作者:葛永彬 董剑平 戴鹏 邵亚光
#真实世界数据##数据安全##网络安全##数据治理#
摘要
真实世界数据的获取方式包括前瞻性收集和回顾性收集,分别需要进行数据管理和数据治理。真实世界数据管理和数据治理涉及数据安全、网络安全、生物安全、人类遗传资源、个人信息保护、人口健康信息、健康医疗大数据等方面的法律法规。本文将梳理真实世界数据相关概念,介绍真实世界数据监管法律体系,探讨真实世界数据应用的合规难题。
Real-World Data can be collected prospectively and retrospectively. Prospective collection requires data management while retrospective collection requires data governance. Real-World Data management and data governance shall be governed by laws and regulations on data security, network security, biological security, human genetic resources, privacy data protection, demographic data, health and medical data etc. This article delves into concepts related to real-world data, legal framework of real-world data supervision and challenges in the application of real-world data.
基于真实世界数据(real-world data, RWD)产生的真实世界证据(real-world evidence, RWE)可以为药械研发提供新的审评依据和审评路径,节省药械研发时间成本,加快药械上市。真实世界数据涉及个人信息、人口健康信息、健康医疗大数据及人类遗传资源信息等不同属性的数据。本文将介绍真实世界数据监管体系,结合真实世界数据应用于药械研发的场景,从法律层面分析基于真实世界数据应用的合规难题,以期为业内相关实践提供更多思考角度。
(一)真实世界数据的概念
真实世界数据是指来源于日常所收集的各种与患者健康状况和(或)诊疗及保健有关的数据,满足适用性的真实世界数据是产生真实世界证据的基础;真实世界数据的来源多样化并且可以定期收集,可从传统临床试验之外收集患者的健康状态或医疗保健服务等相关数据[1]。
真实世界数据的获取方式分为前瞻性收集和回顾性收集。前瞻性收集的数据主要来源于拟开展的前瞻性研究,此类数据类似于随机对照试验的数据收集,即根据研究方案建立数据库并采集数据,是有计划的、结构化和标准化的数据,因此需要对前瞻性收集的数据进行数据管理。回顾性收集的数据主要来源于研究开始前现存的历史数据,此类数据可能缺乏规范的记录、采集、存储等流程,数据来源相对孤立和封闭、数据存储分散且数据标准不一致,导致数据的横向整合和交换存在困难,因此需要对回顾性收集的数据进行数据治理[2]。
(二)真实世界数据监管法律体系
1. 境外真实世界数据监管
美国于2016年12月通过了《21世纪治愈法案》(21st Century Cures Act),鼓励美国食品药品监督管理局(FDA)开展研究并使用真实世界证据支持药物和其他医疗产品的监管决策,加快医药产品开发。此后,在该法案推动下,FDA先后发布了《使用真实世界证据支持医疗器械监管决策》(Use of Real-World Evidence to Support Regulatory Decision-Making for Medical Devices)《临床研究中使用电子健康档案数据指南》(Use of Electronic Health Record Data in Clinical Investigations)、《真实世界证据计划的框架》(Framework for FDA’s Real-World Evidence Project)和《使用真实世界数据和真实世界证据向FDA递交药品和生物制品资料的行业指南》(Submitting Documents Using Real-World Data and Real-World Evidence to FDA for Drugs and Biologics)等法规政策或行业指南,为真实世界数据在药械研发中的实际应用提供指引,并结合实践操作中发现的问题不断更新,以使立法能够适应实践发展[3]。欧盟药品管理局(EMA)发布了《药物上市后有效性评价科学指南》(Scientific Guidance on Post-Authorisation Efficacy Studies)和《药物警戒管理规范指南》(Guideline on Good Pharmacovigilance Practices),日本药品及医疗器械综合机构(PMDA)也发布了《关于使用卫生信息数据库进行医疗产品上市后监测的基本原则》(Basic Principles for the Use of Health Information Databases for Post-Marketing Surveillance of Medical Products)《药物上市后研究计划的一般步骤》(General Steps for a Post-Marketing Research Plan)等相关文件,对于真实世界数据应用于药品上市后安全性评价提出了具体要求[4]。
美国发布的《健康保险隐私及责任法案》(Health Insurance Portability and Accountability Act,HIPAA)、《2018年外国投资风险评估现代化法案》(Foreign Investment Risk Review Modernization Act, FIRRMA)以及欧盟颁布的《通用数据保护条例》(General Data Protection Regulation, GDPR)等法律法规,适用于真实世界数据在药械研发应用过程中涉及的数据安全及个人隐私保护[5]。
2. 我国真实世界数据监管
我国国家药品监督管理局自2020年起先后发布了《真实世界证据支持药物研发与审评的指导原则(试行)》《真实世界研究支持儿童药物研发与审评的技术指导原则(试行)》《真实世界数据用于医疗器械临床评价技术指导原则(试行)》及《用于产生真实世界证据的真实世界数据指导原则(试行)》等相关指导原则,指导真实世界数据的收集、提取和适用性评估等,为业界和监管部门利用真实世界数据支持药械研发和监管决策提供了参考意见[6]。国家药监局与海南省人民政府自2019年起发布了《海南博鳌乐城国际医疗旅游先行区临床真实世界数据应用试点工作实施方案》《关于支持建设博鳌乐城国际医疗旅游先行区的实施方案》《海南自由贸易港博鳌乐城国际医疗旅游先行区条例》等一系列政策文件,启动了海南临床真实世界数据应用试点工作,探索将真实世界数据用于药品、医疗器械产品的注册和监管决策[7]。目前海南乐城先行区已初步形成“医疗特区”,并成为开展临床真实世界数据应用的试点区。
《药品管理法》《网络安全法》《数据安全法》《生物安全法》《个人信息保护法》《信息安全技术个人信息安全规范》《人类遗传资源管理条例》《人口健康信息管理办法(试行)》《国家健康医疗大数据标准、安全和服务管理办法(试行)》等相关法律法规都涉及对真实世界数据应用场景中的个人信息保护、人类遗传资源管理、人口健康信息管理以及健康医疗大数据等方面的监管。
前瞻性收集的真实世界数据需要进行数据管理,包括数据收集、数据质量控制、数据存储和传输等环节。回顾性收集的真实世界数据需要进行数据治理,包括数据安全性处理、数据提取、数据清洗、数据转化、数据质量控制、数据存储和传输等环节。根据真实世界数据所涉及的监管法律法规,本文对数据管理和数据治理主要环节的合规难点进行探讨。
(一)前瞻性收集
前瞻性收集涉及伦理和患者隐私保护问题,为充分保护患者的合法权益,数据收集和使用须通过伦理委员会的审查批准,还需要符合数据安全保护、个人隐私保护、人类遗传资源管理等法律法规的要求。
1. 知情同意
《涉及人的生物医学研究伦理审查办法》第18条规定,涉及人的生物医学研究应当符合知情同意原则。因此在前瞻性收集前,需要获得数据主体的知情同意。前瞻性收集需要符合知情同意的一般规则。此外,概括性知情同意和电子知情同意也值得探讨。
(1)知情同意一般规则
前瞻性收集的知情同意一般规则为:(i) 收集之前应当获得数据主体的知情同意,签署知情同意书,并记录知情同意过程;(ii) 知情同意书应包含必要、客观、充分、完整的信息,并以数据主体能够理解的语言文字或相应形式进行表达,具体内容包括但不限于:真实世界研究的性质、研究背景、目的、研究流程、预期受益及潜在的风险,收集的数据种类、范围,生物标本相关信息,隐私和数据保护,费用与补偿、赔偿,数据主体权益、自愿参加和随时退出的权利等;(iii)知情同意书应详细列出待收集数据的来源途径、存储机构、存储方式、脱敏方式、隐私保护措施、数据共享或传输方案等,并明确告知数据主体所收集的数据仅用于本知情同意书描述范围之内的研究用途,不会用于其他目的。如数据的使用涉及商业目的,应在知情同意书中予以明确;(iv) 在研究进行中,若收集的数据出现超出伦理批准的目的、知情同意的范围或数据收集过程变更、研究目的改变等情况,则需要再次获得数据主体的知情同意。
(2)概括性知情同意
收集医院卫生信息系统、第三方检验机构的生物标本检测数据,往往样本量较大,若遵循既往特定研究的知情同意规则,则大量生物样本在运用于未来不确定的真实世界研究项目中时需要重新签署知情同意书,然而知情同意书的重新签署会遭遇无法识别或无法找到样本捐献者的现实困境。为了应对这种困境,欧美等各国广泛认可推行概括知情同意,即当受试者向生物资料库捐献组织样本时,要求受试者作出宽泛和概括的同意,准许研究者未来可以针对该样本进行可能的各种类型的研究和利用。2015年美国卫生与公众服务部在《建议规则制定通知》(Notice of Proposed Rulemaking, NPRM)中曾明确提出,医疗或研究机构计划保留/存储生物标本用于未来研究的,无论是否经过去身份标识处理,均需要获得同意,这种一般性的同意可以通过概括同意方式获得[8]。我国目前尚无针对概括知情同意的明确法律规定,但《涉及人的生物医学研究伦理审查办法》第三十九条规定,生物样本捐献者已经签署了知情同意书,同意所捐献样本及相关信息可用于所有医学研究的,经伦理委员会审查批准可免除签署知情同意书。该条规定实质上涵盖了对概括知情同意的认可,但该办法并未对此类知情同意细节做进一步规定。因此,在法无禁令的情形下,从真实世界研究角度出发,经过伦理批准的概括性知情同意是可行的[9]。
(3)电子知情同意
2020年,受新冠疫情影响,国家药品监督管理局药品审评中心(Center for Drug Evaluation, CDE)出台了《新冠肺炎疫情期间药物临床试验管理指导原则(试行)》,其中指出因受疫情影响,可以尝试选择远程智能临床试验方法,借助智能化临床试验管理平台及远程通讯技术开展临床试验。因此CDE鼓励在新冠疫情期间药物临床试验过程中使用电子知情同意。实践中,我国已在疫苗接种、临床病案系统等领域开始尝试使用电子知情同意及签字;已有合同研究组织在某些药物临床试验中试行电子知情同意;也有一些第三方电子签名服务机构推出了电子知情同意服务[10]。但总体而言,我国在电子知情同意方面的发展还处于起步阶段,尚缺乏对电子知情同意数字化系统的构建。
美国FDA在2016年12月颁布了《电子知情同意书使用》(Use of Electronic Informed Consent Form)的相关指南文件,明确规定可使用电子系统和程序来获得关于某些受试者研究或医药产品临床研究的知情同意,并针对使用电子知情同意书过程中需遵循程序提出了建议[11]。期待我国也能够根据医疗信息化的发展,进一步出台相关的法规政策和指南,规范电子知情同意在临床研究和真实世界研究中的应用。
2. 数据安全
2021年9月1日,《中华人民共和国数据安全法》正式施行。该部法律聚焦数据安全领域的问题,确立了数据分类分级管理,建立了数据安全风险评估、监测预警、应急处置和数据安全审查等基本制度,并明确了相关主体的数据安全保护义务。根据《数据安全法》的相关规定,建议在真实世界数据收集前,确认待收集数据的分级分类标准,如是否是重要数据、国家核心数据,进而根据不同的分级分类结果采取不同的管理措施。根据《信息安全技术数据出境安全评估指南(征求意见稿)》规范性附录A《重要数据识别指南》相关规定,真实世界数据中涉及重要数据的范围包括:(i) 在药品不良反应报告和监测过程中获取的个人隐私、患者和报告者信息;(ii) 医疗机构和健康管理服务机构保管的个人电子病历、健康档案等各类诊疗、健康数据信息;(iii) 涉及国家战略安全的药品在药品审批过程中提交的药品实验数据等。收集和处理此类重要数据前,建议明确数据安全负责人和管理机构,落实数据安全保护责任,对数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告等。
另外,根据《网络安全法》及《网络数据安全管理条例(征求意见稿)》的相关规定,建议数据收集方建立合格级别的网络安全等级保护制度,基于研究所涉及的各种数据的类型、数量、性质和内容,尤其对于重要数据和个人敏感信息,建立数据收集处理各环节的数据加密技术要求,以及风险评估和应急处置的操作规程,并开展安全措施有效性审计。
3. 人类遗传资源管理
2021年4月实施的《生物安全法》和2019年5月施行的《人类遗传资源管理条例》对中国人类遗传资源管理提出明确要求。在数据收集中涉及人类遗传资源的,例如第三方检测实验室存储的人体样本检测数据、新冠肺炎的核酸检测数据、卫生信息系统中的各类实验室检查和影像学数据、疫苗研发过程中采集的地区人类基因或病理数据等,需要符合《生物安全法》及《人类遗传资源管理条例》的相关规定。
中国人类遗传资源的采集仅限我国的科研机构、高等学校、医疗机构、企业(“中方单位”)进行。涉及特定类型的,应当经国务院科学技术行政部门批准。不涉及特定类型的,不需要审批/备案,但仍需满足知情同意一般规则。外方单位不得在我国境内采集人类遗传资源。关于对“外方单位”的认定,不仅包括境外实体和境外实体投资的中国境内实体,还包括通过协议控制方式被控制的境内运营实体。外方单位若想利用我国人类遗传资源开展科学研究活动,可以通过与中方单位合作,以国际合作科学研究的方式进行,但采集行为仍需由中方单位进行。
[参考文献]
[1] 国家药品监督管理局.国家药监局关于发布真实世界证据支持药物研发与审评的指导原则(试行)的通告[EB/OL]. (2020-01-07) [2021-09-06].https://www.nmpa.gov.cn/xxgk/ggtg/qtggtg/20200107151901190.html.
[2] 国家药品监督管理局药品审评中心.国家药监局药审中心关于发布《用于产生真实世界证据的真实世界数据指导原则(试行)》的通告[EB/OL]. (2021-04-15) [2021-09-06]. https://www.cde.org.cn/main/news/viewInfoCommon/2a1c437ed54e7b838a7e86f4ac21c539.
[3] 董丽,连桂玉,王闯,等. 美国FDA《真实世界证据计划框架》及对我国的启示[J]. 中国新药杂志,2021,30(11):980-983.
[4] 乔瑞,刘玉强,卓琳,等. 真实世界数据在上市后药品安全性监测和评价中的适用范围[J]. 中国药物警戒,2021,18(7):620-623,631.
[5] 汪旻晖,赵杨,邓亚中,等. 真实世界数据/真实世界证据应用的政策法规及指导原则的比较研究[J]. 中国临床药理学与治疗学2020,25(8):878-889.
[6] 符祝,高国彪,林尤海. 临床真实世界数据用于药品医疗器械审评审批的探索:海南乐城先行区的实践[J]. 中国食品药品监管,2019(6):4-9.
[7] 海南省人民政府.我省积极推进真实世界数据应用试点[EB/OL].(2021-07-19)[2021-09-06]. https://www.hainan.gov.cn/hainan/5309/202107/77677d7c9c464a76880b874835e87ff8.shtml.
[8] Steven R. Cummings, Michael C. Rowbotham. Electronic Informed Consent and Internet-Based Trials[J]. N Engl j med,2017,376:859-861.
[9] 吴薇,王勇,尹金淑. 国内医疗机构施行概括同意的伦理思考[J]. 中国医学伦理学,2019,32(3):324-327,331.
[10] 丛翠翠,母双,饶慧瑛. 浅谈电子知情同意的应用[J]. 中国医学伦理学,2019,32(3):328-331.
[11] Use of Electronic Informed Consent Questions and Answers: Guidance for Institutional Review Boards, Investigators, and Sponsors. Dec 2016. Available from: https://www.fda.gov/downloads/Drugs/GuidanceCompliance-
RegulatoryInformation/Guidances/UCM436811.pdf.
我们将在本系列的下篇针对回顾性收集的真实世界数据,结合实际应用场景,探讨数据源合规、数据源权限、数据源脱敏、数据共享平台及数据存储和运输的合规难题,并提出相关思考。
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
点击“下方链接”,可查阅该专业文章官微版。
真实世界数据合规探讨(上)
免责声明:普法网网站仅提供信息的存储和展示服务,所有信息系用户自行发布,仅代表该用户观点,仅供参考,普法网不承担对所有信息的验证义务,不承担任何法律责任。
网站首页 | 关于我们 | 常见问题 | 会员中心 粤ICP备2020126672号