朱凯
朱凯
上海-浦东新区专职律师执业15年
查看服务地区

咨询我

在新的欧盟通用数据保护条例环境下以研究为目的的基因数据处理规则(1)

作者:朱凯时间:2020年01月02日分类:法学论文浏览:389次

作者:Mahsa Shabani 和Pascal Borry

本文发表于2017年11月《欧洲人类基因学杂志》

翻译:朱凯,锦天城律师事务所律师

摘要

基因数据包含有关个人及其家庭成员敏感的且与健康有关或无关的信息。因此,在出于研究或者临床目的而使用基因数据时,采取适当的隐私保护措施至关重要。欧盟针对个人数据保护的主要法律之一是新的《欧盟通用数据保护条例》,该条例于2016年5月生效,并废除了此前的《95/46/EC指令》,其最终目标是为欧盟在个人数据保护方面提高有效性和一致性。本文探讨了新法规中与使用基因数据有关的主要规定,并评估了这些进一步的法律保障对为研究而共享基因数据产生的影响。新法规试图通过将“假名化后的数据”归为个人数据并将基因数据包含在敏感数据这个特殊类别中来阐明个人数据的保护范围。此外,新法规规定了一套新的规则,将出于科学研究目的使用个人数据作为豁免。例如,当满足特定条件,允许未经获得额外同意而将基因数据进一步用于科研。由于各成员国在实施新法规时可能出现的挑战,新法规已经引起了各利益相关方的关注。值得注意的是,由于对“假名数据”的解释留下了太多的空间可能破坏各国数据保护制度的,新法规在定义“假名数据”方面受到了批评。

背景

基因组学和生物信息学的最新进展已经导致从临床和研究中产生大量的基因组数据。为了更好地理解这些数据并确定疾病与底层基因因素之间的潜在相关性,在研究和临床中进行基因组数据共享被普遍认为具有必要性[引1,2]。鉴于越来越多在数据共享方面的实践,使得个人级别的基因组数据使用时采取对数据主体适当法律保护的重要性开始被强调。将可身份识别基因组数据共享是使用个人数据的一种形式,因而它将落入新的数据保护法律的调整范围之中[引3]。

基因数据包含数据主体及其血亲的独特信息,突显了二次处理基因组数据时采取适当的隐私保护措施的重要性[引4,5]。联合国教科文组织于2003年10月16日发布了《人类基因数据国际宣言》,作为1997年11月11日的《人类基因组和人权世界宣言》的补充,充分表明其对基因组数据采取充分隐私保护措施的认同。

基于国际人权保护制度,在欧盟级别上已经建立了关于隐私权特别是基因组隐私权的保护制度,以便提供可用来强制执行的法律手段保护个人隐私。在欧盟,欧洲议会和欧盟理事会在使用个人数据以及该等数据自由流动方面进行个人保护的《95/46/EC指令》被建立起来,用来对个人数据进行保护(以下简称为“《指令》”)。《指令》制定的目的是为了确保通过信息技术合法地、公正地使用个人数据。该《指令》被明确仅仅适用于“个人数据”,并且排除了那些无法“直接或间接”进行身份归宿或被是作为匿名的数据。《指令》规定,个人数据的使用应当符合收集这些数据的初始目的,并且仅可将这些数据保留至实现这些初始目的为止。

2009年起欧盟委员会开始对《指令》进行改革。基于信息通信技术的发展已经显著改变了跨界的大数据采集、存储和传输,这项改革的最终目标是使得该《指令》跟随信息通信技术的进步更加有效。此外,由于原来的《指令》须转换为欧盟各成员国的国内法因而产生了27个不同国家版本的法律法规,欧盟在整个数据保护领域已经缺乏协调一致,因此需要通过一个可以在所有成员国直接执行的新法规替代原来的《指令》。欧盟委员会于2012年1月发布了“欧洲议会和欧盟理事会关于在使用个人数据和此类数据自由流动方面个人保护的法规提案”,之后欧洲议会于2014年3月12日对提案进行了修正。此后,欧盟委员会在2015年6月15日同意了该提案的修订稿,三个欧盟机构(欧盟委员会、欧洲议会和欧盟理事会)开始对此进行三方商讨。经过三个欧盟机构的协商,2015年12月15日,欧盟委员会、欧洲议会和欧盟理事会就新的数据保护规则达成了协议。《欧盟通用数据保护条例》(以下简称“《条例》”或者“GDPR”)的最终目标是协调和统一整个欧盟的数据保护、促进跨境信息流动以及加强隐私保护。2016年5月4日,《条例》的正式文本在欧盟官方杂志上以所有正式语言发布。《条例》于2016年5月24日生效,自2018年5月25日起适用。

在本文中,我们将分析在GDPR中的四个要素对以研究目的而使用基因组数据的影响。这四个要素包括:个人数据的定义和范围,在个人数据项下特殊类别中对基因数据的认定,研究目的使用个人数据的豁免,以及研究豁免情况下使用数据的条件和数据保护措施。为此,我们将严格审查GDPR和《指令》中的相关规定并进行对比。我们的讨论也将受益于现有评论所提供的论据以及研究组织和专业机构的立场和声明。

个人数据的定义和范围

“个人数据”的定义是《条例》框架内的关键定义。一旦根据《条例》将数据归为个人数据,该等数据的使用则应根据第6条所规定的主要原则进行。此前,《指令》在个人数据的定义方面之所以受到诟病就是因为其在许多方面没有对个人数据的范围进行明确的界定,包括对匿名化数据和匿名数据进行区分[引6]、明确数字秘钥的地位、以及假名数据。

在GDPR的定义中,将原《指令》对个人数据定义的核心要素保留下来,将个人数据主要定义为“与已身份识别或可进行身份识别的自然人(即“数据主体”)有关的任何信息”。但是,在标识符目录中,《条例》将“基因”(第4.1条)包含在个人信息中而原来的《指令》没有做这样的规定。尽管“基因”通常被作为身份识别要素的示例,但可以认为这仅适用于识别基因要素[引7]。

此外,《条例》在第26条中对个人数据的范围进行解释的时候,没有区分匿名数据和匿名化数据。此前,对匿名数据(永远无法进行身份识别的数据)和匿名化数据(经匿名处理后的数据)进行区分曾被书面提出。Beyleveld认为将个人数据进行匿名化处理应当被作为数据的一种“使用”方式。因而,此类数据应当列入数据保护法规的调整范围,并且出于数据保护法规的立法目的,这种匿名化行为应被作为数据使用[引8]。这一理念与第29条工作组的建议产生共鸣。第29条工作组是根据《指令》设立的独立机构,该工作组定期发表与《指令》相关事务的声明并在《指令》条款解释方面具有极大的影响力。工作组代表成员来自于成员国的数据保护机构、欧盟委员会和欧盟数据保护主管机构。第29条工作组曾指出,“匿名化构成对个人数据的进一步使用;因此,它必须考虑进一步使用的法律环境和情况以符合兼容性的要求”。因此,如果该数据是匿名化处理后的,GDPR将以统计和研究为目的而使用数据在数据保护范围之中予以排除。该规定的重要意义在于,如果个人数据以可身份识别的方式进行收集后又进行了匿名化处理,那么数据主体将无权享有数据保护权。一个例子是,当数据通过临床以可身份识别的方式进行收集,又将其进行匿名处理后再提供给出于不同目的的私人或公共团体。尽管GDPR基于其立法目的将匿名化的数据作为非个人数据予以排除,但人们仍然会关心这些从他们身上提取的数据将被如何使用以及用于何种目的。

假名数据

《条例》对假名数据首次进行了定义。根据第4条第(5)款的规定,“假名化”是指通过对个人数据进行处理使得个人数据不使用附加信息的情况下不再可被识别归宿到具体的数据主体,同时此类附加信息被单独予以保存并通过技术和组织措施确保个人数据不可向已识别或可识别的自然人进行归宿。考虑到为了数据保护法规的立法目而围绕假名数据的状况存在的争议,以及假名化方法的多样性[引9],在新的《条例》中努力勾勒出假名数据的概念对于数据共享实践显得尤为重要。

在《条例》的第26条引言中阐明,如果假名数据可以通过使用附加信息识别归宿到自然人,则该等数据应当被视为个人数据。此外,在评估数据的可识别性时,应当考虑“所有合理的可能被使用的方式,例如由数据控制人或者任何其他人单独进行挑选”。这将为什么是构成“合理的可能被使用的方式”以及如何确定可识别性的标准打开了一扇以不同方式进行解读之门。可以想象,数据的假名化可以对数据采取适当的措施使其貌似不太可能被识别而“成为”匿名数据,导致其与可识别数据相比被采用更加宽松的规定予以规制[引10]。这恰恰呼应了第29条工作组关于个人数据方面的观点:“使用假名化方式意味着归宿到个人的可能性,将会导致个人身份的泄露,但那只会在预定的情况下才会发生。在那种情况下,对数据保护规则的适用而言,因为使用间接识别信息使个人面临的风险通常较低,因此理应比对直接可识别的信息在适用上更具灵活性[引11]”。

在《条例》中将假名数据归为个人数据会影响那些目前已将假名数据视为非个人数据的研究实践。一个例子是流行病学研究,该研究广泛地使用秘钥编码或者假名化数据,并且根据适用国法律,当前将假名化数据作为不可识别归宿的数据。正如Van Veen所指出的:“假名化或秘钥编码后的数据是登记研究的工具,因此对个人数据的新定义可能对研究产生非常不利的影响。这将意味着研究不得不倒退到对例外案例上,毕竟所有的官僚机构都会允许对例外案例进行使用[引12]”。这会使像荷兰这样的成员国产生重大的变化,在特定的情况下这些国家已经将假名化的数据排除在个人数据的定义范围内[引13]。同样地,正如Rumbold和Pierscionek所指出的那样,“英国信息专员办公室目前将假名化的数据在这些数据由不具备必要关键代码的第三方使用时作为匿名数据对待。”[引14]实际上,由于原来的《指令》没有对假名化数据进行明确对规制,导致成员国的国内法对假名数据的定义的范围进行了广泛的解释。另外,各成员国在假名化的方式上所存在的异质性可能被视为在实施与之相关的规定时的潜在挑战,并且阻碍了跨境基因数据的共享[引13]。

在个人数据特殊类别中对基因数据的认定

《条例》将某些类别的个人数据标记为敏感数据,对这些数据的使用需要提供更高的保护和更严格的要求。根据第51条引言:“那些本质上与基本权利和自由相关的特别敏感的个人数据应予以特别保护,因为使用这些数据的目的和背景可能会对基本权利和自由造成极为重大的风险。”

《条例》对数据进行特殊归类的方法并非首例,原来的《指令》就在此问题上采用了类似的方法。《指令》第8条包含了普遍禁止使用那些透露人种、种族血统、政治见解、宗教信仰或哲学信仰、工会会员身份的个人数据,以及使用那些与健康或性生活有关的数据。正如第29条工作组在有关特殊类别数据(敏感数据)的建议文件中进一步解释的那样,该定义不仅包括本质上包含敏感信息的数据,还包括可以推断出有关个人敏感信息的数据。

与之不同的是,GDRP明确地确认在各种环境下所收集的基因数据的敏感性。在第9条中对特殊类别个人数据进行了定义的调整,其中基因数据和生物特征数据被包括在其中。将基因数据纳入敏感数据目录符合大多数第29条工作组成员的意见。在国家层面,一些成员国在其个人数据特殊类别中包含了基因数据和生物特征数据[引15]。由于基因数据的适用性增加,鉴于对基因数据潜在的滥用问题的关注日益增多,对基因数据的使用建立更为严格的要求似乎是适当的。

此外,《条例》第4条第13款规定了基因数据的定义,并且在第34条引言中进一步解释“生物样品的分析”包括特别是染色体、脱氧核糖核酸(DNA)或者核糖核酸(RNA)分析,或者对其他能够获得等效信息的元素进行分析。该定义意味着,不仅源于DNA物质的基因信息,包括对其他物质例如分子和生物物质进行分析而产生的基因信息,都将被视为GDPR的基因数据。问题在于其他种类的基因信息,这些可能不是通过对生物材料的分析得出的,而是其他来源例如“通过各种问卷收集的家谱信息” [引16]。

另一个需要考虑的问题是基因数据是如何从生物材料中提取出来对,毕竟前者产生于后者。这种澄清对于生物库和旨在共享可能包含基因信息的生物样本的研究人员尤其重要。《条例》和描述《条例》范围的条款没有讨论这一问题。在《条例》缺乏对生物样品进行明确规定的情况下,一条澄清的方式是寻求对此的解释。一种解释是,由于《条例》的最终目的是为了保护个人数据,因此应当对此采用较为宽泛的解释,即应当允许包含所有的来源,包括哪些包含基因数据的生物样本。但是,鉴于《条例》在为基因数据进行定义时非常明确地说明是“数据”(而非样本),这种宽泛的解释也很难维持[引17]。


「擅长私募基金违约追偿」锦天城律师事务所资深律师,超过15年执业经验,名校华东政法毕业、留英法学硕士。自2005年起执业... 查看详细 >>
  • 执业地区:上海-浦东新区
  • 执业单位:上海市锦天城律师事务所
  • 律师职务:专职律师
  • 执业证号:13101200510806051
  • 擅长领域:债权债务、公司法、股权纠纷、融资借款、改制重组