利用医疗大数据开展真实世界临床研究的合规性要求（上）

真实世界临床研究中医疗大数据的合规应用面临诸多挑战，涉及患者数据隐私和安全保护、数据共享、知识产权、人类遗传资源管理等方面。同时，医疗大数据的使用者及供应商合规也应引起重点关注。

作者丨葛永彬 董剑平

摘要

医疗大数据构成临床研究尤其是真实世界临床研究中不可或缺的基线数据。使用医疗大数据进行真实世界临床研究时，需要解决一系列合规问题，如保护患者的隐私和数据安全，数据共享和知识产权、人类遗传资源合规等，这些合规问题对于真实世界临床研究的可靠性、可用性和可持续性都具有重要影响。建议医疗机构通过构建信息系统的质量管理体系，确保医疗大数据的收集、存储和处理符合规范、科学可靠，并持续提供高质量的医疗大数据；同时建议建立使用者和数据供应商“白名单”制度，激励合规的使用者和供应商，监督和管理不符合合规要求的使用者和供应商，以提高合规意识和遵守法规的自觉性。

医疗大数据来源于医疗机构或医联体内部各种数据源的信息系统，包括临床数据、医疗影像、实验室结果等，可以为医疗机构、医药产业链的研发和生产主体等提供全面的数据支持和决策依据。医疗大数据的广泛应用是实现医学模式转变的必要前提和核心动力[1]。与此同时，真实世界临床研究成为评估药物和医疗器械在临床实践中的疗效、安全性和经济效益的重要方法。它基于真实世界的患者数据和临床实践，弥补了临床试验的局限性，提供了更全面、真实和可靠的证据。然而，真实世界临床研究中医疗大数据的合规应用面临诸多挑战，涉及患者数据隐私和安全保护、数据共享、知识产权、人类遗传资源管理等方面。同时，医疗大数据的使用者及供应商合规也应引起重点关注。本文旨在为医疗机构、研究人员和监管机构提供参考，促进医疗大数据在真实世界临床研究中的有效合规应用。

一、医疗大数据支持下的真实世界临床研究

医疗大数据作为真实世界临床研究的源数据之一，涵盖临床、影像和实验室等多种类型的数据，反映了真实的医疗实践和患者情况。医疗大数据包含丰富的临床数据，例如，患者的病历、就诊记录、诊断和治疗信息等。这些数据提供详细的患者特征和疾病进展信息，为真实世界临床研究提供了重要的临床背景和基线数据。研究人员可以利用这些数据进行人群特征分析、疾病进展监测、治疗效果评估等研究，从而更好地了解患者群体的特点和疾病的自然进程。医疗大数据还包含丰富的医疗影像数据，如CT扫描、MRI、X射线等。这些影像数据可以用于研究疾病的影像特征、诊断准确性以及治疗效果评估等方面。通过对大规模的影像数据进行分析，可以发现疾病的影像特征，提供更准确的诊断和治疗指导，促进疾病管理和临床决策的改进。此外，医疗大数据还囊括了实验室结果数据，包括血液检验、生化指标、遗传检测等。这些数据可以提供患者的生理状态和疾病相关的生物标志物信息。研究人员可以利用这些数据进行生物标志物的分析和相关性研究，探索疾病的发病机制、预后评估以及治疗反应的预测等方面。由此可见，来源于临床实践的医疗大数据为研究者提供多维度、高通量的数据支持，有助于产生外部真实性高的临床证据[2]。因此，通过充分利用医疗大数据资源，可以促进真实世界临床研究的发展，为改善患者临床决策提供科学依据。

二、合规应用关注点

在医疗大数据用于真实世界临床研究的过程中，需要解决一系列合规问题。例如，如何保护患者的隐私和数据安全，如何处理数据共享和知识产权、人类遗传资源合规等问题。这些合规性问题对于真实世界临床研究的可靠性、可用性和可持续性都具有重要影响。

（一）患者的隐私和数据安全

如何有效保护患者的隐私和数据安全是医疗大数据的重要合规关注问题。随着医疗信息技术的迅速发展和医疗数据的大规模积累，医疗大数据成为研究和改进医疗实践的宝贵资源，随之而来的是患者隐私和数据安全面临的风险。在真实世界临床研究场景下，数据的充分利用是以充分保障信息安全为前提的[3]。在医疗大数据中，临床数据、医疗影像、实验室结果等大量敏感数据可能来自几十个甚至上百个系统。这些数据追溯至采集源头，是否均取得了数据（个人信息）主体的授权同意，是否超出采集时所明示的处理目的、方式和范围均需加以合规评估。此外，这些数据以不同的格式和结构存在。由于当前医疗大数据缺乏统一的数据分类分级标准和规范，因此，针对上述多库分离的数据，不同医疗机构所采取的保障数据安全的措施势必存在差异。

为解决这些问题，医疗机构需要采取一系列措施来保护患者的隐私和数据安全。首先，匿名化和去标识化是常用的方法。在数据收集和存储过程中，要对患者的身份信息进行脱敏处理，如删除或替换个人识别信息，以确保数据无法与特定个体直接关联。其次，建立访问控制和权限管理机制也至关重要。通过基于角色的访问控制，确保只有经过授权的人员可以进行特定操作，才能访问和处理敏感数据。加密技术也是数据安全的重要手段之一。通过采用加密算法对敏感数据进行加密，数据在传输和存储过程中得以保护。强密码和密钥管理措施的使用能有效防止未经授权的人员获取敏感数据。此外，建立数据安全审计机制也是必要的。通过记录和监控数据的访问、修改和传输情况，可以及时发现和追踪数据安全事件，保证数据的完整性和可追溯性。

1. 匿名化和去标识化

根据《中华人民共和国个人信息保护法》第四条的有关规定，匿名化处理后的信息不是个人信息。但未采用匿名化处理仅采用去标识化处理的信息可能依然属于个人信息范畴。可见，匿名化和去标识化都可以减少数据主体被识别的风险，但它们的技术方法和实施后的法律效果有所不同。

（1）匿名化。根据《信息安全技术个人信息安全规范》（GB/T35273—2020）（以下简称《个人信息安全规范》）的规定，匿名化是指通过对个人信息的技术处理，使得个人信息主体无法被识别或者关联，且处理后的信息不能被复原的过程。匿名化的目的是防止个人信息和（或）数据主体被识别。在匿名化过程中，所有能够直接或间接识别个人的数据都会被修改或删除，以确保数据主体的身份无法被确定。匿名化的方法包括数据掩蔽、数据混淆、数据交换和数据伪造等。这些方法可以单独使用，也可以组合使用，以达到最佳的匿名化效果。

（2）去标识化。根据《个人信息安全规范》的规定，去标识化是指通过对个人信息的技术处理，使其在不借助额外信息的情况下，无法识别或者关联个人信息主体的过程。去标识化的目的是减少数据主体被识别的风险，但其依然建立在个体基础之上，保留了个体颗粒度，采用假名、加密、哈希函数等技术手段替代对个人信息的标识。因此，即使个人健康医疗数据采取了数据删除、数据替换、数据编码和数据聚合等去标识化技术手段，其依然存在重新识别或复原个人身份的可能性，使用此类信息时需要考虑《中华人民共和国个人信息保护法》等法律法规的要求。

在医疗大数据应用实践中，匿名化或去标识化有助于解决患者隐私保护问题。在遵守个人信息保护相关法规的前提下，允许研究人员和数据科学家使用大规模的真实世界数据进行研究和分析，可以促进涉及生命科学和医学研究开展。同时，这些技术也有助于建立公众对医疗大数据使用的信任，促进医疗创新发展。然而，尽管匿名化和去标识化可以降低患者隐私泄露的风险，但也需要注意其局限性。在现有技术发展水平下，在统计等场景外暂时无法实现绝对的匿名化，因为匿名化会大大减损数据的使用价值，可能导致医疗大数据在大多数应用场景中无法使用。因此，实践中不应轻易认定医疗大数据属于匿名化后的数据，进而忽视个人信息保护相关法律法规的要求。此外，临床试验中去标识化的医疗大数据可能面临摆脱鉴认代码（即用于恢复识别个人的信息）而被重新识别的风险。因此，在进行匿名化和去标识化处理时，需要综合考虑数据的特征、使用环境和法规要求，采取适当的技术和方法。同时，建议对数据脱敏状态进行定期动态评估，确保数据的隐私和安全。

2. 知情同意

鉴于匿名化处理后的信息不属于个人信息，因此，将匿名化处理后的医疗大数据用于真实世界临床研究时，无需取得患者知情同意。但是，对于未匿名化的数据或仅去标识化的数据，适当取得患者的知情同意是保护患者权益的重要方面。传统上，临床研究通常要求直接获得每个患者的知情同意，但这在大规模真实世界临床研究中存在困难。为了解决这一问题，“泛知情”的方法被提出，以更好地保护患者的隐私。“泛知情”是指在向患者提供研究的基本信息和目的，让患者在明确了解研究的整体框架后，以广泛、泛化的方式获得知情同意。这种方法与传统的针对具体研究的知情同意形式有所不同，但仍需满足一系列条件以确保合规性和患者权益的保护。

（1）对于前瞻性研究，无论是观察性还是干预性研究，包括使用可识别身份的人体材料或数据的研究，研究人员必须征得患者的知情同意，并向其充分解释研究内容。具体选择书面知情同意还是口头、电话、电子等方式，可根据研究实施的可行性进行选择。例如，对于实效性干预性临床研究和一些队列研究或能接触到研究对象的横断面研究，可以采用书面知情同意方式。而对于无法接触到研究对象的横断面研究或大规模前瞻性队列研究，可以考虑采用泛知情同意方式。泛知情同意给予受试者事先知晓其标本或数据可能被用于未来研究的机会，并让其自主决定是否同意参与研究。

（2）对于回顾性研究，如病例对照研究或回顾性队列研究，可以申请豁免知情同意。根据《信息安全技术健康医疗数据安全指南》的有关规定，当生物样本使用符合特定条件时，如之前已经签署了泛知情同意、研究不超出泛知情同意范围，或使用已经去标识化或匿名化的医疗大数据和（或）生物样本进行公益性研究，可以豁免知情同意。然而，若回顾性研究需要进行随访或能接触到研究对象，或对已去标识化的个人健康数据和生物材料进行超出原有处理目的的回顾性研究时，应重新征得患者的特定研究知情同意，可采用电话或口头等方式，并做好相应记录。

涉及使用健康数据、个人信息或敏感信息的研究，应关注可能涉及的隐私和数据安全风险等[4]。在使用医疗大数据的真实世界临床研究中，除了采用匿名化或是去标识化等技术手段以外，选择合适的知情同意方式更是确保患者权益和隐私安全的关键。对于前瞻性研究，根据研究类型和实施的可行性，选择书面或非书面的知情同意方式。对于回顾性研究，根据是否涉及随访或接触研究对象，以及样本的去标识化程度，考虑是否需要重新征得患者特定研究知情同意。在实施过程中，需要遵循相关法规和伦理要求，并做好知情同意记录和管理。

3. 访问控制、权限管理和审计

访问控制、权限管理和审计是医疗机构确保信息系统中数据安全和隐私保护的重要手段。其用于管理和限制对医疗大数据的访问，并确保只有授权人员可以获取和处理数据。通常，在医疗机构收集、存储医疗大数据的各项信息系统中可以采取以下访问控制和权限管理的方式。

（1）用户身份验证：信息系统应实施严格的用户身份验证机制，以确保只有合法和授权的用户可以访问数据。这通常涉及使用唯一的用户名和密码进行登录，或采用更安全的身份验证方法，如个人生物识别信息。

（2）角色和权限分配：根据用户的职责和需求，将其分配到不同的角色，并为每个角色分配相应的权限。通过角色和权限的定义，可以限制用户对数据的访问和操作范围，确保数据安全和隐私保护。

（3）细粒度的权限控制：医疗机构各项信息系统应提供细粒度的权限控制机制，允许管理员对不同的数据元素、功能和操作进行精确的权限配置。例如，可以将数据访问权限限制在特定的研究项目或特定的数据类型上，只允许特定的用户或用户组进行访问。

（4）审计日志和监测：信息系统应记录和监测用户的操作，包括数据访问、查询、修改和导出等活动。审计日志可以提供对各类医疗大数据访问情况的完整记录，并用于监测和检测潜在的安全问题和违规行为。

（5）数据加密和传输安全：采用加密技术来保护医疗大数据的传输和存储安全。数据在传输过程中应使用安全的通信协议，如HTTPS，以防止数据被篡改或窃取。同时，对于存储在信息系统中的敏感医疗大数据，应采用加密算法对数据进行加密，以防止未经授权的访问和泄露。

（6）定期的权限审查：定期进行权限审查，对用户的权限进行评估和更新。随着用户角色和职责的变化，需要及时调整其权限，确保权限与实际需求保持一致，并避免权限滥用或误用。

下篇预告

我们将在本文的下篇继续围绕数据共享和知识产权、人类遗传资源两个合规关注点，探讨医疗大数据在真实世界临床研究中的合规应用，同时提出推行质量管理体系再造和建立“白名单”措施，为读者提供有效可行的应对之策。

[注] 

[1] 弓孟春, 陆亮. 医学大数据研究进展及应用前景[J]. 医学信息学杂志，2016,37(2):9-15.

[2] 刘爽, 冯时, 郭昊, 等. 医疗大数据应用于真实世界研究现状及展望[J]. 医学信息学杂志,2020,41(3):14-18.

[3] 李雪迎, 王熙诚, 沙若琪,等. 真实世界数据研究的信息安全挑战[J]. 中国食品药品监管,2022(10):46-53.

[4] 马麟, 李娜, 廖红舞, 等. 临床医学研究知情同意规范解析及伦理审查常见问题研究[J]. 中国医学装备,2023,20(1):114-118.

葛永彬  律师

上海办公室  合伙人

业务领域：中国内地资本市场，香港和境外资本市场，合规和调查

特色行业类别：健康与生命科学

董剑平  律师

上海办公室  合伙人

业务领域：中国内地资本市场，香港和境外资本市场，私募股权和投资基金

《国际协调视角下我国去中心化临床试验实践（下）》

特别声明

以上所刊登的文章仅代表作者本人观点，不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。

如需转载或引用该等文章的任何内容，请私信沟通授权事宜，并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权，不得转载或使用该等文章中的任何内容，含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨，欢迎与本所联系。