黃新為 律師
2023年11月01日
生物醫學相關研究多會涉及蒐集、處理及利用受試者的敏感性資料(例如:病歷、醫療、基因、健康檢查資料等),故基於個資保護及實驗倫理等要求,在研究開始前,研究者原則上應取得受試者同意,始得使用受試者資料進行研究。
然而,在研究進行過程、甚至研究結果發表後,於受試者決定撤回其同意、退出相關研究時,若為了保障受試者之資訊自主權而要求研究者刪除該受試者之全部(具識別可能之)個資,則或可能造成取樣偏差而影響研究結果正確性,以及研究資源投入之浪費。
在Withdrawal of consent for processing personal data in biomedical research一文中,藉由深入探討GDPR第7條第3項關於撤回權之規定,且與美國FDA(食品藥物管理局)及HHS(衛生及公共服務部)相關指引的比較,並檢視部分人體生物資料庫之運作方式,Marcu Florea建議得透過多層次的系統(a layered system)處理資料主體的撤回權,以調合不同權利間的衝突,並提出用以評估撤回請求所造成影響之架構[註1]。
文章摘要:
作者認為,在現行GDPR的架構下,就受試者行使撤回權後,資料控制者應採取什麼行動,並非僅有刪除一途,容有彈性空間。在決定資料控管者應該採取什麼後續行動時,應該衡平考量受試者之個資保護及研究者進行研究之利益,進而決定研究者是否應刪除受試者個資,或得繼續使用該等個資。作者的論點主要基於下述理由:
- 現行GDPR第7條第3項規定,並未說明撤回權之法律效果,也造成資料主體行使撤回權後,資料控管者究竟有什麼樣的義務內涵,模糊不明。
- 如要求資料控管者於受試者行使撤回權後,一概刪除所有相關個資,則在某些情況,或幾近不可能,或需耗費鉅額成本。例如:使用到該受試者個資所進行之研究成果已經公開發表、或相關個資已經用於進行中之研究,恐難一一分離並刪除受到該等個資影響之數據。
- 研究過程中縱然不免使用到受試者個資,但就該等個資的使用範圍、是否容許第三方使用、是否容許目的外使用(re-use)等節,可以有更細緻之區別。
- 從比較法而言,美國FDA就其監管的臨床試驗,曾發布指引(Data Retention When Subjects Withdraw from FDA Regulated Clinical Trials),在受試者退出研究的情況下,原則上應持續保存該受試者之資料(包括個資)。目的是為了確保研究結果之正確性,也避免受試者受到利益關係人之引誘而退出試驗。HHS之指引(Withdrawal of Subjects from Research Guidance)也肯認FDA前述指引之原則,並建議研究人員應於取得受試者同意之同時,充分告知「撤回權」之內涵,包括原先取得資料是否將繼續留存。
- 從實務來看,加拿大的部分人體生物資料庫也對資料主體的撤回權為相關限制,包括已經成為數據集一部的個資不受影響,或對於已完成/進行中 (Pending)的研究所使用之個資不受影響。
作者進一步檢視,在受試者行使撤回權後,若資料控管者希望繼續處理該等資料,在GDPR規範下幾個「同意」以外的合法基礎,包括(1)為履行資料控管者的法定義務、(2)歐盟法或成員國法另有規定等。此外,作者提議,由於撤回權之行使對象也可以是針對特定的資料處理活動,故在GDPR框架下,資料控管者似得透過多層次的系統(a layered system)處理資料主體的撤回權,故後續資料處理仍可能是(3)基於受試者的同意(或可說是受試者原先同意、未經撤回的部分)。
對於多層次的撤回權行使機制設計,作者也提醒應注意公平性、易讀性,且不應妨礙受試者撤回權之行使等。此外,在徵求受試者同意時,基於透明度與信任機制,研究者也應該告知撤回權之限制(如有),不應誤導受試者以為自己可以隨時藉由撤回權的行使,刪除所有相關資料。
最後,作者提出用以評估在受試者撤回同意後,研究者是否仍得依法繼續使用其資料的4步驟框架。步驟1,先明確界定後續資料處理活動的目的及範圍;後續3個步驟則類似我國操作比例原則之適當性、必要性、衡平性。此外,作者並強調得藉由安全措施加強受試者隱私保障;且有效的系統設計,也有助於加強資料處理過程的透明性。
淺談
在我國與生物醫學研究的個資處理相關之主要法規包括個人資料保護法及人體生物資料庫管理條例等。
其中,個人資料保護法雖未明文規定「撤回權」,但依同法第3條規定,資料主體有請求停止蒐集、處理或利用個人資料之權利及請求刪除權,且該等權利不得預先拋棄或特約限制,或已提供與「撤回權」相類之機制。亦有學者認為,資料主體之撤回同意權屬於我國憲法保障資訊自主權之內涵,縱個資法未明文規定,仍應有其適用[註2]。復依個資法第11條第3項規定,個人資料蒐集之特定目的消失或期限屆滿時,除非為「執行職務或業務所必須」或「經當事人書面同意」,蒐集主體即應刪除、停止處理及利用該個人資料。由此或可推知,原基於資料主體之同意而為蒐集、處理及利用之個人資料,在資料主體撤回同意/請求停止蒐集、處理或利用/請求刪除時,除非符合第11條第3項但書規定之二種例外情形,蒐集主體即應刪除、停止處理及利用該個人資料。
再者,參照個資法第5條規定精神、憲法法庭111年憲判字第13號判決所揭示資料主體就個資之事後控制權內涵[註3]等,並考量到生物醫學研究所處理者多有敏感性個資,筆者認為在此情境下,宜嚴加限縮解釋個資法第11條第3項規定但書「執行職務或業務所必須」之範圍。
此外,就參與者提供予人體生物資料庫之生物檢體及相關資料,人體生物資料庫管理條例第8條明確規定參與者有權請求退出,且除非屬於「經參與者書面同意繼續使用之部分」、「已去連結之部分」或「為查核必要而須保留之同意書等文件,經倫理委員會審查同意」,設置者及取得之第三人應銷毀相關生物檢體、資料、資訊。
由上述規定可知,在我國法規範下,縱使資料主體行使其退出權/撤回同意,研究者並非只有立即刪除全部資料一途,而容有繼續為部分資料之蒐集、處理及利用之彈性空間。因此,Marcu Florea在上述文章所提議,藉由多層次的撤回權行使機制設計,適度調和生物醫學研究之利益與資料主體之隱私權等利益衝突,在我國法制下應屬可行。
就實務運作而言,也可以觀察到部分人體資料庫確有藉由相關表單之設計,提供多層次的退出權行使機制。例如:臺灣人體生物資料庫之退出參與聲明書,即提供「拒絕後續的再聯繫」、「拒絕連結其他資料庫」或「完全的退出」等多種退出方式之選項予參與者勾選[註4];高雄榮民總醫院人體生物資料庫之參與意願變更聲明書,則提供「停止使用檢體,可繼續使用資料與資訊」、「停止提供檢體、資料與資訊,但已提供第三人之檢體、資料與資訊繼續使用」及「停止使用檢體、資料與資訊」等多種停用資料之方式予參與者選擇[註5]。
相較之下,臺北榮民總醫院人體生物資料庫之表格設計相對簡單,僅提供「申請變更內容」之空白欄位供參與者填寫[註6]。一方面似乎提供參與者更大的自由決定空間(可自行填寫所欲達成的退出方式);但另一方面,參與者是否有充分背景知識而得自主填寫其所欲達成之變更內容與效果?若參與者自主填寫了相對複雜之變更內容與效果,設置者是否得確實滿足其請求?或者,在沒有參考選項下,參與者是否會傾向選擇完全退出(其概念相對容易理解)?仍有待觀察。
再者,從保障參與者資訊自主權之角度觀察,臺灣人體生物資料庫藉由QA頁面[註7]及退出參與聲明書之內容[註8],書面說明參與者退出權之行使,不影響過去使用參與者資訊所產出之研究成果,應有助於參與者理解退出權/撤回同意之限制。
最後,除了藉由上述(1)退出/變更參與表單選項之設計,以及(2)取得受試者同意時,充分告知退出權/撤回同意可能之限制,強化受試者之知情權保障,得以在一定程度上調和研究者的研究利益與資料主體的隱私權間所生衝突外,就特定領域的生物醫學研究,如有保存資料之重要公益,亦得藉由相關立法來調整上述衝突之效果。例如:對於受藥品優良臨床試驗作業準則規範之生物醫學研究,該準則第98條即要求試驗主持人應確保資料之精確度及完整性,此規定類似FDA所發布之指引,有助於確保研究結果之正確性,也避免受試者受到利益關係人之引誘而退出試驗(例如:要求數據不佳之受試者退出試驗)。
備註
1.Marcu Florea, Withdrawal of Consent for Processing Personal Data in Biomedical Research, 13 International Data Privacy Law 107 (2023). 以下除引用原文或對特定段落評論外,本文章的介紹部分不再特別引註。
2.林玫君,論個人資料保護法之「當事人同意」,東海大學法學研究,51期,頁121-170(2017年)。
3.憲法法庭111年憲判字第13號判決。
4.臺灣人體生物資料庫網站,https://www.twbiobank.org.tw/attendance_fd.php (最後瀏覽日:2023年11月12日)。
5.高雄榮民總醫院教學研究部網站,https://org.vghks.gov.tw/erli/cp.aspx?n=EAB6EE26954CB412 (最後瀏覽日:2023年11月12日)。
6.臺北榮民總醫院人體生物資料庫網站,https://wd.vghtpe.gov.tw/biobank/Fpage.action?muid=5&fid=175 (最後瀏覽日:2023年11月12日)。
7.臺灣人體生物資料庫網站, https://www.twbiobank.org.tw/attendance_qa.php (最後瀏覽日:2023年11月12日)。
8.臺灣人體生物資料庫網站,https://www.twbiobank.org.tw/attendance_fd.php (最後瀏覽日:2023年11月12日)。