德恒探索

人类生物样本库、健康医疗数据库设立

及应用监管法律体系及核心法律问题研究

2022-01-28


微信图片_20220129155011.png


前言:


随着我国人遗资源及“三医”领域真实世界数据在科学研究、生物医药、诊疗技术发展、生物安全保障和公共疾控等方面的广泛应用,以及我国在数字经济、人遗管理等领域立法的不断完善,人类生物样本库、健康医疗数据库的设立及运营问题逐渐被业界关注。


本文将对人类生物样本库、健康医疗数据库设立、运营和对外应用环节涉及的国家生物安全、人遗资源管理、数据安全与利用、网络安全管理、个人信息保护、新药研发与注册等多个领域的交叉监管体系和核心法律问题进行系统梳理,以供业界交流参考。


一、人类生物样本/数据、人类生物样本库与健康医疗大数据的法律界定


(一)人类生物样本与人类遗传资源的规定


1.人类生物样本/数据

根据国家市场监督管理总局国家标准化委员会2020年4月发布的《人类生物样本库保藏伦理要求》(以下简称:人类样本库伦理要求)的规定,人类生物样本是指“为开展科学研究,从人体获得的各种器官、组织、细胞等生物材料,包括但不限于血液、皮肤、骨髓、肌肉、毛发、分泌物、内脏器官、精卵细胞(包含人类生物样本及相关数据两部分内容)”,人类生物样本数据是指“包含样本本身相关的生物学特征信息、利用人类生物样本材料产生如基因组测序数据、数据库中样本的类型、数量、保存位置、分类等信息的总称”。


2.人类遗传资源

根据《人类遗传资源管理条例》(以下简称:人遗条例)和科技部发布的相关人类遗传审批许可指南的规定,人类遗传资源包括人类遗传资源材料和人类遗传资源信息,其中人类遗传资源材料是指含有人体基因组、基因等遗传物质的器官、组织、细胞等遗传材料,如全血、血清、血浆、尿液、粪便、血细胞、脑脊液、骨髓、骨髓涂片、血涂片、组织切片、其他样本等;人类遗传资源信息是指利用人类遗传资源材料产生的数据等信息资料,主要包括:(1)临床数据,如人口学信息、一般实验室检查信息等;(2)影像数据,如 B 超、CT、PET-CT、核磁共振、X 射线等;(3)生物标志物数据, 如诊断性生物标志物、监测性生物标志物、药效学/反应生物标志物、预测性生物标志物、预后生物标志物、安全性生物标志物、易感性/风险生物标志物;(4)基因数据,如全基因组测序、外显子组测序、目标区域测序、人线粒体测序、全基因组甲基化测序、lnc RNA 测序、转录组测序、单细胞转录组测序、small RNA 测序等;(5)蛋白质数据;(6)代谢数据等。


综上,在我国法律法规框架下,人类生物样本与人类遗传资源材料的法律内涵基本一致,人类遗传资源数据的外延较利用人类生物样本材料产生的数据更为广泛。


(二)人类生物样本库的范畴


根据国家市场监督总局、国家标准化委员会颁布的《生物样本库质量和能力通用要求》GB/T37864-2019(以下简称:样本库通用要求)的定义,生物样本库(Biobank)是指“开展生物样本保藏的合法实体或其部分”,“生物样本库应是法人实体,或法人实体的独立部分,能对其任何行为负法律责任”。


尽管我国相关法律并未对人类生物样本库的具体范畴进行明确规定,但从监管实践看,其应包含所有保藏存储人类生物样本的样本库。如上海市临床研究伦理委员会发布的《人类生物样本库伦理审查范本》之“规范的适用对象”部分规定,该规范适用于“各级医疗卫生机构、高校、研究机构以及企业的生物样本库和相关的伦理委员会”;在“涉及的人类生物样本库范畴”部分规定,生物样本库“包含国家级、省级大型生物样本库,区域生物样本库,医疗机构和高校、企业生物样本库,实验室的小型生物样本库以及储存和制备细胞和组织储存库等”。再如2021年度获得保藏许可审批的部分样本库类型如下:


微信图片_20220129155019.jpg


(三)健康医疗大数据与真实世界数据的规定


1.健康医疗大数据

根据国家卫健委于2018年7月发布的《国家健康医疗大数据标准、安全和服务管理办法(试行)》(以下简称:医疗大数据管理办法)的定义,健康医疗大数据是指“在人们疾病防治、健康管理等过程中产生的与健康医疗相关的数据”,上述管理办法“适用于县级以上卫生健康行政部门(含中医药主管部门,下同)、各级各类医疗卫生机构、相关单位及个人所涉及的健康医疗大数据的管理”。


在国务院2016年发布的《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》(以下简称:医疗大数据指导意见)中,提到的健康医疗数据包括国家、省、市、县四级人口健康信息平台数据,健康医疗行业治理大数据(含医疗服务、医疗保障、药品供应、综合管理等应用信息系统数据等),临床医疗和科研大数据(含以居民电子健康档案、电子病历、电子处方等为核心的基础数据库,心脑血管、肿瘤、老年病和儿科等临床医学数据示范中心数据,基因组学、蛋白质组学等国家医学大数据,创新药物研发数据等)、公共卫生大数据等。


值得一提的是,医疗大数据管理办法第13条规定,卫生健康行政部门要积极推进健康医疗大数据标准规范和测评工作,并将测评结果与医疗卫生机构评审评价挂钩。国家卫健委针对医院信息系统开展国家医疗健康信息互联互通标准化成熟度测评,以加强医院管理的系统的标准化建设。


2.真实世界数据

根据2021年4月国家药监局发布《用于产生真实世界证据的真实世界数据指导原则(试行)》的规定,真实世界数据是指来源于日常所收集的各种与患者健康状况和/或诊疗及保健有关的数据,其中真实世界数据的来源如下:


微信图片_20220129155023.png


综上,在当前我国法律法规框架下,真实世界数据和健康医疗数据的法律内涵基本一致。


二、人类生物样本库及医疗健康数据主要应用领域


(一)关于人类生物样本库及人类遗传资源应用的法律规定


1.人类生物样本库应用的规定

《中国医药生物技术协会生物样本库(试行)》中提到,医学标准化、高质量的生物样本库是重大疾病基础与临床研究、临床诊治技术研发、药物靶点研发、健康研究与产业化,即实现转化医学的最宝贵资源、最重要环节之一,也是当今生命科学原创性研究、生物医药产业自主创新体系中至关重要的环节与保证。


根据人类样本库伦理要求的规定,该标准“适用于利用人类生物样本开展的临床试验、临床药物开发试验及国际国内科研合作”,且“不适用于以临床诊疗、器官移植、侦查犯罪、法医鉴定、采供血服务、兴奋剂检测和殡葬等为目的的样本相关活动”。


2.人遗资源应用的规定

我国人遗条例第6条对人遗资源的应用作出概括性规定,即“国家支持合理利用人类遗传资源开展科学研究、发展生物医药产业、提高诊疗技术,提高我国生物安全保障能力,提升人民健康保障水平”。


综上,已被现行法律法规明确的人类生物样本库的应用主要包括科学研究、临床研究、药物研发、临床诊治技术研发、健康研究与产业化等方面。


(二)健康医疗数据与真实世界数据应用的法律规定


1.健康医疗大数据应用的规定

医疗大数据指导意见明确了“将健康医疗大数据应用发展纳入国家大数据战略布局,推进政产学研用联合协同创新”的基本原则,并在“全面深化健康医疗大数据应用”部分,详细列明健康医疗数据的具体应用如下:


微信图片_20220129155026.jpg


2.真实世界数据的应用

在循证医学的大背景下,药物研发和监管领域如何利用真实世界证据(Real World Evidence,RWE)评价药物的有效性和安全性,已成为全球相关监管机构、制药工业界和学术界共同关注且具有挑战性的问题。


国家药监局于2020年1月发布的《真实世界证据支持药物研发与审评的指导原则(试行)》规定,”真实世界研究是指针对预设的临床问题,在真实世界环境下收集与研究对象健康有关的数据(真实世界数据)或基于这些数据衍生的汇总数据,通过分析,获得药物的使用情况及潜在获益-风险的临床证据(真实世界证据)的研究过程”。在真实世界证据的应用方面,上述指导原则明确“真实世界研究所产生的真实世界证据既可用于支持药物研发与监管决策,也可用于其它科学目的(如不以注册为目的的临床决策等)。


综上,结合当前行业具体实践,人类生物样本库及医疗健康数据库主要应用如下:


微信图片_20220129155030.png


三、人类生物样本库/健康医疗数据库设立与应用相关法律问题


人类生物样本库及健康医疗数据库在设立、运营和对外应用等环节涉及生物安全、人类遗传资源管理、数据安全与利用、个人信息保护,以及医疗、医药等多个领域的监管问题。根据笔者整理,当前我国人类生物样本库监管体系及法规体系如下:


微信图片_20220129155034.png


(一)人类生物样本库相关的伦理审查


首先,申请设立样本库,应通过伦理审查。申请人需向伦理委员会提供生物样本库标准操作规范(SOP)、样本转移使用合作协议书(MTA)、样本管理部门和管理制度等文件,以证明样本库满足通用要求规定的“结构要求”和“资源要求”,具备生物安全、生物安保保障能力。


其次,所有涉及样本的相关科研究活动,均应伦理审查批准。根据人类样本库伦理要求的规定,未获得伦理审查批准,不得开展项目研究工作。


最后,样本库或其母体组织,应设伦理委员会或接受第三方伦理委员会的指导,对样本库设立和研究项目作出同意、修改后同意、修改后再审、不同意、暂停或者终止研究等决定。如上文所述,目前样本库主体或母体组织以医院为主,同时还包含科研机构、高校和企业。


(二)人类生物样本库的保藏知情同意


1.保藏知情同意的类型

根据人类样本库伦理要求规定,样本保藏的知情同意分为全部同意、广泛同意和特定同意三种。其中全部同意是指同意用于所有目的,包括商业、科学研究等;广泛同意是指同意用于所有疾病的科学研究;特定同意包含只同意用于一种特殊疾病和只同意用于一项研究两种情况。


实践中,在充分告知的前提下,生物样本库主体宜根据样本库的后续用途设定不同的知情同意类型,确保后续应用不超过提供者的授权或同意范围。


2.知情同意书的内容及签署

知情同意书在内容上应包含研究目的、样本量与类型、隐私保护措施、退出和样本销毁程序、受益、风险、研究结果反馈和披露、知识产权、联系信息等内容。


知情同意书的签署,应在充分告知且样本提供者能够自由表达意愿的情况下签署,尤其对于儿童、智力障碍等限制民事行为能力的人,需要法定监护人或代理人代为签署并注意记录相应的签署过程。


3.知情同意应遵守《个人信息保护法》的相关规定

样本库或健康医疗数据库在知情同意环节应同时遵守《个人信息保护法》的规定。如针对“应取得个人的单独同意”的情形,《个人信息保护法》相关规定如下:


微信图片_20220129155037.png


针对须“再次取得同意”的情形,《个人信息保护法》、人类样本库伦理要求也作出了明确规定,具体如下:


微信图片_20220129155041.jpg


综上,生物样本库及健康医疗数据库用于科学研究或商业用途时,均涉及对外提供相关数据的问题。在实践中,生物样本库完成样本或数据采集后,针对后续事项另行获得捐赠者或提供者单独同意或再次同意存在一定操作难度。


因此,生物样本库或健康医疗数据库主体在对外提供其处理的个人信息时,宜按照民法典第1038条 “未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外”和《个人信息保护法》第4条 “个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”的规定,对其提供的数据信息进行匿名化处理;同时,对变更自己处理的个人信息的处理目的、处理方式的,应当严格履行重新取得提供者的同意的程序。


(三)样本库及健康医疗数据库涉及的人遗资源监管


首先,人类生物样本库、临床数据库、组学数据库建库及运营,涉及人遗资源材料或信息的采集和保藏问题,须按照我国人遗监管法规的要求,办理采集或保藏的许可审批。以2021年保藏许可审批实践为例,获得保藏许可的项目包括医院临床数据和样本库项目、医院/科研院所/企业的生物样本库项目、国家医学中心等组学或健康数据库等类型。


其次,人类生物样本库、健康医疗数据库运营主体利用人遗资源材料或信息开展国际合作、拟将人遗资源材料的出境,以及对外提供人遗资源信息,均涉及我国人遗资源的许可审批或备案、备份的监管机制。


有关我国人遗资源采集、保藏、国际合作、材料出境、人遗信息对外提供的监管问题详见《德恒研究:基因与细胞治疗领域核心法律制度及前沿实务法律问题系列研究(上)》。


(四)样本库及健康医疗数据库对我国数据安全领域法规的遵守


人类生物样本库、健康医疗数据库除涉及人遗资源监管、生物样本管理等事项外,其运营亦涉及数据安全与流通监管问题。其监管体系如下:


微信图片_20220129155045.png


我国数据安全的监管整体采用“中央国家安全委员会统筹+各地区、各部门、各领域分别监管”的模式。《数据安全法》第5条规定,“中央国家安全领导机构负责国家数据安全工作的决策和议事协调,研究制定、指导实施国家数据安全战略和有关重大方针政策,统筹协调国家数据安全的重大事项和重要工作”。第6条规定,各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责,并明确“工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责;公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责;国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作”。


根据《数据安全法》,我国数据安全相关的监管制度主要包括数据交易管理制度(19条),数据分类分级保护制度(21条),数据安全风险评估、报告、检测预警机制(22条),数据安全应急处理机制(23条),数据安全审查制度(24条)、管制数据出口管制(25条)等。


生物样本库、健康医疗数据库应着重关注的制度或机制包括:


1.数据分类分级制度

我国数据安全领域的法律法规涉及数据分级分类制度的规定主要如下:


微信图片_20220129155048.jpg


综上,我国数据分类分级的管理亦采用各地区、各领域、各部门、各行业分别认定和管理的机制。如2020年2月工信部发布《工业数据分类分级指南(试行)》,适用于工业和信息化主管部门、工业企业、平台企业等开展工业数据分类分级工作。


目前,在生物样本数据、人遗数据和健康医疗数据领域,主管部门尚未发布相关分类分级配套文件。后续生物样本库及健康医疗数据库宜关注国家卫健委等部门、当地政府关于分类分级的配套规定,以及《网络数据管理条例》等法规的颁布情况,履行作为数据安全和应用管理责任单位的职责,尤其是关注对重要数据、核心数据的三级以上网络安全等级保护、使用密码保护等要求。当生物样本库或数据库被认定为关键信息基础设施的,应当按照《关键信息基础设施安全保护条例》的规定履行运营者职责。


2.数据交易与流动的管理

我国将数据定位为基础要素资源和国家战略资产,数据流动与交易有利于促进数据的融合挖掘,从而释放数据资源的价值。如当前行业热议的药品研发中AI技术的应用,就有赖于从医院、三方检验室、生物样本库等渠道获取临床、组学等数据,并对AI进行有效的数据训练。根据行业普遍共识,AI三要素如下:


微信图片_20220129155052.png

数据来源:市场公开信息


针对数据的交易和流动,《数据安全法》第3条规定,数据处理“包括数据的收集、存储、使用、加工、传输、提供、公开等”。人类样本库伦理要求明确“人类生物样本保藏的相关活动,主要包括了采集、收集、保存、分发、传输、使用和处理、共享、转让、结果发布、药物研发、国际合作等”。上述分发、传输、提供、共享等活动即涉及数据的交易和流动。根据笔者整理,我国当前涉及数据交易和流通的法律法规规定主要如下:


微信图片_20220129155055.jpg


首先,在数据交易方面,尽管有上述法律法规的概括性规定,但我国目前尚未确立具体的数据确权和交易机制。实践中,全国已成立多家数据交易所,亦有多家三方数据平台从事数据交易活动,其中北京国际大数据交易所正在探索“数据特定使用权流通”等机制。


因此,生物样本库及健康医疗数据中非人遗信息的交易(人遗信息禁止买卖交易),有待于我国数据确权和交易法规的进一步完善。值得一提的是,2022年1月1日实施的《深圳经济特区数据条例》第4条规定了“自然人、法人和非法人组织对其合法处理数据形成的数据产品和服务享有法律、行政法规及本条例规定的财产权益”。该条例被认为是国内关于数据确权的首个法规规定。


其次,在数据流动方面,样本库及健康医疗数据库主体应注意开展科研、国际合作等用途的数据分发、提供、共享等流动活动,必须在履行数据保护的责任与义务的基础上,如确保个人隐私保护和知情同意、确保使用书面协议或具有法律约束力的文件(如合同、书面和签署的承诺、有约束力的网络接收条款和条件)、履行向境外提供数据的安全审查等。


3.相关安全审查/评估机制

根据现行数据管理法规及《网络数据管理条例(征求意见稿)》,与数据处理者相关的安全审查/评估事项主要如下:


微信图片_20220129155058.jpg


综上,生物样本库或健康医疗数据库主体在日常运营及数据出境等环节,应依法履行网络安全审查、出境安全评估等程序。


(五)利益共享与冲突机制


1. 利益共享机制

结合行业实务,人类生物样本库的利益共享机制主要涉及以下内容:


微信图片_20220129155101.jpg


2.利益冲突机制

人类样本库伦理要求明确“样本库应建立、成文和实施相关程序来解决样本供体、生物样本库和样本使用方之间的利益冲突”,如伦理委员会委员配偶、子女及其配偶、近亲属、合伙人在其审查的项目中担任研究者等利益冲突情形。


针对利益冲突问题,生物样本库多制定利益冲突声明与回避制度,明确伦理委员会的委员或独立顾问在接受任命或聘请时,应签署利益冲突声明,在伦理审查会议进行决定程序时,与申请人、研究项目存在利益冲突的委员、独立顾问应当回避等。 


本文作者:

image.png



声明:            

本文由德恒律师事务所律师原创,仅代表作者本人观点,不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容,请注明出处。

相关律师

  • 左玉杰

    合伙人

    电话:+86 23 6301 2200

    邮箱:zuoyj@dehenglaw.com

相关搜索

手机扫一扫

手机扫一扫
分享给我的朋友