作者:葛永彬 董剑平
来源:中国食品药品监管杂志 中伦视界
摘要
医疗大数据构成临床研究尤其是真实世界临床研究中不可或缺的基线数据。使用医疗大数据进行真实世界临床研究时,需要解决一系列合规问题,如保护患者的隐私和数据安全,数据共享和知识产权、人类遗传资源合规等,这些合规问题对于真实世界临床研究的可靠性、可用性和可持续性都具有重要影响。建议医疗机构通过构建信息系统的质量管理体系,确保医疗大数据的收集、存储和处理符合规范、科学可靠,并持续提供高质量的医疗大数据;同时建议建立使用者和数据供应商“ 白名单”制度,激励合规的使用者和供应商,监督和管理不符合合规要求的使用者和供应商,以提高合规意识和遵守法规的自觉性。 医疗大数据来源于医疗机构或医联体内部各种数据源的信息系统,包括临床数据、医疗影像、实验室结果等,可以为医疗机构、医药产业链的研发和生产主体等提供全面的数据支持和决策依据。医疗大数据的广泛应用是实现医学模式转变的必要前提和核心动力[1]。与此同时,真实世界临床研究成为评估药物和医疗器械在临床实践中的疗效、安全性和经济效益的重要方法。它基于真实世界的患者数据和临床实践,弥补了临床试验的局限性,提供了更全面、真实和可靠的证据。然而,真实世界临床研究中医疗大数据的合规应用面临诸多挑战,涉及患者数据隐私和安全保护、数据共享、知识产权、人类遗传资源管理等方面。同时,医疗大数据的使用者及供应商合规也应引起重点关注。本文旨在为医疗机构、研究人员和监管机构提供参考,促进医疗大数据在真实世界临床研究中的有效合规应用。
一、医疗大数据支持下的真实世界临床研究
医疗大数据作为真实世界临床研究的源数据之一,涵盖临床、影像和实验室等多种类型的数据,反映了真实的医疗实践和患者情况。医疗大数据包含丰富的临床数据,例如,患者的病历、就诊记录、诊断和治疗信息等。这些数据提供详细的患者特征和疾病进展信息,为真实世界临床研究提供了重要的临床背景和基线数据。研究人员可以利用这些数据进行人群特征分析、疾病进展监测、治疗效果评估等研究,从而更好地了解患者群体的特点和疾病的自然进程。医疗大数据还包含丰富的医疗影像数据,如CT扫描、MRI、X 射线等。这些影像数据可以用于研究疾病的影像特征、诊断准确性以及治疗效果评估等方面。通过对大规模的影像数据进行分析,可以发现疾病的影像特征,提供更准确的诊断和治疗指导,促进疾病管理和临床决策的改进。此外,医疗大数据还囊括了实验室结果数据,包括血液检验、生化指标、遗传检测等。这些数据可以提供患者的生理状态和疾病相关的生物标志物信息。研究人员可以利用这些数据进行生物标志物的分析和相关性研究,探索疾病的发病机制、预后评估以及治疗反应的预测等方面。由此可见,来源于临床实践的医疗大数据为研究者提供多维度、高通量的数据支持,有助于产生外部真实性高的临床证据[2]。因此,通过充分利用医疗大数据资源,可以促进真实世界临床研究的发展,为改善患者临床决策提供科学依据。
二、合规应用关注点
在医疗大数据用于真实世界临床研究的过程中,需要解决一系列合规问题。例如,如何保护患者的隐私和数据安全,如何处理数据共享和知识产权、人类遗传资源合规等问题。这些合规性问题对于真实世界临床研究的可靠性、可用性和可持续性都具有重要影响。
(一)患者的隐私和数据安全
如何有效保护患者的隐私和数据安全是医疗大数据的重要合规关注问题。随着医疗信息技术的迅速发展和医疗数据的大规模积累,医疗大数据成为研究和改进医疗实践的宝贵资源,随之而来的是患者隐私和数据安全面临的风险。在真实世界临床研究场景下,数据的充分利用是以充分保障信息安全为前提的[3]。在医疗大数据中,临床数据、医疗影像、实验室结果等大量敏感数据可能来自几十个甚至上百个系统。这些数据追溯至采集源头,是否均取得了数据(个人信息)主体的授权同意,是否超出采集时所明示的处理目的、方式和范围均需加以合规评估。此外,这些数据以不同的格式和结构存在。由于当前医疗大数据缺乏统一的数据分类分级标准和规范,因此,针对上述多库分离的数据,不同医疗机构所采取的保障数据安全的措施势必存在差异。
为解决这些问题,医疗机构需要采取一系列措施来保护患者的隐私和数据安全。首先,匿名化和去标识化是常用的方法。在数据收集和存储过程中,要对患者的身份信息进行脱敏处理,如删除或替换个人识别信息,以确保数据无法与特定个体直接关联。其次,建立访问控制和权限管理机制也至关重要。通过基于角色的访问控制,确保只有经过授权的人员可以进行特定操作,才能访问和处理敏感数据。加密技术也是数据安全的重要手段之一。通过采用加密算法对敏感数据进行加密,数据在传输和存储过程中得以保护。强密码和密钥管理措施的使用能有效防止未经授权的人员获取敏感数据。此外,建立数据安全审计机制也是必要的。通过记录和监控数据的访问、修改和传输情况,可以及时发现和追踪数据安全事件,保证数据的完整性和可追溯性。
1. 匿名化和去标识化
根据《中华人民共和国个人信息保护法》第四条的有关规定,匿名化处理后的信息不是个人信息。但未采用匿名化处理仅采用去标识化处理的信息可能依然属于个人信息范畴。可见,匿名化和去标识化都可以减少数据主体被识别的风险,但它们的技术方法和实施后的法律效果有所不同。 (1)匿名化。根据《信息安全技术 个人信息安全规范》(GB/T 35273—2020)(以下简称《个人信息安全规范》)的规定,匿名化是指通过对个人信息的技术处理,使得个人信息主体无法被识别或者关联,且处理后的信息不能被复原的过程。匿名化的目的是防止个人信息和(或)数据主体被识别。在匿名化过程中,所有能够直接或间接识别个人的数据都会被修改或删除,以确保数据主体的身份无法被确定。匿名化的方法包括数据掩蔽、数据混淆、数据交换和数据伪造等。这些方法可以单独使用,也可以组合使用,以达到最佳的匿名化效果。 (2)去标识化。根据《个人信息安全规范》的规定,去标识化是指通过对个人信息的技术处理,使其在不借助额外信息的情况下,无法识别或者关联个人信息主体的过程。去标识化的目的是减少数据主体被识别的风险,但其依然建立在个体基础之上,保留了个体颗粒度,采用假名、加密、哈希函数等技术手段替代对个人信息的标识。因此,即使个人健康医疗数据采取了数据删除、数据替换、数据编码和数据聚合等去标识化技术手段,其依然存在重新识别或复原个人身份的可能性,使用此类信息时需要考虑《中华人民共和国个人信息保护法》等法律法规的要求。 在医疗大数据应用实践中,匿名化或去标识化有助于解决患者隐私保护问题。在遵守个人信息保护相关法规的前提下,允许研究人员和数据科学家使用大规模的真实世界数据进行研究和分析,可以促进涉及生命科学和医学研究开展。同时,这些技术也有助于建立公众对医疗大数据使用的信任,促进医疗创新发展。然而,尽管匿名化和去标识化可以降低患者隐私泄露的风险,但也需要注意其局限性。在现有技术发展水平下,在统计等场景外暂时无法实现绝对的匿名化,因为匿名化会大大减损数据的使用价值,可能导致医疗大数据在大多数应用场景中无法使用。因此,实践中不应轻易认定医疗大数据属于匿名化后的数据,进而忽视个人信息保护相关法律法规的要求。此外,临床试验中去标识化的医疗大数据可能面临摆脱鉴认代码(即用于恢复识别个人的信息)而被重新识别的风险。因此,在进行匿名化和去标识化处理时,需要综合考虑数据的特征、使用环境和法规要求,采取适当的技术和方法。同时,建议对数据脱敏状态进行定期动态评估,确保数据的隐私和安全。
2. 知情同意
鉴于匿名化处理后的信息不属于个人信息,因此,将匿名化处理后的医疗大数据用于真实世界临床研究时,无需取得患者知情同意。但是,对于未匿名化的数据或仅去标识化的数据,适当取得患者的知情同意是保护患者权益的重要方面。传统上,临床研究通常要求直接获得每个患者的知情同意,但这在大规模真实世界临床研究中存在困难。为了解决这一问题,“ 泛知情”的方法被提出,以更好地保护患者的隐私。“泛知情”是指在向患者提供研究的基本信息和目的,让患者在明确了解研究的整体框架后,以广泛、泛化的方式获得知情同意。这种方法与传统的针对具体研究的知情同意形式有所不同,但仍需满足一系列条件以确保合规性和患者权益的保护。 (1)对于前瞻性研究,无论是观察性还是干预性研究,包括使用可识别身份的人体材料或数据的研究,研究人员必须征得患者的知情同意,并向其充分解释研究内容。具体选择书面知情同意还是口头、电话、电子等方式,可根据研究实施的可行性进行选择。例如,对于实效性干预性临床研究和一些队列研究或能接触到研究对象的横断面研究,可以采用书面知情同意方式。而对于无法接触到研究对象的横断面研究或大规模前瞻性队列研究,可以考虑采用泛知情同意方式。泛知情同意给予受试者事先知晓其标本或数据可能被用于未来研究的机会,并让其自主决定是否同意参与研究。 (2)对于回顾性研究,如病例对照研究或回顾性队列研究,可以申请豁免知情同意。根据《信息安全技术 健康医疗数据安全指南》的有关规定,当生物样本使用符合特定条件时,如之前已经签署了泛知情同意、研究不超出泛知情同意范围,或使用已经去标识化或匿名化的医疗大数据和(或)生物样本进行公益性研究,可以豁免知情同意。然而,若回顾性研究需要进行随访或能接触到研究对象,或对已去标识化的个人健康数据和生物材料进行超出原有处理目的的回顾性研究时,应重新征得患者的特定研究知情同意,可采用电话或口头等方式,并做好相应记录。 涉及使用健康数据、个人信息或敏感信息的研究,应关注可能涉及的隐私和数据安全风险等[4]。在使用医疗大数据的真实世界临床研究中,除了采用匿名化或是去标识化等技术手段以外,选择合适的知情同意方式更是确保患者权益和隐私安全的关键。对于前瞻性研究,根据研究类型和实施的可行性,选择书面或非书面的知情同意方式。对于回顾性研究,根据是否涉及随访或接触研究对象,以及样本的去标识化程度,考虑是否需要重新征得患者特定研究知情同意。在实施过程中,需要遵循相关法规和伦理要求,并做好知情同意记录和管理。
3. 访问控制、权限管理和审计
访问控制、权限管理和审计是医疗机构确保信息系统中数据安全和隐私保护的重要手段。其用于管理和限制对医疗大数据的访问,并确保只有授权人员可以获取和处理数据。通常,在医疗机构收集、存储医疗大数据的各项信息系统中可以采取以下访问控制和权限管理的方式。 (1)用户身份验证:信息系统应实施严格的用户身份验证机制,以确保只有合法和授权的用户可以访问数据。这通常涉及使用唯一的用户名和密码进行登录,或采用更安全的身份验证方法,如个人生物识别信息。 (2)角色和权限分配:根据用户的职责和需求,将其分配到不同的角色,并为每个角色分配相应的权限。通过角色和权限的定义,可以限制用户对数据的访问和操作范围,确保数据安全和隐私保护。 (3)细粒度的权限控制:医疗机构各项信息系统应提供细粒度的权限控制机制,允许管理员对不同的数据元素、功能和操作进行精确的权限配置。例如,可以将数据访问权限限制在特定的研究项目或特定的数据类型上,只允许特定的用户或用户组进行访问。 (4)审计日志和监测:信息系统应记录和监测用户的操作,包括数据访问、查询、修改和导出等活动。审计日志可以提供对各类医疗大数据访问情况的完整记录,并用于监测和检测潜在的安全问题和违规行为。 (5)数据加密和传输安全:采用加密技术来保护医疗大数据的传输和存储安全。数据在传输过程中应使用安全的通信协议,如HTTPS,以防止数据被篡改或窃取。同时,对于存储在信息系统中的敏感医疗大数据,应采用加密算法对数据进行加密,以防止未经授权的访问和泄露。 (6)定期的权限审查:定期进行权限审查,对用户的权限进行评估和更新。随着用户角色和职责的变化,需要及时调整其权限,确保权限与实际需求保持一致,并避免权限滥用或误用。
(二)数据共享和知识产权
数据共享和知识产权问题在医疗大数据用于真实世界临床研究中是一个重要且复杂的议题。它涉及数据所有者(患者)与医疗大数据处理者(医疗机构)之间的法律关系,以及医疗机构与第三方真实世界研究平台之间的数据共享。
在医疗大数据中,个人健康医疗数据(如电子病历、诊断结果等)的所有者是患者本人。患者通过知情同意授权医疗机构使用这些数据,实现数据共享。医疗机构与第三方真实世界研究平台之间的数据共享也是一个关键问题,需要建立适当的数据共享机制和合同协议,明确数据使用的目的、范围和期限,并确保数据使用符合法律法规和伦理要求。
同时,医疗机构和第三方真实世界研究平台之间还涉及知识产权问题。在医疗大数据的使用和分析过程中,可能会产生新的发现。对于这些知识产权,需要明确归属和权益分配。一方面,医疗机构作为数据的提供者可能对其中的知识产权享有一定的权益;另一方面,第三方真实世界研究平台可能在数据分析和研究过程中产生新的知识产权权益。因此,需要在合同协议中明确知识产权的归属和权益分配,以充分保护各方的合法权益。
在医疗大数据的应用过程所形成法律关系中的各利益关系人之间需要具有合理分配权益的法律依据和客观衡量标准[5]。为了解决数据共享和知识产权问题,以下几点措施供读者参考。
(1)建立分类分级制度:建立分类分级制度,明确不同级别或类别医疗大数据的安全措施和权限控制要求。正如有学者指出,不同级别的个人信息,按照信息安全法益的重要程度选择不同的保护模式[6]。根据医疗大数据的分类级别,确定相应的数据访问权限、数据存储和传输方式、数据加密等安全措施。 (2)实施分类分级措施:根据分类分级制度,对医疗大数据进行实际的分类分级操作。确保医疗大数据按照规定的标准进行分类,将相应的安全措施和权限控制应用到不同级别或类别的数据上。 (3)建立合同法律关系:医疗机构和第三方真实世界研究平台之间应建立明确的合同法律关系,规定数据共享的目的、范围、期限和权益分配等内容。合同应充分考虑数据所有者的权益保护和隐私保护要求。 (4)强化数据安全和隐私保护措施:医疗机构和第三方真实世界研究平台应采取严格的数据安全和隐私保护措施,确保数据在共享和使用过程中的安全性和合规性。例如,采用数据加密、匿名化和访问控制等技术手段。 (5)设立数据访问和使用审查机制:建立医疗大数据访问和使用审查机制,对第三方真实世界研究平台的数据访问和使用进行审查和监督,确保数据使用符合法律法规和伦理要求。 (6)加强知识产权管理:明确医疗大数据使用和分析过程中产生的知识产权归属和权益分配,通过协商和合同约定解决潜在的知识产权纠纷。
(三)人类遗传资源合规
医疗大数据涵盖医疗记录、影像、实验室结果和基因组数据等多种信息,为研究人员提供了强大的数据资源来深入了解疾病发病机制、治疗效果和患者群体特征。然而,这些数据中可能涉及个体的遗传信息。人类遗传资源是进行生命科学研究的重要物质和信息基础,可为认识疾病的发生和发展规律提供基础资料,保障并推动疾病预防、干预和控制策略开发,其是推动公众健康和生命安全的基础性、战略性和公益性资源[7]。因此,确保医疗大数据用于真实世界临床研究中的人类遗传资源合规也是不可回避的重要议题。
建议医疗机构对人类遗传资源信息进行准确的分类。在处理和存储医疗大数据时,医疗机构明确区分人类基因、基因组数据等遗传信息与其他临床数据、影像数据、蛋白质数据和代谢数据等非遗传信息。这有助于确保遗传信息的隐私和安全,并便于对相关信息进行合规管理。其次,当医疗机构对外提供人类遗传资源信息时,需要特别关注使用者的外资身份。根据新实施的《人类遗传资源管理条例实施细则》(以下简称实施细则)的有关规定,境外组织、个人设立或实际控制的机构在获取和使用人类遗传资源信息时需要满足一定的合规要求。医疗机构应当严格审查和核实使用者的身份,确保其符合相关法律法规的规定,避免不当使用和非法流失遗传资源信息。此外,根据实施细则的规定,涉及人类遗传资源的真实世界临床研究,具体的研究活动可能需要申请行政许可或备案,以确保合规性。医疗机构和相关研究人员应当了解和遵守相关的行政许可和备案要求,并确保及时进行申请和报告, 以便合规地进行研究活动。
三、质量管理体系再造和“白名单”制度
(一)质量管理体系再造
医疗大数据在真实世界临床研究中扮演着重要角色。采用信息化质控管理方法和手段能产生良好的社会效益和经济效益[8]。基于上文中提到的合规关注点,笔者建议医疗机构从构建质量管理体系(Quality Management System, QMS) 的角度考虑完善各类收集、存储医疗大数据的信息系统( 例如,HIS、MDT、专病库),对数据收集、数据管理全过程实施相应的质量保证措施[9],以确保医疗大数据的收集、存储和处理符合规范、科学可靠,并能持续提供高质量的数据。QMS 是由一系列规程、流程和标准组成的,旨在确保数据的完整性、可靠性、一致性,以及数据采集、存储和分析的合规性和有效性。通过建立QMS,医疗机构各项信息系统可以保证在真实世界临床研究中医疗大数据具有可追溯性、可验证性和可重复性,从而提升数据的可信度和科学性。QMS 再造重点关注以下关键环节:①明确医疗机构在数据采集、存储、传输和分析等方面操作标准流程(Standard Operating Procedure, SOP);② 制定培训计划,确保医疗机构各项信息系统的操作人员具备必要的知识和技能,能够按照QMS 的要求进行工作和执行;③建立风险管理机制,及时识别和应对可能的风险和问题;④定期审查和评估QMS 的有效性,并根据实际情况进行改进和优化,实现动态管理。
(二)信息系统供应商和用户“白名单“制度
供应商在医疗机构各项信息系统的建设和运营中起着重要的作用。随着信息技术服务外包(ITOutsourcing)的飞速发展和普及,越来越多的企业开始向专业化的IT 供应商外包信息系统[10]。供应商提供各种技术、设备和服务,支持信息系统的正常运行和医疗大数据的获取、存储、处理等环节。例如,有学者曾指出,利用智能化的信息技术,对研究病例对应的电子病历(Electronic Medical Record, EMR) 中的源数据进行自动获取,对于非结构文本数据进行智能化加工提取和辅助研究者医学判定,最终将结构化、标准化和去隐私化的临床研究数据用于临床研究的数据管理,以达到提高真实世界研究(Real World Study, RWS) 数据收集的效率与质量的效果[11]。
供应商合规是一个重要的关注点。医院应建立信息系统供应商的动态合规管理体系,包括以下要点。 (1)对供应商进行资质核实,确保其具备相应的技术能力和专业资质来提供数据支持和服务,通过审查供应商的相关证书、资质文件、技术实力以及过往经验等方式进行核实。 (2)建立供应商绩效评价机制,定期对供应商的合规性和服务质量进行动态评估,评价指标可以包括数据安全性、合规性、数据质量、服务响应能力等方面。通过绩效评价,医院可以及时发现供应商的不足并采取相应措施进行改进或终止合作。例如,某国有大型企业供应商整体实力评分由物资供应部门组织相关部门或单位,从财务资信状况、技术装备水平、质量管理、产品研发能力、市场竞争程度、仓储管理、检验管理等方面评价打分[12]。 (3)明确规定供应商不良行为的定义和处理措施,并与供应商签订合同,明确双方的权益和责任。如果供应商发生不良行为,如数据泄露、违反合规规定等,医院应及时采取必要的措施进行处理,包括中止合作、追究责任等。 (4)根据供应商的合规性、安全性和可靠性将其进行分类分级管理。不同级别的供应商满足不同的合规要求和安全标准。这有助于医院更有针对性地管理供应商,并确保与高风险供应商的合作得到特别关注和严格控制。 运用医疗大数据开展真实世界临床研究的用户包括医疗机构、相关外部合作机构、学术界、甚至是工业界的研究人员等。用户的合规使用对于确保源数据符合规范、科学可靠至关重要。医疗机构或第三方真实世界研究平台应针对用户的以下不合规行为进行规范和管理:如①用户未获得相应的访问权限或超越其权限范围访问数据;②用户将数据用于非法、违规或未经授权的目的,例如,将数据用于损害他人权益的活动;③用户未采取必要的安全措施导致数据泄露或侵犯患者隐私权的;④用户在数据使用过程中违反了事先与医院或第三方真实世界研究平台达成的数据使用协议或合同约定的,例如,超出了数据使用的范围、未经授权分享数据等。
基于上述就供应商和用户的合规考量,建立供应商和用户的“白名单”制度将成为一项行之有效的举措。该措施一方面对遵纪守法、行为合规的供应商和用户予以认可和奖励;另一方面, 对不符合合规要求的供应商和用户进行监督和管理, 要求他们实施并完成合规整改义务。换言之, 行为合规与否将成为供应商和用户能否参与医疗大数据建设与应用的前提条件和动态考评核心指标。供应商和用户只有更加注重合规要求,不断提高合规意识和遵守法规的自觉性, 才有机会参与高质量的信息化建设项目或是获得医疗大数据各项服务。对于医疗机构而言, 通过定期公布的“白名单”,医院可以识别和认可那些具备良好合规记录和表现的供应商和用户, 并以此为基础建立可靠的合作伙伴关系,降低合规风险事件和违规行为发生的概率。与此同时,“白名单”应定期更新,以反映对供应商和用户施行动态管理后的最新合规状况,确保他们持续遵守合规要求。可以预见,通过建立供应商和用户“白名单”制度,监管部门、医院、用户均可更好地了解、管理和应对合规风险,确保医疗大数据用于真实世界临床研究的操作符合规范、科学可靠,有助于营造一个诚信、合规的环境,促进行业的健康发展。 四、小结 我国的真实世界临床研究尚处于爬坡迈坎的发展阶段,如何充分运用医疗大数据的价值实现RWS 加速发展,有赖于是否遵循患者数据隐私和安全保护、数据共享、知识产权、人类遗传资源管理等方面的法律法规。此外,医疗机构的内部合规管理和监管部门的外部行政举措也应积极回应日益复杂的行业发展趋势,由点及面推行质量管理体系再造和“白名单”制度将推动医疗大数据在真实世界临床研究中的合规应用。 注] (本文仅代表作者观点,不代表本公众号立场。)