追求的是與Shardna相同的目標(biāo)”，即“已征得同意的科學(xué)研究目的”。

盡管DPA的決定和將其推翻的裁決都與意大利的數(shù)據(jù)保護(hù)法相一致，但對該判決進(jìn)行申訴預(yù)計將在GDPR框架下進(jìn)行。預(yù)計對此案的裁決將圍繞以下評估進(jìn)行：數(shù)據(jù)控制方的變更是否導(dǎo)致進(jìn)一步處理個人數(shù)據(jù)；其范圍是否符合征得同意時的最初目的?？梢哉f，這樣的評估最終會得出這樣的結(jié)論：蒂齊亞納極有可能不會為了推進(jìn)自己的腫瘤學(xué)和免疫學(xué)研究項目而對Shardna最初建立的數(shù)據(jù)庫進(jìn)行進(jìn)一步處理，不管它是否繼續(xù)開展最初由Shardna發(fā)起的系列研究。

評估這種對數(shù)據(jù)進(jìn)一步處理的兼容性需要對科學(xué)研究的抽象概念進(jìn)行闡釋（Shardna和蒂齊亞納對數(shù)據(jù)進(jìn)行處理的明確目的）。這包括對兩個機(jī)構(gòu)開展的研究工作進(jìn)行審查，并認(rèn)識到這兩個機(jī)構(gòu)不僅在研究方案和目標(biāo)上存在重大差異，而且在治理方式、價值觀和愿景方面也迥然不同。Shardna是一個由本地人擁有并管理的生物樣本庫，根植于奧利亞斯特拉社區(qū)（名稱本身就讓人想起青銅時代居住在撒丁島的Shardana人）。因此，它能夠在當(dāng)?shù)厝丝谥蝎@得較高的招募率，因為它的研究項目關(guān)注的是常見于奧利亞斯特拉的多因子疾病的遺傳。相比之下，蒂齊亞納是一家以營利為導(dǎo)向的國際化生物技術(shù)公司，擁有明確的研究重點，其研究重心與當(dāng)?shù)厣鐓^(qū)聯(lián)系薄弱。因此，無論Shardna最初征得的同意有多“廣泛”，都可以提出一個令人信服的理由：由于數(shù)據(jù)控制方發(fā)生了變化，數(shù)據(jù)主體和控制方之間的關(guān)系——GDPR為確定進(jìn)一步處理的兼容性而設(shè)立的關(guān)鍵標(biāo)準(zhǔn)——已經(jīng)發(fā)生了重大改變。這可能會使數(shù)據(jù)的進(jìn)一步處理背離初衷，因此需要征得研究受試者的同意。

無論結(jié)果如何，該案例都會成為一個典型的試驗，因為它的裁決必將為當(dāng)代生物醫(yī)學(xué)中的兩個核心問題確立判例。歐洲科學(xué)家和公民借助這一立法工具的廣泛性集體參與其中，將會是確保GDPR在科學(xué)和社會領(lǐng)域具有強(qiáng)大影響力的關(guān)鍵?？傊?，將更廣泛的研究自由和更嚴(yán)苛的研究問責(zé)之間的關(guān)系轉(zhuǎn)化為實踐，為GDPR劃定了范圍，而從更廣義的層面上說，是界定了歐盟通過技術(shù)科學(xué)治理進(jìn)行試驗的范圍。

資料來源 Science