時間:2020年03月02日 分類:政法論文 次數:
摘要:伴隨著大數據時代的快速發展,臨床研究也逐漸成為其應用的重要陣地。然而臨床研究者們在具體實踐中發現,在現階段分散的、修補式的法律體系下,臨床研究大數據的權屬問題尚不明確,尤其是對于去標識化的數據,其保護和規制的范圍十分有限。雖有一些行業內的軟法規范,但不成體系且缺乏統一的標準。臨床研究大數據作為隨科技進步而產生的新事物,其保護與規制也需要進行相應的法律規制。本文從去標識化的臨床研究大數據的角度,以機構和國家層面的規制為切入點,探討其在流動與共享的過程中遇到的困境,并提出在法律規范的制定和軟法治理兩方面的建議和展望。
關鍵詞:臨床研究大數據;數據權屬;法律規制;立法;軟法
法律方向論文范文:國內信用證保兌法律關系實例研究
摘要:保兌行在進行國內信用證保兌實踐時,應該認真解讀新版國內信用證結算管理辦法中關于保兌的定義,抓住保兌的實質,區分保兌與保證的性質,處理好信用證當事人之間的法律關系,規范保兌的流程管理,在真正履行保兌行義務的同時,合理保障自身權益,促進國內信用證保兌業務的健康發展。本文借助某銀行國內信用證保兌業務實例進行分析,梳理國內銀行在保兌國內信用證時常見的做法,并對保兌國內信用證在實踐環節的法律完備性及流轉提出意見和建議。
隨著人類社會逐步踏入“大數據時代”,世界各國紛紛認識到與醫療相關的大數據資源的重要性,國家、企業、研究機構等逐漸搭建起大數據服務與共享平臺,政府也先后出臺了大數據戰略規劃和相關法律規范。目前,臨床研究大數據已經開始廣泛應用并極大地推動著醫學發展的進程。與此同時,與大數據帶來的研究優勢并存的是一系列對制度的挑戰,從個人數據的保護問題,到臨床研究大數據的權屬問題,再到數據收集、整合、存儲、流動、共享、使用和出境中的規則問題,都隨著研究和實踐的深入應運而生。數據不合規的流動與共享問題層出不窮并引發熱議,成為推進臨床研究大數據利用與發展的巨大阻礙,受到科技部的高度關注,研究者們亦在研究中探索如何合法合規地開展研究。因此,對臨床研究大數據目前面臨的困境及其原因進行探討,進而制定和完善統一的流動與共享規則顯得愈發必要和緊迫。
一、臨床研究大數據的理論基礎
(一)臨床研究大數據的概念
大數據確權的首要任務是厘清“大數據”的法律概念。大數據是近年來伴隨著云計算、物聯網等出現而提出的新概念,讓人們得以將注意力從單個數據的價值轉向數據整合、整體分析,獲取數據中蘊含的價值。我們認為大數據的內涵應該區別于單獨的個人信息數據或統計數據等定量數據,而界定為“大量不特定主體的信息存儲于電子介質中的外在體現”[1]。
健康醫療大數據是大數據中的一類,在《國家健康醫療大數據標準、安全和服務管理辦法(試行)》中被定義為“在疾病防治、健康管理等過程中產生的與健康醫療相關的數據”[2]。根據來源的不同,健康醫療大數據可分為醫院醫療大數據、生物信息大數據、區域衛生服務平臺大數據、自我量化大數據、網絡大數據和基于大量人群的醫學研究或疾病監測大數據這六大類[3]。本文中探討的臨床研究大數據屬于健康醫療大數據中的最后一種,是研究者們在人群基礎上通過嚴謹、有針對性的試驗設計,對疾病進行研究或監測獲取的大數據。
(二)臨床研究大數據的權利屬性
要探討臨床研究大數據的法律規制,應該明確其整個數據生命周期中涉及到的主體及相應的權利義務和法律責任。數據權尚不是法律中已有的概念,肖冬梅等學者在現有研究和各國數據保護立法現狀的基礎上用素描手法描繪出數據權的基本譜系,按主體將數據權劃分為國家數據主權和個人數據權利,分別指向以國家為中心的“公權力”和以個人為中心的“私權利”[4]。對于臨床研究大數據來說,國家數據主權包括國家對本國臨床研究數據的生成、儲存、傳播、利用等的管理權,和對本國臨床研究數據采取一系列保護措施以防受到監視、篡改、竊取、毀損等危險的控制權[4]。
國家對數據的管理權和控制權是國家主權在大數據時代醫學研究領域的一種新的表現形式。凡是在本國境內產生或在本國人群基礎上產生的臨床研究數據,都具有國家數據主權的性質。個人數據權利由人格權和財產權構成②。從數據收集時對目的和用途及后續使用情況的知情同意權,到修改或授權他人修改其數據信息的數據修改權,再到將個人公開數據完全刪除的數據遺忘權,數據人格權要求個人能夠對其自身的臨床醫療數據信息實現自主掌控。而數據財產權是一種新型財產權,當個人臨床醫療數據具有經濟價值且其權利可以轉移時,應當賦予個人在采集、使用中的權利,并擁有可攜權和收益權,即具有財產權的屬性[5]。
但在大數據時代,臨床研究數據的資源往往掌握在機構(研究機構、學校、企業、行業協會等法組織)的手中,而不是在個人的控制下。在機構主體層面,臨床研究大數據的權屬及利用、共享、流動中的規則問題僅通過個人權利說、國家主權說③④是很難解釋清楚的。此時的臨床研究大數據經過處理和開發,如抓取、分析、加工和處理等智力勞動。這類經過二次加工后的大數據,其產權屬于二次數據供給者[6],形成機構的數據財產權。財產權的規制包含債權、知識產權和物權這三種制度路徑,“債權路徑”這種契約性質的路徑,無法改變大數據產權不明晰的現狀,在此不作過多論述。“知識產權路徑”目前爭議較大,有學者認為數據在經過加工、分析和處理后由于凝聚著數據開發者的智慧,因此具有了知識產權屬性,進而可以依照現有的知識產權制度中的保護方法進行保護。
知識產權學說在一定程度上彌補了大數據在機構層面的規制空白,但大數據作為一種在科技發展帶動下產生的新事物,與傳統知識產權的內涵有著本質上的區別。如果只是其滿足獨創性標準時作為著作權保護,或當其具有經濟價值而被企業采取保密措施時作為商業秘密權利保護[7],是無法覆蓋大數據的所有特征的。數據的知識產權定位除了會導致保護不足之外,還面臨著與《民法總則》相沖突的問題。
《民法總則》(一審稿草案)中曾將“數據信息”列入知識產權范疇加以保護,但經過后續的討論最終將其移出⑤。由此可見,《民法總則》將數據排除在知識產權之外的,數據的知識產權定位不符合我國立法[8]。而“物權路徑”的制度改進成本小且制度負外部性低,只需對現有制度稍加改進即可較好地應對大數據帶來的變化[1]。“物權路徑”下的數據權利意指權利主體對數據文件本身的占有、使用、收益和處分的權利,當研究機構或企業在患者知情同意的前提下,收集患者數據并經過脫敏處理,將數據與個人之間的法律聯系切斷,這時數據這一無體物的所有權即讓渡給收集數據的機構。但此時所有權與完整的個人數據所有權應有一定的區別,一方面在使用中應以人格權為先,另一方面也要將使用目的和范圍限制在知情同意的范圍內。
本文以臨床研究大數據為研究對象,即“大規模人群基礎上的臨床研究中產生的不特定主體的電子信息”,聚焦于臨床研究大數據在機構和國家層面的流動與共享的法律規制問題。因此筆者在數據權基本譜系架構的基礎上,加入機構層面的數據權利,對數據權架構進行補充,按主體的不同將臨床研究大數據的數據權利分為個人層面的數據權利、機構層面的數據權利以及國家層面的數據主權。
二、現有法律制度下對臨床研究大數據的規制
(一)臨床研究大數據法律規制現狀概述
目前臨床研究中涉及數據的行為主要包括數據的收集、整合、儲存、上傳、分析、共享、流動等,其中數據收集環節涉及個人,機構將收集到的數據進行一系列的技術處理后進行整合、儲存和分析,或上傳至數據共享平臺進行研究數據共享,國家對境內的數據進行管理,保護本國數據在跨境流動的過程中主權不受侵犯。
臨床研究中對大數據的研究分析往往不涉及個人信息,研究者對收集到的數據會進行去標識化處理⑥,因此臨床研究大數據在流動與共享中實際并不涉及個人數據權利的部分。一方面,我國已有多部法律、法規、規章含有個人信息保護相關規范,《中華人民共和國個人信息保護法》也即將提起審議,個人信息即將迎來系統、全面的法律保護,研究者們在數據的收集階段必須遵照個人信息保護的相關規定已有共識。另一方面,臨床研究大數據本身包含“不特定主體”的含義,收集到的個人數據要經過整合、去標識化等處理方可成為真正意義上的臨床研究大數據。因此,臨床研究大數據在機構和國家層面的流動與共享的法律規制問題更為突出和迫切。
我國暫時沒有關于大數據在機構層面和國家層面流動和共享的專門立法,主要是以分散的補充性立法間接地進行規制和保護。本文分別從國內機構和國家兩個層面對現有的臨床研究大數據相關法律規范及軟法約束情況進行梳理。
(二)機構層面數據流動與共享的法律規制
當機構收集到患者個人數據后,即成為數據的實際控制者,研究者對收集到的數據進行保存、處理、分析、共享等操作。機構作為數據的存儲平臺,首先應嚴格遵照《信息安全技術個人信息安全規范》中的加密儲存要求和“最小授權原則”⑦。當收集數據的機構之間需要進行合作開展相關研究時,數據就會發生流動和共同使用的權屬問題。依《網絡安全法》⑧第42條,經過脫敏去標識化后無法識別個人的數據,可以出于共同研究的目的轉移給合作機構。
臨床研究大數據在脫離個人的基礎上,數據行為相對自由,可以不經過單獨數據主體的同意與其他機構共享。以臨床研究大數據為基礎得到的研究成果、知識產權、著作權等的歸屬問題,依《中華人民共和國科學技術進步法》⑨和科技部《關于國家科研計劃項目研究成果知識產權管理的若干規定》⑩中的規定,由項目的承擔者所有,合作形成的著作依《著作權法實施條例》,第九條由合作方共有,通過協商一致行使。研究成果依法受到保護,《刑法》-中分別定義了侵犯著作權罪和侵犯商業秘密罪,以此對權利人或機構施行保護。
現有法律中適用于機構間研究合作中數據行為的法律法規還較為匱乏,且大多是針對研究成果、知識產權的保護性措施,缺少對數據在機構間流動的規范。目前開展的臨床合作研究中,主要是依靠合作方之間簽訂合作協議等來規范雙方行為。對于成果歸屬、數據安全保護、后續數據應用等,已經逐漸形成了具有共性的規范.。
(三)國家層面數據流動與共享的法律規制
國家與機構之間的規制,以科技部重點研發項目的任務書為例,該類國家與研究機構之間的任務書屬于行政合同。在項目執行期間,各研究機構產生的所有科學數據無條件、按期遞交到科技部指定的平臺,在約定的條件下對各專項各承擔單位,乃至今后面向所有的科技工作者和公眾開放共享;成果歸屬方面規定項目實施形成的研究成果(論文、專著、專利、數據庫等),均應標注“國家重點研發計劃”及項目編號資助。同時,在特定情況下,國家根據需要保留無償使用、開發、使之有效利用和獲取收益的權利。項目的各領域課題產生的所有科學數據無條件、按期遞交到科技部指定的平臺。在專項約定的條件下對專項各承擔單位,乃至今后面向所有的科技工作者和公眾開放共享。
在臨床研究中不少項目都有與境外機構的合作,難免涉及數據的境外流動。臨床研究大數據中包含著我國人群重要的遺傳信息,其儲存應依照《網絡安全法》/和《個人信息和重要數據出境安全評估辦法(征求意見稿)》0中的規定,在境內妥善保存。臨床研究大數據符合《人類遺傳資源管理條例》中對人類遺傳資源信息1的定義,在跨境合作中應遵守其規定。外國組織、個人及其實際控制的機構等不得在我國境內采集、保藏我國人類遺傳資源,不得向境外提供我國人類遺傳資源1,如需合作必須嚴格按照合作流程和要求進行。合作中如確有出境需要,應按照《人類遺傳資源管理條例》2《個人信息和重要數據出境安全評估辦法(征求意見稿)》和《網絡安全法》中對境外流動的要求,必須在上報國家管理機構批準并備案后方可進行。
(四)行業內的軟法約束
除了前述表現為強制性規則的硬法之外,還有非嚴格意義上的法,不具有國家強制力,表現為溝通協商和規范引導的軟法,主要是通過協議、行業標準和規范等來進行約束的。民間聯盟也制定了一些關于大數據的交易規則和救濟途徑,如《中關村數海大數據交易平臺規則(征求意見版)》4。
目前機構間的合作協議對研究成果歸屬、數據安全保護等方面就作出了詳細規定,已經逐漸形成了有共性的模板,對研究工作起到較強的規范作用。以慢阻肺大數據規范化管理平臺合作協議為例,其中約定了原始數據及合作成果的歸屬,并對安全保護分工做出詳細闡述。同時也規定了臨床數據的授權許可范圍、方式、后續數據應用及獲益由雙方共同協商。“合作成果歸屬:1、乙方原始的梗阻肺診療數據歸乙方所有,經過非結構化轉結構化處理及衍生轉換的數據歸甲乙雙方共有,大數據模型及挖掘算法歸甲方所有。2、協議實施過程中所產生的知識產權,各方獨立完成的,知識產權歸各自所有,多方共同完成的,按照各方的貢獻大小進行分配。……醫院數據的安全保護:1、由甲乙雙方共同協商慢阻肺臨床數據的授權許可范圍、方式、后續數據應用及獲益等,明確貴權及分工,執行慢阻肺大數據的安全管理體系。……4、慢阻肺大數據總中心及分中心要設置重要和敏感信息查詢留痕功能,建立查詢日志,定期分析,及時發現異常情況并進行處理為大數據中心提供常規維護、升級換代,以及安裝新系統、新設備的信息技術人員和機構簽署信息保密協議,并設置合理的訪問權限。5、慢阻肺大數據總中心的所有數據應用必須經過甲方學術委員會(或管理委員會)的審批由甲乙方共同負責慢阻肺大數據的數據安全,并監控其應用的法律風險。”
三、臨床研究大數據規制面臨的困境及其根源分析
目前大數據權利本質屬性在現有法律中尚不明確,在缺乏法律制度保障的情況下,研究者們難以確定數據流動與共享是否合規進行,在機構間共享時合作雙方的權益及應盡的義務無法確認,在境外流動中不僅可能損害國家利益,也不利于醫學研究全球化的推進。
(一)當前法律體系下數據權利屬性難以界定
大數據權利的本質屬性是大數據社會治理及司法實踐的邏輯起點[9],其研究具有基礎性意義。然而法律尚未賦予數據清晰的定位,數據權也并不是法律中固有的概念,對大數據的權利屬性仍缺少相應的制度安排!睹穹ǹ倓t》中對“數據”雖有提及,但未明確其法律性質。在沒有明確界定數據和數據權利性質的情況下,往往難以劃定各主體間的權利界限,研究者們在數據流動與共享中的行為也難以得到有效地約束。
臨床研究大數據通過整合和分析,進而得到的科技成果是推動醫學研究發展的關鍵,其中蘊藏的巨大的研究價值和社會經濟效益不可估量。但現有的法律體系中下仍缺少數據權利歸屬的明確規定。以科技部重點研發計劃為例的多方合作研究中,臨床醫療大數據的價值周期往往比較復雜,從收集、整合、儲存、共享,到分析并得到結果的過程中會涉及多方參與主體的權益,國家、機構(研究機構、醫院、學校、企業、行業協會等法人組織)和個人都是數據價值鏈上的一員。
當前個人和國家的數據權利已有一定的法律支持,而對于機構(數據的收集者、控制者、分析者、交易者等),僅在某些方面對應盡的義務進行了規定,而未對其享有的權利進行規定[10]。在研究機構的權利內容及其歸屬問題上,現實的規制需求早已超越了法律邏輯上的論證速度,也有一些約定俗成的規則出現。但這樣的規則并不能代替法律的規制,各方數據權益在沒有法律保障的情況下,難免在臨床研究合作中數據的流動與共享中埋下隱患。
(二)現有的法律體系下對于機構層面數據流動與共享的規制不足
在國內的機構之間,臨床研究大數據流動與共享的界限不清,權責利不明確,引發了不少實際操作中的違規問題。現有的法律體系下,這些經過收集和處理的大量臨床研究數據,究竟在儲存、使用和后續共享中應該遵循什么規則,都尚未有相應的規范進行指導,讓學者們在實際的臨床研究工作中感到困惑。
要實現大數據賦能國內臨床研究的發展,其中最關鍵的一點就是要開放與共享。我國國家衛健委《全國醫療衛生服務體系規劃綱要(2015-2020年)》[11]《國務院關于積極推進“互聯網+”行動的指導意見》[12]等文件中都明確提出要大力推動數據資源的開放并建立國家級數據開放平臺!吨腥A人民共和國人類遺傳資源管理條例》也對人類遺傳資源信息和數據的開放作出強調5。目前研究數據的收集者在與國內其他機構共享數據的過程中往往只能通過口頭約定、自擬合同等方式進行規制,沒有效力層級較高的法律或法規進行規范。
這種形式一方面缺少強制力保障實施,使機構的數據行為的邊界難以確定;另一方面零散的合作也會造成數據的重復收集和研究者人力資源的浪費。此外,隨著國內臨床研究數據交換平臺的逐步搭建,研究者可以在收集數據前了解到是否已有相關數據集并進行請求,在一定程度上推進高效共享和數據的充分挖掘。但現有的法律中對數據平臺責任、上傳者和下載者的權利和義務尚未有規定,對后續研究成果及利益分配等未給出指導性原則,軟法中也暫時沒有成體系的規范標準。數據一旦上傳到平臺,平臺的使用權限和監督機制都不盡相同,規制效果不一,容易出現糾紛和侵權的情況。
(三)現有的法律體系下國家對于數據跨境流動與共享的規制不足
隨著醫學研究逐漸進入“全球化時代”,國內外政府、研究機構都在積極推動數據共享、數據交換。臨床試驗數據共享聲明中,國際醫學期刊編輯委員會(ICMJE)提出2019年1月1日后入組的受試者數據,必須在臨床試驗注冊平臺上提交數據共享計劃[13];國際臨床數據交換標準協會(CDISC)近年來也致力于搭建臨床研究數據全球化平臺,提高數據從采集到管理,從申報、審批到使用、共享的效率。在這樣的大環境下,推進臨床研究大數據的跨境共享是大勢所趨。但國內重要人類遺傳資源的違規出境問題,也隨著跨境合作的不斷深入而浮現。一些基于中國人群遺傳信息的大規模研究在外國研究機構的主導下大肆開展67,未經許可的國際合作和臨床研究數據的違規出境也是屢禁不絕。
2015年,復旦大學附屬華山醫院和深圳華大基因與牛津大學合作開展的研究中,未經許可將中國女性單相抑郁癥的大樣本病例從網上傳遞出境[14];2016年,蘇州藥明康德公司違規將5165份人血清作為犬血漿違規出境[15];2018年,阿斯利康公司等三家公司因未經申報和審批,違規轉運、接收和保藏樣本并用于試劑盒研發[16],2018年,科技部集中公開了這三起處罰,共六張罰單。這三起處罰案例中涉及的女性病例資料、人血清、試驗剩余樣本,都符合《人類遺傳資源管理暫行辦法》第二條對人類遺傳資源的定義,在采集、收集、研究、開發、買賣、出口、出境等活動中必須遵守該辦法的要求8,是科技部依照《人類遺傳資源管理暫行辦法》《中華人民共和國行政處罰法》及《中華人民共和國行政許可法》中的有關規定進行的行政處罰。
科技部的處罰是行為罰,具體內容是責令涉事機構整改、停止相關的研究工作、銷毀材料及數據等,不涉及罰款、沒收等財產罰。雖然處罰力度并不大,但這是科技部首次在官方網站公布人類遺傳資源行政處罰信息,是嚴格監管的開始信號。各機構也可在研究過程中參照這些案例,設立專門的數據合規審查小組,力求一切的數據行為都在國家許可的范圍內進行。但在臨床研究領域,處在規范邊緣的企業、研究機構遠遠不止受罰的這六家機構,在沒有統一的規范約束之下,臨床研究大數據的流動與共享是否真正保障了國家數據主權有待商榷,同時也不利于國際合作的合規開展。
一方面,數據安全是數據共享的保障,尤其是當今社會國家主權范圍已經由傳統意義上的領土、領空等擴展到數字空間,數據安全已然提升至了國家主權安全的戰略高度。然而如此重要的數據主權在法律中卻沒有成型的制度設計,只能援引《網絡安全法》、《人類遺傳資源管理條例》中對重要信息及人類遺傳資源出境的規定。2019年6月新出臺的《人類遺傳資源管理條例》中突破性地把人類遺傳資源信息也納入人類遺傳資源的范疇,管理條例作為一個行政法規,無論從法律淵源還是效力層級來說,都說明政府正在以更高的效率,嚴格的約束來重新審視這個飛速發展的行業。
但其中將“人類遺傳資源信息”限定為“利用人類遺傳資源材料產生的數據等信息資料”,不能完全覆蓋臨床研究大數據的內涵,國家對此規制的對象、范圍和手段都需要進行更新。且《人類遺傳資源管理條例》審批管理的規范和禁止性規定較多,容易導致一些企圖繞開正常途徑而進行違規跨境合作或流動的行為。在現有的法律體系下,臨床研究大數據的應用和發展仍然需要更有針對性,同時與上位法相呼應的規制。
另一方面,在全球數據加速流動的今天,不存在任何風險的絕對安全是難以實現的,數據流動帶來的風險不可避免。如何在臨床研究大數據的保護和利用上達到平衡,仍需有國家層面的強制性規范。針對臨床研究大數據跨境流動的問題,一方面要在現有法律中彌補數據出境定義的不明確和出境規范不完善的問題,另一方面也需盡快將涉及數據境外流動的規范性文件上升到法律層次。
綜上所述,現有的法律體系下,臨床研究大數據的流動和共享并不能得到行之有效地規制。除了法律規范外,臨床研究大數據在收集、使用和共享中的權利義務往往以簽訂協議、合同等方式確定,以約定俗成的一些守則作為參考。這樣的軟法在臨床研究大數據的流動與共享過程中確實起到了一定程度的規范和試驗作用,但由于缺乏強制力保障,不能完全解決當前行業中面臨的困境。
四、臨床研究大數據流動和共享的規制路徑
如何對臨床研究大數據進行法律規制,讓臨床研究大數據走出目前面臨的困境,是研究工作者們面臨的一個現實問題。本文從去隱私化的臨床研究大數據的角度出發,以機構和國家層面為切入點,進行臨床研究大數據共享與流動規制路徑的探討。
(一)法律規范的制定
數據經濟蓬勃發展和數據加速資產化的趨勢給臨床研究大數據的治理帶來了新的難題,即如何調整我們的法律制度以適應這種經濟形態的變化。如果不對臨床研究數據的共享與流動進行制約,未來數據經濟環境下社會經濟利益之間將嚴重失衡。因此,一方面要加快修訂或完善現有的基本法,明確各主體權利義務內容和關系;另一方面也應加緊制定相關保護與監督的單行法律、法規和配套措施、實施細則等。
1.臨床研究大數據權利性質與歸屬的確定
大數據確權的首先是要厘清“大數據”的法律概念,即“大規模人群基礎上的臨床研究中產生的不特定主體的電子信息”。在明確了大數據法律概念的基礎上,將經過整合的臨床研究大數據的權利性質界定為特殊的財產權,通過財產權中制度效率最高的物權路徑進行保護,作為“無體物”納入物權的保護范圍。
臨床研究大數據的權利內容及歸屬在醫學研究數據合規發展和國家數據資源保護中起著基礎性的作用,其目的在于更好地為數據保護和數據流動設定行為邊界。臨床研究中在權利內容及歸屬問題上,應盡量平衡作為信息主體的個人、作為數據實際控制者的機構以及主權歸屬的國家之間的利益。個人作為原始數據收集的對象,理應享有包含個人信息的數據的所有權,行使授權或禁止他人使用自身數據的消極權能,并在不影響公共利益的基礎上,可以通過合法途徑轉讓個人醫療健康數據并從中獲益9。
當然,數據之所以能具有如此高的價值,主要還是有賴于研究者們對大量原始數據的分析和加工[17],其中凝聚著機構、企業大量的技術、人力、管理成本。在收集時獲取個人知情同意和去標識化處理的前提下,使用權向收集數據的機構轉移。一旦轉讓,數據的所有權即脫離個人而向機構實現讓渡,同時數據所有權(包括占有、使用、處置和收益等權能)移交機構所有。對于國家來說,大數據作為重要的生產資料,蘊含著的戰略價值不容忽視。國家從宏觀層面上保護本國數據主權在數據向境外流動的過程中不受外國侵害,數據儲存本地化、跨境流動前的申報和安全評估是國家數據主體利益的保障。
總的來說,國家應加快數據安全立法進程,對大數據進行確權,從法律層面保障個人、機構和國家三大主體的數據權利,實現數據資源開發利用和保護之間的管理平衡。另外,現有的一些機構間的合作協議、合同中大部分的條款是具有一定共性的。其中對于原始數據、研究成果等歸屬問題、數據安全保護的責任問題等的規定,也可以考慮納入國家標準或格式合同樣本中,規范機構間的權益分配。
2.臨床研究大數據在國內機構間流動與共享的法律規制
“去標識化”是數據脫離個人而形成有研究價值的臨床研究大數據的前提,也是在不損害個人信息安全的基礎上推進臨床研究大數據流動與共享的重要手段。但“去標識化”在法律中并未得到詳細的闡述,需要隱去的具體信息內容目前并無統一規定,在新的立法中應當對數據去標識化的專業方法及判定標準予以明確。
在法律中強調臨床研究大數據的合理使用原則是推進數據共享的一個重要途徑。合理使用原則是在不影響數據安全的條件下,出于合乎情理或公共利益的目的和用途,不經數據主體的同意使用其數據[18]。合理使用原則適用于研究者需要用到個人信息進行分析,但大體量的數據集合中很多數據行為難以取得數據所有者的知情同意的情況。如果是出于進行科學研究、促進醫學領域的發展等目的,且不會對個人和社會造成不良影響或危害數據安全,這樣的數據行為可以列入合理使用的范疇,在法律中給與其正當性。
國內機構之間的合作中,原始數據的歸屬、數據應用與收益、合作成果的歸屬及安全保護分工等問題在實際操作中已經有了初步的探索。國家在立法過程中可以對這些已有的約定俗成的規范進行固化,對于一些尚有爭議的數據操作確立標準和范圍,從法律層面明確數據共享雙方的權利和義務。
此外,臨床研究大數據共享平臺作為近年來推進數據共享的重要手段,受到了國家和研究機構的大力支持。但隨著平臺功能的逐漸強化,數據共享中出現了大量亟待解決的問題。一方面共享平臺應承擔的法律責任,如平臺的維運、用戶行為的監督、平臺數據安全的保障等都應該在法律中予以說明。另一方面,數據上傳者、使用者和請求者在使用平臺時的權利和義務需要有一個原則性的制度保障。
3.臨床研究大數據在跨境流動中的法律規制
大數據在今天已經是事關國家安全、社會穩定的重要因素,國家數據主權不容侵犯。對于機構來說,首要任務是數據的境內儲存,如果需要上傳至云端或平臺,應選擇本國的存儲服務器。出于公眾健康、國家安全和社會公共利益,研究機構、企業及平臺應依法接受國家監督,如有需要將數據交予國家使用及保藏。對于國家而言,大數據監管機構的設立有利于數據共享與流動的高效規制。本文認為可以在國家層面設立專門的大數據規制委員會配備專業人才,負責推進數據安全立法的進程,健全有關數據審核標準,對機構及平臺上的數據行為進行檢查監督。同時,在全球范圍內數據跨境傳輸和合作中尚未有相應的流通規則[19],中國作為大國應牽頭進行公認的準則制定,積極擔任起與其他國家展開協商與溝通的責任[20],力求確立數據安全跨境流動的通用規則。
數據主權固然重要,但我們也應該在保障國家數據主權不受侵害的前提下,提升臨床研究大數據跨境合作與分析的靈活性,在全球化的醫學研究中發揮大國作用。科技部已經在優化人類資源審批流程方面做出了嘗試[21],鼓勵多中心臨床研究設立組長單位,申報工作由組長單位一次性進行而無需分別進行。國家也可以在原有的法律規范中對人類遺傳資源信息出境規定的基礎上作出一定程度上的調整,設置中國臨床研究合作標準或白名單制度,對數據使用目的、處理方式和保護技術等給出規定,若能夠滿足我國對數據主權保護的要求,也可以考慮放松約束,簡化審批流程。
(二)軟法之治
1.臨床研究大數據共享與流動中統一行為規則的制定
軟法在現階段臨床研究大數據的流動過程起著一定程度的規范作用,但零碎的協議和守則缺乏統一標準,研究者們在研究中缺少可以參考的行業標準。而且傳統意義上的硬法也難以與醫學研究中的規制完美對接,立法上的空白有待軟法來進行補充。因此我們認為一份經多方參與制定的臨床研究大數據流動行業規則的制定是非常有必要的,讓數據從收集、整合、使用、保存,到上傳、共享和境外流動都在規定下進行。同時也要鼓勵各研究機構、企業、行業協會等發掘軟法規范,對現有的法律制度中的框架性規定進行適用性解釋,例如數據的權利內容在法律中是一個概括性的界定,那么臨床研究中,各主體的具體權利內容還有賴于研究者們的補充。要不斷對現有的軟法內容進行補充、完善,形成一系列完整的、覆蓋整個臨床研究數據行為的規范,來指導臨床研究大數據的治理。
2.臨床研究數據交換平臺的建立與管理
當前國家對提升我國臨床研究數據質量及國內外協同研究數據交換與共享的效率非常重視,在科技部重點研發計劃中提出要解決臨床研究數據承載、利用和交換平臺的問題。數據交換平臺通常需要涵蓋數據集的上傳、檢索、下載、權限設置及管理等功能。在此以平臺功能為線索,在現有的合同、合約等基礎上對軟法治理路徑的構建提出建議。數據集的上傳者是去個人化后的數據的所有者,在上傳時應注意標明數據的主要內容、歸屬單位、項目編號資助等,并依照平臺要求進行上傳,設置訪問的權限和獲取的的條件等。數據下載者如符合上傳者設置的要求,即可從平臺上下載使用,得到數據并進行分析形成的成果,需要注明數據來源。
平臺管理者應嚴格制定訪問控制規則、上傳數據格式要求等,審核在平臺上傳的數據的真實性及對數據下載者的身份,并進行行為記錄。與其他基于個人信息的營利性商業數據相比,臨床研究大數據在共享方面的優勢是其蘊含的價值并不在于個人信息,因此上傳和下載的數據可以限定為去標識化后的臨床研究大數據。如果有數據下載者需要用到個人信息進行分析,可以通過平臺聯系數據的上傳者,數據上傳者對數據使用者的目的、數據保護能力等進行評估合格后方可予以共享,必要時應取得個人同意方可進行。這樣形成的臨床研究大數據交換平臺使用守則,可以作為行業內的軟法規范。
3.臨床研究領域內的自我規制
大量醫學研究的開展,單靠國家的數據監管機構的監督并不現實。因此應積極引導行業內的自我規制,在高效自我約束的同時不浪費國家行政資源。機構之間可以自發成立研究數據共享管理聯盟,與國家大數據監管部門上下聯通。管理聯盟由數據安全專家、法學專家等共同構成,一方面對各機構的數據行為進行監督,在合作合規之前進行審查和核對、在研究進行中進行管理和監督、在研究結束后進行調查和跟蹤,并形成臨床研究大數據流動和共享的評價標準。另一方面,啟動對機構數據處理能力的評估,圍繞數據生命周期評估是否具有足夠的安全能力。在監督管理的過程中發現存在的隱患和違規行為及時向監管部門反映,協助國家監管部門加強對機構的行為規制,能夠在一定程度上提高臨床研究大數據的流動規范化程度。
結語
對于臨床研究大數據來說,不管是國家層面的數據管理和保護,或是機構與機構之間的數據收集與共享,都需要“軟硬兼施”的治理手段。大數據確權的相關立法是整個臨床研究大數據治理的基礎,國家需要盡快推動立法進程,解決研究者在面對數據流動和共享時的困惑,確保數據在法制的框架下合規使用。在法律規范的框架下,還需要研究機構、企業及行業協會等機構的共同探索,進行軟法治理,讓法律規范切實與臨床醫學研究對接。相信在軟硬法并重的綜合治理下,臨床研究大數據能夠更加安全、高效地流動與共享。