欧盟通用数据保护条例探微(2)
标准化
这种数据处理的灵活性可延伸至人类生物医学研究的基本原则——知情同意。虽然GDPR要求数据主体“明确知情并同意”,但研究人员在收集数据时可能无法完全确定今后所有可能的研究目的。鉴于此,GDPR指出,如果同意过于明确会影响研究目的,应允许数据主体在符合一些条件时对某些领域的科学研究表示同意,同时研究应符合公认的科学研究伦理标准。
这一关键规定与关于合理知情同意模式的生物伦理争辩存在交集,它主要有两个主要含义。首先,在数据收集过程中,当用于特定研究的明确同意标准被证明无法满足时(如生物样本库的例子),这一规定消除了之前的担忧,充分利用GDPR的立法权重,为获得广泛同意提供了支持。有趣的是,工作小组发布了进一步明晰GDPR中“同意”概念的准则。这些准则再次确认,作为默认选择,必须获得明确同意。同时,它们在研究目的之间做了细微区分,要求对其进行“详细描述”,不应该只是“充分说明”。出现这些情况时,还建议采取一些额外保障措施。例如,在项目开始前提供综合研究计划,提高项目发展的透明度,使参与者能够行使撤回同意的权利。这一解释性准则不仅提供了“更严格的解释”和“高度的审查”,而且为控制方在任何时候都可根据预期的研究目的获得广泛同意而铺平道路。其次,在确定为科学研究目的进行数据处理的范围方面,这一条款使制度化伦理(即伦理委员会的指导方针以及其他软性法律文书,如职业行为守则)更加强化。更宽泛地说,这一作用在制定通用实践标准方面得到了加强。由于缺乏可与规范临床研究相媲美的具有约束力的立法要求,人类生物样本的研究已经在很大程度上进行了回避。
这一准则被设想为该领域的参考标准,使欧盟成员国及其他国家和地区之间的国际协调成为可能。然而,GDPR的具体执行情况是否能够凭借单一的行为准则带来广泛的影响还有待观察。或者,GDPR加大对制度化伦理的投资,最终通过当地伦理委员会的扩散而促进监管分化。
GDPR测试
事实上,欧洲的数据保护工作取代僵化的统一规范而实施灵活的治理制度(尽管成员国可能会为基因组和健康相关数据的处理制定进一步规定),存在自相矛盾之处。
一方面,除了控制方的自由裁量权外,GDPR还支持影响深远的“研究豁免”,以应对敏感数据处理的严格限制,放宽对同意、进一步处理和存储的要求。对“技术开发和示范”“应用研究”和“私人资助研究”等科学研究名义下开展的活动采用非常宽泛的定义,扩大了研究豁免的范围。通过将这些规定结合起来,制药企业、直接对消费者进行基因检测的公司以及数字技术公司等控制方声称可在科学研究活动范围内对(敏感的)个人数据进行处理,它们将直接受益于对数据控制方(而非数据主体)有利的监管空间。
另一方面,兼容性测试等涉及敏感内容的方法以及进一步强化制度化伦理的做法,都可视为加强对数据主体的保护,并为促进其实质性(而非象征性)地参与研究工作创造条件。
卡利亚里法庭(意大利)曾做出一审判决,推翻了意大利数据保护局(DPA)终止英国蒂齐亚纳生命科学有限公司有关Shardna SpA数据库活动的决定,这一具有里程碑意义的判决很好地诠释了这一点。这是意大利法院第一次做出此类裁决。Shardna是意大利的一家基因组生物样本库,存储有遗传、健康和家谱数据(后者是从超过4个世纪的市政和教区档案记录中收集的),涉及大约1.2万名基因互相关联的奥利亚斯特拉居民。奥利亚斯特拉是意大利撒丁岛上一个与世隔绝的地区,百岁老人随处可见。Shardna在2016年被蒂齐亚纳收购,并在当地社区引发争论,包括研究参与者试图阻止外国机构对Shardna数据库的营利性收购。
DPA决定对蒂齐亚纳的收购设置临时障碍,其依据是蒂齐亚纳作为新的数据控制方,必须将“数据控制方的变更以及新控制方可能会因为医学遗传领域科研目的而进行进一步数据处理”告知数据主体,并重新征得信息存储于Shardna数据库的所有数据主体的同意。相反,卡利亚里法庭裁定这项规定“要求过高”,因为新的数据控制方“追求的是与Shardna相同的目标”,即“已征得同意的科学研究目的”。
尽管DPA的决定和将其推翻的裁决都与意大利的数据保护法相一致,但对该判决进行申诉预计将在GDPR框架下进行。预计对此案的裁决将围绕以下评估进行:数据控制方的变更是否导致进一步处理个人数据;其范围是否符合征得同意时的最初目的。可以说,这样的评估最终会得出这样的结论:蒂齐亚纳极有可能不会为了推进自己的肿瘤学和免疫学研究项目而对Shardna最初建立的数据库进行进一步处理,不管它是否继续开展最初由Shardna发起的系列研究。
文章来源:《生物医学工程学杂志》 网址: http://www.swyxgcxzzzz.cn/qikandaodu/2021/0401/533.html