陳 潮 楊 銘 李 雪 陳曉云

近年來，在全球醫(yī)藥產(chǎn)業(yè)創(chuàng)新發(fā)展的背景下，真實世界研究(real world study，RWS)越來越引起人們的關注。從國外看，2016年美國通過《21 世紀治愈法案》[1]提出“真實世界證據(jù)”(real world evidence，RWE)，2017年～2019年陸續(xù)發(fā)布《使用真實世界證據(jù)支持醫(yī)療器械監(jiān)管決策》[2]《真實世界證據(jù)計劃的框架》[3]等。從國內(nèi)看，2019年國家藥品監(jiān)督管理局藥品審評中心發(fā)布了《真實世界證據(jù)支持藥物研發(fā)的基本考慮》[4]《真實世界證據(jù)支持藥物研發(fā)與審評的指導原則(試行)》[5]等文件，為指導規(guī)范RWE用于支持藥物研發(fā)、審評，保障藥物研發(fā)工作質(zhì)量和效率提供了政策支持[6]。整體來說，RWS貼近真實的診療環(huán)境，樣本量大、隨訪周期長，但與隨機對照臨床試驗相比，系統(tǒng)性管理相對缺乏，受試者的隱私保護更是容易忽略的環(huán)節(jié)。本文針對RWS的特點，探討受試者隱私保護的相關問題及注意事項。

1 RWS的隱私保護范疇與現(xiàn)狀

1.1 RWS的定義

RWS即在真實世界環(huán)境下收集與患者有關的真實世界數(shù)據(jù)(real world data，RWD)，通過分析獲得醫(yī)療產(chǎn)品的使用價值及潛在獲益或RWE。RWS的類型大致分為非干預性(觀察性)研究和干預性研究[5]。

1.2 RWS隱私保護的范疇

RWS中涉及隱私的數(shù)據(jù)主要包括:(1)人口身份信息，包括姓名、年齡、性別、民族等統(tǒng)計學信息以及證件(身份證號、居住證、護照號、社會保障卡號等)；(2)通訊信息：電話號碼、郵箱、賬號等；(3)生物識別信息：基因、指紋、聲紋、面部特征、步態(tài)信息等；(4)健康狀況信息：受試者的疾病史、家族史、化驗結果等個人的醫(yī)療記錄，傳染病史、女性生育史或男性性功能等信息；(5)醫(yī)療支付數(shù)據(jù)：醫(yī)療交易信息和保險信息；(6)公共衛(wèi)生監(jiān)測數(shù)據(jù)：藥品安全性監(jiān)測、死亡信息登記、健康監(jiān)測[7]；(7)其他涉及人格尊嚴、人身、財產(chǎn)安全的個人信息。

1.3 RWS隱私保護的現(xiàn)狀

RWS因其研究范圍廣、療效指標多、時間跨度寬、數(shù)據(jù)量大等特點，給隱私保護帶來了更大的挑戰(zhàn)，加之研究者認識不足、管理體系建設不完善等問題，RWS隱私泄露風險更大，問題更復雜。雖然在法規(guī)和文件中多次強調(diào)保護受試者隱私，但是在實際操作中并沒有引起足夠的重視[8]。主要問題表現(xiàn)如下。

1.3.1 管理制度不健全

最新頒布的《個人信息保護法》明確規(guī)定，國家網(wǎng)信部門和國務院有關部門在各自職責范圍內(nèi)負責個人信息保護和監(jiān)督管理工作，對個人信息保護和監(jiān)管職責作出規(guī)定，包括開展個人信息宣傳教育、指導監(jiān)督個人信息保護工作、接受處理相關投訴舉報、組織對應用程序等進行測評、調(diào)查處理違法個人信息處理活動等。但部分醫(yī)療機構缺乏患者個人隱私有關的管理體系及制度，加上經(jīng)費及信息技術人員短缺等問題導致信息系統(tǒng)的數(shù)據(jù)保護技術手段落后無法滿足安全需求。造成沒有訪問權限的研究者利用他人權限或系統(tǒng)漏洞直接獲取患者信息用于研究。

1.3.2 隱私保護意識缺乏

(1)申辦方：RWS在藥物研發(fā)中愈發(fā)重要，申辦方、招募公司等在巨大利益驅(qū)動下非法采集，甚至販賣受試者信息，導致受試者隱私泄露，侵害受試者權益[9]。(2)研究者：部分研究者隱私保護意識淡薄，醫(yī)療機構缺乏有關個人隱私保護的培訓。RWS對受試者入選和排除標準限制相對寬松，導致很多研究者為獲取更多數(shù)據(jù)而設定超越研究目的的數(shù)據(jù)采集范圍。此外，較多研究者僅從自身或研究的角度考慮問題。例如，在研究人員所在的文化背景中可以公開的信息，在受試者所在的文化背景中可能就是隱私[10]。(3)受試者：有研究表明，因患者對知情同意相關認知、標本處理流程的關心度及認知度較低，對自身隱私信息不夠重視，未意識到自己權益受到侵犯[11]。

1.3.3 技術壁壘

RWS使用的數(shù)據(jù)庫五花八門，大部分缺乏安全評估及認證，數(shù)據(jù)存儲環(huán)境不符合隱私保護要求。

1.3.4 倫理委員會作用未充分體現(xiàn)

一些醫(yī)院倫理委員會審查RWS項目忽略受試者隱私權益保護，缺乏對于研究數(shù)據(jù)是否涉及敏感信息及數(shù)據(jù)安全性的審查。醫(yī)療機構亦未賦予倫理委員會統(tǒng)籌協(xié)調(diào)及懲處權利，造成倫理委員會無權限監(jiān)管RWS中的數(shù)據(jù)使用，無法開展調(diào)查與監(jiān)測，確保受試者權益。

1.4 真實世界受試者隱私保護的法規(guī)依據(jù)

1.4.1 法律規(guī)范明確了隱私保護原則

2020年頒布的《民法典》在個人隱私保護方面體現(xiàn)三方面基本理念。(1)以合法性為前提，總則編第111條明確“獲取他人個人信息，應當依法取得并確保信息安全”，主要是為限制非法收集、使用、買賣以及提供他人個人信息等違法行為。(2)以有限性為入手點，人格權編第1 034條～1 039條規(guī)范了信息數(shù)據(jù)獲取范疇，著重懲治超權限、超研究目的獲取和使用個人信息等行為。(3)以責任性為落腳點，侵權責任編第1 126條明確“醫(yī)療機構及其醫(yī)務人員應當對患者的隱私和個人信息保密”，聚焦現(xiàn)實中存在的侵犯隱私責任承擔主體不清晰等客觀問題。

具體到RWS領域，《藥品管理法》要求藥物研制活動遵守質(zhì)量管理規(guī)范，制定臨床試驗方案并經(jīng)過倫理委員會審定，保護社會公共利益與受試者合法權益。例如，在第21條指出：“……如實說明和解釋臨床試驗的目的和風險，取得知情同意書……”，進一步表明研究方式之間的差異不能削弱受試者個人隱私保護力度，保護受試者合法權益的基本原則一脈相承。

隨著近年來數(shù)據(jù)產(chǎn)業(yè)高速發(fā)展，數(shù)據(jù)采集、存儲、管理、加工流程的法律依據(jù)欠缺的矛盾突出。2021年我國又相繼出臺了《數(shù)據(jù)安全法》《個人信息保護法》，建立數(shù)據(jù)分級分類管理制度，確定重要數(shù)據(jù)保護目錄，促進數(shù)據(jù)應用和交易的規(guī)范化；在《個人信息保護法》中詳細規(guī)定個人權利、信息處理者義務、監(jiān)管部門職責，使得隱私保護實踐中的權責關系更加清晰，針對侵犯隱私的處罰行為有法可依。

1.4.2 部門規(guī)章明確了隱私保護實施路徑

個人隱私保護相關的部門規(guī)章主要包括《涉及人的生物醫(yī)學研究倫理審查辦法》《藥物臨床試驗質(zhì)量管理規(guī)范》《信息安全技術健康醫(yī)療數(shù)據(jù)安全指南》[7]等，這些法規(guī)從不同角度細化了個人隱私保護的制度、方法、技術手段等。

其中，《涉及人的生物醫(yī)學研究倫理審查辦法》要求藥物臨床試驗行為必須經(jīng)過倫理委員會的獨立審查?！端幬锱R床試驗質(zhì)量管理規(guī)范》規(guī)范了試驗資料的記錄、處理、保存方式，查閱人員和查閱行為管理手段，在“鑒認代碼代替受試者姓名、剩余標本管理使用授權”等細節(jié)上提出具體要求。《信息安全技術健康醫(yī)療數(shù)據(jù)安全指南》[7]建立了1級～5級數(shù)據(jù)分級體系，明確數(shù)據(jù)主體、控制者、處理者、使用者各自角色責任，要求圍繞數(shù)據(jù)收集、提取、運輸、存儲、交換、銷毀周期，強化加密技術使用與介質(zhì)管控，建立授權審批機制。

2 不同來源的RWE隱私保護需注意的問題

2.1 醫(yī)院信息系統(tǒng)數(shù)據(jù)

2.1.1 定義

患者人口學特征、臨床特征、診斷、治療、實驗室檢查、安全性和臨床結局等具有“涉私涉密程度高、存儲量大、類型眾多”等特點，但是在RWS中又應用較廣。這些數(shù)據(jù)多為既往臨床診療中積累的門診住院信息，在采集之初對于其研究應用目的尚不明確，通常采用泛知情同意或知情選擇退出。即除非患者明確拒絕，否則其相關材料可被留存并用于研究[12]。因此，申辦方在研究過程中不得直接接觸，研究者需要經(jīng)過編碼去標識化等處理后才能提供給第三方使用。

2.1.2 受試者招募的隱私保護

RWS中，研究者會利用信息系統(tǒng)進行受試者招募，這樣可以加快研究進度，節(jié)約經(jīng)費，但必須尊重及保護潛在受試者的隱私，招募方式需在方案中說明并通過倫理委員會審核批準，此外未獲得聯(lián)絡許可前不可貿(mào)然與潛在受試者聯(lián)系，該許可可以是事先的泛知情同意、對招募廣告的回應或經(jīng)治醫(yī)師向患者的事先征詢同意，此外不可收集與研究目的不直接相關的信息(如與研究不相關的病史等)。招募形式通常分為：(1)電話招募:電話招募開始前，研究人員應做好充足準備，熟讀方案，掌握入組人群特征，明確入選和排除標準，了解研究各階段的注意事項。與潛在受試者溝通要語言簡潔態(tài)度禮貌，研究人員與潛在受試者的溝通內(nèi)容及相關文件必須通過倫理委員會審核批準，且無論是否入組，收集的信息都應保密，同時僅在潛在受試者初步顯示合格并且有興趣進行研究時，才能要求其提供身份信息。(2)面對面招募：當潛在受試者在常規(guī)就診或住院期間，負責醫(yī)生發(fā)現(xiàn)了其符合研究入選和排除的相關信息，征得其同意后可詢問一些常規(guī)臨床信息作為招募的一部分，如飲食習慣、病史等。符合條件的進入篩選，但潛在受試者簽署知情同意書之前不得進行與其常規(guī)診療無關的檢查，更不能進行任何樣本及病例信息收集用于RWS。(3)郵件招募：不可以直接將招募信息發(fā)送到潛在受試者的郵箱，應先發(fā)送詢問郵件，確定對方參加意愿得到肯定回應后方可發(fā)送招募信息。此外還有電視招募、網(wǎng)站招募等形式，研究者可以根據(jù)具體情況確定招募方式，也可以同時選擇多重招募方式。

2.2 登記研究數(shù)據(jù)

產(chǎn)品登記、健康服務登記、疾病登記和死亡登記等數(shù)據(jù)的準確性較高、結構化強、人群代表性較好，但此類數(shù)據(jù)涉及大量醫(yī)療對象的個體敏感信息，若管理不當將引發(fā)個人隱私泄漏和數(shù)據(jù)的不正當使用等問題。鑒于該類數(shù)據(jù)伴隨互聯(lián)網(wǎng)技術發(fā)展而產(chǎn)生，此類隱私保護既需要法規(guī)的完善，更需要依賴技術安全措施的保護。匿名算法、訪問權限模型及隱私分離算法等都是目前防止個人身份標識信息和醫(yī)療敏感信息的泄露的重要手段，但隨著越來越多的數(shù)據(jù)連入網(wǎng)絡，如何將個人信息去隱私化是必須重視的難題和挑戰(zhàn)[13]。

2.3 藥品安全性主動監(jiān)測數(shù)據(jù)

藥品安全性監(jiān)測數(shù)據(jù)是藥物警戒的基本內(nèi)容。該類數(shù)據(jù)主要來源于國家藥品不良反應監(jiān)測中心，部分來源于醫(yī)療機構和企業(yè)的數(shù)據(jù)庫。由于規(guī)范化程度極低，使用該類數(shù)據(jù)開展RWS應當二次開發(fā)，對數(shù)據(jù)進行規(guī)范化處理和整體化分析。雖然此類數(shù)據(jù)的結果發(fā)表往往不涉及隱私泄露，但還是要注意RWS上報中的信息保護，防止造成受試者隱私擴散的影響。

2.4 組學數(shù)據(jù)

組學數(shù)據(jù)作為精準醫(yī)學的重要支撐，主要包括基因組、表觀遺傳組、轉(zhuǎn)錄組、蛋白質(zhì)組和代謝組等數(shù)據(jù)。組學數(shù)據(jù)的隱私威脅會導致遺傳及疾病信息泄露，致使被泄露個體在婚姻、工作中被歧視。人種或區(qū)域的組學數(shù)據(jù)隱私泄露將會為基因戰(zhàn)爭提供機會，威脅國家安全，因此涉及大量組學數(shù)據(jù)或組學數(shù)據(jù)出境的，應按照《中華人民共和國遺傳資源管理條例》進行審批或備案。組學數(shù)據(jù)涉及的隱私泄露問題包括：(1)通過組學數(shù)據(jù)進行個體識別；(2)組學數(shù)據(jù)含有家族血緣關系信息；(3)組學數(shù)據(jù)與遺傳、先天性疾病等密切關聯(lián)，涉及個體健康隱私；(4)組學數(shù)據(jù)含有未被提取的敏感信息。由于組學數(shù)據(jù)主要采用密碼學、匿名、差分隱私和混合方法實現(xiàn)隱私保護，所以應當限制第三方對組學樣本數(shù)據(jù)的訪問和使用權限，妥善保管組學樣本個人信息，以聚合形式披露數(shù)據(jù)。此外，為防止通過基因型推斷及鏈接攻擊等方式的隱私泄露，應當構建模型評估隱私泄露風險與共享數(shù)據(jù)價值。

2.5 個體健康監(jiān)測數(shù)據(jù)

RWS也會通過移動設備(如智能手機、可穿戴設備)實時采集個體生理體征指標，經(jīng)健康監(jiān)測數(shù)據(jù)接入?yún)f(xié)議傳入云端[14]。為了防止該類數(shù)據(jù)泄露隱私，研究者應向數(shù)據(jù)提供方(潛在受試者)說明所獲取的具體信息及用途，征得其書面同意，利用數(shù)據(jù)端加密、限制發(fā)布規(guī)則等方式保護隱私。

2.6 患者隨訪數(shù)據(jù)

以臨床研究為目的，醫(yī)院隨訪部門或第三方授權服務商以信件、電話、門診、短信、網(wǎng)絡隨訪等方式對離院患者開展臨床終點、康復指導、用藥提醒、滿意度調(diào)查等服務，在此過程中收集的院外數(shù)據(jù)通常存儲于醫(yī)院隨訪數(shù)據(jù)系統(tǒng)[15]。RWS使用該類數(shù)據(jù)應遵循醫(yī)療行業(yè)的倫理規(guī)范和信息安全等級保護規(guī)范，提取業(yè)務所需最小數(shù)據(jù)集。

2.7 敏感個人信息

2.7.1 定義

敏感個人信息是一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產(chǎn)安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。

2.7.2 敏感數(shù)據(jù)分級保密

個人敏感信息依據(jù)用途、受試者個體的文化背景與環(huán)境會產(chǎn)生不同程度的敏感性。因此，在RWS中應當對于受試者信息進行敏感性分級。其中，低敏感度數(shù)據(jù)：可公開或大范圍訪問使用的數(shù)據(jù)。例如，去標識化的數(shù)據(jù)，研究者均可以用于研究分析。中敏感度數(shù)據(jù)：可追溯受試者身份信息，受試者醫(yī)療資料，該類數(shù)據(jù)在RWS中僅限經(jīng)過授權的研究者按照授權范圍使用。高度敏感數(shù)據(jù)：涉及受試者人格、尊嚴、安全或特殊病種等信息。此類信息需要對受試者充分知情并增加隱私保護措施[16]。

2.7.3 弱勢群體及特殊人群

未成年人：考慮到不同年齡段的未成年人的成熟程度不同，根據(jù)他們認知程度的差異進行知情同意，使他們對參與臨床試驗過程中的隱私及數(shù)據(jù)充分了解。部分RWS研究周期可能達到數(shù)年甚至數(shù)十年，考慮到未成年人的價值觀和知識面會隨著年齡增長而變化，研究執(zhí)行期內(nèi)，受試者成年后應再次簽署知情同意。此外有關發(fā)育生理學等信息應格外重視，防止泄露后對未成年人身心健康造成傷害。值得注意的是，不滿十四周歲未成年人的個人信息屬于敏感個人信息，應予以嚴格保護，并對此制定專門的個人信息處理規(guī)則。

傳染病患者、罪犯、先天性疾病患者等特殊受試者:對于此類受試者，隱私泄露會造成其遭到社會排擠或歧視。例如，在疫情防控期間，多名患者因隱私泄露而深受其害，在RWS中，涉及傳染病、先天性疾病等應格外注意，除了在研究數(shù)據(jù)處理過程中去敏化、去標識化，也應加強隨訪過程的隱私保護，特殊受試者知情、隨訪做好隔離，診斷及敏感信息不寫在病例封面及床頭卡上。

3 RWS的隱私保護責任承擔、預防及風險應對措施

3.1 隱私保護的責任主體

3.1.1 數(shù)據(jù)提供者

受試者一般是數(shù)據(jù)提供者且一般最為關注自身的隱私保護。而通常數(shù)據(jù)提供者無法控制自己的信息是否被泄露，對自己的信息被非法利用的行為也無任何防范能力。因此，需要個人提升權益保護意識，認真讀懂知情同意書等文件后方可簽字，不以任何形式提供與就診或研究不相關的信息。當受試者發(fā)現(xiàn)個人信息被泄露后，可第一時間撤回知情同意，并要求研究者中止泄密。

3.1.2 數(shù)據(jù)使用者

研究者、申辦方作為數(shù)據(jù)隱私保護責任主體，應當確保受試者隱私和安全，并在受試者隱私和安全遭受危害時通知受試者。研究者作為數(shù)據(jù)使用與隱私保護的主要力量，其態(tài)度與意識決定了受試者隱私保護的工作質(zhì)量。研究方案中受試者隱私保護的細則制定、安全技術使用等方面都應當予以重點關注，尤其要確保應用于統(tǒng)計的數(shù)據(jù)信息已經(jīng)進行過去敏化和去標識化，并不包含可以識別到具體受試者的相關信息。針對記錄了受試者真實身份識別信息和編碼對應關系的文件做到有效歸檔和妥善保存。

3.1.3 數(shù)據(jù)接觸者

研究者、申辦方、統(tǒng)計人員、臨床協(xié)調(diào)員等必須提高隱私保護意識，涉及隱私數(shù)據(jù)妥善處理及保存，根據(jù)自己的授權嚴格約束數(shù)據(jù)訪問權限。其中，試驗申辦方可以發(fā)揮積極的溝通協(xié)調(diào)作用，包括評估獲取受試者隱私信息的必要性，受試者信息泄露風險防范措施有效性，明確各方在試驗數(shù)據(jù)隱私保護中的責任義務。安排專人確保信息的準確性，按照適當流程處理、存儲和維護數(shù)據(jù)，對于涉及到的隱私信息，實施重點數(shù)據(jù)的脫敏化，執(zhí)行隱私泄露的風險應對措施。

3.1.4 倫理委員會及其他監(jiān)管主體

倫理委員會審查包括試驗方案、研究者手冊、安全性資料、受試者信息在內(nèi)的全套文件，詳細論證試驗的科學性與倫理性。從事前防范入手，保護受試者在試驗過程中的個人隱私。重點審查是否存在強迫、利誘等不正當方式同意參加試驗的情況，核實知情同意書不包含使得受試者放棄合法權益、研究者及申辦方免除自身責任的內(nèi)容，間接推動研究者、申辦方，乃至受試者對于個人隱私信息保護的重視。此外，監(jiān)管機構、醫(yī)療機構、企業(yè)也應承擔隱私保護的監(jiān)督責任，建立多主體參與的監(jiān)督體系來實施監(jiān)控和防范侵犯隱私行為。

3.2 預防隱私泄露的管理措施和機制

一是詳細規(guī)定收集的信息及用途，不是為了獲得更多信息而設定寬泛的采集范圍；二是在知情同意書中充分告知受試者其個人信息均屬保密，研究團隊獲得數(shù)據(jù)將按法律規(guī)定使用；三是保證診療環(huán)境的私密獨立，知情同意及隨訪均在受試者接待室等專用房間進行；四是對不同角色進行權限配置及授權，控制接觸數(shù)據(jù)的人員，提供研究所需的最小數(shù)據(jù)集；五是本地化數(shù)據(jù)存儲，知情同意書、信息表化驗單原件等由醫(yī)療機構保存，電子信息應當保存在本地服務器而非云端。

此外，大多數(shù)研究機構通過搭建集成平臺將散落的數(shù)據(jù)整合起來，為RWS提供便利，但同時信息平臺、云端及技術人員的介入也增加了隱私泄露風險。因黑客入侵網(wǎng)絡導致用戶信息大量泄露的安全事件層出不窮,因此，個人信息、健康狀況、醫(yī)療應用數(shù)據(jù)等敏感的個人信息處理及使用要采取去標識化處理和隱私信息匿名化措施。

3.3 隱私泄露后的應對

一方面，應當開展風險評估。內(nèi)容包括但不限于：確認泄露的信息、對數(shù)據(jù)提供者的潛在風險、風險事件發(fā)生概率、數(shù)據(jù)提供者承受風險的能力等。另一方面，積極開展風險補救措施，具體包括：(1)全方位排查原因。除了找出泄露源頭及時制止信息擴散，告知被泄露方、受試者可提出撤回知情同意，中止個人信息繼續(xù)被使用等工作之外，更重要的是從制度、機制、人員管理、技術應用等多角度入手，仔細查找受試者隱私保護存在的風險。(2)組織針對性整改。制度上，修訂管理規(guī)章，完善標準操作規(guī)程，加大內(nèi)部監(jiān)管力度；機制上，規(guī)范研究者使用查看信息權限，深化隱私安全防范；人員管理上，對涉及信息泄露的人員加強培訓，提高其保密意識；技術應用上，增加保密科技使用，開展系統(tǒng)維護和更新版本，填補安全漏洞。(3)及時進行問責追責。建立懲罰性賠償制度，對泄露隱私的責任人采取懲處措施，造成嚴重后果的依法主張賠償。

4 思考

4.1 政策及監(jiān)管

雖然近年來國家和行業(yè)相關部門出臺了一系列醫(yī)療隱私保護的法律法規(guī)和行業(yè)標準，在政策上提出了個人隱私保護、數(shù)據(jù)使用規(guī)格、醫(yī)療信息共享等管理要求。但是RWS作為一個新興研究方式，監(jiān)管部門及行業(yè)協(xié)會應盡快制定發(fā)布在此研究模式下的隱私保護相關技術措施并建立相應的懲罰措施，讓RWS的隱私保護真正地有章可循，有法可依。

4.2 醫(yī)療機構管理

醫(yī)療機構作為RWS受試者隱私數(shù)據(jù)的收集方、使用方及存儲方，在受試者權益保護中擔任重要管理角色，相關管理部門應建立受試者隱私保護制度和管理體系，有條件的建議成立數(shù)據(jù)安全委員會，配備相應技術和管理人員對RWS中受試者數(shù)據(jù)使用進行審查審批，保護受試者隱私，監(jiān)管研究者行為。倫理委員會作為保護受試者權益與安全的專門機構，在日常監(jiān)督中強化受試者隱私保護，實時監(jiān)管研究者、申辦方是否按照要求履行保密責任。當敏感信息需要傳輸、共享，甚至公開時，發(fā)揮協(xié)調(diào)監(jiān)督作用確保受試者權益不受侵犯。此外，倫理委員會有權對泄露受試者隱私、傷害受試者權益的行為進行職權內(nèi)的處罰，如罰金、責令限期整改、暫停研究等。當受試者發(fā)現(xiàn)隱私受到侵犯時，可以向倫理委員會反映情況，以獲得相應的幫助[17]。

此外，醫(yī)療機構應加強相關研究者和醫(yī)務人員有關受試者權益的相關培訓，提升職工隱私保護意識。做好RWS的準入教育，增強研究者的倫理知識，明確其權限和義務，切實保護患者隱私。同時，醫(yī)療機構應充分尊重受試者和患者意愿，以受試者和患者是否同意提供信息為前提。可通過張貼宣傳資料、大廳廣播等形式向就診者宣傳隱私保護措施，提升其隱私保護意識，提醒就診者無需提供與就診目的無關的個人信息，當個人隱私遭到侵犯亦可通過合法途徑維護權益[18]。

4.3 技術保護措施

在醫(yī)療大數(shù)據(jù)背景下，RWS需要更多的探索和嘗試，直接通過醫(yī)院現(xiàn)有門診、住院及檢驗檢查系統(tǒng)搜尋潛在受試者，面臨權限分配不當、搜索軌跡無法保留、不可避免查看到與研究無關的信息等問題。因此，很多醫(yī)療機構嘗試建立臨床研究一體化平臺，包括日常管理、項目管理、多中心臨床科研數(shù)據(jù)采集與管理平臺、受試者隨訪、專病數(shù)據(jù)庫等功能。為了更好地保障受試者權益，保證系統(tǒng)的安全性，該類系統(tǒng)應具備以下功能：(1)訪問安全性：權限管理是保障系統(tǒng)安全的重要手段，包括用戶認證(特定用戶才可以登陸系統(tǒng))和授權(授予用戶訪問該資源的權限)。(2)數(shù)據(jù)安全性：系統(tǒng)安全性包括了網(wǎng)絡應用系統(tǒng)、用戶操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)三個層次；防火墻和入侵檢測是網(wǎng)絡應用系統(tǒng)防范的兩種常用模式。用戶操作系統(tǒng)安全技術包括登陸攔截、攔截訪問請求等。數(shù)據(jù)庫則通過加密技術保障安全，這樣即使數(shù)據(jù)丟失或被竊取也無法被讀取和破譯，保障數(shù)據(jù)安全。(3)去敏化技術應用：受試者與研究者姓名、個人電話號碼、郵箱、住址等信息，建議刪除、置空或者進行泛化處理。對于后續(xù)邏輯分析必需的數(shù)據(jù)，基于原數(shù)據(jù)通過隨機化生成新標識替換；需要追溯受試者情況的，由研究者建立內(nèi)部代碼索引，并實施專人管理[19]。

5 結語

醫(yī)療以及藥物研發(fā)是關系到民生與社會福祉的重要領域。RWS可以涵蓋上市前臨床研發(fā)以及上市后再評價等諸多環(huán)節(jié)，兼具依托現(xiàn)實醫(yī)療環(huán)境、投入成本可控等優(yōu)點，在藥物研發(fā)領域的重要性日益凸顯。與此同時，RWS不可避免涉及臨床試驗的隱私及保護問題，隨著社會法治建設的逐步深入，隱私權保護的氛圍日趨形成[20]。本文從受試者隱私保護的法律法規(guī)和監(jiān)管政策出發(fā)，從醫(yī)療機構管理、RWS設計等角度對受試者隱私數(shù)據(jù)安全、去敏措施進行了初步探索，旨在為未來持續(xù)深入研究提供參考和借鑒。