未来隐私论坛 (FPF) 发布《研究数据共享》报告

刘耀华|中国信通院互联网法律研究中心高级研究员

2022年12月，未来隐私论坛（FPF）发布了《研究数据共享》的报告，对涉及研究数据共享相关的主体、风险等内容进行了研究说明。

一、研究数据共享涉及的相关主体

个人：虽然不是研究数据共享关系中的直接参与者，且所有共享的个人数据都应该去识别化并使用最高级别的隐私技术进行保护，但个人或个人群体通常是所进行研究的主题和对象。个人通常对其数据是如何收集、共享或使用的了解并不完整，一方面，人们非常担心企业对数据的使用，另一方面，人们认为企业并没有彻底了解个人数据的真实价值。

数据中介：欧盟的最新立法建立了一种新型数据组织——数据中介，这个术语的概念范围非常宽广，指的是那些帮助数据从源头流向数据用户的人，也可以被描述为中间人、数据聚合器、数据经纪人等。这些组织可以提供技术基础设施和专业知识，以支持数据集之间的互操作性，或充当中间人完成共享、访问或汇集数据各方之间的制度共享安排，还可以提供权利保护服务，如充当数据保管人，允许通过隐私增强技术（PET）进行远程分析，或提供独立的分析服务。正在开发的一个实例是欧洲数字媒体观察站 (EDMO)，它正在为研究人员开发多种公共资源（包括具有隐私和安全保护的平台数据访问）并进行独立管理。 数据中介促进数据共享的作用尚不清楚，但数据信托、数据协作和数据档案刺激了数据访问。例如，EDMO提出了一项行为准则，利用欧盟数据保护机制来指导使用平台数据进行的研究。

供应商：对于一些公司来说，数据共享是业务的一个组成部分，提供数据共享业务的主体即供应商。通过传输和异地存储来改善数据访问可以降低风险，是实现更安全的数据共享的途径，允许访问而不明确传输数据也将降低数据用户的总体数据存储成本。

出版商：对于任何给定的研究数据共享协作，一旦数据被分析并发布，关系就会发生变化，研究人员不再是唯一对共享数据拥有所有权的实体。研究发表过程涉及可以对数据资源提出要求的多个个人和组织，这可能包括机构层面的研究资料库、期刊的数据资料库，甚至是数据期刊本身的声明。随着研究从分析和发现到出版，期刊编辑等主体在数据资源方面扮演着特殊的角色。

资助者：研究资助者在塑造研究人员的职业轨迹以及机构研究的声誉和能力方面发挥着强大的作用。他们不仅评估而且鼓励高质量的研究，他们可以鼓励或阻止使用共享数据资源。

二、数据共享的含义

数据共享指的是与多个应用程序或用户共享同一数据资源的能力。对于临床研究人员和临床研究的资助者而言，数据共享涉及许多行动，如，出版临床研究报告中的摘要数据、在研究期刊中发布数据、将数据上传到存储库等。在更广泛的范围内，与研究相关的数据共享是将数据资产转移给第三方，无论有没有中介机构。数据共享连接不同的组织，其中一方将数据传输到另一方，以便双方可以更多地了解该数据的内容、利用共享的市场机会。最后，当个人授予对其数据的访问权以换取对知识的访问或对未来服务的承诺时，个人和组织之间可能会发生数据共享。数据共享与其他形式的数据传输的不同之处在于，数据共享不是基于交换数据以获得补偿，而是假定建立一种关系，为数据共享者和数据接收者带来好处。

研究数据共享的概念突出了由不以研究作为其主要经济或社会功能的组织产生（收集、整理、存储）的数据，然后将这些数据提供给具有研究功能的其他组织。例如，为进行健康经济学研究时，保险公司与健康经济学专家共享交易数据。但是，“研究”是一个广泛的概念，在很多时候难以将“研究”与其他形式的数据使用进行严格区分，阻碍了研究数据的共享。美国国防部、经济合作与发展组织在一些文件中对“研究”相关的概念进行了区分。研究是“系统的调查，包括研究开发、测试和评估，旨在开发或促进普遍化的知识，并符合公认学科的调查方法，例如社会或自然现象的模型可以供其他研究人员或非研究人员使用。

三、数据共享的风险

管理风险的最佳实践：通过社交媒体提及和指南中的排名了解机构的声誉；评估机构的文化，明确机构的使命和价值观；分配机构声誉风险的责任，并在领导者之间建立特定的沟通渠道；考虑机构的项目、人员或领域；创建和维护风险监控系统，以主动识别潜在的风险事件。

对声誉的影响：研究人员并非公司数据共享计划的纯粹受益者，承担着与公司关系的风险，例如利益冲突、失去其他利益来源的机会。

用户期望：对研究人员的数据安全知识和网络安全实践的研究表明，他们在数据保护和数据安全方面往往并不优于普通人。用户期望会寄托在研究人员对公司数据的使用目的、使用实践是否符合经告知的情况等方面。

合同限制和法律责任：研究人员通常在法律协议的背景下获得对公司数据的访问权限。他们在使用共享数据时面临法律风险和责任。如涉及保密的相关信息。违反数据共享协议的条款，也可能使研究人员与其他主体之间发生争议。还包括建立可以管理数据共享合同的成本。同时，法律因素还应该考虑国际层面的风险，如共享有关欧洲人的数据将涉及到非常严格的法律和监管框架。

另外，数据共享还可能涉及到费用等风险。

四、未来研究机构可能采取的行动

伦理审查委员会：如果可能的话，确定机构审查委员会和伦理委员会在审查企业研究数据共享方面的作用。

数据共享协议：建立数据共享计划条款可以确保实现对研究数据共享的监督。可以制定一个特定的流程来审查和批准涉及组织数据共享的方案，包括数据管理计划和合作协议，确保关键的公司利益相关者（包括技术、法律和数据人员）参与协议流程。

访问控制：为了改善研究人员共享特别敏感类型的数据，实践中有两种技术环境：数据洁净室和安全数据设施。数据洁净室，也可能被描述为机密虚拟机或安全虚拟机，主要指的是一个软件环境，是云计算数据共享环境下的组件。安全数据设施是容纳安全硬件和软件以供使用的物理空间，主要由安全和隐私需求高的研究人员和其他人提供。

五、法律和政策在决定研究数据共享方向中的作用

当前，在越来越多的情况下，美国政府正在为研究人员开放数据。公司的数据共享仍然是自愿的，但促进公司数据共享的激励措施可能来自公共政策。

立法者和其他政策制定者在数据共享方面一般可以采取三种方式：维持现状、强制要求数据共享、制定激励和抑制措施来重塑当前的自愿性方法。在决定采取哪种方式时，处理研究数据共享方案的政策制定者必须创造性地平衡三个相互干扰的优先事项：保护消费者数据，防止研究人员或立法者授权组织违规或滥用数据；促进研究创新，造福社会公众；解决知识产权保护、企业竞争等问题。

声明：本文来自CAICT互联网法律研究中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。