利用医疗大数据开展真实世界临床研究的合规性要求（下）

真实世界临床研究中医疗大数据的合规应用面临诸多挑战，涉及患者数据隐私和安全保护、数据共享、知识产权、人类遗传资源管理等方面。同时，医疗大数据的使用者及供应商合规也应引起重点关注。

作者丨葛永彬 董剑平

上篇回顾

《利用医疗大数据开展真实世界临床研究的合规性要求（上）》中重点介绍了医疗大数据用于真实世界临床研究的重要性，以及应用过程中需要解决的一系列合规问题。在本篇中，我们将承接上篇，继续围绕数据共享和知识产权、人类遗传资源两个合规关注点展开分析，同时推行质量管理体系再造和“白名单”制度措施，为医疗机构、研究人员和监管机构提供参考，促进医疗大数据在真实世界临床研究中的有效合规应用。

 （二）数据共享和知识产权

数据共享和知识产权问题在医疗大数据用于真实世界临床研究中是一个重要且复杂的议题。它涉及数据所有者（患者）与医疗大数据处理者（医疗机构）之间的法律关系，以及医疗机构与第三方真实世界研究平台之间的数据共享。

在医疗大数据中，个人健康医疗数据（如电子病历、诊断结果等）的所有者是患者本人。患者通过知情同意授权医疗机构使用这些数据，实现数据共享。医疗机构与第三方真实世界研究平台之间的数据共享也是一个关键问题，需要建立适当的数据共享机制和合同协议，明确数据使用的目的、范围和期限，并确保数据使用符合法律法规和伦理要求。

同时，医疗机构和第三方真实世界研究平台之间还涉及知识产权问题。在医疗大数据的使用和分析过程中，可能会产生新的发现。对于这些知识产权，需要明确归属和权益分配。一方面，医疗机构作为数据的提供者可能对其中的知识产权享有一定的权益；另一方面，第三方真实世界研究平台可能在数据分析和研究过程中产生新的知识产权权益。因此，需要在合同协议中明确知识产权的归属和权益分配，以充分保护各方的合法权益。

在医疗大数据的应用过程所形成法律关系中的各利益关系人之间需要具有合理分配权益的法律依据和客观衡量标准[5]。为了解决数据共享和知识产权问题，以下几点措施供读者参考。

（1）建立分类分级制度：建立分类分级制度，明确不同级别或类别医疗大数据的安全措施和权限控制要求。正如有学者指出，不同级别的个人信息，按照信息安全法益的重要程度选择不同的保护模式[6]。根据医疗大数据的分类级别，确定相应的数据访问权限、数据存储和传输方式、数据加密等安全措施。

（2）实施分类分级措施：根据分类分级制度，对医疗大数据进行实际的分类分级操作。确保医疗大数据按照规定的标准进行分类，将相应的安全措施和权限控制应用到不同级别或类别的数据上。

（3）建立合同法律关系：医疗机构和第三方真实世界研究平台之间应建立明确的合同法律关系，规定数据共享的目的、范围、期限和权益分配等内容。合同应充分考虑数据所有者的权益保护和隐私保护要求。

（4）强化数据安全和隐私保护措施：医疗机构和第三方真实世界研究平台应采取严格的数据安全和隐私保护措施，确保数据在共享和使用过程中的安全性和合规性。例如，采用数据加密、匿名化和访问控制等技术手段。

（5）设立数据访问和使用审查机制：建立医疗大数据访问和使用审查机制，对第三方真实世界研究平台的数据访问和使用进行审查和监督，确保数据使用符合法律法规和伦理要求。

（6）加强知识产权管理：明确医疗大数据使用和分析过程中产生的知识产权归属和权益分配，通过协商和合同约定解决潜在的知识产权纠纷。

（三）人类遗传资源合规

医疗大数据涵盖医疗记录、影像、实验室结果和基因组数据等多种信息，为研究人员提供了强大的数据资源来深入了解疾病发病机制、治疗效果和患者群体特征。然而，这些数据中可能涉及个体的遗传信息。人类遗传资源是进行生命科学研究的重要物质和信息基础，可为认识疾病的发生和发展规律提供基础资料，保障并推动疾病预防、干预和控制策略开发，其是推动公众健康和生命安全的基础性、战略性和公益性资源[7]。因此，确保医疗大数据用于真实世界临床研究中的人类遗传资源合规也是不可回避的重要议题。

建议医疗机构对人类遗传资源信息进行准确的分类。在处理和存储医疗大数据时，医疗机构明确区分人类基因、基因组数据等遗传信息与其他临床数据、影像数据、蛋白质数据和代谢数据等非遗传信息。这有助于确保遗传信息的隐私和安全，并便于对相关信息进行合规管理。其次，当医疗机构对外提供人类遗传资源信息时，需要特别关注使用者的外资身份。根据新实施的《人类遗传资源管理条例实施细则》（以下简称实施细则）的有关规定，境外组织、个人设立或实际控制的机构在获取和使用人类遗传资源信息时需要满足一定的合规要求。医疗机构应当严格审查和核实使用者的身份，确保其符合相关法律法规的规定，避免不当使用和非法流失遗传资源信息。此外，根据实施细则的规定，涉及人类遗传资源的真实世界临床研究，具体的研究活动可能需要申请行政许可或备案，以确保合规性。医疗机构和相关研究人员应当了解和遵守相关的行政许可和备案要求，并确保及时进行申请和报告，以便合规地进行研究活动。

三、质量管理体系再造和“白名单”制度

（一）质量管理体系再造

医疗大数据在真实世界临床研究中扮演着重要角色。采用信息化质控管理方法和手段能产生良好的社会效益和经济效益[8]。基于上文中提到的合规关注点，笔者建议医疗机构从构建质量管理体系（Quality Management System, QMS）的角度考虑完善各类收集、存储医疗大数据的信息系统（例如，HIS、MDT、专病库），对数据收集、数据管理全过程实施相应的质量保证措施[9]，以确保医疗大数据的收集、存储和处理符合规范、科学可靠，并能持续提供高质量的数据。QMS是由一系列规程、流程和标准组成的，旨在确保数据的完整性、可靠性、一致性，以及数据采集、存储和分析的合规性和有效性。通过建立QMS，医疗机构各项信息系统可以保证在真实世界临床研究中医疗大数据具有可追溯性、可验证性和可重复性，从而提升数据的可信度和科学性。QMS再造重点关注以下关键环节：①明确医疗机构在数据采集、存储、传输和分析等方面操作标准流程（Standard Operating Procedure, SOP）；②制定培训计划，确保医疗机构各项信息系统的操作人员具备必要的知识和技能，能够按照QMS的要求进行工作和执行；③建立风险管理机制，及时识别和应对可能的风险和问题；④定期审查和评估QMS的有效性，并根据实际情况进行改进和优化，实现动态管理。

（二）信息系统供应商和用户“白名单”制度

供应商在医疗机构各项信息系统的建设和运营中起着重要的作用。随着信息技术服务外包（IT Outsourcing）的飞速发展和普及，越来越多的企业开始向专业化的IT供应商外包信息系统[10]。供应商提供各种技术、设备和服务，支持信息系统的正常运行和医疗大数据的获取、存储、处理等环节。例如，有学者曾指出，利用智能化的信息技术，对研究病例对应的电子病历（Electronic Medical Record, EMR）中的源数据进行自动获取，对于非结构文本数据进行智能化加工提取和辅助研究者医学判定，最终将结构化、标准化和去隐私化的临床研究数据用于临床研究的数据管理，以达到提高真实世界研究（Real World Study, RWS）数据收集的效率与质量的效果[11]。

供应商合规是一个重要的关注点。医院应建立信息系统供应商的动态合规管理体系，包括以下要点。

（1）对供应商进行资质核实，确保其具备相应的技术能力和专业资质来提供数据支持和服务，通过审查供应商的相关证书、资质文件、技术实力以及过往经验等方式进行核实。

（2）建立供应商绩效评价机制，定期对供应商的合规性和服务质量进行动态评估，评价指标可以包括数据安全性、合规性、数据质量、服务响应能力等方面。通过绩效评价，医院可以及时发现供应商的不足并采取相应措施进行改进或终止合作。例如，某国有大型企业供应商整体实力评分由物资供应部门组织相关部门或单位，从财务资信状况、技术装备水平、质量管理、产品研发能力、市场竞争程度、仓储管理、检验管理等方面评价打分[12]。

（3）明确规定供应商不良行为的定义和处理措施，并与供应商签订合同，明确双方的权益和责任。如果供应商发生不良行为，如数据泄露、违反合规规定等，医院应及时采取必要的措施进行处理，包括中止合作、追究责任等。

（4）根据供应商的合规性、安全性和可靠性将其进行分类分级管理。不同级别的供应商满足不同的合规要求和安全标准。这有助于医院更有针对性地管理供应商，并确保与高风险供应商的合作得到特别关注和严格控制。

运用医疗大数据开展真实世界临床研究的用户包括医疗机构、相关外部合作机构、学术界、甚至是工业界的研究人员等。用户的合规使用对于确保源数据符合规范、科学可靠至关重要。医疗机构或第三方真实世界研究平台应针对用户的以下不合规行为进行规范和管理：如①用户未获得相应的访问权限或超越其权限范围访问数据；②用户将数据用于非法、违规或未经授权的目的，例如，将数据用于损害他人权益的活动；③用户未采取必要的安全措施导致数据泄露或侵犯患者隐私权的；④用户在数据使用过程中违反了事先与医院或第三方真实世界研究平台达成的数据使用协议或合同约定的，例如，超出了数据使用的范围、未经授权分享数据等。

基于上述就供应商和用户的合规考量，建立供应商和用户的“白名单”制度将成为一项行之有效的举措。该措施一方面对遵纪守法、行为合规的供应商和用户予以认可和奖励；另一方面，对不符合合规要求的供应商和用户进行监督和管理，要求他们实施并完成合规整改义务。换言之，行为合规与否将成为供应商和用户能否参与医疗大数据建设与应用的前提条件和动态考评核心指标。供应商和用户只有更加注重合规要求，不断提高合规意识和遵守法规的自觉性，才有机会参与高质量的信息化建设项目或是获得医疗大数据各项服务。对于医疗机构而言，通过定期公布的“白名单”，医院可以识别和认可那些具备良好合规记录和表现的供应商和用户，并以此为基础建立可靠的合作伙伴关系，降低合规风险事件和违规行为发生的概率。与此同时，“白名单”应定期更新，以反映对供应商和用户施行动态管理后的最新合规状况，确保他们持续遵守合规要求。可以预见，通过建立供应商和用户“白名单”制度，监管部门、医院、用户均可更好地了解、管理和应对合规风险，确保医疗大数据用于真实世界临床研究的操作符合规范、科学可靠，有助于营造一个诚信、合规的环境，促进行业的健康发展。

四、小结

我国的真实世界临床研究尚处于爬坡迈坎的发展阶段，如何充分运用医疗大数据的价值实现RWS加速发展，有赖于是否遵循患者数据隐私和安全保护、数据共享、知识产权、人类遗传资源管理等方面的法律法规。此外，医疗机构的内部合规管理和监管部门的外部行政举措也应积极回应日益复杂的行业发展趋势，由点及面推行质量管理体系再造和“白名单”制度将推动医疗大数据在真实世界临床研究中的合规应用。

[注] 

[5] 关健. 医学科学数据共享与使用的伦理要求和管理规范(十)大数据产权认定解决方案的建议[J]. 中国医学伦理学,2021,34(1):22-26.

[6] 张勇. 数据安全分类分级的刑法保护[J]. 法治研究,2021(3):17-27.

[7] 董晨章,朱晓燕,姜来,等. 我国人类遗传资源应用与管理现状[J]. 上海预防医学,2023,35(5):513-517.

[8] 沈英梅. 质控科在医院三级质控体系中的应用效果[J]. 中国医学创新,2018,15(21):80-84.

[9] 姚晨. 利用好真实世界数据生产高质量真实世界证据支持药械监管[J]. 中国食品药品监管,2020(2):22-27.

[10] 黄河,胡旻卉. 不对称信息下信息技术服务外包合同设计[J]. 中国管理科学,2022,30(4):144-154.

[11] 董冲亚,姚晨,高嵩,等. 加强医院临床研究源数据管理，提高我国临床研究数据质量[J]. 中国循证医学杂志,2019,19(11):1255-1261.

[12] 贺建华,徐娇. 信息系统下的供应商评价与优化[J]. 中国石化,2014(4):54-55.

葛永彬  律师

上海办公室  合伙人

业务领域：中国内地资本市场，香港和境外资本市场，合规和调查

特色行业类别：健康与生命科学

董剑平  律师

上海办公室  合伙人

业务领域：中国内地资本市场，香港和境外资本市场，私募股权和投资基金

《利用医疗大数据开展真实世界临床研究的合规性要求（上）》

《国际协调视角下我国去中心化临床试验实践（下）》

特别声明

以上所刊登的文章仅代表作者本人观点，不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。

如需转载或引用该等文章的任何内容，请私信沟通授权事宜，并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权，不得转载或使用该等文章中的任何内容，含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨，欢迎与本所联系。