纵向研究问题
纵向临床研究在一个基本的紧张关系中运作:参与者的身份必须在研究期间得到保护,以满足IRB的要求并维护参与者的信任,但如果研究揭示意外发现,同样的参与者可能需要被联系以进行临床跟进。
一个肿瘤研究中心在进行5000名患者的生物标志物研究时发现,在研究进行中,有47名参与者显示出标志,表明他们面临未被原本识别为研究终点的侵袭性癌症变种的风险。伦理委员会审查了这一发现,并根据警告义务原则批准重新联系——潜在的医疗利益证明了识别和联系受影响参与者的合理性。
如果原始的去标识化是永久性的——如果患者身份被随机代码替代,而数据保管者没有保留映射表——研究团队就无法识别出与47名受影响参与者对应的真实患者。研究发现无法付诸行动。可能需要紧急临床关注的患者无法获得帮助。研究的伦理框架在隐私保护与潜在临床可操作发现之间取得平衡,但在其最重要的用例中失败了。
GDPR和关键分离要求
EDPB关于伪匿名化的指南05/2022认识到了这种紧张关系,并提供了解决它的框架。伪匿名化被视为一种数据保护措施,能够在需要时保留重新识别的能力。
该要求是关键分离:解密密钥必须与伪匿名化数据分开保存,且在技术和组织控制下防止未经授权的访问。研究团队不能同时访问去标识化数据集和解密密钥——控制措施必须确保重新识别需要经过授权的过程,而不仅仅是拥有数据集。
IAPP的2024年调查发现,只有23%的去标识化工具提供真正的可逆性——能够生成一个保留了解密能力的伪匿名化数据集,满足EDPB的关键分离要求。大多数工具提供永久替换或掩蔽,这阻止了警告义务场景所需的授权重新识别。
可逆加密架构
满足IRB隐私要求和警告义务重新识别需求的临床研究架构:
研究数据集使用AES-256-GCM的可逆加密进行处理,从患者标识符生成确定性的加密令牌。每位患者的标识符在所有研究文档中保持一致,维护参考完整性,同时保护身份。解密密钥由指定的数据保管者持有,与去标识化数据集分开保存,且在访问控制下要求任何解密操作都需有文件授权。
研究团队完全使用去标识化数据集——在常规分析中不提供对解密密钥的访问。当在统计分析中识别出47名受影响参与者时,伦理委员会的批准触发了授权重新识别过程。数据保管者将解密密钥应用于特定的47条记录。研究团队仅接收这47名参与者的真实患者身份。其余4953名参与者的身份仍然受到保护。
来源: