近年来,国家及社会对个人信息保护力度不断加大,2016 年 11 月发布,2017 年 6 月起施行的《中华人民共和国网络安全法》将个人信息定义为“以电子或者其他方式记录的与识别或者可识别的自然人有关的各种信息”,明确网络运营商应当采取技术措施和其他必要措施,确保其收集的个人信息安全。由国家市场监督管理总局国家标准化管理委员会于 2020 年 12 月发布的《信息安全技术健康医疗数据安全指南》列出了保护医疗数据时采取的安全措施等内容。由此可见,国家层面在不断构建并完善个人信息保护相关法律法规体系。
受试者是科研的重要组成部分。药物临床试验中的受试者被定义为“参加一项临床试验,并作为试验用药品的接受者,包括患者、健康受试者”。医疗器械临床试验中的受试者是指“被招募接受医疗器械临床试验的个人”。医疗器械临床试验受试者信息主要由受试者个人信息结合其接受医疗服务过程中产生的与疾病诊疗及临床试验方案相关的数据组成。《医疗器械临床试验质量管理规范》的第二十二条明确指出“知情同意书应明确告知受试者参加试验的个人资料属于保密,伦理委员会、药监部门或申办者在工作需要时按照规定程序可以查阅受试者参加试验的个人资料”。受试者信息安全保护体系旨在加强医学研究管理,保障受试者信息安全。医疗机构的科研部门、临床试验管理部门及伦理委员会应根据实际情况,结合国内相关法规及国际指南等,制订受试者信息安全保护相关制度规范,并由医疗机构质量考核小组定期监督评价受试者保护体系的执行情况、质量、效果和效率,促进受试者信息安全保护工作的持续改进。尽管临床试验机构及申办方会制订相应的医疗记录保密、隐私保护等规定,但受试者信息安全的全面性、系统性体系有待构建与完善。故本文对医疗器械临床试验受试者信息安全存在的问题进行分析与归纳,建立健全受试者信息安全保护体系,提高信息管理水平。
1、受试者信息安全相关要求
受试者信息包括内部数据信息和外部数据信息在内的所有与诊疗及临床试验方案相关信息,通过纸质化或电子化形式被采集、存储、使用、传输和访问等。其中受试者信息采集要求包括:主要研究者或被其授权的研究者收集数据信息;与受试者签署知情同意书并说明有关临床试验的详细情况;伦理委员会、药品监督管理部门及申办方在工作需要时,可以查阅受试者资料等。受试者信息存储要求包括:受试者参与临床试验的医疗记录及签字原件等均留存于医疗机构,由专人专柜保存,未经允许不得随意修改,未经许可不得查阅受试者病历资料或临床试验原始资料。对于信息系统应设置验证和加密处理,确保院内网络与公网环境的隔离,且限制移动存储设备的使用等。受试者信息使用要求包括:录入信息后的每一次修改、删除或增加痕迹应在系统有保留,且不被任何人修改或编辑;数据信息建立权限管理,不同角色人员设置不同账号且有不同权限等。受试者信息传输与访问要求包括:受试者数据信息的传输可能涉及互联网线路,则要求采用安全传输层协议(transport layer security protocol,TLS)等安全传输方式;涉及光盘、U 盘等移动存储介质,则要求数据加密。进而确保传输过程中敏感信息或整个数据不被窃取、不被泄露、不被篡改。数据访问实行身份验证来允许、限制对系统的登录或使用等。满足上述各环节受试者信息的相关要求,才能确保受试者信息的完整性、准确性、真实性、一致性、可溯源性及可靠性等。
1.1 内部数据信息
受试者内部数据信息的记录与存储基于医院信息系统(hospital information system,HIS),其作用是存储和共享信息,提高医院各部门的工作效率,为医疗行为的高效便捷提供信息化基础。与受试者信息息息相关的系统包括临床信息系统(clinical information system,CIS)、放射科信息系统(radiation information system,RIS)、实验室信息管理系统(laboratory information management system,LIS)等。临床试验要求符合所有入选标准,并且没有任意一条符合排除标准的受试者,才能入组临床试验。筛选期受试者的基本信息与病史,与临床试验方案相关的实验室检查、影像学检查及功能性评分等信息均需在 HIS 中记录。试验用医疗器械的性能及规格型号、有效期等唯一性识别信息均需完整体现在手术记录中。依据方案要求的时间窗进行的术后门诊随访,其相关检查结果、功能性评分、不良事件(adverse event,AE)、严重不良事件(serious adverse event,SAE)、合并用药等均需记录于门诊病历中。再者医疗器械种类繁多,不同领域操作方法及评价方法差别较大,试验用医疗器械的安性和有效性一定程度上依赖于操作者等特点,更加要求医疗器械临床试验设计的合理、完整,试验用器械的操作规范等。这些与受试者诊断及治疗相关的数据信息是评价试验用医疗器械安全性及有效性不可或缺的内部数据信息。
1.2 外部数据信息
外部数据信息是临床试验全过程产生的一些文件资料,与受试者相关的如筛选入选表、鉴认代码表;知情同意书(informed consent form,ICF);原始病历和(或)病例报告表(case report form,CRF)/电子数据采集管理系统(electronic data capture,EDC);试验用医疗器械的到货、分发、使用、回收/销毁记录;主要疗效或次要疗效的功能性评分表,如衡量肩关节功能的美国加州大学肩关节评分(the university of California at Los Angeles shoulder rating scale,UCLA)、评价疼痛的视觉模拟评分法(visual analogue scale/score,VAS)、评估膝关节功能的纽约特种外科医院(hospital for special surgery,HSS)膝关节评分等。这些资料常作为申办方监查、核查,临床试验机构管理部门质控,药监部门检查等多方质量控制的重要外部数据信息。
2、受试者信息安全存在的问题
2.1 临床试验项目管理系统的不健全
临床试验项目管理系统的数据一部分通过相关人员上传至平台,另一部分需要与 HIS 进行数据对接,该系统通常使用外网,可能会受到网络黑客的威胁,受到计算机病毒侵害等。未对数据库进行加密处理,系统未设置防火墙及检测系统等,缺乏良好的网络过滤技术等均会导致受试者信息泄露等问题发生。
2.2 原始文件资料不完整
ICF 作为受试者自愿参加临床试验的证明性文件,没有受试者本人或其监护人/见证人签字;功能性评分等主观的、需要询问受试者本人情况的原始表格资料无受试者本人的签字确认;原始病历无受试者是否符合方案设计的入选与排除标准选项;方案要求的随访时间窗内的门诊病历中未记录与器械安全性及有效性评价相关内容等,均会导致受试者信息的不完整及不可溯源等问题。
2.3 HIS 与原始资料的信息不一致
临床试验方案对受试者体检和实验室辅助检查项目有相应要求,在临床诊疗过程中未按方案要求进行检查或检查未在规定时间窗内,属于方案偏离情形,未记录并上报伦理委员会;试验用医疗器械的使用情况、规格型号等信息,在手术记录、器械使用记录表及原始病历中信息不一致;原始病历的随访记录与 HIS 中信息不一致,如功能性评分总分不同、关节活动度不同等;对于退出或者失访的受试者记录的说明信息不一致;对于 AE、合并用药及 SAE 等信息在HIS 有体现,但原始病历未记录;HIS、原始病历、筛选入选及鉴认代码表中受试者身份证号、姓名等信息不一致;系统中记录知情同意研究者与签署 ICF 研究者不一致等均属于 HIS 与原始资料信息不一致,会导致受试者信息的不完整、不准确、不可溯源等问题发生。
2.4 访问人员未授权
为保证试验记录与数据的准确、完整,保证受试者的安全和权益,会有多方人员接触到受试者信息。例如申办方监查会对临床试验过程中的数据进行验证;申办方核查会确定临床试验数据的记录、分析和报告是否符合临床试验方案、标准操作规程等相关管理要求;现场管理组织(site management organization,SMO)派遣临床协调员(clinical research coordinator,CRC)进行非医学性判断的事务性工作;合同研究组织(contract research organization,CRO)派遣临床研究监查员(clinical research associate,CRA)对临床试验全过程进行组织管理。如若上述人员未被授权相关工作,则可能对临床试验方案理解不到位,对受试者信息相关问题不能及时发现并采取纠正措施,不能很好地保障受试者的权益及临床试验质量。
2.5 规章制度不完善
医疗机构、申办方、CRO 及 SMO 等未建立对受试者信息收集、储存、使用及处理的相关制度,CRF 或者其他文件中体现受试者姓名,而未用姓名缩写、数字或者代码来识别受试者;研究者、CRA、机构质控员及 CRC 等未能对显示受试者身份的文件进行严格保密;研究者/CRC 未对受试者的全部资料进行专柜存放;针对随机入组的临床试验项目,未做到组别对受试者保密等问题均会影响受试者信息的保密性。
2.6 信息安全意识薄弱
无论是 HIS,还是 EDC 均会有登录账号及密码的设置,若研究者、CRA、CRC 等操作人员随意将登录账号与密码借与他人;操作完成后未立即退出系统;随意使用存储介质将数据转出;由未经授权人员访问系统,并出于某种原因窃取、伪造、篡改数据信息;系统主动防御病毒、黑客、木马等攻击的防护水平较低都会对受试者信息安全存在隐患。
2.7 电子数据管理欠佳
有些临床试验项目会采用 EDC 或者依据 CRF 建立Epidata 等数据库,根据原始病历和(或)HIS 的数据信息完成对数据的采集、核查、审核及锁定等工作。若 EDC 系统或数据库出现运行环境不稳定、系统验证/测试未通过、系统升级后对前一版本不兼容,均会导致原有数据破坏或丢失;若录入工作由未授权、未经过培训的研究者/CRC 完成,可能对系统的理解有误造成数据准确性欠佳;研究者/CRC 未认真录入信息,出现录入错误、空项、漏项等问题;研究者/CRC 未在访视完成后及时录入 EDC,未及时答复 CRA 等的数据质疑等均属于电子数据管理欠佳,使得受试者信息的安全性及准确性有所下降。
3、对策与建议
3.1 提升临床试验项目管理系统的安全性
现有很多公司或者医院致力于研发临床试验项目管理系统,该系统与 HIS 相关联,基本实现临床试验全过程的管理及数据采集,在进行数据远程监控的同时,要做好数据加密,设置访问权限,只有被授权的人才能通过该平台查看临床试验项目相关内容,充分确保数据安全和受试者隐私保护[5]。保证数据存储的安全性,如使用阿里云存储技术、数据加密技术、异地容灾备份等,确保数据的安全性、稳定性和可靠性。因此临床试验项目管理系统的开发者将面临越来越多以网络安全保护形式存在的产品安全需求,以防受试者信息等大量数据泄露。
3.2 保障原始文件资料的完整性
《医疗器械临床试验质量管理规范》的第七十四条提到“临床试验机构和研究者应当确保临床试验所形成数据、文件和记录的真实、准确、清晰、安全”[3]。临床试验方案中明确要求研究者在完成与试验用器械有关的手术后及时将使用的产品标签分别粘贴于受试者的手术记录背面、产品使用记录表、临床试验原始病历及 CRF(若有)中,以便查找和追溯。方案还要求项目的 CRA 必须有原始资料来证明知情同意程序的适当性、对方案的依从性、AE 的报告与随访、CRF/EDC 所收集数据的准确性和器械信息,确认所有CRF/EDC 填写正确,并与原始资料一致,所有错误或者遗漏均已改正或者注明,并经研究者确认。医疗器械临床试验管理部门的质量控制,会对临床试验的启动、中期及结题阶段等进行全方位的质控[7]。参加项目的研究人员必须经过系统的培训,统一记录方式与判定标准。临床试验中所有观察、检查结果和发现都应记录于 CRF/EDC、受试者筛选入选表、鉴认代码表、医疗文件、试验用器械使用记录表、SAE 报告表等相应原始文件资料中,并加以核实,确保数据的可靠性,确保临床试验中各项结论均来源于原始资料,并由多方共同保障原始文件资料的完整性。
3.3 强调 HIS 中信息与原始资料的一致性
《医疗器械临床试验检查要点及判定原则》中多处涉及到“一致”的要求,包括原始文件资料与方案、研究者手册一致,与 CRF 中数据一致,与临床试验统计数据库数据一致等。临床试验方案要求的受试者信息在 HIS 中均有所体现,包括基础信息、诊疗信息、AE、合并用药、SAE、临床观察所见及试验用器械使用情况等,研究者确保 HIS 中数据信息的准确、真实、完整,CRA、CRC 及临床试验机构质控员等多方核对原始文件资料信息与 HIS 信息的一致性,确保受试者信息的完整、准确、可溯源。
3.4 建立授权管理制度
建立临床试验各方人员的授权管理制度,申办方对CRA 及核查员的授权,主要研究者(principal investigator,PI)对各研究者的工作职责授权,监管部门对检查员的授权,SMO 公司对 CRC 的授权,CRO 公司对 CRA 的授权等,明确各方人员对受试者信息使用权限和相关职责;因个人授权信息管理不当造成的不良后果由被授权人承担等。建立并完善各方的授权管理制度,既能保障临床试验的进程与质量,又能保障受试者信息安全。
3.5 建立健全规章制度
受试者信息安全管理制度是对医疗机构受试者诊疗信息收集、存储、使用及处理等进行全流程系统性保障的制度。确保受试者诊疗信息管理的安全性、真实性、连续性、完整性及溯源性等。包括遵循《医疗器械临床试验质量管理规范》、《临床试验的电子数据采集技术指导原则》及临床试验方案等,合法、依规使用受试者信息;覆盖受试者诊疗信息管理全流程;不得出售或擅自向他人或其他机构提供受试者信息;相关人员做好对受试者信息的保密,仅通过研究中心代码和姓名缩写或者编号来查询受试者等。临床试验的各合作方在做好质量保证与质量控制工作的同时,应当对临床试验方案规定的需要收集的受试者信息严格保密,并建立健全受试者信息保护制度。在完善规章制度的同时,落实并执行,充分保障受试者信息安全。
3.6 提高信息安全意识
医疗信息与个人信息的安全保护是管理受试者信息的一个重要方面,必须加强信息安全体系建设,防止数据信息泄露。项目启动前,强化各方人员对受试者信息的概念、收集、记录及使用等方面的培训。建议从保密原则、知情同意原则、外部用户和内部用户使用信息规范等[9]多方面提高信息安全意识,保护受试者信息安全。完善医疗机构的物理保护技术及医护人员等对受试者信息的隐私保护机制,减少受试者对信息安全的担忧,加强塑造受试者安全感知,进而提高其提供信息的准确性及完整性[10]。
3.7 电子数据的规范管理
《医疗器械临床试验质量管理规范》的第五十五条提到“申办者若采用电子临床数据库或者远程电子临床数据系统,应当确保临床数据的受控、真实,并形成完整的验证文件”[3]。EDC 的开发者应建立系统开发规程、系统验证标准操作程序、版本控制操作规范等,经工作人员测试后才可使用。相关人员会得到 EDC 的账号和密码,并妥善保管,不得告知或替他人行使相应权利;EDC 必须由被授权研究者/CRC 录入;项目启动前,要对 EDC 使用人员进行培训,要求其认真、及时、准确录入所有内容;EDC 中所有数据与受试者原始资料相一致;对于监查员及数据统计员的数据质疑要在核实无误后解答质询,直至质疑全部解答完毕;最终由数据管理人员、统计人员、研究者、申办方监查员等对数据进行审核并将数据库锁定;对已锁定的数据库不得再做任何改动。
3.8 加强受试者信息跨境的监管
2019 年 5 月发布的《中华人民共和国人类遗传资源管理条例》[11]中明确“为获得相关医疗器械在我国上市许可,在临床机构利用我国人类遗传资源开展国际合作临床试验、不涉及人类遗传资源材料出境的,合作双方在开展临床试验前应当将拟使用的人类遗传资源种类、数量及其用途向国务院科学技术行政部门备案。”对于符合条例要求但未按该条例进行国际合作临床试验备案的,将由国务院科学技术行政部门责令停止,没收违法人类遗传资源并没收违法所得。医疗机构对人类遗传资源活动的质量管理应从制度的建立与完善、各方行为的约束、规章制度的培训及信息化机制的建立等多方面确保受试者信息的合理使用[12]。从国家及医疗机构两方面共同加强受试者信息跨境的监管。
4、结语
信息技术在发展的同时存在着侵犯隐私的风险[13]。《国务院办公厅关于促进“互联网 + 医疗健康”发展的意见》(国办发〔2018〕26 号)中强调了制定医疗服务和个人信息保护等标准规范的重要性。而所有的医疗器械临床试验数据信息均基于受试者信息,因此要考虑数据信息在收集、存储和传输过程中的安全性,保障受试者信息安全。综上所述,受试者信息保护涉及多个部门,医疗器械临床试验机构要充分发挥统筹协调作用。保障数据信息安全,严格执行信息安全和医疗数据保密规定,建立并完善受试者信息保护机制,才能更好地确保与临床试验相关的数据的完整性、准确性、可靠性、真实性及可溯源性。
