韓曉曉 劉 迅 崇雨田 文賢慶 孫保學(xué) 胡曉萌

截至2019年，我國(guó)心腦血管疾病、癌癥、慢性呼吸系統(tǒng)疾病、糖尿病等慢性非傳染性疾病導(dǎo)致的死亡人數(shù)占已達(dá)到總死亡人數(shù)的88%，由此導(dǎo)致的疾病負(fù)擔(dān)也占到總疾病負(fù)擔(dān)的70%以上，成為普遍影響我國(guó)居民健康的主要疾病和制約健康預(yù)期壽命提高的重要因素[1]。然而，伴隨著大數(shù)據(jù)、人工智能等信息技術(shù)的大規(guī)模應(yīng)用，醫(yī)療健康領(lǐng)域越來越成為應(yīng)用大數(shù)據(jù)變革最有效的領(lǐng)域之一。尤其對(duì)于慢性病而言，起病隱匿，病因復(fù)雜，病程長(zhǎng)且病情遷延不愈，缺乏確切的傳染性生物病因證據(jù)，十分契合大數(shù)據(jù)技術(shù)關(guān)注數(shù)據(jù)總體性、相關(guān)性和模糊性等特點(diǎn)。把大數(shù)據(jù)技術(shù)運(yùn)用到慢性病治療中，不僅可以對(duì)患者病情進(jìn)行有效觀察和整理，而且可以通過有價(jià)值的數(shù)據(jù)分析做好疾病預(yù)防和救治規(guī)劃，從而既降低病患及其家屬的醫(yī)療健康成本，也有利于國(guó)家和社會(huì)節(jié)約資源成本。不但如此，通過大數(shù)據(jù)技術(shù)收集有關(guān)慢性病的數(shù)據(jù)，也有助于疾病預(yù)防控制中心了解慢性病患者的健康風(fēng)險(xiǎn)程度、了解慢性病如何影響全國(guó)各地的人、了解地方公共衛(wèi)生干預(yù)措施的情況，從而更好地制定預(yù)防保健措施、監(jiān)控預(yù)防工作的進(jìn)度[2]，幫助公共衛(wèi)生專業(yè)人員和決策者做出更及時(shí)、更有效的決策。

然而，醫(yī)療健康大數(shù)據(jù)極具敏感性，隨時(shí)可能遭受巨大的隱私和安全風(fēng)險(xiǎn)。2021年1月1日正式實(shí)施的《中華人民共和國(guó)民法典》，更是明確了公民享有隱私權(quán)[3]。如何在確保安全和保護(hù)患者隱私權(quán)的前提下對(duì)數(shù)據(jù)進(jìn)行開發(fā)利用是一項(xiàng)艱巨的任務(wù)。無論對(duì)醫(yī)學(xué)科學(xué)多么有用，對(duì)醫(yī)療機(jī)構(gòu)多么重要，大數(shù)據(jù)都必須在解決好安全和隱私問題的前提下進(jìn)行使用。正是基于此，我們?cè)噲D編制《臨床研究中慢性病患者數(shù)據(jù)隱私和安全保護(hù)的倫理共識(shí)》(以下簡(jiǎn)稱《共識(shí)》)。《共識(shí)》保護(hù)的對(duì)象是臨床研究數(shù)據(jù)，而慢性病數(shù)據(jù)庫主要由慢性病臨床數(shù)據(jù)構(gòu)成，因此全文對(duì)受試者和患者不做區(qū)分，統(tǒng)一表述為慢性病患者數(shù)據(jù)。我們希望能夠給慢性病數(shù)據(jù)庫的建設(shè)者、管理者、慢性病從業(yè)者和科研工作者等提供合乎倫理道德、合乎法律法規(guī)的行動(dòng)指導(dǎo)和決策支持；我們希望能為慢性病患者數(shù)據(jù)管理實(shí)踐提供參考；我們希望能為履行和實(shí)現(xiàn)保護(hù)慢性病患者數(shù)據(jù)隱私和安全目標(biāo)而采取的政策主張及實(shí)施方案提供基礎(chǔ)。

《共識(shí)》首先重點(diǎn)考慮生命倫理學(xué)四大經(jīng)典原則和個(gè)人數(shù)據(jù)保護(hù)的倫理原則，進(jìn)而細(xì)化制定慢性病患者數(shù)據(jù)隱私和安全保護(hù)的倫理原則；其次，結(jié)合國(guó)家相關(guān)法律法規(guī)的規(guī)定，基于數(shù)據(jù)全生命周期對(duì)慢性病患者數(shù)據(jù)隱私和安全保護(hù)提出具體要求；再次，按照國(guó)際通用做法和我國(guó)國(guó)家技術(shù)標(biāo)準(zhǔn)的要求，制定慢性病患者數(shù)據(jù)隱私和安全保護(hù)的技術(shù)手段和技術(shù)要求；最后嘗試提出慢性病患者數(shù)據(jù)隱私和安全保護(hù)的管理制度構(gòu)建。

1 倫理原則

人是倫理的主體，作為主體的人在根本上是自由的，自由是其它一切價(jià)值的根本，保證和捍衛(wèi)人的自由權(quán)利和行使自由的能力是一切倫理原則最根本的理由。自由的個(gè)體天然地追求自身利益的滿足，對(duì)自身利益的維護(hù)是一切倫理原則的出發(fā)點(diǎn)。人是社會(huì)性的主體，自由的個(gè)體在社會(huì)中相互聯(lián)合，每個(gè)個(gè)體都捍衛(wèi)自己的自由和利益，盡可能地不傷害個(gè)體的自由和利益是倫理考量的要點(diǎn)。為解決可能發(fā)生的自由與自由之間的沖突，利益追求與利益追求之間的沖突，我們需要普遍性的道德規(guī)范原則，這種規(guī)范原則首先表現(xiàn)為程序正義原則。保證平等的個(gè)人自由、個(gè)人利益的互惠、不傷害原則和普遍的正義程序構(gòu)成倫理考量的基礎(chǔ)，這也即生命倫理學(xué)經(jīng)典的四大原則：尊重自主原則、不傷害原則、有利原則、公正原則[4]。慢性病患者數(shù)據(jù)隱私和安全保護(hù)是較為特殊的場(chǎng)景，結(jié)合這一特殊場(chǎng)景，本《共識(shí)》制定了如下倫理原則：

1.1 尊重自主原則

尊重他人、視他人為具有自身目的的利益主體。基于尊重自主原則，關(guān)聯(lián)于數(shù)據(jù)隱私和安全，對(duì)慢性病患者數(shù)據(jù)的管理規(guī)定、隱私政策、以及在收集處理慢性病數(shù)據(jù)過程中發(fā)生的所有相關(guān)行為應(yīng)該透明、具備可理解性，要完全符合普遍性的實(shí)體程序的規(guī)定，要讓慢性病利益相關(guān)者享有程序公平，并充分尊重慢性病患者的個(gè)人自主意愿。

1.2 不傷害原則

不合法地收集患者數(shù)據(jù)、未經(jīng)授權(quán)地使用、披露或訪問患者數(shù)據(jù)，可能會(huì)對(duì)患者造成人格尊嚴(yán)、身體和精神、經(jīng)濟(jì)、政治等多方面的風(fēng)險(xiǎn)，在數(shù)據(jù)全生命周期中進(jìn)行收集、存儲(chǔ)、使用等方法時(shí)應(yīng)該進(jìn)行無傷害識(shí)別和風(fēng)險(xiǎn)評(píng)估。

1.3 有利原則

在正當(dāng)收集、使用、共享慢性病患者數(shù)據(jù)的全過程中，應(yīng)當(dāng)始終堅(jiān)持增進(jìn)慢性病患者和可能的慢性病患者利益的立場(chǎng)。例如，數(shù)據(jù)的收集應(yīng)基于必需的醫(yī)療保健或健康研究。

1.4 公正原則

根據(jù)一個(gè)人的義務(wù)或應(yīng)得而給予公平、平等和恰當(dāng)?shù)膶?duì)待。慢性病患者應(yīng)享有被平等對(duì)待的人格權(quán)，享有被治療的平等機(jī)會(huì)，也享有數(shù)據(jù)隱私和安全被平等保護(hù)的權(quán)利。

1.5 關(guān)懷原則

應(yīng)當(dāng)同情、關(guān)懷和幫助患者，給患者以更多的愛心和寬容?；诼圆』颊咦鳛樘厥馊后w的身份，主張關(guān)懷原則，在制度改變時(shí)主張制度改變的方向最有利于慢性病患者。

1.6 準(zhǔn)確性原則

準(zhǔn)確和完整的數(shù)據(jù)可以為患者提供良好的醫(yī)療保健，對(duì)慢性病科研也至關(guān)重要。如果使用不正確、不完整的數(shù)據(jù)，則會(huì)產(chǎn)生錯(cuò)誤結(jié)論，對(duì)患者帶來許多風(fēng)險(xiǎn)。因此，應(yīng)當(dāng)采取合理適當(dāng)?shù)拇胧┍ＷC收集的數(shù)據(jù)真實(shí)、準(zhǔn)確，并且對(duì)數(shù)據(jù)保持實(shí)時(shí)更新。同時(shí)，也應(yīng)保障患者修改、糾正以及刪除不準(zhǔn)確、不完整、不必要數(shù)據(jù)的權(quán)利。

1.7 最小必要原則

第一，在對(duì)慢性病患者個(gè)人數(shù)據(jù)進(jìn)行數(shù)據(jù)收集時(shí)，只應(yīng)基于臨床研究的正當(dāng)目的采集相關(guān)的、最少數(shù)量和最低頻率的數(shù)據(jù)量，應(yīng)避免過度采集與該研究無關(guān)的數(shù)據(jù)，最大限度保障個(gè)人隱私和自由。在數(shù)據(jù)的共享和訪問中，也應(yīng)當(dāng)對(duì)數(shù)據(jù)共享數(shù)量和人員訪問數(shù)量做出最小必要的限制和規(guī)定；第二，收集和使用數(shù)據(jù)的目的應(yīng)當(dāng)遵從最小必要原則，收集的慢性病患者個(gè)人數(shù)據(jù)的類型應(yīng)與臨床研究有直接關(guān)聯(lián)，直接關(guān)聯(lián)是指沒有上述慢性病患者個(gè)人數(shù)據(jù)的參與，該研究無法開展或?qū)崿F(xiàn)。

1.8 知情同意原則

知情同意原則是尊重自主原則的衍生原則，旨在更為細(xì)致明確地采取必要措施以確保在建立慢性病患者數(shù)據(jù)庫時(shí)獲得患者有效的知情同意。包括但不限于：向慢性病的利益相關(guān)者提供全面、準(zhǔn)確和有助于他們做出理性決定所需的信息，幫助他們真正理解所提供的信息，以及他們?cè)谧龀鐾獾臎Q定時(shí)是完全自愿的、自由的，而沒有受到強(qiáng)迫和不當(dāng)引誘，最大限度保障個(gè)人利益；在與第三方共享數(shù)據(jù)時(shí)，數(shù)據(jù)庫管理者與第三方都需要遵守和滿足數(shù)據(jù)共享政策中的知情同意和具體的注意事項(xiàng)要求。

1.9 數(shù)據(jù)安全原則

慢性病患者數(shù)據(jù)庫管理者有義務(wù)和責(zé)任對(duì)慢性病患者的數(shù)據(jù)從制度、技術(shù)、運(yùn)算、存儲(chǔ)、傳輸、產(chǎn)品和服務(wù)方面提供安全保障。數(shù)據(jù)安全保護(hù)應(yīng)當(dāng)防止不當(dāng)披露、使用、拷貝或共享，防止未經(jīng)授權(quán)的惡意篡改、銷毀或黑客入侵攻擊。對(duì)數(shù)據(jù)訪問應(yīng)做嚴(yán)格限制，只允許授權(quán)人員訪問。慢性病患者數(shù)據(jù)庫管理者在收集、使用和共享數(shù)據(jù)時(shí)，也應(yīng)評(píng)估安全風(fēng)險(xiǎn)；應(yīng)按照國(guó)家法律法規(guī)建立應(yīng)急事件處置機(jī)制，以及時(shí)響應(yīng)數(shù)據(jù)安全事故時(shí)，并且對(duì)違反安全規(guī)定的相關(guān)責(zé)任人做出處理措施。

1.10 數(shù)據(jù)隱私保護(hù)原則

對(duì)慢性病患者的相關(guān)數(shù)據(jù)信息應(yīng)該根據(jù)處理目的、方式、種類以及對(duì)個(gè)人的影響、可能存在的安全風(fēng)險(xiǎn)等，采取必要措施確保對(duì)個(gè)人信息的處理符合法律法規(guī)的規(guī)定，并防止未經(jīng)授權(quán)的訪問及個(gè)人信息被泄露、竊取、篡改和刪除等。對(duì)慢性病患者的相關(guān)數(shù)據(jù)實(shí)行分級(jí)分類管理；采取相應(yīng)的加密、去標(biāo)識(shí)化等安全措施；存儲(chǔ)和傳輸患者信息應(yīng)采用第三方安全技術(shù)；提高醫(yī)護(hù)人員對(duì)患者病歷保管的安全性，不隨意篡改、共享、傳輸、刪除患者的醫(yī)療數(shù)據(jù)；在防病治病中應(yīng)當(dāng)保守醫(yī)療秘密；不對(duì)外泄露患者的隱私及疾病情況；不隨意泄露患者為醫(yī)療需要而提供的個(gè)人秘密等。

2 基于數(shù)據(jù)全生命周期的慢性病患者數(shù)據(jù)隱私和安全保護(hù)

臨床研究中慢性病患者的數(shù)據(jù)涉及醫(yī)療和健康生理信息，屬于個(gè)人敏感信息。根據(jù)《信息安全技術(shù) 個(gè)人信息安全規(guī)范》(2020年版)，這類信息“一旦泄露、非法提供或?yàn)E用可能危害人生和財(cái)產(chǎn)安全，極易導(dǎo)致個(gè)人名譽(yù)、身心健康受到損害或歧視性待遇等”[5]。目前，在臨床研究中，采用數(shù)據(jù)全生命周期的理論框架規(guī)制醫(yī)療大數(shù)據(jù)的流轉(zhuǎn)已經(jīng)獲得共識(shí)。2016年，國(guó)際醫(yī)學(xué)科學(xué)組織理事會(huì)(Council for International Organizations of Medical Sciences,CIOMS)重新修訂發(fā)布的《涉及人的健康相關(guān)研究國(guó)際倫理準(zhǔn)則》，關(guān)于健康相關(guān)研究數(shù)據(jù)的準(zhǔn)則也大致采用“收集、存儲(chǔ)和使用”的數(shù)據(jù)全生命周期框架[6]。這種總體框架要求數(shù)據(jù)處理機(jī)構(gòu)在數(shù)據(jù)的收集、存儲(chǔ)、使用、共享/轉(zhuǎn)讓、公開和刪除等全過程做好監(jiān)控和管理，通過有效地?cái)?shù)據(jù)管理確?；颊叩臄?shù)據(jù)安全和隱私權(quán)利得到尊重和保護(hù)。

目前，一些國(guó)家建設(shè)的慢性病數(shù)據(jù)庫(Chronic Conditions Data Warehouse，CCW)遵循數(shù)據(jù)安全生命周期模型，用于識(shí)別、評(píng)估、保護(hù)和監(jiān)測(cè)患者數(shù)據(jù)安全威脅。徐蕾(Lei Xu)等[7]學(xué)者對(duì)大數(shù)據(jù)環(huán)境尤其是數(shù)據(jù)挖掘過程進(jìn)行階段劃分，區(qū)分使用者的四種不同類型或角色：數(shù)據(jù)提供者、數(shù)據(jù)收集器、數(shù)據(jù)挖掘者和決策者；亞贊·阿斯博(Yazan Alshboul)等[8]提出“大數(shù)據(jù)安全生命周期”(Big Data Security Lifecycle)的模型，并將其分為四個(gè)階段：數(shù)據(jù)收集階段、數(shù)據(jù)存儲(chǔ)階段、數(shù)據(jù)處理和分析階段、知識(shí)創(chuàng)造階段；哈亞特·哈羅費(fèi)(Hayat Khaloufi)等[9]提出在醫(yī)療保健領(lǐng)域的大數(shù)據(jù)安全生命周期的模型，提供了策略和機(jī)制，以確保大數(shù)據(jù)生命周期的每個(gè)階段解決威脅和攻擊。基于以上劃分標(biāo)準(zhǔn)，本共識(shí)將臨床研究中慢性病患者數(shù)據(jù)全生命周期劃分為六個(gè)階段：

2.1 數(shù)據(jù)收集階段

臨床研究中慢性病患者數(shù)據(jù)全生命周期的起點(diǎn)是患者基本醫(yī)療健康數(shù)據(jù)的最初收集，它包括從不同來源、以不同格式收集的各類數(shù)據(jù)。這種收集是獲得慢性病患者數(shù)據(jù)控制權(quán)的行為，因此臨床研究的組織和機(jī)構(gòu)屬于個(gè)人數(shù)據(jù)的控制者。這些個(gè)人數(shù)據(jù)既包括患者自己主動(dòng)提供的個(gè)人健康數(shù)據(jù)，也包括與各類智能醫(yī)療器械或設(shè)備進(jìn)行交互所產(chǎn)生的病歷數(shù)據(jù)，還包括在不同法人主體之間進(jìn)行共享、轉(zhuǎn)讓等流轉(zhuǎn)以及加工處理的數(shù)據(jù)。

臨床研究的數(shù)據(jù)收集者要履行告知義務(wù)，充分尊重慢性病患者的知情權(quán)，獲得授權(quán)同意；遵循公開、透明的原則，明示個(gè)人信息處理規(guī)則，規(guī)范采集方式，限定采集內(nèi)容；保護(hù)患者隱私，尤其要防止患者數(shù)據(jù)在數(shù)據(jù)庫中被精準(zhǔn)識(shí)別；除特殊要求外，慢性病患者數(shù)據(jù)必須進(jìn)行加密處理；行使工作問責(zé)制，建立相應(yīng)的管理規(guī)則，確保只從可信任的來源收集患者數(shù)據(jù)。除非出于絕對(duì)必要的臨床研究目的，禁止收集不必要的數(shù)據(jù)、潛藏較大風(fēng)險(xiǎn)的數(shù)據(jù)、受保護(hù)的健康數(shù)據(jù)以及其他敏感數(shù)據(jù)。

2.2 數(shù)據(jù)存儲(chǔ)階段

對(duì)于臨床研究中以數(shù)字格式進(jìn)行物理存儲(chǔ)的各類數(shù)據(jù)，數(shù)據(jù)控制者要明確存儲(chǔ)時(shí)間和存儲(chǔ)期限，做到存儲(chǔ)時(shí)間最小化，要在慢性病患者授權(quán)使用其個(gè)人數(shù)據(jù)的最短時(shí)間內(nèi)完成許可范圍內(nèi)的目標(biāo)。臨床研究中慢性病患者數(shù)據(jù)的存儲(chǔ)要進(jìn)行即時(shí)的去標(biāo)識(shí)化處理；患者的個(gè)人身份信息、去標(biāo)識(shí)化后的信息和可恢復(fù)識(shí)別的數(shù)據(jù)進(jìn)行分開存儲(chǔ)，設(shè)置嚴(yán)格的訪問和使用的權(quán)限管理。

臨床研究中慢性病患者數(shù)據(jù)的存儲(chǔ)和傳輸要按照國(guó)家標(biāo)準(zhǔn)進(jìn)行加密處理。除法律規(guī)定的特殊情形外，數(shù)據(jù)控制者只存儲(chǔ)個(gè)人生物識(shí)別信息的摘要信息，不應(yīng)存儲(chǔ)原始的個(gè)人生物識(shí)別信息(如樣本、圖像等)。臨床研究中的數(shù)據(jù)控制者在終端設(shè)備上采集的慢性病患者的面部特征、指紋、掌紋、虹膜等個(gè)人生物識(shí)別信息，在完成信息比對(duì)、識(shí)別等特定目的后，要按照要求刪除新收集的生物識(shí)別數(shù)據(jù)，只存儲(chǔ)摘要信息和使用記錄。

2.3 數(shù)據(jù)使用階段

臨床研究中使用慢性病患者的數(shù)據(jù)要執(zhí)行嚴(yán)格的訪問控制。數(shù)據(jù)控制機(jī)構(gòu)要建立患者數(shù)據(jù)保護(hù)責(zé)任人或工作機(jī)制，堅(jiān)持最小授權(quán)的訪問控制策略，堅(jiān)持各類數(shù)據(jù)的管理、操作、審計(jì)角色分離；修改、拷貝和下載等重要操作要符合審計(jì)規(guī)章要求，并保留詳細(xì)的操作記錄；在特殊情形中，如需授權(quán)特定人員超越權(quán)限的操作，需要遵循內(nèi)部審批程序批準(zhǔn)，并進(jìn)行詳細(xì)登記。

在臨床研究中，慢性病患者數(shù)據(jù)的機(jī)構(gòu)不應(yīng)使用超出與收集時(shí)所聲稱的目的之外的個(gè)人數(shù)據(jù)，更不能在未經(jīng)患者授權(quán)的情況下對(duì)其進(jìn)行深度的價(jià)值挖掘。出于臨床研究目，需要對(duì)慢性病患者的個(gè)人數(shù)據(jù)進(jìn)行對(duì)外展示時(shí)，數(shù)據(jù)使用者需要再次征得患者本人的明示同意，并進(jìn)行去標(biāo)識(shí)化處理，防止展示環(huán)節(jié)的信息泄露，避免根據(jù)用戶畫像精確定位到特定個(gè)人。

2.4 數(shù)據(jù)共享或轉(zhuǎn)讓階段

在臨床研究中，慢性病患者數(shù)據(jù)的共享或轉(zhuǎn)讓要高度重視風(fēng)險(xiǎn)，并有切實(shí)有效的防止數(shù)據(jù)泄露的措施。數(shù)據(jù)控制者不僅要對(duì)共享的安全性進(jìn)行事先評(píng)估，還要告知患者共享或轉(zhuǎn)讓的目的、數(shù)據(jù)類型、數(shù)據(jù)接收方的安全能力以及可能產(chǎn)生的后果，必須征得患者的明示同意才可以共享或轉(zhuǎn)讓患者的個(gè)人數(shù)據(jù)。數(shù)據(jù)控制者在共享或轉(zhuǎn)讓數(shù)據(jù)時(shí)，要通過有效合同等合法方式明確數(shù)據(jù)接收方的權(quán)利、責(zé)任和義務(wù)，準(zhǔn)確記錄共享和轉(zhuǎn)讓的基本情況，包括日期、規(guī)模、目的、用途和相關(guān)責(zé)任人等。

慢性病患者的個(gè)人數(shù)據(jù)具有長(zhǎng)期性和穩(wěn)定性特征，這使得臨床研究中的脫敏數(shù)據(jù)更容易被重新識(shí)別。這些數(shù)據(jù)在公開、共享或轉(zhuǎn)讓之前，要經(jīng)過相應(yīng)的倫理委員會(huì)的審核同意[10]。除了法律規(guī)定的一些特殊情形外，涉及患者個(gè)人生物識(shí)別信息的原始數(shù)據(jù)原則上不能共享或轉(zhuǎn)讓。在臨床研究中，數(shù)據(jù)控制者在共享或轉(zhuǎn)讓患者個(gè)人數(shù)據(jù)時(shí)，因管理疏漏而發(fā)生信息安全事件，對(duì)患者的合法權(quán)益構(gòu)成損害的，數(shù)據(jù)控制者需要承擔(dān)相應(yīng)的法律責(zé)任。

2.5 公開披露階段

在臨床研究中，數(shù)據(jù)控制者對(duì)慢性病患者的數(shù)據(jù)進(jìn)行公開披露時(shí)，要符合法律程序和內(nèi)部管理制度的規(guī)定。數(shù)據(jù)控制者需要告知患者公開披露數(shù)據(jù)的目的、類型和涉及患者敏感信息等內(nèi)容，并事先征得數(shù)據(jù)主體的明示同意；要準(zhǔn)確記錄并存儲(chǔ)公開披露的具體情況，包括日期、規(guī)模、目的、范圍和反饋等；公開披露臨床研究中患者個(gè)人數(shù)據(jù)造成其合法權(quán)益遭受侵害的，機(jī)構(gòu)應(yīng)承擔(dān)相應(yīng)法律責(zé)任；原則上，機(jī)構(gòu)不得公開披露患者個(gè)人的生物識(shí)別信息。

公開披露臨床研究中慢性病患者的個(gè)人數(shù)據(jù)不必事先征得其授權(quán)同意的情況包括：機(jī)構(gòu)履行法律法規(guī)所規(guī)定的義務(wù)，直接涉及國(guó)家安全、國(guó)防安全，與公共安全、公共衛(wèi)生、重大公共利益直接相關(guān)的情形，等等。

2.6 數(shù)據(jù)撤回與刪除階段

在慢性病患者參與的臨床研究中，患者擁有特定權(quán)限的個(gè)人數(shù)據(jù)訪問權(quán)和被遺忘權(quán)。患者有權(quán)訪問自己在臨床研究中的個(gè)人數(shù)據(jù)及其使用情況，并有權(quán)撤回或刪除其個(gè)人數(shù)據(jù)。在某些情況下，患者知曉自己參與了臨床研究，但缺乏廣泛的知情同意，數(shù)據(jù)控制者合法地存儲(chǔ)患者數(shù)據(jù)并進(jìn)行研究，仍然要履行提供知情同意的選擇退出程序的義務(wù)。

在臨床研究中，數(shù)據(jù)控制者違反法律法規(guī)以及與慢性病患者的事前約定，不恰當(dāng)?shù)厥占褪褂没颊邤?shù)據(jù)的，患者要求刪除的，應(yīng)及時(shí)刪除。臨床研究機(jī)構(gòu)有義務(wù)向慢性病患者提供撤回收集和使用其個(gè)人數(shù)據(jù)授權(quán)同意的方法。當(dāng)數(shù)據(jù)控制者由于各種原因停止運(yùn)營(yíng)其產(chǎn)品或服務(wù)時(shí)，要及時(shí)停止繼續(xù)收集患者的個(gè)人數(shù)據(jù)，還要將停止運(yùn)營(yíng)的通知以逐一送達(dá)或公告的方式通知患者，并且按照法律規(guī)定對(duì)其所持有的患者數(shù)據(jù)進(jìn)行刪除或匿名化處理。

3 慢性病患者數(shù)據(jù)隱私和安全保護(hù)的技術(shù)手段和要求

為了保護(hù)臨床研究中慢性病患者的數(shù)據(jù)隱私，數(shù)據(jù)全生命周期各個(gè)階段都要運(yùn)用數(shù)據(jù)隱私和安全技術(shù)手段。例如，數(shù)據(jù)收集或生成階段的訪問限制和防偽造數(shù)據(jù)技術(shù)；數(shù)據(jù)存儲(chǔ)及傳輸階段的各種加密技術(shù)：基于身份或?qū)傩缘募用?IBE/ABE)和存儲(chǔ)路徑加密；數(shù)據(jù)處理階段的隱私保護(hù)數(shù)據(jù)發(fā)布(PPDP)和聚合分析等。

3.1 身份驗(yàn)證

臨床研究中，慢性病患者的身份識(shí)別與驗(yàn)證關(guān)聯(lián)各類敏感信息，要確保準(zhǔn)確匹配。臨床研究的數(shù)據(jù)控制者使用的身份驗(yàn)證系統(tǒng)符合國(guó)家信息安全規(guī)范的要求，達(dá)到可信任的標(biāo)準(zhǔn)?；颊咴谛惺箼?quán)利過程中被要求驗(yàn)證身份，有權(quán)要求數(shù)據(jù)控制者說明驗(yàn)證身份的原因以及安全措施。臨床研究的數(shù)據(jù)控制者要依法依規(guī)采取必要的防控措施，防止身份驗(yàn)證過程造成患者個(gè)人信息的泄露，要對(duì)驗(yàn)證過程的基本情況進(jìn)行記錄，包括時(shí)間、地點(diǎn)、申請(qǐng)人的書面請(qǐng)求和相關(guān)責(zé)任人等，確保信息的可追溯性。

3.2 訪問控制

數(shù)據(jù)控制者在慢性病患者的臨床研究中要遵循最小授權(quán)的訪問控制。工作人員只能訪問職責(zé)范圍內(nèi)的最小必要信息，只具備完成職責(zé)所需的最少操作權(quán)限。對(duì)患者個(gè)人信息的重要操作，要有流程化的內(nèi)部審批制度提供規(guī)范；要按照業(yè)務(wù)流程的需求觸發(fā)操作授權(quán)，訪問、修改、拷貝、下載等重要操作都要在角色權(quán)限控制的基礎(chǔ)上記錄并存儲(chǔ)；凡授權(quán)特定人員超權(quán)限處理個(gè)人信息的，都應(yīng)經(jīng)相關(guān)責(zé)任人或機(jī)構(gòu)進(jìn)行審批；數(shù)據(jù)的安全管理人員、數(shù)據(jù)操作人員、審計(jì)人員要分離設(shè)置；患者投訴時(shí)，只有投訴處理人員才可訪問該個(gè)人信息主體的相關(guān)信息。

3.3 加密和數(shù)據(jù)去標(biāo)識(shí)化

在數(shù)據(jù)交換過程中，通過數(shù)據(jù)加密能夠使慢性病患者的隱私得到保護(hù)。臨床研究的數(shù)據(jù)控制者在進(jìn)行數(shù)據(jù)共享時(shí)，要采取必要的加密措施和去標(biāo)識(shí)化處理[7]，防止數(shù)據(jù)被盜取或發(fā)生泄露；研究人員在傳輸數(shù)據(jù)時(shí)，要確保數(shù)據(jù)在通信網(wǎng)絡(luò)中處于密文狀態(tài)，降低因網(wǎng)絡(luò)原因造成的信息泄露風(fēng)險(xiǎn)。通過運(yùn)用假名、加密函數(shù)等手段對(duì)患者的個(gè)人信息的技術(shù)處理，使他人無法達(dá)到直接或間接地識(shí)別或關(guān)聯(lián)出患者個(gè)體。臨床研究機(jī)構(gòu)收集到慢性病患者的個(gè)人信息后，要立即進(jìn)行去標(biāo)識(shí)化處理，后續(xù)的數(shù)據(jù)管理措施要符合國(guó)家關(guān)于個(gè)人信息處理的相關(guān)規(guī)定；要建立規(guī)范化的訪問和使用權(quán)限管理制度，可恢復(fù)識(shí)別的信息必須與去標(biāo)識(shí)后的信息分開存儲(chǔ)。

3.4 監(jiān)控和安全審計(jì)

臨床研究機(jī)構(gòu)要建立慢性病患者個(gè)人信息安全影響評(píng)估機(jī)制和監(jiān)控系統(tǒng)，評(píng)估、處置并監(jiān)控涉及患者個(gè)人信息處理過程可能存在的安全風(fēng)險(xiǎn)[11]。臨床研究機(jī)構(gòu)在嵌入或接入第三方自動(dòng)化數(shù)據(jù)處理工具時(shí)，要按照專業(yè)標(biāo)準(zhǔn)開展技術(shù)檢測(cè)，在達(dá)標(biāo)情況下使用，確保對(duì)患者個(gè)人數(shù)據(jù)的收集和處理符合法律法規(guī)和合同約定的要求；要記錄并監(jiān)測(cè)自動(dòng)化數(shù)據(jù)處理工具收集患者數(shù)據(jù)的行為，如果發(fā)現(xiàn)有超越權(quán)限的行為操作，應(yīng)當(dāng)及時(shí)切斷接入，并責(zé)令第三方機(jī)構(gòu)進(jìn)行整改，調(diào)試合格后方可繼續(xù)使用。臨床研究機(jī)構(gòu)要接受醫(yī)療管理機(jī)構(gòu)對(duì)其慢性病患者的個(gè)人數(shù)據(jù)保護(hù)政策、相關(guān)規(guī)程和安全措施進(jìn)行審計(jì)和監(jiān)督；機(jī)構(gòu)的自動(dòng)化監(jiān)測(cè)記錄的留存要符合法律規(guī)定，最大限度地確保為安全事件的處置、應(yīng)急響應(yīng)和事后調(diào)查提供充分的證據(jù)支撐。

3.5 隱私聚合保護(hù)與差分隱私

在臨床研究中，慢性病患者的個(gè)人數(shù)據(jù)收集和存儲(chǔ)可以采用隱私聚合保護(hù)措施。研究人員可以不直接訪問患者個(gè)人數(shù)據(jù)，在數(shù)據(jù)庫和分析人員之間引入中介軟件來保護(hù)隱私。例如，同態(tài)公鑰加密算法就是一種可行方案，它使不同的醫(yī)療機(jī)構(gòu)可以使用相同的公鑰把患者個(gè)人數(shù)據(jù)加密成密文。這些密文可以被聚合，也可以通過相應(yīng)的私鑰恢復(fù)。另外，差分隱私作為一種隱私保護(hù)或增強(qiáng)手段也被廣泛使用。通過在原始數(shù)據(jù)中增加一定數(shù)量的隨機(jī)噪聲來盡可能地隱匿個(gè)體特征，確保信息傳輸?shù)陌踩浴＿@些噪聲通過概率分布產(chǎn)生，既能保證對(duì)隱私的保護(hù)，后續(xù)也能找回?cái)?shù)據(jù)分析的價(jià)值。

總之，臨床研究中慢性病患者提供服務(wù)的機(jī)構(gòu)必須采用成熟的數(shù)據(jù)隱私和安全保護(hù)措施，確保所有慢性病患者的數(shù)據(jù)和信息系統(tǒng)受到保護(hù)，免遭未經(jīng)授權(quán)的訪問、披露、修改、復(fù)制、轉(zhuǎn)移、銷毀、丟失、濫用或盜竊；要定期檢查臨床研究的軟硬件終端，包括服務(wù)器、路由器、防火墻和應(yīng)用程序等，以便進(jìn)行有效的漏洞識(shí)別，并能夠及時(shí)做出必要的改進(jìn)。

4 慢性病患者數(shù)據(jù)隱私和安全保護(hù)的管理制度構(gòu)建

為了更好地保護(hù)慢性病患者數(shù)據(jù)隱私和安全，慢性病患者數(shù)據(jù)的控制者應(yīng)遵循尊重與透明原則，遵循國(guó)家相關(guān)標(biāo)準(zhǔn)[12]，發(fā)布慢性病患者數(shù)據(jù)隱私和安全保護(hù)的相關(guān)政策和制度。針對(duì)包括慢性病患者、管理者等利益相關(guān)主體公示慢性病患者數(shù)據(jù)隱私和安全保護(hù)相關(guān)政策和制度，建立責(zé)任機(jī)制，做到責(zé)任到人[13]。

4.1 責(zé)任部門及相關(guān)人員的權(quán)責(zé)

對(duì)慢性病患者數(shù)據(jù)控制者的要求包括：①應(yīng)明確其法定代表人或主要負(fù)責(zé)人對(duì)慢性病患者數(shù)據(jù)隱私和安全保護(hù)工作提供各方保障的全面領(lǐng)導(dǎo)責(zé)任； ②應(yīng)任命具有相關(guān)管理工作經(jīng)歷和慢性病患者數(shù)據(jù)保護(hù)專業(yè)知識(shí)的人員擔(dān)任慢性病患者數(shù)據(jù)保護(hù)負(fù)責(zé)人并成立慢性病患者數(shù)據(jù)保護(hù)工作機(jī)構(gòu)，應(yīng)明確有關(guān)慢性病患者數(shù)據(jù)隱私和安全保護(hù)處理活動(dòng)的重要決策由主要負(fù)責(zé)人負(fù)責(zé)； ③按照國(guó)家相關(guān)規(guī)定，涉及慢性病患者數(shù)據(jù)處理達(dá)到一定規(guī)模的，應(yīng)設(shè)立專職的慢性病患者數(shù)據(jù)保護(hù)負(fù)責(zé)人和慢性病患者數(shù)據(jù)保護(hù)工作機(jī)構(gòu)，負(fù)責(zé)慢性病患者數(shù)據(jù)隱私和安全工作[14]； ④慢性病患者數(shù)據(jù)保護(hù)負(fù)責(zé)人和慢性病患者數(shù)據(jù)保護(hù)工作機(jī)構(gòu)的職責(zé)應(yīng)包括但不限于：全面統(tǒng)籌實(shí)施組織內(nèi)部的慢性病患者數(shù)據(jù)隱私和安全保護(hù)工作，對(duì)慢性病患者數(shù)據(jù)隱私和安全保護(hù)負(fù)直接責(zé)任； 組織、制定、簽發(fā)、實(shí)施、定期更新慢性病患者數(shù)據(jù)隱私和安全保護(hù)政策和相關(guān)規(guī)程； 建立和維護(hù)組織持有的慢性病患者的各類數(shù)據(jù)清單(包括慢性病患者數(shù)據(jù)的類型、數(shù)量、來源、接收方等)和授權(quán)訪問策略； 開展慢性病患者數(shù)據(jù)隱私和安全影響評(píng)估，提出相關(guān)對(duì)策建議并督促整改安全隱患； 組織開展慢性病患者數(shù)據(jù)隱私和安全保護(hù)培訓(xùn)； 公布投訴、舉報(bào)方式等信息；與監(jiān)督、管理部門保持溝通，及時(shí)受理投訴舉報(bào)，通報(bào)或報(bào)告慢性病患者數(shù)據(jù)保護(hù)和事件處置等情況;進(jìn)行安全審計(jì)。

4.2 慢性病患者數(shù)據(jù)安全開發(fā)

開發(fā)具有處理慢性病患者數(shù)據(jù)功能的產(chǎn)品或服務(wù)時(shí)，慢性病患者數(shù)據(jù)控制者宜根據(jù)國(guó)家有關(guān)標(biāo)準(zhǔn)在需求、設(shè)計(jì)、開發(fā)、測(cè)試、發(fā)布等系統(tǒng)工程階段考慮慢性病患者數(shù)據(jù)保護(hù)要求，保證在系統(tǒng)建設(shè)時(shí)對(duì)慢性病患者數(shù)據(jù)保護(hù)措施同步規(guī)劃、同步建設(shè)和同步使用。

4.3 慢性病患者數(shù)據(jù)處理活動(dòng)記錄

慢性病患者數(shù)據(jù)控制者宜建立和維護(hù)慢性病患者數(shù)據(jù)處理活動(dòng)記錄，記錄內(nèi)容應(yīng)包括：①所涉及慢性病患者數(shù)據(jù)的類型、數(shù)量、來源、接收方、接受方式、使用目的等； ②按照科研進(jìn)展和授權(quán)情況區(qū)分慢性病患者數(shù)據(jù)的研究目的、使用范圍、應(yīng)用場(chǎng)景，以及委托處理、共享、轉(zhuǎn)讓、公開等情況； ③與慢性病患者數(shù)據(jù)研究活動(dòng)各環(huán)節(jié)相關(guān)的組織機(jī)構(gòu)、人員和信息系統(tǒng)等。

4.4 開展慢性病患者數(shù)據(jù)安全影響評(píng)估

對(duì)慢性病患者數(shù)據(jù)控制者的要求包括：①應(yīng)建立慢性病患者數(shù)據(jù)安全影響評(píng)估制度，評(píng)估并處置可能存在的安全風(fēng)險(xiǎn)； ②評(píng)估處理活動(dòng)遵循慢性病患者數(shù)據(jù)安全基本原則的情況，以及對(duì)慢性病患者數(shù)據(jù)主體合法權(quán)益的影響，包括但不限于：慢性病患者數(shù)據(jù)收集環(huán)節(jié)是否遵循相關(guān)的原則(比如目的明確、最小必要、知情同意、數(shù)據(jù)安全、隱私保護(hù)等原則)； 慢性病患者數(shù)據(jù)處理(共享、轉(zhuǎn)讓、公開、跨境等)是否導(dǎo)致對(duì)慢性病患者數(shù)據(jù)主體合法權(quán)益(如人身危害和財(cái)產(chǎn)安全等)產(chǎn)生不利影響； 慢性病患者數(shù)據(jù)處理的安全措施是否有效； 發(fā)生安全事件時(shí)，對(duì)慢性病患者數(shù)據(jù)主體合法權(quán)益可能產(chǎn)生的不利影響;③在產(chǎn)品或服務(wù)發(fā)布前，或業(yè)務(wù)功能發(fā)生重大變化時(shí)，應(yīng)進(jìn)行慢性病患者數(shù)據(jù)安全影響評(píng)估； ④在法律法規(guī)有新的要求時(shí)，或在作業(yè)模式、信息系統(tǒng)、運(yùn)行環(huán)境發(fā)生重大變更時(shí)，或發(fā)生重大慢性病患者數(shù)據(jù)安全事件時(shí)，應(yīng)進(jìn)行慢性病患者數(shù)據(jù)安全影響評(píng)估； ⑤形成慢性病患者數(shù)據(jù)安全影響評(píng)估報(bào)告并妥善保管，采取保護(hù)慢性病患者數(shù)據(jù)主體的措施，使風(fēng)險(xiǎn)降低到可接受的水平[15]。

4.5 慢性病患者數(shù)據(jù)安全和保護(hù)的人員管理與培訓(xùn)

對(duì)慢性病患者數(shù)據(jù)控制者的要求應(yīng)包括但不限于：①應(yīng)對(duì)從事慢性病患者數(shù)據(jù)處理的相關(guān)人員進(jìn)行背景審查并與之簽署保密協(xié)議； ②應(yīng)明確涉及慢性病患者數(shù)據(jù)處理不同崗位人員的級(jí)別差異并明確其對(duì)應(yīng)的安全職責(zé)，建立發(fā)生安全事件的相關(guān)處罰機(jī)制； ③應(yīng)要求慢性病患者數(shù)據(jù)處理的相關(guān)人員在調(diào)崗或終止勞動(dòng)合同時(shí)，繼續(xù)履行保密義務(wù)；④應(yīng)明確任何可能訪問慢性病患者數(shù)據(jù)的外部服務(wù)人員應(yīng)遵守的慢性病患者數(shù)據(jù)安全要求； ⑤應(yīng)建立相關(guān)制度和政策指引和要求內(nèi)部員工對(duì)慢性病患者數(shù)據(jù)進(jìn)行保護(hù)； ⑥應(yīng)定期和及時(shí)對(duì)慢性病患者數(shù)據(jù)處理的相關(guān)人員開展慢性病患者數(shù)據(jù)安全專業(yè)化培訓(xùn)和考核，確保相關(guān)人員熟練掌握慢性病患者數(shù)據(jù)保護(hù)政策和相關(guān)規(guī)程。

4.6 慢性病患者數(shù)據(jù)處理的安全審計(jì)

對(duì)慢性病患者數(shù)據(jù)控制者的要求應(yīng)包括但不限于：①應(yīng)根據(jù)國(guó)家相關(guān)要求，落實(shí)必要的數(shù)據(jù)安全管理和技術(shù)措施，防止慢性病患者數(shù)據(jù)的泄漏、損毀、丟失、篡改[16]；②應(yīng)對(duì)慢性病患者數(shù)據(jù)保護(hù)政策、相關(guān)規(guī)程和安全措施的有效性進(jìn)行審計(jì)；③應(yīng)防止非授權(quán)訪問、篡改或刪除審計(jì)記錄； ④應(yīng)及時(shí)處理審計(jì)過程中發(fā)現(xiàn)的慢性病患者數(shù)據(jù)違規(guī)使用、濫用等情況。