如何基于个人信息保护法的要求修改临床试验协议(上)

世辉律师事务所

2022-06-23 11:28北京
关注

临床试验协议的修改

作者:世辉律师事务所 | 卢璟 | 王新锐

一、相关方的角色认定

在临床试验协议当中可能会涉及到相关的协议签署方。

第一个申办方就是我们的公司。

第二个是研究机构,医院作为临床试验的研究机构,同时包含研究机构的工作人员,他虽然不是协议的签署方,但是因为我们在临床试验协议当中或者在临床试验的场景当中,经常会收集到工作人员的个人信息,所以在协议当中会对这一部分个人信息如何处理,怎么获得合法性基础有相应的描述,所以他虽然不是协议签署方,但可能也是一个相关方。我们会看到说对他的个人信息,因为申办方有时候需要获得这些工作人员的一些联系方式去更好的开展临床试验,这个时候在企业里面怎么规定他们如何获得。

第三个是CRO合同研究组织。

第四个是SMO研究协助公司或者翻译成市场管理组织都有,我们就用SMO。SMO在中国稍微有些特殊的点,就是说他的身份,可能在欧美的话,SMO更多的是和研究机构站在一起的,它由研究机构去engage辅助研究机构的工作。但在中国这个场景下面,我们看到的可能更多的还是说申办方去聘任SMO,付钱给SMO,但确实SMO最后在临床试验开展过程当中,更多的是和研究机构有更多的沟通,是帮研究机构去工作的,所以这个费用虽然是申办方出,但是他最后在接受指示,以及提供支持的工作,可能是为了研究机构去开展一些服务。最后是研究者,也是临床试验协议的一个签署方,承担很重要的一个角色。

二、对应到个保法下面处理者委托人,这些关系我们怎么来看?

1、申办方与研究机构

首先最重要的关系就是我们和研究机构之间的关系。这个可能在GDPR下面、欧盟下面不同的国家会有不同的认定方式。我们也见到过,有的地方把医院认为是processor。在中国的场景下,如果我们去看个保法的定义,我们觉得把申办方和研究机构定义为一个处理者和处理者的关系会更合适,为什么这么说?因为在中国来讲,医院还是一个比较强势的位置。我们讲处理者受托人最核心的一个差别是受托人是要接受处理者的监督,受处理者的指示与处理相关个人信息的。在中国的场景下,医院尤其是大型的三甲公立医院,说受指示的话,临床试验方案是申办方的指示或许还可以说,但如果说一个医院去接受一家医药公司的监督,而且医药公司真的比如说觉得某一个处理活动不合适,你要这样改,医院能否去做相应的调整?我们觉得可能在现实当中会存在很多问题。所以鉴于在中国的这些医院,其实他们自己都很强势的,他们有自己的一套关于患者个人信息管理的系统及内部的规章制度,所以我们就把它们定义为一个独立的处理者是更合适的。在中国的场景下,我们觉得对于申办方与研究机构,它是一个处理者和处理者的关系。

2、申办方与CRO / 研究机构与SMO

研究机构把这些编码临床数据给到申办方的时候,它是一个个人信息转移的场景,就会导致个人信息转移的这一系列的义务需要去履行好。接下来的两队关系,一个是申办方和CRO,一个是研究机构与SMO。申办方与CRO,我们觉得是一个比较典型的处理者和委托人的关系,因为CRO是按照申办方的指示去开展相应的活动,那么申办方对CRO也是有相应的管控和监督的,所以可能就还好。我觉得它是一个处理委托关系比较清晰。

针对研究机构和SMO,在中国可能有一些特殊的地方,因为SMO确实是申办方去花钱请的,但是他在临床试验的场景当中,可能是研究机构给他更多的一些指示,他主要是为了配合研究机构去开展一些工作。从个保法的角度,我们看的是数据处理的这些指示是谁给的,以及实际在数据处理的过程当中它是受谁监督。我们觉得把SMO定义为研究机构的一个受托人可能是更合适的。因为它在整个临床试验的环境当中,还是跟研究机构在数据处理方面有更加紧密的合作和委托处理的关系。那么处理者和受托人之间有一个委托处理协议,这是个保法要求的,也是个保法明确讲说处理协议里面要有相应的这些条款的约定,包括处理目的、期限、处理方式、个人信息的种类、保护措施、审计权等。

审计权虽然说个保法里面没有明确讲要写,但是个保法要求处理者对受托人要采取监督措施。所以如果没有审计权的话,监督措施也就没有一个抓手去落地。所以我们说在合同里面审计权条款也是非常有必要的。当然可能接下来会也有人问说审计权怎么写?要不要写?比如说每年审计一次或者是把审计的内容都写得很清楚。确实个保法目前来讲没有一个特别明确的要求。大家也是基于不同的处理场景,不同的风险等级,对审计权的条款有的是比较细化,但可能比较多的还是相对笼统的原则性规定。不管怎么样,至少要保证处理者是有这方面的权利去监督的。我们有没有必要去签一个单独的委托处理协议?如果说是在其他的场景当中的话,我们建议一定要有一个单独的处理协议,这个是比较常见的。但是在临床试验当中,我们现在看到有一些公司可能愿意做的是说,把这些条款揉到临床试验协议当中,然后做一些尽可能的简化处理。因为临床试验期阶段中已经很长了,相关的内容已经很复杂了,他们不想再把问题搞得更复杂。所以说我们现在看到有一些做法是把个保法要求的一些条款进行一定程度的概括和整理,然后揉到临床试验协议当中去落实相关的法律义务,这种做法我们也是看到的。但如果可能的话,我们觉得一个单独的委托处理协议应该会更清楚更明了。

3、研究者

研究者目前看可能不会把它作为一个特别的在个保法下面去做一个他的身份认定,他是一个处理者或他是在代表研究机构去处理相关个人信息,研究机构承担一个处理者的角色,此时研究者包括研究机构的工作人员,虽然在这个过程当中,他会碰到个人信息,会去处理个人信息,但还是把它视为一个研究机构内部的一些人员,以研究机构作为一个处理者来界定彼此的角色。

处理个人信息的合法性基础,这个也是在临床试验协议里面会重点加的一个条款。申办方作为一个处理者,研究机构作为一个处理者,在开展临床试验过程当中,要确保相关的个人信息的处理是有合法性基础的,会有这样的一个条款。那么这块的基础,一个是对于患者的个人信息,是基于他的知情同意,在这个条款里我们需要要求研究机构或者研究者妥善获得符合个保法要求的个人信息。这个符合个保法的要求,可能是之前很多的合同里面没有的,我们之前的合同里面通常也会讲说我们要求一个机构去获得知情同意,这个也是没问题的,但更多的以前的知情同意可能是从 GCP的角度,从临床试验的患者隐私保护的这种角度去讲的。但是没有特意强调说要符合个保法要求,这个也是我们最近在改很多合同的时候会着重去讲,当然符合个保法要求,这也可以再进一步的展开,可以在合同里面有更多的这种界定,去描述说怎么样符合个保法的要求。我们只是提醒各位在改合同的时候,研究机构磋商获得知情同意,这个是以前的企业里面都会有的,但因为现在有个保法合规,原则上要注重知情同意还是要符合个保法的要求。

除了患者个人信息外,研究者的个人信息,因为不管是我们对你的资质做一些认定,以及去开展临床研究过程当中,跟研究者日常的这种联系沟通,肯定是要收他的个人信息的。这个时候是不是也要在合同里面写上一句,说要求要妥善获得研究者的知情同意。我们觉得不需要,因为研究者的个人信息的话,我们可以依据合法性基础就是为了订立履行合同所必需。因为研究者也是作为临床试验协议的签署一方的,我们为了订立和履行这个合同,需要去收他的个人信息,我们可以直接依据此合法性基础来做相应的处理。

4、研究机构工作人员

因为他们是属于医院的员工,这里面我们现在看到三种处理方式,一类还是基于研究机构去确保他妥善获得员工的同意,可以把相关的个人信息给到申办方,这个是也有的。另一种是也不这么写这个条款了,就比较模糊的写说研究机构确保妥善获得相应的合法性基础,申办方可以拿到相关工作人员的个人信息。那么合法性基础的话,大家会认为说因为这些人是研究机构的工作员工,研究机构内部应该是有相应的劳动规章制度、人事管理规章制度,允许我们出于这种业务合作的目的去使用相应人员的个人信息。基于这样的一个合法性基础,我们来处理个人信息,目前看到有不少的合同是采用这种方式来做。

下面两个条款,一个是响应个人权利请求、政府要求的条款,以及个人信息安全事件的条款,这两个条款我们想提醒的点都是一样的,可能要明确所涉及到的个人信息的处理者去负责主导相关的,不管是响应请求、要求,还是响应去处理个人信息安全事件,是由处理者去主导相关的事项。这个也是和个保法对于处理者的身份的界定保持一致的。因为处理者就像产品的MAH一样,它要对个人信息全生命周期负最终责任的,所以这个责任肯定是最终由他来去负责主导。我们之所以特别强调,是因为我们在改合同当中,经常会看到这样的条款,比如说一方收集到相应的个人权利请求,或者一方如果发现了个人信息安全事件,必须要通知其他方,然后各方要积极配合完成相应处理,我们之前看到过有很多这样的表述。那么我们认为这样的表述其实是把彼此之间的权利义务关系进行一定的混淆,最后是各方积极配合,积极协调处理,到底谁来负最终的责任,谁来牵头去主导这一切。所以我们觉得这样的表述可能都不是太准确,我们应该回到个保法下面对相关的责任的确定,就是说涉及到个人信息,该个人信息处理者是谁,由处理者去负责主导,那么其他方可以给予必要协助,这个是可以的,这没问题。但是负总责的应该是相关个人信息的处理者,而不是说各方大家都一起来配合去做这个事。然后其他方即便要协助的时候,再加一个但书条款,说其他方是协助,如果其他方是一个受托人的话,那么受托人按照他的角色的定义必须要遵守处理者的指示的,它不是一个单纯的必要协助的义务,他是要全力的配合,或者说他全力的遵守处理者的指示去处理他的工作。这个我们觉得是基于个保法对于相关方的权利义务的界定,我们要对相应的条款去进一步的明确好,这个是关于临床试验协议的修改。

举报/反馈