科学研究
输入“/”快速插入内容
科学研究
科学研究
作者
Miko
时常猫脑过载的豆泥妈妈,但现实中养小白狗。
定义
GDPR:未明确定义
WP29:这一定义不应超出其一般含义,并理解在此背景下“科学研究”一词是指按照与行业有关/相关部门的方法和道德标准建立的、符合良好实践的研究项目。
同意
A. 区分
GDPR:科学研究中,个人数据的consent应与作为“道德标准”和“程序义务”的consent区分开来。
procedural obligation:Eg.在临床试验法规中的个人数据处理活动不是基于同意,而是基于其他法律基础,是程序性义务。(《个保法》第13条)
药物警戒活动对于降低药品安全风险,保护和促进公众健康是一项必须的举措。根据《药品管理法》,持有人应当开展药品上市后不良反应监测,主动收集、跟踪分析疑似药品不良反应信息。持有人、药品生产企业、药品经营企业和医疗机构发现疑似不良反应的,应当及时向药品监督管理部门和卫生健康主管部门报告。如果持有人未按照规定开展药品不良反应监测或者报告疑似药品不良反应的,或者药品经营企业、医疗机构未按照规定报告疑似药品不良反应的,都将面临行政处罚的严重后果。
由上文可以看出,开展药物警戒,收集和报告药物不良反应是持有人的一项法定义务。因此,在药物警戒活动中持有人对个人信息的处理可以依赖《个人信息保护法》第13条第1款第(三)项所述的“为履行法定职责或者法定义务所必需”作为其合法性基础。
讨论:为什么要区分开来?
基于procedural obligation的consent是一种额外的保障。
GDPR:当数据主体和控制者之间存在明显不对等时,同意不能成为个人数据处理的有效合法性基础。
《药物临床试验质量管理规范》(GCP)第11(10)条规定了“弱势受试者,指维护自身意愿和权利的能力不足或者丧失的受试者,其自愿参加临床试验的意愿,有可能被试验的预期获益或者拒绝参加可能被报复而受到不正当影响。包括:研究者的学生和下级、申办者的员工、军人、犯人、无药可救疾病的患者、处于危急状况的患者,入住福利院的人、流浪者、未成年人和无能力知情同意的人等。”;GCP第12条要求伦理委员会应当特别关注弱势受试者,以保护受试者的权益和安全。
B. 不限于同意
📖
GDPR 第6条 处理的合法性
1.只有满足至少如下一项条件时,处理才是合法的,且处理的合法性只限于满足条件内的处理:
(e)处理是数据控制者为了公共利益或基于官方权威而履行某项任务而进行的;
(f)处理对于控制者或第三方所追求的正当利益是必要的,这不包括需要通过个人数据保护以实现数据主体的优先性利益或基本权利与自由,特别是儿童的优先性利益或基本权利与自由。
第9条 对特殊类型个人数据的处理
1.对于那些显示种族或民族背景、政治观念、宗教或哲学信仰或工会成员的个人数据、基因数据、为了特定识别自然人的生物性识别数据、以及和自然人健康、个人性生活或性取向相关的数据,应当禁止处理。
2.如果具有如下条件之一,第1段将不适用:
(i)在公共健康领域,处理是为了实现公共利益所必要的,例如,在欧盟或成员国内已经为保障数据主体的权利与自由而采取合适与特定措施的法律基础上,处理对于预防严重的跨境健康威胁是必要的,或者为了保障医疗质量和安全、医疗产品或医疗设备的高质量和安全是必要的;或者
(j)处理对于实现符合第89(1)条公共利益、科学或历史研究目的或统计目的是必要的,处理采取了与其期望目的所相称的处理,尊重数据保护权的核心要素,并且对数据主体的基本权利与利益采取了合适与特定的措施。
C. 研究目的&灵活性
Recital(33)在收集数据时,通常无法确定用于科学研究的个人数据处理活动的目的,因此,在符合公认的科学研究伦理标准的前提下,应允许数据主体对于某些科学研究领域作出同意。数据主体应当可以在预期目的所允许的范围内,同意某些研究领域或某部分研究项目。
GDPR不允许控制者绕过为特定目的征求数据主体同意。序言33并未违背关于“具体同意”要求的义务。原则上,科学研究项目只有在明确描述目的的情况下,才能以同意作为合法性依据纳入个人数据。对于一开始就不能明确数据处理目的的科学研究项目,GDPR序言第33段规定了一项例外,允许在更概括的层面(?)上描述该目的。
WP29:考虑到GDPR第9条就特殊类别数据的处理所规定的严格条件,当在明确同意的基础上处理特殊类别的数据时,采用序言33所述的灵活的方法将会受到更严格的解释并需要进行更高标准的审查。
Step by step:当研究目的无法完全确定时,控制者必须寻求其他方法来确保最大程度上满足了同意要求的实质。例如,可以允许数据主体在更宽泛的层面上就某一项研究目的及研究项目的特定阶段(一开始就已知会有的阶段)作出同意。随着研究的一步步展开,应该在项目的后续阶段开始前获取该后续阶段的同意。但这种同意仍应符合可适用的科学研究伦理标准。
?科学研究伦理标准不统一,存在国家/地方差异
比较确定的比如《涉及人的生命科学和医学研究伦理审查办法》,还有很多不确定的
D. 保障措施
📖
GDPR第89条 为了实现公共利益、科学或历史研究或统计目的处理中的安全保障与克减
1.为了实现公共利益、科学或历史研究或统计目而处理,应当采取符合本条例的恰当防护措施,保障数据主体的权利与自由。这些防护措施应当确保,为了保证数据最小化原则,已经采取技术与组织性的措施。这些措施可以包括匿名化,如果匿名化也能实现上述目的。如果在进一步处理中实现对数据主体无法识别也可以实现上诉目的,那就应当采取这种方式处理。