IRB 重新识别协议要求
IRB 现在通常要求研究人员记录他们的重新识别协议——不仅仅是他们的去识别方法。文档必须同时证明两件事:去识别数据集不能被未经授权的方重新识别,并且在定义的条件下,授权的重新识别是可能的。
这一双重要求反映了纵向研究的教训,在这些研究中,临床可操作的发现出现在研究中期,但永久匿名化阻止了对其采取行动。2024 年 GDPR 执法行动增加了 56%(DLA Piper 2025 年年度报告),而根据第 89 条的欧盟研究豁免特别要求对研究数据进行伪匿名化,而不是永久匿名化——承认研究需要在受控条件下的可逆性。
2024 年 NEJM AI 论文关于基于 LLM 的去识别明确指出了这一挑战:“去识别的临床记录通过确认其临床效用的相关性与身份保持统计上的联系。”该论文的建议是:伪匿名化并记录密钥保管,而不是永久匿名化,特别是为了保留纵向研究所需的重新联系能力。
受控的重新识别架构
确定性 AES-256-GCM 加密生成一致的令牌:相同的患者标识符始终使用相同的密钥加密为相同的令牌。“Patient_001”在基线评估中加密为“[ENC:f8a2c...]”——相同的令牌出现在 3 个月的后续访视、12 个月的后续访视和最终分析中。研究团队可以使用加密令牌作为稳定标识符跟踪患者的纵向数据,而无需访问真实身份。
密钥保管安排满足 EDPB 的密钥分离要求:研究团队持有加密数据集。指定的数据保管人将解密密钥保存在单独的密钥管理系统中。没有一方可以在没有另一方的情况下重新识别参与者——研究团队在没有密钥的情况下无法解密,而密钥保管人无法在没有数据的情况下识别哪些记录属于哪些参与者。
当重新识别被授权时(伦理委员会批准、警告义务发现、监管要求),密钥保管人将密钥应用于特定的已识别记录。每个解密事件都会被记录:哪些记录、何时、由谁、在什么授权下。审计日志证明符合 GDPR 第 89 条对记录保护措施的要求。
实际实施
对于一个拥有 5,000 名患者队列的欧洲肿瘤研究中心:研究数据集在分发给三个国家的合作机构之前使用可逆加密进行匿名化。每个机构的研究团队可以使用加密的患者令牌分析纵向数据。密钥由协调机构的数据保护官持有。
当中期生物标志物分析识别出 47 名具有升高风险标记的参与者时,伦理委员会的批准触发了正式的重新识别请求。数据保护官解密这 47 条特定记录。协调机构的临床团队联系这 47 名真实患者。其余 4,953 名参与者的身份在所有三个合作机构中保持受保护状态。
来源: