歐盟《通用數(shù)據(jù)保護(hù)條例》探微

編譯 許林玉

2018年5月25日，歐盟關(guān)于數(shù)據(jù)保護(hù)的2016/679號(hào)條例（又稱(chēng)《通用數(shù)據(jù)保護(hù)條例》，GDPR）正式生效。GDPR廢除了此前歐洲關(guān)于數(shù)據(jù)保護(hù)的立法——95/46/EC號(hào)指令，而鑒于歐盟研究的全球影響力以及需要進(jìn)行互操作的國(guó)際研究網(wǎng)絡(luò)所處的重要地位，這勢(shì)必會(huì)對(duì)歐洲及其他地區(qū)的生物醫(yī)學(xué)研究和數(shù)字健康技術(shù)產(chǎn)生重大影響。本文介紹了GDPR如何成為構(gòu)建數(shù)據(jù)保護(hù)治理的關(guān)鍵工具；作為對(duì)其潛在影響的實(shí)時(shí)預(yù)測(cè)，還分析了GDPR在一場(chǎng)法律爭(zhēng)議中的影響，該爭(zhēng)議涉及最初由Shardna（全球首批基因組生物樣本庫(kù)之一）搭建的數(shù)據(jù)庫(kù)。

GDPR旨在協(xié)調(diào)歐盟的數(shù)據(jù)保護(hù)立法，其目標(biāo)是為公民提供對(duì)個(gè)人數(shù)據(jù)的更多保護(hù)和賦權(quán)，同時(shí)加強(qiáng)歐盟內(nèi)部的個(gè)人數(shù)據(jù)保護(hù)。這一目標(biāo)旨在提供監(jiān)管支持，以建立一個(gè)完整的數(shù)字單一市場(chǎng)——這是讓-克洛德·容克（Jean-Claude Juncker）主席領(lǐng)導(dǎo)下的歐盟委員會(huì)的政策基石。GDPR采用了一種基于風(fēng)險(xiǎn)并針對(duì)具體情況的方法，目的是確保在整個(gè)數(shù)據(jù)處理中設(shè)計(jì)和實(shí)施適當(dāng)?shù)臄?shù)據(jù)保護(hù)措施（正如被寫(xiě)入的“從設(shè)計(jì)著手保護(hù)隱私和默認(rèn)隱私保護(hù)”原則），其核心是賦予數(shù)據(jù)主體新的權(quán)利（如“被遺忘的權(quán)利”和“數(shù)據(jù)可移植性的權(quán)利”）。為此，GDPR提高了數(shù)據(jù)控制方的責(zé)任意識(shí)，并推出新的去中心化問(wèn)責(zé)模式。此外，GDPR還為科學(xué)研究處理敏感數(shù)據(jù)設(shè)立了專(zhuān)門(mén)條款，要求提供組織和技術(shù)保障（如數(shù)據(jù)假名化），以及在敏感數(shù)據(jù)需要進(jìn)行大規(guī)模系統(tǒng)處理時(shí)授權(quán)指定數(shù)據(jù)保護(hù)專(zhuān)員。

“大數(shù)據(jù)”生物醫(yī)學(xué)的治理

大數(shù)據(jù)生物醫(yī)學(xué)面臨的監(jiān)管挑戰(zhàn)主要在于：一是數(shù)據(jù)固有的開(kāi)放式潛力，其數(shù)字兼容性使其在研究中變得更有價(jià)值，而這些研究可能與收集樣本或數(shù)據(jù)的原始目的完全背離，從而導(dǎo)致“知情同意”這一經(jīng)典理論基礎(chǔ)被削弱了；二是數(shù)據(jù)在所有數(shù)字化人類(lèi)特征（從基因組到社交網(wǎng)絡(luò)“日志”）中越來(lái)越高的辨識(shí)度和不斷擴(kuò)大的范圍，隨之而來(lái)的便是自我宣稱(chēng)的隱私被侵蝕。盡管處在不同的技術(shù)層面，人們的反應(yīng)明顯呈現(xiàn)為兩種風(fēng)格，而其目的則都是為了從技術(shù)上解決問(wèn)題。

第一種包括試圖通過(guò)更復(fù)雜的數(shù)字化來(lái)解決數(shù)字時(shí)代的難題，例如最近的多方安全計(jì)算，這種計(jì)算使得基因組診斷成為可能，同時(shí)還能保護(hù)受試者的隱私。第二種是利用治理，通過(guò)流程體系結(jié)構(gòu)和分布式機(jī)構(gòu)將權(quán)力結(jié)構(gòu)重新配置（如建立信任技術(shù)的建議），將重點(diǎn)從隱私問(wèn)題本身轉(zhuǎn)移到獲取對(duì)數(shù)據(jù)的控制和對(duì)其所有者的信任，從而避免數(shù)據(jù)隱私與數(shù)據(jù)可用性的零和博弈。

治理機(jī)制在當(dāng)代生物醫(yī)學(xué)興起的過(guò)程中一直發(fā)揮著核心作用，同時(shí)也是制定歐洲科學(xué)政策的關(guān)鍵：一方面，隨著市場(chǎng)力量的進(jìn)步和“利益相關(guān)者”的多元化，國(guó)家權(quán)力和管理機(jī)構(gòu)部分退出，開(kāi)啟了針對(duì)決策的重大調(diào)整（“去中心化”）；另一方面，更多依賴(lài)軟規(guī)則工具，例如標(biāo)準(zhǔn)、行為準(zhǔn)則和道德門(mén)檻 （“標(biāo)準(zhǔn)化”），而不是僵化的立法干預(yù)形式。反過(guò)來(lái)，這兩個(gè)特征又都是構(gòu)建GDPR不可或缺的組成部分。

去中心化

盡管GDPR具有約束力和嚴(yán)厲的處罰力度（如果違反，罰款最高可達(dá)2 000萬(wàn)歐元，或占公司全球年收入的4%），但GDPR將集權(quán)分散出去，把國(guó)家和歐盟的職責(zé)委托給數(shù)據(jù)控制方（即個(gè)人、公司、協(xié)會(huì)或其他控制個(gè)人數(shù)據(jù)處理的實(shí)體）?！皢?wèn)責(zé)原則”規(guī)定，數(shù)據(jù)控制方必須對(duì)數(shù)據(jù)保護(hù)采取積極主動(dòng)的辦法，并負(fù)責(zé)事前評(píng)估、實(shí)施以及事后對(duì)適當(dāng)措施的核驗(yàn)，以確保和證明數(shù)據(jù)處理符合GDPR的要求。

在說(shuō)明哪些措施體現(xiàn)了控制方的義務(wù)，并根據(jù)處理的性質(zhì)、范圍、背景和目的來(lái)確定這些措施時(shí)，GDPR旨在推廣一種基于控制方、事件敏感性和特定背景的數(shù)據(jù)保護(hù)方法。這標(biāo)志著歐盟的數(shù)據(jù)保護(hù)工作實(shí)現(xiàn)了從“家長(zhǎng)式”管理向“自主式”管理的轉(zhuǎn)變。有趣的是，有人在一場(chǎng)關(guān)于隱私法的會(huì)議上無(wú)意中聽(tīng)到了下面的評(píng)論：“因?yàn)镚DPR，歐盟的數(shù)據(jù)保護(hù)工作回到了20世紀(jì)60年代?！?/p>

向去中心化、基于控制方和問(wèn)責(zé)制的模式轉(zhuǎn)變?nèi)〉昧孙@著進(jìn)展，尤其是由“高清晰度醫(yī)學(xué)”的關(guān)鍵推動(dòng)者提出的“動(dòng)態(tài)知識(shí)資源庫(kù)”的出現(xiàn)。GDPR規(guī)定，用于科學(xué)研究的進(jìn)一步數(shù)據(jù)處理“應(yīng)被視為符合最初收集個(gè)人資料的原始目的”。此外，GDPR還引入了兼容性評(píng)估標(biāo)準(zhǔn)，由數(shù)據(jù)控制方負(fù)責(zé)執(zhí)行，目的在于逐案確定個(gè)人數(shù)據(jù)的進(jìn)一步處理（未經(jīng)數(shù)據(jù)主體同意）是否符合最初收集數(shù)據(jù)時(shí)的原始目的。這項(xiàng)“兼容性測(cè)試”應(yīng)考慮的因素包括：個(gè)人數(shù)據(jù)的性質(zhì)，尤其是是否對(duì)特殊類(lèi)型的個(gè)人數(shù)據(jù)進(jìn)行處理；收集個(gè)人資料的目的與預(yù)期的處理目的之間的聯(lián)系；在進(jìn)一步使用數(shù)據(jù)方面，根據(jù)數(shù)據(jù)主體與控制方的關(guān)系判斷數(shù)據(jù)主體的合理期望；收集個(gè)人數(shù)據(jù)的背景。

標(biāo)準(zhǔn)化

這種數(shù)據(jù)處理的靈活性可延伸至人類(lèi)生物醫(yī)學(xué)研究的基本原則——知情同意。雖然GDPR要求數(shù)據(jù)主體“明確知情并同意”，但研究人員在收集數(shù)據(jù)時(shí)可能無(wú)法完全確定今后所有可能的研究目的。鑒于此，GDPR指出，如果同意過(guò)于明確會(huì)影響研究目的，應(yīng)允許數(shù)據(jù)主體在符合一些條件時(shí)對(duì)某些領(lǐng)域的科學(xué)研究表示同意，同時(shí)研究應(yīng)符合公認(rèn)的科學(xué)研究倫理標(biāo)準(zhǔn)。

這一關(guān)鍵規(guī)定與關(guān)于合理知情同意模式的生物倫理爭(zhēng)辯存在交集，它主要有兩個(gè)主要含義。首先，在數(shù)據(jù)收集過(guò)程中，當(dāng)用于特定研究的明確同意標(biāo)準(zhǔn)被證明無(wú)法滿足時(shí)（如生物樣本庫(kù)的例子），這一規(guī)定消除了之前的擔(dān)憂，充分利用GDPR的立法權(quán)重，為獲得廣泛同意提供了支持。有趣的是，工作小組發(fā)布了進(jìn)一步明晰GDPR中“同意”概念的準(zhǔn)則。這些準(zhǔn)則再次確認(rèn)，作為默認(rèn)選擇，必須獲得明確同意。同時(shí)，它們?cè)谘芯磕康闹g做了細(xì)微區(qū)分，要求對(duì)其進(jìn)行“詳細(xì)描述”，不應(yīng)該只是“充分說(shuō)明”。出現(xiàn)這些情況時(shí)，還建議采取一些額外保障措施。例如，在項(xiàng)目開(kāi)始前提供綜合研究計(jì)劃，提高項(xiàng)目發(fā)展的透明度，使參與者能夠行使撤回同意的權(quán)利。這一解釋性準(zhǔn)則不僅提供了“更嚴(yán)格的解釋”和“高度的審查”，而且為控制方在任何時(shí)候都可根據(jù)預(yù)期的研究目的獲得廣泛同意而鋪平道路。其次，在確定為科學(xué)研究目的進(jìn)行數(shù)據(jù)處理的范圍方面，這一條款使制度化倫理（即倫理委員會(huì)的指導(dǎo)方針以及其他軟性法律文書(shū)，如職業(yè)行為守則）更加強(qiáng)化。更寬泛地說(shuō)，這一作用在制定通用實(shí)踐標(biāo)準(zhǔn)方面得到了加強(qiáng)。由于缺乏可與規(guī)范臨床研究相媲美的具有約束力的立法要求，人類(lèi)生物樣本的研究已經(jīng)在很大程度上進(jìn)行了回避。

這一準(zhǔn)則被設(shè)想為該領(lǐng)域的參考標(biāo)準(zhǔn)，使歐盟成員國(guó)及其他國(guó)家和地區(qū)之間的國(guó)際協(xié)調(diào)成為可能。然而，GDPR的具體執(zhí)行情況是否能夠憑借單一的行為準(zhǔn)則帶來(lái)廣泛的影響還有待觀察。或者，GDPR加大對(duì)制度化倫理的投資，最終通過(guò)當(dāng)?shù)貍惱砦瘑T會(huì)的擴(kuò)散而促進(jìn)監(jiān)管分化。

GDPR測(cè)試

事實(shí)上，歐洲的數(shù)據(jù)保護(hù)工作取代僵化的統(tǒng)一規(guī)范而實(shí)施靈活的治理制度（盡管成員國(guó)可能會(huì)為基因組和健康相關(guān)數(shù)據(jù)的處理制定進(jìn)一步規(guī)定），存在自相矛盾之處。

一方面，除了控制方的自由裁量權(quán)外，GDPR還支持影響深遠(yuǎn)的“研究豁免”，以應(yīng)對(duì)敏感數(shù)據(jù)處理的嚴(yán)格限制，放寬對(duì)同意、進(jìn)一步處理和存儲(chǔ)的要求。對(duì)“技術(shù)開(kāi)發(fā)和示范”“應(yīng)用研究”和“私人資助研究”等科學(xué)研究名義下開(kāi)展的活動(dòng)采用非常寬泛的定義，擴(kuò)大了研究豁免的范圍。通過(guò)將這些規(guī)定結(jié)合起來(lái)，制藥企業(yè)、直接對(duì)消費(fèi)者進(jìn)行基因檢測(cè)的公司以及數(shù)字技術(shù)公司等控制方聲稱(chēng)可在科學(xué)研究活動(dòng)范圍內(nèi)對(duì)（敏感的）個(gè)人數(shù)據(jù)進(jìn)行處理，它們將直接受益于對(duì)數(shù)據(jù)控制方（而非數(shù)據(jù)主體）有利的監(jiān)管空間。

另一方面，兼容性測(cè)試等涉及敏感內(nèi)容的方法以及進(jìn)一步強(qiáng)化制度化倫理的做法，都可視為加強(qiáng)對(duì)數(shù)據(jù)主體的保護(hù)，并為促進(jìn)其實(shí)質(zhì)性（而非象征性）地參與研究工作創(chuàng)造條件。

卡利亞里法庭（意大利）曾做出一審判決，推翻了意大利數(shù)據(jù)保護(hù)局（DPA）終止英國(guó)蒂齊亞納生命科學(xué)有限公司有關(guān)Shardna SpA數(shù)據(jù)庫(kù)活動(dòng)的決定，這一具有里程碑意義的判決很好地詮釋了這一點(diǎn)。這是意大利法院第一次做出此類(lèi)裁決。Shardna是意大利的一家基因組生物樣本庫(kù)，存儲(chǔ)有遺傳、健康和家譜數(shù)據(jù)（后者是從超過(guò)4個(gè)世紀(jì)的市政和教區(qū)檔案記錄中收集的），涉及大約1.2萬(wàn)名基因互相關(guān)聯(lián)的奧利亞斯特拉居民。奧利亞斯特拉是意大利撒丁島上一個(gè)與世隔絕的地區(qū)，百歲老人隨處可見(jiàn)。Shardna在2016年被蒂齊亞納收購(gòu)，并在當(dāng)?shù)厣鐓^(qū)引發(fā)爭(zhēng)論，包括研究參與者試圖阻止外國(guó)機(jī)構(gòu)對(duì)Shardna數(shù)據(jù)庫(kù)的營(yíng)利性收購(gòu)。

DPA決定對(duì)蒂齊亞納的收購(gòu)設(shè)置臨時(shí)障礙，其依據(jù)是蒂齊亞納作為新的數(shù)據(jù)控制方，必須將“數(shù)據(jù)控制方的變更以及新控制方可能會(huì)因?yàn)獒t(yī)學(xué)遺傳領(lǐng)域科研目的而進(jìn)行進(jìn)一步數(shù)據(jù)處理”告知數(shù)據(jù)主體，并重新征得信息存儲(chǔ)于Shardna數(shù)據(jù)庫(kù)的所有數(shù)據(jù)主體的同意。相反，卡利亞里法庭裁定這項(xiàng)規(guī)定“要求過(guò)高”，因?yàn)樾碌臄?shù)據(jù)控制方“追求的是與Shardna相同的目標(biāo)”，即“已征得同意的科學(xué)研究目的”。

盡管DPA的決定和將其推翻的裁決都與意大利的數(shù)據(jù)保護(hù)法相一致，但對(duì)該判決進(jìn)行申訴預(yù)計(jì)將在GDPR框架下進(jìn)行。預(yù)計(jì)對(duì)此案的裁決將圍繞以下評(píng)估進(jìn)行：數(shù)據(jù)控制方的變更是否導(dǎo)致進(jìn)一步處理個(gè)人數(shù)據(jù)；其范圍是否符合征得同意時(shí)的最初目的?？梢哉f(shuō)，這樣的評(píng)估最終會(huì)得出這樣的結(jié)論：蒂齊亞納極有可能不會(huì)為了推進(jìn)自己的腫瘤學(xué)和免疫學(xué)研究項(xiàng)目而對(duì)Shardna最初建立的數(shù)據(jù)庫(kù)進(jìn)行進(jìn)一步處理，不管它是否繼續(xù)開(kāi)展最初由Shardna發(fā)起的系列研究。

評(píng)估這種對(duì)數(shù)據(jù)進(jìn)一步處理的兼容性需要對(duì)科學(xué)研究的抽象概念進(jìn)行闡釋?zhuān)⊿hardna和蒂齊亞納對(duì)數(shù)據(jù)進(jìn)行處理的明確目的）。這包括對(duì)兩個(gè)機(jī)構(gòu)開(kāi)展的研究工作進(jìn)行審查，并認(rèn)識(shí)到這兩個(gè)機(jī)構(gòu)不僅在研究方案和目標(biāo)上存在重大差異，而且在治理方式、價(jià)值觀和愿景方面也迥然不同。Shardna是一個(gè)由本地人擁有并管理的生物樣本庫(kù)，根植于奧利亞斯特拉社區(qū)（名稱(chēng)本身就讓人想起青銅時(shí)代居住在撒丁島的Shardana人）。因此，它能夠在當(dāng)?shù)厝丝谥蝎@得較高的招募率，因?yàn)樗难芯宽?xiàng)目關(guān)注的是常見(jiàn)于奧利亞斯特拉的多因子疾病的遺傳。相比之下，蒂齊亞納是一家以營(yíng)利為導(dǎo)向的國(guó)際化生物技術(shù)公司，擁有明確的研究重點(diǎn)，其研究重心與當(dāng)?shù)厣鐓^(qū)聯(lián)系薄弱。因此，無(wú)論Shardna最初征得的同意有多“廣泛”，都可以提出一個(gè)令人信服的理由：由于數(shù)據(jù)控制方發(fā)生了變化，數(shù)據(jù)主體和控制方之間的關(guān)系——GDPR為確定進(jìn)一步處理的兼容性而設(shè)立的關(guān)鍵標(biāo)準(zhǔn)——已經(jīng)發(fā)生了重大改變。這可能會(huì)使數(shù)據(jù)的進(jìn)一步處理背離初衷，因此需要征得研究受試者的同意。

無(wú)論結(jié)果如何，該案例都會(huì)成為一個(gè)典型的試驗(yàn)，因?yàn)樗牟脹Q必將為當(dāng)代生物醫(yī)學(xué)中的兩個(gè)核心問(wèn)題確立判例。歐洲科學(xué)家和公民借助這一立法工具的廣泛性集體參與其中，將會(huì)是確保GDPR在科學(xué)和社會(huì)領(lǐng)域具有強(qiáng)大影響力的關(guān)鍵?？傊瑢⒏鼜V泛的研究自由和更嚴(yán)苛的研究問(wèn)責(zé)之間的關(guān)系轉(zhuǎn)化為實(shí)踐，為GDPR劃定了范圍，而從更廣義的層面上說(shuō)，是界定了歐盟通過(guò)技術(shù)科學(xué)治理進(jìn)行試驗(yàn)的范圍。

資料來(lái)源 Science