2020年1月6日,欧盟数据保护主管(EDPS)针对科学数据保护的问题发布了相关的意见文件。该文件从总体上认为私营部门与学术研究之间的界线“比以往任何时候都模糊”,但是涉及个人数据的所有研究工作必须继续遵循欧盟《通用数据保护条例》(GDPR)中规定的原则。
一、背景
数字化的发展影响了科学研究数据的使用。数字化的飞速发展使得数据处理和存储的成本持续下降,传感器和连接设备的数量激增使得数据处理能力不断增强,从而改变了科学研究。研究人员、特别是医学研究人员,通常在大型协作网络中工作,需要以极快的速度交换大量数据,在线上环境中,研究人员与参与者直接接触数据的可能性有限,而大规模的基因组数据库是为多个研究人员长期使用而开发的。少数实力强大的全球科技公司的非凡影响力对学术研究可有着前所未有的资助规模,这些公司控制着庞大的个人信息数据库,这是通过对人们上网时的活动进行系统和多种形式的监控而收集来的。如今,大部分数据库是由这些公司掌控的,而在过去是被学术界和政府掌握的。科学研究依赖于思想、知识和信息的交流,涉及欧盟人员数据处理的科学研究适用GDPR和《欧盟机构第1725/2018号条例》(以下称1725号条例)等规则。这些规则中的例外条款制度为真正的项目研究提供了一定程度的灵活性,使得这些项目可以在合法合理的框架内进行,以增进社会的集体福祉。这些例外条款制度应当如何在实践中运作,目前在欧盟境内也处于讨论之中。有人认为GDPR为此提供了太多的灵活性,也有人认为GDPR严苛的规则威胁到了重要的科学研究活动。科学研究在民主社会中起着重要的作用,使得强大的参与者承担更多的责任,随着信息流的控制集中在几家全球私营公司手中,这一点变得越来越重要。GDPR中规定的数据保护义务如果没有受到遵守,或例外条款被滥用的话,这将成为实力强大的科学研究参与者逃避数据保护义务的一种手段。为了使得科学研究项目的参与者能够有效遵守GDPR和1725号条例规定的数据保护义务,EDPS发布了针对该问题的意见,以指导实践运用。
二、主要内容
(一)框架
该意见文件的结构如下:第一,EDPS针对目前科学研究在当今数字化时代的情况以及遇到的问题和挑战进行阐述。第二,该意见文件的目标是厘清GDPR中对科学研究的理解。第三,该意见文件的更详细的内容框架在于研究GDPR如何在相应的领域进行落地的问题,特别关于临床试验领域。第四,该意见文件对GDPR(第6节)中为科学研究目的而进行数据处理的特殊制度的一些关键原则进行了初步分析,其中特别包括同意的概念、兼容性的假设和对数据主体权利的贬损。最后,该意见文件最后指出一些有待进一步进行讨论和研究的领域。
(二)学术界和商界具有多重交织
第一,大公司,尤其是科技公司资助了大量的学术研究,资助往往取决于保密协议的签署,这让人们对于研究的完整性、公正性和可信性产生了怀疑。没有透明度和标准,这样的研究很容易被人视为企业游说的隐蔽形式。
第二,这些公司竞争激烈,往往能够从大学直接吸引人才,据报道,亚马逊在过去五年里聘请了150名经济学博士,研究用户增长、盈利能力和平台设计。这些员工拥有无限的私人数据存储空间,而这些信息是通过商业机密的理由受到保护的。
第三,传统的研究机构和公共机构经常通过签订伙伴协议的方式与技术公司进行合作。英国国民健康服务机构允许谷歌和它的人工智能公司DeepMind访问160万病人的敏感信息,包括艾滋病毒状况、精神健康历史和堕胎,而这些病人却没有得到适当的信息。尽管官方一再保证,患者的数据从未与谷歌产品或服务相关,或以任何方式用于任何商业目的,但人们担心,这些公司缺乏对敏感的健康相关数据负责的保护措施。
第四,据英国信息专员办公室对剑桥分析公司的调查显示,学术研究和学者建立的商业公司可能会不可避免地纠缠在一起,比如共享大学设备的使用。剑桥分析公司的瞄准技术起源于剑桥大学心理测量中心的学者们的工作。有证据表明,Facebook和研究社区的个体成员之间存在密切的工作关系,而心理测量中心通过开发在线测试和发展个性特征,利用Facebook的数据进行心理测量测试。
第五,在其他地方,包括欧洲,基因检测服务市场的利润日益丰厚,尽管各成员国的监管制度各不相同,至少包括两起案例被有效禁止。这些服务的提供者似乎在向研究人员出售对其数据的访问权,从而成为研究人员和其研究对象之间实际上不可或缺的中介。例如,一个美国初创企业,提供免费全基因组测序,第三方如果希望访问这些数据,他们允许与医学研究人员和制药公司共享他们的基因数据。国际个人基因项目组成立于1990年,主张依靠开放获取同意以将基因数据用于科研目的。这些吸引个人提供敏感个人信息的技术容易受到如何使用这些信息的伦理问题的影响,也容易受到参与者被要求同意的环境的影响。
(三)科学研究的概念
对于研究或科学研究没有一个普遍认同的定义,一般的研究定义往往强调系统的活动,包括收集和分析数据。欧盟委员会已经确定了欧盟研究和创新开发目标的新政策,即向在学术和科学以外的领域有经验的人开放创新过程,利用数字和协作技术尽快传播知识,促进研究界的国际合作。研究的进行必须允许对假设进行检验,结论和推理都必须是透明的,可以接受批评的。公开和透明有助于区分科学和伪科学。欧盟的2019年版权指令(Directive (EU) 2019/790)中认为科学研究应涵盖自然科学和人文科学,并区分了非盈利机构和受商业影响的公共利益机构:由于这些实体的多样性,对研究机构有一个共同的理解是非常重要的,如除了包括大学或其他高等教育机构及其图书馆外,还应包括进行研究的研究机构和医院等实体。尽管法律形式和结构不同,成员国的研究机构通常有一个共同点,即要么是在非营利的基础上行动,要么是在国家承认的公共利益使命的背景下行动,可以通过公共资金或国家法律或公共合同的规定反映出来。
GDPR制定了一套用于新闻目的和学术、艺术或文学表达目的的数据处理制度(第85条)。GDPR规定的豁免范围比科学研究的特别制度更为广泛。该意见文本认为处理个人数据的学术表达目的意味着:(1)处理具有直接联系的自由学术传播信息;(2)他们的自由传播知识和真理没有形式限制,如出版物、传播研究成果;(3)与同行共享数据和方法的观点和意见而进行交流。关于生物医学研究、人文和社会科学的学术研究和第85条的规定之间的区别,一直存在一些争论。这种区别在实践中不一定总是容易被区别开来。在大学和学术机构进行的科学研究可能与此在一定程度上会出现一些重叠。
(四)科研专项数据保护制度范围
GDRP中关于科学研究的特别制度包括对某些数据控制者义务的具体减损以及要求适当保护措施的具体规定。因此,反映了使数据保护规则适应研究活动所服务的具体情况和公共利益的明确意图。所涉及的基本权利,以及隐私权和保护个人资料的权利,包括个人完整权和艺术与科学自由的权利,不应被视为是冲突的。相反,目标应该是在个人权利和其他利益之间寻求公平的平衡。
(五)欧盟的治理和研究政策
《基本权利宪章》第十三条要求艺术和科学研究不受限制和尊重学术自由。因此,欧盟鼓励共享和重用研究数据,鼓励公共资金用于研究项目,条件是研究成果必须与公众分享。
三、建议
科学研究界和数据保护当局之间的对话正在深化,特别是在医学研究领域。这需要在欧盟层面加强沟通交流,因为各成员国之间存在差异,对GDPR理解有偏差,而且有价值的社会研究数据可能集中在少数私人公司,EDPS通过提出一些有待进一步工作的领域希望促进这一对话。
一是数据保护当局和伦理审查委员会应当针对在发展和部署数字技术时越来越多的涉及的伦理问题进行沟通,了解哪些活动符合真正的研究,并定义GDPR中提到的伦理标准。
二是欧盟应当定义研究活动的行为准则和认证,这比成员国层面的行为准则更为可取。
三是基于欧盟委员会在研究领域与“地平线2020”和“地平线欧洲”相当大的协调努力,下一个欧洲研究与创新框架计划(European research and Innovation framework programme)也可以支持成员国之间的融合。
四是就科学研究的公共利益基础进行辩论。共享个人数据总是会给相关人员带来一定程度的风险,包括用于科学研究的风险。在保护基本权利方面不应该有任何漏洞,而围绕什么才是科学研究本身的不确定性,就构成了出现此类漏洞的风险。
作者简介:刘耀华,中国信息通信研究院互联网法律研究中心研究员
声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。