一、各方主体在《个保法》项下的身份概述

在具体分析药企作为个人信息处理者在处理数据层面的实操问题和解决思路前，本章节期冀帮助读者从法律层面厘清各方主体在《个保法》项下的身份和责任。药物临床试验中涉及的主体包括申办者、研究机构和研究者、合同研究组织（下称“CRO”）、现场管理组织（下称“SMO”），各方主体在个人信息处理活动中的角色认定如下：

（一）申办者

在一般情况下，申办者负有制定临床试验方案、研究者手册等材料的义务，可以自主决定对受试者个人信息的处理目的、处理方式，我们理解其可以被定义为《个保法》项下的个人信息处理者。

（二）研究机构和研究者

研究机构在《个保法》项下的身份相对复杂，既可能被认定为处理个人信息的受托人，也可能被认定为个人信息处理者。一方面，根据GCP，研究者（代表研究机构）应当遵守申办者提供的试验方案。从这个角度，申办者具有自主决定个人信息处理目的和处理方式的特点，研究机构会被视作接受申办者委托处理个人信息的受托人。另一方面，研究机构在临床实验中又有较高的自主决策权，例如，药物临床试验中的相关医学判断或临床决策应当由临床医生做出；再如，许多研究机构建立了一套关于受试者个人信息管理的内部系统及规章制度，其对个人信息的处理目的和处理方式极大地依赖于研究机构内部系统及规章制度，而非完全遵从申办者的指示。从这个角度，研究机构对个人信息处理目的和处理方式具有一定的自主权，属于个人信息处理者。参考《通用数据保护条例》（General Data Protection Regulation，下称“GDPR”），机构的员工（包括主要研究者）如果能够控制、且对于个人信息的收集、储存和使用负责，则同样会被认定为是个人信息的处理者。而在实践中，我们倾向于认为，研究机构和研究者均为个人信息处理者，与申办者共同决定个人信息的处理目的和处理方式。

（三）CRO / SMO

CRO和SMO在临床试验中的身份相对明确，CRO接受申办者指示开展临床试验方案的设计、研究中心筛选、伦理递交、中心启动、项目监查、项目质量保证、数据管理、统计分析等工作；SMO一般是由研究机构委托，协助研究者开展临床试验，一般是由研究者和研究机构决定SMO对个人信息的处理目的、处理方式。据此，CRO和SMO被认作受托处理个人信息的受托人基本不存在争议。

二、跨境提供受试者个人信息的实务问题

临床试验中，有较多场景可能涉及临床试验数据跨境提供。例如，申办者可能出于为在境外申请药物临床试验或药物注册的目的向境外药品监管机构提交临床试验数据；又如，如果申办者以国际多中心方式开展药物临床试验，且申办者将统一的数据处理中心设置在境外，就涉及将中国境内临床试验的数据传输至境外的情形；再如，试验中使用了部署在境外服务器上的EDC（electronic data capture）系统的，也会涉及将国内的临床试验数据传输至境外的情形。

（一）跨境提供个人信息另行取得受试者同意的实践经验及风险控制建议

实践中，申办者在履行上述法定义务时可能会面临一定困难，例如，申办者向第一层级的境外接收方（下称“初级境外接收方”）提供个人信息后，初级境外接收方可能会超出受试者同意的范围，将收集的个人信息用于论文发表、递交境外药品监管机构用于药物注册，或提供给CRO做进一步分析处理等。此时，初级境外接收方在超出受试者同意的处理目的、处理方式处理个人信息之前，或初级境外接收方向药品监管机构、CRO等其他境外接收方（下称“次级境外接收方”）提供个人信息之前，申办者均应当就相关事项告知受试者并另行取得受试者的同意。但实践中，上述义务的履行面临实操障碍，例如，申办者可能仅有能力知晓初级境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类等，但无法及时知了解次级境外接收方的上述信息，进而无法向受试者告知并取得个人的单独同意。针对这一问题，我们的客户采取的风险控制措施各不相同。根据过往项目沟通，药企会考虑采纳的风险控制措施包括如下：

1. 将可能预估到的所有的境外接收主体都列入知情同意函中，且告知受试者，如有任何更新，会另行取得受试者的单独同意；
2. 参考GDPR，告知受试者第一个境外接收主体的信息，且明确告知传输给境外接收主体的信息均是去标识化的信息，申办者确保后续不再提供其他信息或协助境外接收主体通过任何手段复原该等去标识化信息；
3. 把申办者掌握的信息均如实告知受试者，尽量精确描述：(i) 预计多少受试者会参与到本次药物临床试验、预计本次药物临床试验会在多少个国家开展（涉及到国际多临床中心）；(ii)预计有多少人将会参与本次药物临床试验；(iii)个人信息未来可能被提供给哪些单位；或
4. 在知情同意函中向受试者披露申办者已建立了一个公告平台，在该平台上将实时更新药物临床试验的状态，以及哪些受试者的个人信息会被跨境传输到境外。如果受试者不希望自己的个人信息被跨境传输到境外，受试者可以根据平台上公告的联系方式联系申办者，要求申办者不得跨境传输该受试者的个人信息。

环球生命科学及医疗团队于2022年4月就客户集中关注的知情同意函中关于申办方的通知事项以及取得受试者另行同意的风险控制措施向部分业内领先的内外资药企法务发出了匿名调研，1/3的被调研者倾向于接纳在知情同意书中告知受试者第一个境外接收主体的情况、并保证传输给境外接收主体的信息为去标识化的信息、且该等去标识化信息将不会被复原的做法。而（1）把申办方掌握的信息完全并如实告知受试者、以及（2）将可能预估到的所有的境外接收主体都列入知情同意书并在境外接收主体发生任何变更时另行取得受试者的单独同意的两种较为谨慎/保守做法的支持程度相当，合计占据了50%的票数。虽然该调研中尚未涵盖《数据出境安全评估办法》中对跨境提供受试者个人信息应履行的义务的相关内容，结合最新颁行的《数据出境安全评估办法》以及《个人信息出境标准合同规定(征求意见稿)》，无论采纳何种方式，在与境外接收方订立的法律文件中均应对境外接收方将出境数据再转移给其他组织、个人作出明确的约束性要求。此外，申办者还需要考虑知情同意及告知义务履行的充分性及合法性对数据出境安全评估产生的潜在影响。

（二）跨境提供受试者个人信息的条件及合规风险因素

GCP尚未对临床试验数据跨境提供的问题进行规定。从个人信息保护的角度，如上所述，由于临床试验数据涉及受试者的个人信息，申办者跨境提供受试者的个人信息，应当具备下列条件之一[2]：

• 通过国家网信部门组织的数据安全评估；
• 按照国家网信部门的规定经专业机构进行个人信息保护认证；
• 按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；
• 国家网信部门规定的其他条件。 

以上条件表明，拟开展数据出境活动的数据处理者需根据自身属性（是否构成关键信息基础设施运营者）、出境数据的性质和类型等因素，采取不同层次的数据出境保护性措施，以符合相应的监管要求。在以上明确列举的三项数据出境的合规途径中，若数据出境活动涉及以下情形之一，则数据处理者必须遵守安全评估相关要求[3]：

• 数据处理者向境外提供重要数据；
• 关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；
• 自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；
• 国家网信部门规定的其他需要申报数据出境安全评估的情形。 

以上规定已明确列举了个人信息及敏感个人信息相关的待评估情形。同时申办者应当虑及受试者个人信息构成重要数据的客观可能性。《数据出境安全评估办法》首次对“重要数据”作出正式定义，即指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。虽然目前数据主管部门及行业主管部门尚未对医药领域的重要数据制定具体目录，但由于临床试验中的受试者个人信息可能涉及构成具有较高敏感性的人类遗传资源信息，或基于其他安全影响因素，从而被认定为重要数据；另参考全国信息安全标准化技术委员会于2022年1月发布的《信息安全技术 重要数据识别指南（征求意见稿）》中对于重要数据的定义，基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据[4]，从这一识别标准而言，受试者个人信息及基于个人信息处理后的统计数据也可能落入重要数据的范畴。有鉴于目前加强重要数据保护的立法及监管趋势，申办方的数据跨境提供活动可能存在无法通过安全评估的风险。

就影响安全评估结果的不确定因素举例而言，回归到处理个人信息以及跨境提供数据兼具的基本法定要求，可以发现《个人信息保护法》《数据安全法》及《数据出境安全评估办法》等均包含对数据处理活动的“必要性”考量，即须评估数据处理活动对实现数据处理目的而言是否必要。此外，国家卫健委于2018年7月发布的《国家健康医疗大数据标准、安全和服务管理办法（试行）》早已对健康医疗大数据的跨境提供活动提出一项具体要求，即健康医疗大数据原则上应当存储于境内安全可信的服务器中，因业务需要确需向外提供的，则需进行安全评估审核[5]。健康医疗大数据是指在人们疾病防治、健康管理等过程中产生的与健康医疗相关的数据[6]，范围宽泛，因此受试者的个人信息也可能构成此类数据，从而需要遵循上述境内存储的原则性要求。从监管部门的角度而言，对于跨境提供数据之必要性的评判，通常会考虑跨境的目的、是否具有可替代的方案来避免数据出境，相关方案的成本及所对应的风险等。如果申办者向境外提供受试者个人信息的行为被监管部门认定为不具备必要性，也将导致无法通过数据出境安全评估，这将对申办方的业务安排等产生负面影响。因此，我们仍然建议申办者可以综合衡量数据出境的业务需求及合规风险，以进行更为适当的安排。

三、《个保法》生效前后知情同意书衔接的合规性问题

申办者在临床试验中处理受试者的个人信息的最常见的合法性基础为取得个人的同意，如系列文章之一所述，临床试验项下的“知情同意”不等同于《个保法》意义上的“同意”。尽管如此，实践中，申办者将《个保法》中的义务补充到知情同意书中，并取得受试者的“知情同意”的做法非常常见。此外，在知情同意书之外准备一份独立的临床试验个人信息处理同意书，取得受试者对处理其个人信息的“同意”的做法也普遍存在。

知情同意（Informed Consent），指受试者被告知可影响其做出参加临床试验决定的各方面情况后，确认同意自愿参加临床试验的过程。该过程应当以书面的、签署姓名和日期的知情同意书作为文件证明[7]。临床试验中，一般由申办者提供知情同意书，经伦理委员会审批同意后，由研究者执行知情同意的过程，取得受试者在知情同意书上的签字。

《个保法》生效前，研究者和研究机构、申办者主要依赖于GCP的规定在取得受试者的知情同意后处理受试者的个人信息。根据GCP，知情同意书和其他提供给受试者的资料中应当包括：临床试验概况、试验目的、试验治疗和随机分配至各组的可能性、受试者应当遵守的试验步骤、临床试验所涉及的试验性的内容、试验可能致受试者的风险或者不便[8]等。《个保法》生效后，除了上述GCP中要求的应当告知受试者的信息，《个保法》还对药物临床试验中的个人信息处理者提出了新的要求，例如，应当告知受试者个人信息的类型、处理目的、处理方式、保存期限，涉及敏感信息的，还应当告知处理敏感个人信息具有特定的目的和充分的必要性；以及受试者行使《个保法》规定权利的方式和程序等。药物临床试验中的个人信息处理者应当在满足GCP项下的义务的同时，还应满足其在《个保法》项下的义务。

根据《个保法》，一旦发生个人信息处理者的名称或者姓名和联系方式、个人信息的处理目的、处理方式，处理的个人信息种类、保存期限、个人行使《个保法》规定权利的方式和程序等事项的变更，应当将变更部分告知个人。而如涉及敏感个人信息，还应当取得个人的单独同意，并明示处理敏感个人信息的必要性。根据GCP，伦理委员会应当审查的文件包括但不限于知情同意书及其更新件、提供给受试者的其他书面资料[9]，而更新后的知情同意书或临床试验个人信息处理同意书应当取得伦理委员会审查通过后，方可提供给受试者。

实践中，申办者常常遇到的问题是，如果申办者仅根据《个保法》对知情同意书进行了修订，是否应当取得所有的受试者对更新后的知情同意书或临床试验个人信息处理同意书的签字？GCP仅规定“如有必要，临床试验过程中的受试者应当再次签署知情同意书”[10]，但没有明确规定何为“必要时”。《涉及人的生物医学研究伦理审查办法》仅规定了以下情形应当再次取得受试者签署的知情同意书，但申办者仅根据《个保法》对知情同意书进行修订的行为似乎较难被解释到以下的情形中：（一）研究方案、范围、内容发生变化的；（二）利用过去用于诊断、治疗的有身份标识的样本进行研究的；（三）生物样本数据库中有身份标识的人体生物学样本或者相关临床病史资料，再次使用进行研究的；（四）研究过程中发生其他变化的。关于这一问题，国家药品监督管理局（下称“国家药监局”）和国家药品监督管理局药品评审中心（下称“CDE”）的规章制度中也均未明确哪些受试者应当重新签署知情同意书。《新冠肺炎疫情期间药物临床试验管理指导原则（试行）》中规定：“已经参与临床试验的受试者可能对方案的变更等需要重新知情同意，应避免受试者仅为了重新知情同意而特意前往临床试验机构，可考虑用替代手段获得重新知情同意”。根据这一规定，我们倾向于理解，并无强制性要求所有受试者均应当签署更新后的知情同意书或临床试验个人信息处理同意书，申办者对应当重新签署知情同意书的受试者的范围有自主决定权。

实践中，如果更新后的知情同意书或临床试验个人信息处理同意书对已经结束临床试验的受试者（例如，随访期的受试者）的权益并未产生实质性的影响，部分申办者可能会结合取得受试者签名的成本、可行性以及未取得受试者的签名是否会削弱药物临床试验的科学性和伦理性等因素，综合考虑和确定重新获得知情同意的受试者的范围。但从谨慎的角度考虑，为保证申办者履行其在《个保法》项下的义务，取得所有受试者对更新后的知情同意书或临床试验个人信息处理同意书的签字仍是最为保险的做法。

此外，根据《个保法》，两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的，应当约定各自的权利和义务。但是，该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。个人信息处理者共同处理个人信息，侵害个人信息权益造成损害的，应当依法承担连带责任[11]。因此，我们建议申办者应与研究机构及研究者就《个保法》项下的权利、义务和责任进行明确的划分约定。

四、受试者退出临床试验后的个人信息处理问题

临床试验开始后，受试者可能出现符合试验方案规定的中止标准，例如，受试者或受试者的配偶怀孕、重要器官功能异常、药物过敏反应、依从性差、病情加重或出现严重不良反应需要停止试验药物治疗或采用其他治疗方法治疗。此时，受试者有两种退出路径：受试者有权在试验任何阶段随时退出试验[12]；或是受试者达到退出临床试验的标准时，研究者可以根据试验方案让受试者退出，并给以必要的处置以保证受试者的安全[13]。以下，我们将从GCP和《个保法》两个角度讨论受试者退出临床试验后的数据处理问题。

（一）GCP

GCP及国家药监局、CDE发布的相关审查原则中均未明确规定受试者退出药物临床试验时是否应当删除受试者在参与临床试验过程中产生的试验数据。参考美国食品药品管理局（下称“FDA”）发布的《知情同意信息表——给伦理委员会、研究者和申办者的指南》要求，根据FDA法规，受试者的试验数据，直到受试者退出临床试验时均应当留存在研究数据库中。如果因为受试者退出临床试验而删除早已收集的试验数据，将会有损研究的科学性、伦理性、完整性，研究者应询问打算退出的受试者是否只希望退出研究性干预，是否愿意继续参加临床调查，以跟踪相关临床结果信息。如果受试者退出临床调查的干预部分，但同意继续进行原知情同意书中未涉及的随访，研究者必须使用伦理委员会（IRB）批准的同意书获得受试者对这种有限参与的知情同意。如果受试者退出临床调查的干预部分，并且不同意对其进行相关的临床结果信息的随访，研究者仅可以按照受试者在原知情同意书的范围内获得在受试者退出研究之前收集的信息，且不需要受试者的额外同意[14]。参考以上美国FDA的GCP中心的答复，我们理解，FDA支持申办者在受试者退出临床试验后的安全性随访中收集研究药物相关的信息，是否需要重新获得受试者的知情同意书需要取决于安全性随访中收集到的信息是否属于受试者先前签署的知情同意书范畴。

从药物临床试验数据管理的角度，我们理解，申办者可以参考国外临床实践，根据具体临床试验的特性和特定受试者退出临床试验的原因和时间等角度考虑是否删除受试者的试验数据。

（二）《个保法》

根据《个保法》，基于个人同意处理个人信息的，个人有权撤回其同意。如果受试者撤回同意，不影响撤回前基于个人同意已进行的个人信息处理活动的效力[15]。

个人撤回同意，个人信息处理者应当主动删除个人信息；个人信息处理者未删除的，个人有权请求删除[16]。法律、行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的，个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理[17]。

受试者在GCP项下退出临床试验的撤回“知情同意”与《个保法》项下撤回申办者处理其个人信息的“同意”是否等同，我国尚无监管细则或司法裁判就“知情同意的撤回”与“同意的撤回”之间的关系进行界定。如系列文章之一的观点“临床试验项下的‘知情同意’不等同于《个保法》意义上的‘同意’”，我们倾向于认为，我国GCP项下的“知情同意的撤回”与《个保法》项下的“同意的撤回”不等同。在实践中，从审慎的角度出发，我们建议申办者、研究机构和研究者可以在受试者决定退出临床试验时，取得受试者的如下同意：申办者、研究机构和研究者在受试者退出药物临床试验后，仍有权在受试者对处理其个人信息的原同意的范围继续处理受试者退出临床试验之前被收集的信息，且不需要受试者的额外同意。

五、结语

综上，药物临床试验涉及的个人信息处理的实务问题错综复杂且在持续更新，本文分析讨论的跨境提供受试者个人信息的问题、《个保法》生效后关于知情同意书的衔接的合规性问题以及受试者退出临床试验后如何处理其个人信息的问题具有一定的现实需求性。我国立法在数据安全和个人信息保护层面的逐步完善、与实践接轨，也为临床试验的申办方等个人信息处理者的数据合规提供了确定性的法律依据，但仍需相关医药企业在数据管理的规范化的制度下根据项目实际需求予以综合把握。