□?楊帆?金琳懿
新《中華人民共和國個人信息保護(hù)法》(以下簡稱《個保法》)正式施行以來,各行各業(yè)都在探討個人信息處理的合法合規(guī)性問題����。
醫(yī)藥企業(yè)充分了解在各種業(yè)務(wù)場景下處理個人信息的合法性基礎(chǔ)���,以及應(yīng)當(dāng)依據(jù)何種合法性基礎(chǔ)進(jìn)行個人信息的處理,對于企業(yè)的合規(guī)經(jīng)營殊為重要�����。本文探討藥品上市許可持有人在藥物警戒活動中對個人信息處理的合法性基礎(chǔ)���。
個人信息處理的合法性基礎(chǔ)
醫(yī)藥企業(yè)在多個業(yè)務(wù)場景下都會處理個人信息�,其中包括個人醫(yī)療健康信息等敏感信息����。
根據(jù)《個保法》第十三條�,僅在符合下列情形之一的前提下,個人信息處理者方可處理個人信息:(一) 取得個人的同意�;(二) 為訂立、履行個人作為一方當(dāng)事人的合同所必需�����,或者按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理所必需����;(三) 為履行法定職責(zé)或者法定義務(wù)所必需���;(四) 為應(yīng)對突發(fā)公共衛(wèi)生事件,或者緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全所必需�;(五) 為公共利益實(shí)施新聞報道、輿論監(jiān)督等行為�����,在合理的范圍內(nèi)處理個人信息��;(六) 依照本法規(guī)定在合理的范圍內(nèi)處理個人自行公開或者其他已經(jīng)合法公開的個人信息��;(七) 法律�����、行政法規(guī)規(guī)定的其他情形��。
取得個人同意是處理個人信息最重要的合法性基礎(chǔ)�����,但并不是唯一的合法性基礎(chǔ)�����。《個保法》第十三條同時規(guī)定����,有上述第(二)項(xiàng)至第(七)項(xiàng)規(guī)定情形的,不需取得個人同意���。
在歐洲數(shù)據(jù)保護(hù)委員會(European Data Protection Board����,EDPB)于2021年2月2日發(fā)布的“EDPB Documents on response to arequset by The European Commission for clarification on the consistent application of the GDPR,focussing on health research”中���,EDPB也闡述了并不是只有數(shù)據(jù)主體的明示同意可以作為處理健康數(shù)據(jù)的合法性基礎(chǔ)���,歐盟《通用數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation,GDPR)中包含的其他法律基礎(chǔ)及豁免�����,也可以作為處理健康數(shù)據(jù)的依據(jù)����。
因此�����,對于醫(yī)藥企業(yè)在不同業(yè)務(wù)場景下處理個人信息的合法性基礎(chǔ)需要深入探討,特別應(yīng)當(dāng)關(guān)注并非以個人同意作為處理依據(jù)的情況����。
藥物警戒活動涉及的個人信息處理
藥物警戒活動是指對藥品不良反應(yīng)及其他與用藥有關(guān)的有害反應(yīng)進(jìn)行監(jiān)測、識別�、評估和控制的活動,其中不可避免地會涉及對個人信息的處理��。
《藥物警戒質(zhì)量管理規(guī)范》要求藥品上市許可持有人在首次獲知疑似藥品不良反應(yīng)信息時�,應(yīng)當(dāng)盡可能全面收集患者、報告者�、懷疑藥品以及不良反應(yīng)發(fā)生情況等。收集過程與內(nèi)容應(yīng)當(dāng)有記錄�����,原始記錄應(yīng)當(dāng)真實(shí)�、準(zhǔn)確、客觀����。
一份有效的個例藥品不良反應(yīng)報告應(yīng)包括四個元素:可識別的患者、可識別的報告者�����、懷疑藥品、不良反應(yīng)����。當(dāng)患者的下列一項(xiàng)或幾項(xiàng)信息可獲得時,即認(rèn)為患者可識別:姓名或姓名縮寫��、性別����、年齡(或年齡組,如青少年�、成年、老年)���、出生日期����、患者的其他識別代碼���。提供病例資料的初始報告人或?yàn)楂@得病例資料而聯(lián)系的相關(guān)人員應(yīng)當(dāng)是可識別的。對于來自互聯(lián)網(wǎng)的病例報告���,報告者的可識別性取決于是否能夠核實(shí)患者和報告者的存在���,如提供有效的電子郵箱或者其他聯(lián)系方式�。而個例不良反應(yīng)報告中的用藥情況和不良反應(yīng)情況將涉及患者的醫(yī)療健康信息�。因此在收集個例藥品不良反應(yīng)時,持有人將直接從事個人信息的收集��、儲存和使用��。
持有人可以通過受托方���、醫(yī)療機(jī)構(gòu)�、藥品經(jīng)銷商收集藥品不良反應(yīng)��,在此過程中將會涉及患者和報告者個人信息的委托處理或傳輸����。同時,持有人向藥品監(jiān)管部門提交個例藥品不良反應(yīng)報告時�,患者的個人信息也將隨之提供給藥品監(jiān)管部門。
如果收集個例藥品不良反應(yīng)報告的持有人是境外實(shí)體��,還可能會出現(xiàn)個人信息向境外提供的情形。
《藥物警戒質(zhì)量管理規(guī)范》要求藥物警戒記錄和數(shù)據(jù)至少保存至藥品注冊證書注銷后十年��,并應(yīng)當(dāng)采取有效措施防止記錄和數(shù)據(jù)在保存期間損毀�、丟失。因此��,患者和報告者的個人信息在此期間將由持有人儲存�����。
如果持有人轉(zhuǎn)讓藥品上市許可�����,應(yīng)當(dāng)同時移交藥物警戒的所有相關(guān)記錄和數(shù)據(jù)��,確保移交過程中記錄和數(shù)據(jù)不被遺失�。因此,在發(fā)生藥品上市許可轉(zhuǎn)讓的情況下�,患者和報告者的個人信息也將隨之轉(zhuǎn)移給新的持有人。
藥物警戒活動中處理個人信息是履行法定義務(wù)
根據(jù)《中華人民共和國藥品管理法》(以下簡稱《藥品管理法》)��,持有人應(yīng)當(dāng)開展藥品上市后不良反應(yīng)監(jiān)測�����,主動收集、跟蹤分析疑似藥品不良反應(yīng)信息����。持有人���、藥品生產(chǎn)企業(yè)�、藥品經(jīng)營企業(yè)和醫(yī)療機(jī)構(gòu)發(fā)現(xiàn)疑似不良反應(yīng)的����,應(yīng)當(dāng)及時向藥品監(jiān)管部門和衛(wèi)生健康主管部門報告。
由此看出�,開展藥物警戒是持有人的一項(xiàng)法定義務(wù)。因此���,在藥物警戒活動中持有人對個人信息的處理可以依據(jù)《個保法》第十三條第一款第(三)項(xiàng)“為履行法定職責(zé)或者法定義務(wù)所必需”�����,作為其合法性基礎(chǔ)��。
所謂法定義務(wù)�,是指信息處理者依據(jù)法律法規(guī)的規(guī)定而負(fù)有的義務(wù)���。法定義務(wù)的主體包括普通的民事主體����,即自然人、法人和非法人組織����。我國法律中規(guī)定了很多與個人信息處理相關(guān)的法定義務(wù),如金融機(jī)構(gòu)在反洗錢法規(guī)定下為履行反洗錢義務(wù)而收集�����、核對用戶的個人信息����。
因此,筆者認(rèn)為���,持有人開展藥物警戒活動�����,在藥品不良反應(yīng)的收集和報告過程中處理患者個人信息屬于履行其在《藥品管理法》《藥品不良反應(yīng)報告和監(jiān)測管理辦法》《藥物警戒質(zhì)量管理規(guī)范》等法律法規(guī)項(xiàng)下的法定義務(wù)�,并不需要患者的同意���。
同時��,患者作為個人信息主體在《個保法》下的其他權(quán)利也可能受到藥物警戒的法定義務(wù)的限制�。例如,在藥物警戒數(shù)據(jù)保存期屆滿之前�,患者并不能要求持有人刪除個人信息����。
個人信息處理的注意事項(xiàng)
盡管持有人在藥物警戒活動中對個人信息的處理可以將“為履行法定職責(zé)或者法定義務(wù)所必需”作為其合法性基礎(chǔ),但是并不意味著持有人可以不受限制地任意處理患者的個人信息�����。
第一����,持有人不能將藥物警戒活動中收集的患者個人信息用于法律法規(guī)規(guī)定的藥物警戒活動之外的目的,例如用于藥物警戒以外的其他研究目的或商業(yè)目的�。
值得注意的是,雖然《藥物警戒質(zhì)量管理規(guī)范》規(guī)定��,境外發(fā)生的嚴(yán)重不良反應(yīng)���,持有人應(yīng)當(dāng)按照個例藥品不良反應(yīng)報告的要求向中國藥品監(jiān)管部門提交報告�����,但是并沒有規(guī)定持有人可以將在中國發(fā)生的嚴(yán)重不良反應(yīng)信息報告給其他國家和地區(qū)政府部門�����。一般認(rèn)為��,《個保法》中提及的“法定職責(zé)/義務(wù)”是指中國法律法規(guī)項(xiàng)下的職責(zé)和義務(wù)����,并不涵蓋其他國家和地區(qū)法律項(xiàng)下的職責(zé)和義務(wù)。因此����,持有人是否可以把含有患者個人信息的不良反應(yīng)報告提交給其他國家和地區(qū)政府部門,還存在疑問�,有待相關(guān)部門加以明確。
此外���,含有患者個人信息的不良反應(yīng)報告僅能由持有人用于藥物警戒活動���,并不能提供給持有人以外的對藥物警戒沒有法定義務(wù)的第三方,如藥品知識產(chǎn)權(quán)許可方�����、持有人的合作方等。
第二���,持有人應(yīng)遵守《個保法》中個人同意之外的與藥物警戒活動不相沖突的規(guī)則���。
例如,持有人委托他人開展藥物警戒工作時��,相關(guān)協(xié)議中除了規(guī)定藥物警戒相關(guān)法規(guī)項(xiàng)下的職責(zé)分工外��,還應(yīng)符合《個保法》第二十一條的規(guī)定���,要求受托方按照約定處理個人信息,不得超出約定的處理目的���、處理方式等處理個人信息��。
相關(guān)主體(如藥物警戒受托方或藥品經(jīng)銷商)將含有患者個人信息的不良反應(yīng)報告提供給境外的持有人時���,雖然不需要個人同意,但應(yīng)當(dāng)遵守《個保法》第三十八條規(guī)定的條件之一���,即通過安全評估����、經(jīng)個人信息保護(hù)認(rèn)證或訂立標(biāo)準(zhǔn)合同。
此外����,持有人也應(yīng)當(dāng)遵守《個保法》第五章的義務(wù),如采取相應(yīng)的安全措施�、指定個人信息保護(hù)負(fù)責(zé)人、進(jìn)行合規(guī)審計(jì)��、進(jìn)行個人信息保護(hù)影響評估等�����。
(作者單位:金杜律師事務(wù)所)
法治號
