欧盟《通用数据保护条例》提出的关于基因组数据共享的问题可以通过一些措施来解决,包括新的监管指导以及制定社区标准,以确保数据隐私受到保护。
这是PHG基金会法律、监管和数字健康领域的高级政策分析师科林·米切尔(Colin Mitchell)在本周在线举行的欧洲人类遗传学学会会议上的一次演讲中描述的一些发现。
PHG基金会位于英国剑桥大学内,是一个健康政策智库。该基金会侧重于政策制定和以政策为重点的研究,以支持基因组技术和其他技术在医疗保健领域的应用。
去年,米切尔和同事就GDPR的影响发表了一份204页的报告,GDPR是欧盟2018年颁布的全面数据保护和隐私改革,也涵盖了个人数据在欧盟以外的转移。GDPR允许欧盟的数据保护部门在被发现违反法律的情况下征收高达2000万欧元(2410万美元)的罚款。
然而,正如Mitchell在ESHG演讲中所指出的,目前还不清楚在什么情况下去识别的基因组数据或相关的患者数据被视为个人数据,监管机构本身——更不用说社区了——仍在努力解决这个问题。米切尔在后续邮件中承认,即使在GDPR生效三年后,这种不确定性仍然存在,这是英国信息专员办公室支持PHG研究的原因之一。该办公室负责英国的国家数据保护。
正如演讲中提到的,Mitchell和他的同事研究了四个主要问题:在GDPR下,基因组数据在多大程度上被视为个人数据;如果是这样,会对研究产生什么影响;如何减少这种潜在的影响;数据处理的结果是什么。
总的来说,他们发现在基因组数据何时构成个人数据的问题上存在不确定性。为了在GDPR下更好地保护自己,Mitchell推动基因组学社区在行为准则和安全数据共享机制方面制定自己的标准。他说,这可能涉及法律和组织措施,以及数据访问控制,比如共享数据的人之间的协议,以及创建可以在数据存储的地方分析数据的工具,而不是将数据传输给分析。米切尔强调,研究人员因此可以把分析带到数据中,而不是把数据带到分析中。
尽管来自数据保护部门的巨额罚款威胁笼罩着基因组学界,但这种持续的不确定性也阻止了迄今为止对基因组数据共享的干预,因为机构出于对违反隐私法的担忧,选择了不转移数据。与此同时,总部位于布鲁塞尔的独立机构欧洲数据保护委员会(European Data Protection Board)没有解决这些问题。
“据我所知,还没有任何干预措施,”米切尔说,“尽管EDPB曾强烈建议将基因数据视为个人数据,”他重申。
他指出,EDPB仍在权衡这一问题,各个欧洲成员国在GDPR之前就有各种方法来确保基因组数据的安全共享。米切尔指出,目前,“围绕个人数据范围、匿名化和基因组数据的一系列问题仍有待解释和辩论。”
米切尔证实,EDPB一直在制定与科学研究相关的指导方针,并在起草指导方针时与研究界进行了接触。欧盟层面讨论的一个论坛是“100 + 100万个基因组”项目,该项目旨在到2022年让整个地区的研究人员获得来自100万个基因组的数据超过100万个基因组该项目由欧盟资助,旨在开发共享这些数据的机制。
米切尔说,考虑到GDPR的范围及其应用,目前还没有对基因组数据达成共识。他说:“所有事情的主要挑战是,EDPBs的职权范围和GDPR本身太宽泛了,它们必须涵盖所有形式的个人数据处理。”
另一个挑战是英国脱欧,即英国退出欧盟,这引发了关于英国未来如何管理岛国与欧盟之间的基因组数据转移的问题。米切尔指出,欧盟委员会在6月决定,英国提供了相当于GDPR的数据保护,允许在一个协议下继续在两个实体之间转移适当的决定.米切尔称,这是目前对英国来说“最好的结果”,但如果英国在未来的数据保护法上与欧盟存在分歧,可能会重新考虑这一决定。
因此,目前的挑战不是英国与欧盟之间的数据传输,而是与欧洲以外的国家共享数据,尤其是美国,在美国,像美国国立卫生研究院(National Institutes of Health)这样的联邦机构被禁止签署EDPB要求的一些条款。Mitchell说,行为准则或认证计划可能在未来弥补这些僵局,但要达成这样的解决方案将需要时间、资源和基因组界“难以达成的”共识。
米切尔补充说,自从去年发布GDPR对基因组学影响的原始报告以来,他和研究人员更新了他们的发现。他们的科学工作包括法律研究和采访,他们还召开了专家会议以获取信息。他们发现,GDPR中有关数据传输的部分法律解释是可变的,而规定数据主体权利的部分法规,例如,在基因组学背景下是含糊不清的。
例如,一个人要求获得基因组数据的权利会很复杂,因为同一家庭的多个成员可以要求这些数据是他们自己的。正如GDPR所描述的那样,就如何进行数据如何导致鉴定的风险评估达成协议,对基因组学界来说也是一项挑战。使用祖先网站,尤其是GEDmatch,人们可以假设上传一个人的基因组数据,并通过遗传谱系联系推断某人的身份,这是技术发展使问题进一步复杂化的一个例子。
奥斯陆的风景
奥斯陆大学私法系研究员Heidi Beate Bentzen也在ESHG的一个单独会议上谈到了GDPR。她在后续邮件中表示,她熟悉PHG的报告,虽然“写得很好”,但它从英国法律的角度,而不是欧盟法律的角度,探讨了基因组数据共享的问题。
作为一个例子,她指出,在GDPR之前,包括英国在内的各个欧盟成员国以不同的方式应用了欧盟监管数据保护的前任指令。这意味着每个国家实际上执行和解释欧盟法律的方式不同。在英国,匿名数据被认为不属于该指令的范围,但当GDPR生效时,它明确指出匿名数据是个人数据。她表示,这导致了英国数据保护法与GDPR之间的最终冲突,目前尚未解决。
和米切尔一样,本岑也指出了涉及数据转移到美国的问题。她提请人们注意欧盟法院(Court of Justice of European Union)最近做出的一项名为Schrems II的裁决,该裁决废除了将数据从欧洲经济区(European Economic Area)转移到美国私人公司的机制,这些公司通过一个名为Privacy Shield的框架向美国商务部(US Department of Commerce)自我认证,以确保数据保护。她指出,这一机制已经失效,因为美国监控机构可能仍然可以根据美国法律访问数据,而没有个人补救的机会。
在同一裁决中,法院裁定,只要签订了一份合同,确保与欧盟《GDPR》下的保护标准相同的保护标准,数据就可以转移到欧洲经济区以外的国家。
他说:“基本上,欧盟的数据保护应该和数据一起走。”“要达到这一保护水平,可能需要在适当的保障措施之外增加补充措施。”
在Schrems II判决之后,EDPB发布了关于如何实现这一目标的进一步指南,这些指南最初以草案形式发布,北欧人类遗传学和精确医学协会(NSHG-PM),建议向环境保护署提交补充指引。NSHG-PM为丹麦、爱沙尼亚、芬兰、冰岛、挪威和瑞典的基因研究人员提供了一个网络。
“我们担心建议的措施不适合医学研究,特别是基因组研究,”Bentzen在电子邮件中说。她说,EDPB为科学数据的转移提供的唯一解决方案是化名,而这在基因组数据方面很难实现。
“如你所知,在基因组研究中,数据总是用化名,”本特森说。“然而,EDPB更进一步,要求不能在转移的数据集中识别个体,这在基因组研究中是不可能实现的,”她说。
总的来说,NSHG-PM提出了22项技术、组织和法律补充措施,可能有助于支持GDPR下的安全数据传输。她说:“我们的观点是,一系列措施的结合将尊重研究参与者的基本权利,同时使继续进行基因组数据转移成为可能。”然而,补充指南的最终版本没有涉及NSHG-PM的建议,将其留给数据出口商在个案基础上解决措施。
不过,EDPB正在起草一份指导方针,为此类转移制定行为准则,其他组织也在参与类似的工作。位于奥地利格拉茨的生物银行和生物分子资源研究基础设施-欧洲研究基础设施联盟就是其中之一。本岑说,她也在为BBMRI-ERIC的努力做出贡献。
她补充说,必须建立一个独立的监测机构来管理这类数据传输,而欧盟内部的数据保护机构既不会设立这样的机构,也不会资助这样的机构,而是让整个欧盟共同创建一个这样的机构。她补充说,任何这样的机构都将有能力通过参与成员国作出具有约束力和可执行的承诺采取行动,任何涉及这样一个机构的行为准则都将需要欧盟委员会的批准。
正如她在ESHG演讲中指出并在邮件中重申的那样,创建这样一个机构并非易事。然而,一旦一个机构的设立过程完成,当事各方有足够的资金,接收方能够确保遵守该机构对数据转移的具有约束力和可执行性的承诺,它仍可能是未来可以使用的“良好的适当保障措施”。