药物临床试验受试者隐私保护的有关伦理问题及其研究进展*

黄樱硕，张子龙，吴小芳，孔艳红，董瑞华**

(1 首都医科大学附属北京友谊医院研究型病房，北京 100050，yingshuo_huang@163.com；2 应急总医院心内科，北京 100028)

在药物临床试验过程中，与受试者有关的各个环节都涉及受试者隐私保护问题。从法律法规角度加强管理；从申办方、检测方、研究者角度加强隐私保护的意识和水平；在隐私保护的前提下，扩大生物样本利用度，提高科研转化能力水平等方面，都有待进一步加强。结合首都科大学附属北京友谊医院(以下简称“友谊医院”)研究型病房进行药物临床试验的经验以及友谊医院伦理委员会及生物样本库的管理经验，并查阅近年来关于隐私保护的相关文献，做如下阐述和讨论。

1 受试者隐私保护的概念以及泄露隐私的危害

隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。隐私权是指一个人有权掌控何时在何种情况下与他人在何种程度分享自身(生理、行为或智力)方面的情况。保密性是指保护个人隐私的过程。《赫尔辛基宣言》[1]提出：“我们必须始终尊重受试者的权利，保障受试者的身心健康。应采取一切预防措施尊重受试者的隐私权并保障患者信息的保密性，最大限度降低研究对受试者身心健康及其人格的影响。”此外，《联合国人权宣言》[2]《纽伦堡法典》[3]和《贝尔蒙特报告》[4]也规定了尊重个人、关心福利和正义等基本伦理原则。

在药物临床试验过程中，从招募、筛选、入组、住院、出院、门诊或电话访视，到样本或信息数据的采集、处理、使用和储存的全过程，都会涉及大量的受试者信息资料，因此，保护受试者信息、数据、样本是保护隐私的关键。

受试者个人资料可以定位为“与生命个体相关、可从中识别出该个体或家庭甚至族群的资料”，例如，姓名、社保号、电话号码、市县街道地址、病历号、驾照号码、电子邮件地址、生日、姓名首字母、血型、基因序列等，以及任何其他独一无二的识别号码、特征或代码。

泄露隐私可能会导致严重后果，包括侵犯个人权利、伤害、尊严丧失的风险。如，社交尴尬、蒙受耻辱、受到不公平对待等；对社会和经济地位造成损害，如，事业和健康保险损失，导致身心和精神伤害，可能影响其他愿意参加临床试验的受试者，引发焦虑、顾虑导致依从性降低等。

2 受试者隐私保护的措施和方法

在进行临床试验和采集、处理患者个人资料时，应严格遵守临床试验隐私保护程序、数据保护立法和道德标准，执行保障程序以保护受试者的个人资料，防止丢失或被盗、擅自获取、不当使用或泄露、不当复制、传输、修改或篡改、不当保留或破坏。

在进行集中筛选的时候，在群体知情后需要有独立的空间进行单独知情同意，保证受试者可以无顾虑的提出问题和得到解答。体格检查以及心电图检查时需要独立的空间，避免暴露受试者的身体部位。

在临床试验的过程中，各种表格如体格检查记录、心电图记录、PK采血记录、本地实验室样本采集记录、药物发放表格等，都要以此次临床试验中符合项目规定的唯一编号进行区别，不能出现受试者的个人信息，如，姓名、性别等，工作人员在公开场合交流时，也要以编号代替姓名进行。受试者住院后的床头卡片以编号代替姓名，受试者佩戴胸牌，并标记项目编号、受试者编号，操作时以胸牌进行识别。

发送至外部机构、部门时(如第三方检测平台)，应编辑/删除受试者个人信息，进行脱密处理后以唯一且无法体现受试者个人信息的代码进行样本的识别，如可通过建立医疗领域的数字身份、数据限制访问信息系统、升级加密手段等加强对隐私数据的防护。在信息去标识化方面，可使用循环神经网络、长短期记忆网络、分段卷积神经网络、分段递归神经网络等加密算法；同时，还应加强去标识化和再识别风险相关算法研究，以确保共享数据安全的[5]。发送电子邮件、传送数据或将其录入系统之前，应对所有文件实施质量控制检查。妥善保管访问临床试验系统的密码和权限，如浏览电子病历系统、浏览化验单等，只能由有资质的工作人员查看。如出现任何泄露隐私的情况，应及时纠正并加强管理及采取预防措施，防止此类情况再次发生。

体现受试者个人信息的任何文件、资料都要放在相对固定的位置，并且及时整理和归档，只有有权限的人员才能进行书写或浏览，不得放置在人员流动性较大的区域或开放区域，非授权人员不能接触到任何与研究相关的病历资料，对于设盲的研究，非盲人员也不能接触到任何受试者的病历资料。研究资料应保存在档案室，由专人管理，归档后的文件及时锁定，只有有权限的人员才能借阅，借出和归还都需要登记。对于将研究病历与电子病历结合的研究中心，在遵守《医疗机构病历管理规定》的同时，要充分认识到病历作为科研资料，应严谨适当使用，避免泄露隐私相关信息，并且医疗机构应建立严谨的临床科研病历资料的使用制度[6]。

在发表研究结果时，使用群体综合数据而不是受试者的个体数据进行报告，描述个体出现的特殊情况时，不应出现能够识别受试者身份的个人信息，可以编码等代替。

传统研究对隐私的保护，多侧重于知情同意与匿名化处理，在当前的数据环境下，还有潜在数据失窃的风险，因此，有必要在生物样本及基因数据库筹建之前对其隐私风险进行全面评估，而不能仅局限考虑单个数据集中的数据质量。生物样本基因数据库一旦建立将可能在很长一段时间存在，这期间需对数据主体进行长期的保护[7]。

3 网络和电子媒体相关的隐私伦理问题

网络资源招募正在逐渐兴起，甚至占据主流[8-11]，通过网络招募能够节约大量的人力、物力和时间资源，内容和形式更加灵活，招聘通知可以随时打开和关闭，内容可以实时更改，且有利于研究者控制和评估招募效果[12]，比传统的招募方式更容易达到招募目标(一项由英国两家主要资助机构资助的404项临床试验的回顾性研究发现，只有55%达到了招募目标[13])。但是通过网络和社交媒体进行招募会产生关于隐私泄露的伦理问题[14]，因为受试者的个人信息可能在入组前或者签署知情同意书之前暴露，而其中可能涉及个人的敏感信息。例如，某睡眠呼吸暂停的患者在浏览网站后接收到与自己疾病有关的无创呼吸机广告，这引发了加拿大隐私专员办公室(OPC)的调查，调查显示，谷歌的在线广告服务利用个人在线活动的敏感个人信息，发布有针对性的健康相关广告，这违反了加拿大的隐私法[15]。研究者、科研伦理委员会、伦理学家、学生以及潜在的研究参与者通常不注意社交媒体进行研究招募的隐私保护，并且目前没有官方的指南对通过电子媒体进行招募的隐私保护问题和流程进行指导和说明。目前，2E(E-consent即电子知情、E-payment即电子支付)或者3E(E-recruitment即电子招募和电子知情、电子支付)等正在逐渐成为临床研究中的新兴形式并由于其便捷、降低成本、提高效率而被推广和认可。但在正式实施前，应着重考虑到受试者的隐私保护问题，并且应通过伦理委员会的认可，必要时还可咨询相关法律部门的意见，确保受试者的隐私不被泄露；在实施过程中如果涉及提取数据，应经过专门的脱敏处理。因此，研究者在网络或社交媒体招募开始前，一定做好充分的准备工作并获得相关部门的审查批准，同时注意受试者的信息提取需要在知情同意之后进行。有学者提出未来还有望通过计算机算法的改进更新，使用户有个人隐私设置的权利，并且对提供者和使用者都进行符合隐私保护要求的相关评估[16]。即在规划阶段就开展隐私影响评估，制定详细的隐私评估流程，并设置全周期的隐私风险管理，强化隐私保护体系的顶层设计。

PbD(Privacy by Design)是由加拿大前信息和隐私专员Ann Cavoukian博士在20世纪90年代末开发的。它是一个以可信和有效的方式将隐私和数据保护嵌入信息技术、组织流程、网络架构和整个监督系统中的总体框架[17-18]。应用PbD的原则有助于识别我们招聘策略中的隐私优势、弱点和差距。另一个隐私工具，隐私影响评估(Privacy Impact Assessment，PIA)旨在“识别新程序或重新设计的程序的潜在隐私风险，并将这些风险消除或降低到可接受的水平”。它们通常用于确保组织符合立法和法规要求。PIAs可能成为评估在线健康研究招聘策略隐私风险的有用工具[19]。Jeselon和Fineberg建议使用PbD框架来增强PIAs，以实现更全面的隐私保护策略，并就如何将PbD应用于PIAs提供了实际指导[20]。

4 大数据和数据共享相关的隐私保护问题

由于医学信息固有的敏感性，生物医学大数据备受关注。分享来自临床试验的数据可能有助于科学和医学的进步，从而更好地了解药物和其他治疗的获益和风险，共享数据还允许在荟萃分析层面解决在个别研究中无法解决的问题[21]，能够提供处于循证医学最高水平的结论，以指导研究者、临床医师、伦理学家、数据科学家、监管机构和其他利益相关者了解最新、最权威的知识进展。在数据分享的过程中，保护研究参与者的隐私是最重要的原则。

有学者提出改进和扩大监管数据共享的透明度政策，将北美、拉丁美洲和欧洲的经验结合起来，并强调协调规划和统一监管，实现不同机构间的合作和协作[22]。尽管有许多在线平台用于从行业赞助者那里共享患者水平的临床试验数据，但它们在研究计划审查过程中地方伦理审批的作用与数据共享的程度并不匹配。其中，第一个也是最大的一个平台是Clinical Study Data Request.com (CSDR)，它包括来自13家赞助商的3000多项试验，其中包括葛兰素史克(Glaxo Smith Kline)、诺华(Novartis)、罗氏(Roche)、赛诺菲(Sanofi)和拜耳(Bayer)等大型国际制药企业。这一平台仅要求申请人说明他们的研究计划是否获得了伦理批准，但在大多数情况下并不要求他们提交批准的证据，这个研究模型的现有标准也没有解决申请人何时需要当地伦理批准的问题[23]。

在分享前，应要求研究人员登记他们对数据需求的具体要求，并提供他们打算进行的研究细节，这将使其他人能够根据科学和透明度的原则对研究计划进行评估。对于在线数据共享框架，应从知情同意、隐私(包括匿名和数据保护)、数据所有权、“大数据”用户、大数据的伦理评价，以及聚合数据集分析产生的未来知识产权归属问题，实现为个别资料当事人提供有意义的查阅权等方面综合评估管理，并形成完整的关键框架体系来指导大数据相关的伦理实践[24]。

汇集大型数据集的具体伦理准备流程通常包括以下几个步骤：第一步是考虑与正在进行研究相关的关键伦理问题和隐私原则；第二步包括询问和回答伦理和隐私指导问题，以了解适用于该研究的原则；指导问题将以确定的伦理原则为基础。研究人员应该考虑与他们的研究设计相关的隐私和伦理方面的考虑，并通过这个过程确定哪些问题需要被批准。数据管理员也可以利用这些问题来评估分享数据的要求。对第二步问题的回答应说明数据访问是否有伦理道德基础。数据访问需要考虑的主要方面有：①为符合隐私和道德原则而实施的缓和策略；②数据流修改，即数据处理方面的任何改变，以加强隐私保护(例如使用聚合数据而非可识别的个人信息)；③需要设置哪些地方性批准文件，可以由国家规定；④数据访问协议，可以授权使用汇集的数据，或者采用分布式分析或混合分析。

2016年11月，国际医学科学组织理事会(Council for International Organizations of Medical Sciences，CIOMS)发布了重新修订的《涉及人的健康相关研究国际伦理准则》[25]。修订后的准则提出对健康相关研究中的数据收集、储存和使用实施“伦理治理”，并对网络环境中获取数据用于研究所存在的隐私风险和如何进行保护作以指导，对健康相关研究中的数据收集、储存和使用给出详细而完整的伦理规范[26]。

5 与医疗信息资源相关的隐私保护问题

患者或受试者医疗记录的隐私和患者的保密性已经成为卫生保健、产品临床试验或临床医学研究中伦理和法律问题的首要问题。包括临床医师、护师、康复理疗师、药剂师、检测技师等多种职业和岗位在内的卫生专业人员都有责任和义务保护受试者的隐私，并确保具有防止不当获取患者信息的保障措施[27]。

在国际环境下进行的卫生研究项目正越来越多地试图利用患者的计算机化病历数据汇集大型数据集，安全计算方法的进步使得这种性质的项目变得可行，并且能够满足严格的信息管理标准，从而减少隐私被破坏的机会。大多数主要的研究项目都是由全球资助计划资助，并由在跨国环境中运作的公私合营的大型财团进行的。因此，实际项目涉及的隐私和伦理问题往往是复杂的，而且通常为项目特异性的[28]。

例如，澳大利亚在1988 年颁布《隐私权法》的基础上，专门制定了《个人控制的电子健康档案法》，这是一部具有操作性的法案，从健康信息的收集、存储、利用、披露及销毁整个生命周期，都对保护患者隐私作了详细规定[29]。美国、加拿大、日本、新加坡、欧盟等发达国家和地区对医疗信息隐私保护领域都建设了成熟完备的法律体系[5]。

在大多数国家，数据处理的隐私方面是根据统一的多国立法框架进行监管的[30]。针对隐私保护的具体实施方面，有学者提出了受控词汇表的概念，即将用于描述隐私、伦理和数据访问概念的术语统一化和标准化，这对于确保跨研究和不同国家所使用概念的一致性有非常重要的意义。受控词汇表可采用该领域内接受的标准定义(例如，欧盟数据保护法则和澳大利亚隐私原则等)[30]。另外，在开发管理框架的同时，不仅要考虑到隐私泄露风险，也应考虑到潜在的伦理获益[27-28]。

6 发展中国家隐私保护的现状

在巴基斯坦伊斯兰堡的公立和私立医院进行的一项关于隐私保护的临床实践调查显示，研究者或临床医师没有充分遵守伦理原则。作者分析,因为缺乏强有力的监督和主管当局的惩罚制度，知情同意、隐私和保密反复多次被忽视[31]。

以阿拉伯联合酋长国为例，分析影响临床试验隐私和保密的因素，包括概念熟悉度、知情同意依从性、数据获取和保存在内的因素，以评估阿拉伯国家的隐私保护现状。由于阿联酋是一个新兴的临床试验地区，对数据保密性和受试者隐私相关法规的需求日益增长；同时应结合阿拉伯文化背景考虑信息和隐私相关的决策[32]。

2018年5月1日起中国开始实施《信息安全技术个人信息安全规范》，对个人数据的收集、存储、应用、传输各个环节提出十分确切具体的规定[33]，但没有专门针对医疗卫生行业的条款。另外，基于中国数千年的传统文化背景，关于脑死亡、安乐死、器官移植、代孕等方面与西方国家的法律法规和文化背景截然不同，因此，在制定和实施隐私保护相关法律政策时，也需要同时考虑中国人的文化背景和风俗习惯，不能生搬硬套。

另外，伦理委员会作为审核研究项目伦理的组织，也应加强受试者隐私保护的意识。印度一项调查研究表明，一些独立选举委员会成员对患者的隐私权和保密性以及对患者个人健康信息(包括预后和检测结果)的知情权存在混淆，应为独立选举的伦理委员会成员举办培训方案和认识讲习班，以保护研究参与者的权利，特别是在保护隐私问题上[34]。

7 广泛知情同意与隐私保护的相关问题

2015 年Garrison等提出广泛知情同意(broad consent)的概念[35]。同年，美国国家健康基因组数据共享研究所的政策开始生效，该政策要求几乎全部研究参与者(受试者)的广泛知情同意。欧美国家大部分都在法律层面认可了广泛知情同意。《涉及人的健康相关研究国际伦理准则》也提出，在适当的伦理治理基础上，对于尚无特定研究目的的数据收集，可以使用广泛知情同意方式，来对未来限定于某方面的研究进行知情同意。我国的广泛知情还有很大空间，我国一项关于泛知情同意和健康数据共享隐私保护的调查分析显示，中国患者维护知情权意识较强烈，大部分的患者能够接受健康信息的分享和废弃样本再利用，但趋向选择简便快速的知情同意方式。但被调查者对知情同意相关认知、样本处理流程的隐私保护等关心度及认知度均较低[36]。

药物临床试验的生物样本在项目结束后大都采取销毁的方式处理，由于药物临床试验实施过程规范、具有严格的质量控制和文件记录，在科研转化方面具有巨大的优势和潜力，如果在项目实施前施行广泛知情同意，有助于对生物样本的充分利用，提高科研产出。目前，友谊医院生物样本库已实现广泛知情，尤其是药物临床试验的研究者也可以在保护隐私、符合伦理的前提下，提高生物样本利用度和促进科研产出。

8 总结

保护受试者隐私有助于建立受试者与研究者之间的信任，有助于减少个人忧虑，维护参加者的尊严，使研究参加者感受到尊重，赋予研究参加者自我掌控权并提升其自主性。

我国在患者的隐私权研究和保护意识方面较为薄弱，目前，仅从医院、科研机构、药物临床试验机构和伦理委员会层面对受试者的隐私权进行规定，要加强受试者的隐私保护，应进一步加强理论研究和相关法律法规建设，卫生行政主管部门应尽早制定相关规定，以保护受试者隐私，以及医疗机构、医务人员的合法权益，做到依法使用研究资料。