药物临床试验会涉及对受试者医疗健康信息等个人信息的处理。医疗健康信息具有敏感性，一旦被泄露或被非法使用，容易导致个人的人格尊严或人身、财产安全受到侵害。因此，2021年11月1日实施的《中华人民共和国个人信息保护法》（以下简称《个保法》）明确将医疗健康信息规定为敏感个人信息，并施加较一般个人信息更为严格的保护。

在《个保法》实施前，申办者/研究者主要遵照《药物临床试验质量管理规范》（以下简称GCP）的规定在取得受试者的知情同意后处理受试者的个人信息。《个保法》实施后，除GCP要求的应当告知受试者的信息，还对个人信息处理者提出新要求。例如：应当告知受试者个人信息的类型、处理目的、处理方式、保存期限；涉及敏感信息的，还应告知受试者处理敏感个人信息具有特定目的和充分的必要性；告知受试者行使《个保法》规定权利的方式和程序等。也就是说，药物临床试验中的个人信息处理者应当在满足GCP规定义务的同时，满足《个保法》规定的义务。

欧盟也有类似法规要求。欧盟数据保护委员会（EDPB）曾于2019年1月23日应欧盟委员会健康和食品安全总司要求出具《关于临床试验条例与通用数据保护条例之间相互作用的问答之3/2019号意见》[Opinion 3/2019 concerning the Questions and Answers on the interplay between the Clinical Trials Regulation (CTR) and the General Data Protection Regulation(GDPR)，以下简称《EDPB 3/2019号意见》]，就《临床试验条例》（CTR）与《通用数据保护条例》（GDPR）关于临床试验所涉个人数据处理的合法性基础进行了分析。

本文结合《EDPB 3/2019号意见》，梳理、总结我国《个保法》和GCP的相关规定，对中国和欧盟临床试验场景下的医疗健康信息处理的合法性基础进行探讨和比较，为相关申办者/研究者提供参考。

临床试验规范与数据保护法中的“知情同意”是否等同

我国GCP和《个保法》对药物临床试验中个人信息处理都强调“知情同意”的重要性。GCP中的“知情同意”，指受试者被告知可影响其做出参加临床试验决定的各方面情况后，确认同意、自愿参加临床试验的过程。“知情同意”也是《个保法》规定的个人信息处理的一般性基础，即除法定无需取得同意的情况外，个人信息处理者应当取得个人同意方可处理个人信息，且同意应当由个人在充分知情的前提下自愿、明确作出。目前，我国尚无监管细则或司法裁判就GCP与《个保法》之间的相互影响，及其各自项下的“知情同意”的关系进行界定。

欧盟《EDPB 3/2019号意见》则对CTR中的“知情同意”与GDPR中的“同意”之间的关系进行了厘定。

>>“知情同意的作出”与“同意的作出”

EDPB认为，CTR中的“知情同意”不能与GDPR中的“同意”相混淆。

CTR旨在遵循《赫尔辛基宣言》中涉及人的研究的伦理要求。在临床试验中获得受试者知情同意，是保障《欧盟基本权利宪章》规定的人格尊严和个人完整权利的主要措施，EDPB认为其并非被设计为一项数据保护合规工具。我国GCP第三条亦有类似规定：“药物临床试验应当符合《世界医学大会赫尔辛基宣言》原则及相关伦理要求，受试者的权益和安全是考虑的首要因素，优先于对科学和社会的获益。伦理审查与知情同意是保障受试者权益的重要措施。”

GDPR（Recital 32）则规定：“同意”必须是自愿作出的（freely given）、具体的（specific）、知情的（informed）和明确的（unambiguous）的，如涉及处理健康数据（data concerning health，类似于我国《个保法》中的“医疗健康信息”）等特殊类型的数据时，还需获得明示同意（explicit consent）。

值得注意的是，根据GDPR，当数据主体和控制者之间存在明显不对等时，“同意”不能成为个人数据处理的有效合法性基础。

如果一项临床试验是非干预性的，即不干涉患者诊疗而只是观察性地收集、记录患者的数据，则申办者/研究者与患者之间不会被视为存在明显不对等。然而，在干预性的临床试验中，因受试者身体健康状况欠佳等，申办者/研究者与受试者之间通常会存在不对等的情况。对此，CTR规定，“知情同意”应“自愿作出”，并要求研究者充分考虑潜在受试者是否属于经济性或社会性的弱势群体，或者处于组织上或等级上的依赖地位，从而可能影响受试者参与临床试验的决定。

我国GCP也规定了类似欧盟CTR的弱势受试者保护机制。GCP第十一条第（十）项明确，“弱势受试者，指维护自身意愿和权利的能力不足或者丧失的受试者，其自愿参加临床试验的意愿，有可能被试验的预期获益或者拒绝参加可能被报复而受到不正当影响。包括：研究者的学生和下级、申办者的员工、军人、犯人、无药可救疾病的患者、处于危急状况的患者，入住福利院的人、流浪者、未成年人和无能力知情同意的人等。”GCP第十二条要求，伦理委员会应当特别关注弱势受试者，以保护受试者的权益和安全。

尽管欧盟CTR已要求“知情同意”应“自愿作出”，但是EDPB仍认为：即使根据CTR获得了“知情同意”，如果受试者与申办者/研究者之间存在明显不对等，CTR项下的知情同意尚不能满足GDPR意义上“自愿作出”的同意的标准，因而不能构成GDPR项下处理个人数据的合法性基础。《EDPB 3/2019号意见》考虑到了临床试验场景下“知情同意”背后的伦理规范与数据保护法设计之间的区别，并特别关注受试者与申办者/研究者之间的实质不对等性，因而否认“知情同意”作为个人数据处理的合法性基础的逻辑有其合理性，值得借鉴和参考。

我国GCP第十一条第(十一)项、第二十四条第(十三)项等亦规定“知情同意”应是“自愿”的。《个保法》已实施一周年，目前尚无类似《EDPB 3/2019号意见》的监管细则或司法裁判就临床试验下的“知情同意”是否满足《个保法》下的“知情同意”进行释明。

笔者认为，我国GCP中的“知情同意”与《个保法》中的“知情同意”并不等同。原因是GCP作为医药行业监管规范，《个保法》作为数据保护法，两者虽然都有“知情”“同意”的要求，但其各自的背景和目的并不相同。因此，药物临床试验项下的“知情同意”并不适宜作为个人信息处理的合法性基础，在《个保法》背景下，临床试验的申办者/研究者作为医疗健康信息等敏感个人信息的处理者，有必要重新审视其处理个人信息的合法性基础。

>>“知情同意的撤回”与“同意的撤回”

EDPB认为，CTR项下“知情同意的撤回”与GDPR项下“同意的撤回”亦有所区别。

CTR明确规定，为尊重个人数据保护权利，同时为保障临床试验数据的可靠性（reliability）、稳健性（robustness）及受试者的安全，应该规定“知情同意的撤回”不影响先前已进行的临床试验活动，例如基于“知情同意”撤回前已获得的数据存储和使用。

然而，根据GDPR第7(3)条、第17(1)(b)条，一般情况下，如果是基于“同意”进行数据处理，数据主体有权随时撤回“同意”；“同意”一旦被撤回，尽管撤回前进行的数据处理活动的效力不受影响，但是控制者应当停止后续数据处理活动，并在没有其他法律依据就数据进行留存的情况下把数据删除。对此，我国《个保法》亦有类似规定。

从上述CTR和GDPR的规定可见，两者在“知情同意的撤回”与“同意的撤回”的内涵及外延上存在一定区别。从药品监管角度而言，出于保障临床试验质量、受试者安全等目的，临床试验数据必须保持其原始性、准确性、完整性，而不得随意修改、掩盖和删除。

我国GCP亦就临床试验数据质量作出严格要求。目前，我国尚无监管细则或司法裁判就“知情同意的撤回”与“同意的撤回”之间的关系进行界定，类比上文关于“知情同意的作出”与“同意的作出”的分析，笔者认为，我国GCP中“知情同意的撤回” 与《个保法》中“同意的撤回”的概念亦不等同。

临床试验所涉个人信息处理的具体合法性基础

如果临床试验场景下的“知情同意”不构成个人信息保护法规意义上的“同意”的合法性基础，那么相关个人信息处理活动应基于什么合法性基础进行？对此，《EDPB 3/2019号意见》基于临床试验场景下数据的应用阶段、处理目的进行了区分。

>>初始应用（Primar Use）

初始应用，指根据临床试验方案对受试者个人健康数据进行的处理，其过程涵盖从试验开始到试验结束直至留存期限届满而删除数据的整个过程。其又可细分为两种类型的数据处理活动：一是“与可靠性和安全性目的相关的处理活动”，指与医疗保健目的、通过可靠(reliable)而稳健(robust)的临床试验数据达到药品质量和安全标准目的相关的处理活动；二是“仅与研究活动相关的处理活动”。两种数据处理活动所依据的法律基础不同，具体区别如下。

1.与可靠性和安全性目的相关的处理活动

EDPB认为，CTR及相关立法明确规定的“与可靠性和安全性目的相关的数据处理活动”，可以适用GDPR第6(1)(c)条规定的“为履行控制者所负的法定义务所必需”的合法性基础。据此，临床试验过程中为安全报告、监管机构检查、根据归档要求保留临床试验数据等进行个人数据处理，可被视为临床试验申办者/研究者为履行法定义务所必须。此外，处理特殊类型的个人数据，如健康数据，还应满足GDPR第9(2)(i)条规定的“数据处理为实现在公共健康领域的公共利益所必需，比如……为保证医疗保健、药品、医疗器械高标准的质量和安全”。

类似GDPR，我国《个保法》第十三条第(三)项规定了“为履行法定职责或者法定义务所必需”的合法性基础，视具体临床试验方案而定，可以考虑作为临床试验过程中处理个人信息的合法性基础。此外，就医疗健康信息等敏感个人信息的处理而言，《个保法》第二十八条还要求具有“特定的目的和充分的必要性”，但并未就具体判定标准进行展开，对此，实践中有必要结合具体临床试验方案对处理特定个人信息的必要性进行分析。

2.仅与研究活动相关的处理活动

EDPB认为，“仅与研究活动相关的处理活动”不能依赖“为履行控制者所负的法定义务所必需”作为数据处理的合法性基础，其可适用的合法性基础包括：GDPR第6(1)(a)条项下的“同意”；如涉及健康数据等特殊类型数据的处理，还应满足GDPR第9(2)(a)条规定的“明示同意”。如上文所述，在干预性的临床试验场景下，鉴于受试者与申办者/研究者之间的不对等，临床试验项下的“知情同意”可能无法满足GDPR项下“同意”的标准，因而导致“同意”在多数情况下可能不适宜作为数据处理的合法性基础。

较“同意”而言可能更为恰当的合法性基础是：GDPR第6(1)(e)条项下的“为执行基于公共利益的任务所必需”、第6(1)(f)项下的“实现控制者或第三方追求的合法利益所必需”；如涉及健康数据等特殊类型数据的处理，还应满足GDPR第9条规定的禁止处理之例外情形，视具体临床试验情况而定，包括GDPR第9(2)(i)条“为实现公共健康领域的公共利益所必需”、第9(2)(j)条“为公共利益进行科学研究所必需”。具体而言，当临床试验是依法直接基于行政命令、任务而进行，临床试验过程中的个人数据处理可被视作“为执行基于公共利益的任务所必需”；其他情形下，个人数据的处理可基于“为实现控制者或第三方追求的合法利益所必需”，但是数据主体享有的个人数据保护相关的权益、基本权利和自由优先于前述合法利益的除外。

类似GDPR，我国《个保法》第十三条第（四）项、第（五）项分别规定了以下个人信息处理的合法性基础：“为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需”和“为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息”。视具体情况而定，此二项亦可考虑作为临床试验相关活动过程中处理个人信息的合法性基础。比如，在新冠肺炎疫情背景下进行的特定个人信息处理活动，可以考虑依赖“为应对突发公共卫生事件所必需”的合法性基础。此外，如前文所述，就医疗健康信息等敏感个人信息的处理而言，《个保法》第二十八条要求的“特定的目的和充分的必要性”亦需关注。

>>二次使用（Secondary Use）

二次使用，是指在临床试验方案之外，为科研目的使用受试者个人数据。如果申办者/研究者将临床试验过程中获得的个人数据用于临床试验方案以外的其他科研目的，应当具备初始应用之外的法定理由，具体的合法性基础与初始应用的合法性基础可能相同，但也可能不同。

GDPR第5(1)(b)条规定，根据GDPR第89(1)条采取适当保障措施的情况下，如果基于公共利益进行归档，出于科学、历史研究或统计目的，而进一步进行数据处理不视为不符合初始目的（即相符性推定，presumption of compatibility）。也就是说，该等情况下二次使用临床试验数据无需满足新的合法性基础。同时，EDPB亦坦陈，鉴于该问题的复杂性，EDPB尚需进一步关注并出台指引。

我国《个保法》中尚未制定“相符性推定”规则，二次使用可依赖的具体合法性基础应当作为独立的使用场景，依法就具体情况进行个案判定。

结语

综上，临床试验涉及的个人信息处理问题较为复杂，临床试验场景下的“知情同意”不宜简单直接等同于《个保法》意义上的“同意”。

结合临床试验的类型、方案等具体情况，临床试验中个人信息处理可依赖的合法性基础可能包括“法定义务”“公共利益”等，需个案分析。对此，作为医疗健康信息等敏感个人信息的处理者，申办者/研究者有必要在开展临床试验前就临床试验方案涉及的个人信息处理的合法性基础进行审慎评估。

此外，值得注意的是，临床试验等药物研发活动中涉及的个人医疗健康信息处理活动，亦需遵守《个保法》中公开透明原则、个人信息跨境提供规则、个人信息主体权利保障等规定的规制，对此还需进一步探讨。

（环球律师事务所 曲晓琨）

本文属学术性探讨，除法律法规明确规定外，不作为执法依据。

(责任编辑：陆悦)