2018年5月25日，欧盟关于数据保护的2016/679号条例（又称《通用数据保护条例》，GDPR）正式生效。GDPR废除了此前欧洲关于数据保护的立法——95/46/EC号指令，而鉴于欧盟研究的全球影响力以及需要进行互操作的国际研究网络所处的重要地位，这势必会对欧洲及其他地区的生物医学研究和数字健康技术产生重大影响。本文介绍了GDPR如何成为构建数据保护治理的关键工具；作为对其潜在影响的实时预测，还分析了GDPR在一场法律争议中的影响，该争议涉及最初由Shardna（全球首批基因组生物样本库之一）搭建的数据库。

GDPR旨在协调欧盟的数据保护立法，其目标是为公民提供对个人数据的更多保护和赋权，同时加强欧盟内部的个人数据保护。这一目标旨在提供监管支持，以建立一个完整的数字单一市场——这是让-克洛德·容克（Jean-Claude Juncker）主席领导下的欧盟委员会的政策基石。GDPR采用了一种基于风险并针对具体情况的方法，目的是确保在整个数据处理中设计和实施适当的数据保护措施（正如被写入的“从设计着手保护隐私和默认隐私保护”原则），其核心是赋予数据主体新的权利（如“被遗忘的权利”和“数据可移植性的权利”）。为此，GDPR提高了数据控制方的责任意识，并推出新的去中心化问责模式。此外，GDPR还为科学研究处理敏感数据设立了专门条款，要求提供组织和技术保障（如数据假名化），以及在敏感数据需要进行大规模系统处理时授权指定数据保护专员。

“大数据”生物医学的治理

大数据生物医学面临的监管挑战主要在于：一是数据固有的开放式潜力，其数字兼容性使其在研究中变得更有价值，而这些研究可能与收集样本或数据的原始目的完全背离，从而导致“知情同意”这一经典理论基础被削弱了；二是数据在所有数字化人类特征（从基因组到社交网络“日志”）中越来越高的辨识度和不断扩大的范围，随之而来的便是自我宣称的隐私被侵蚀。尽管处在不同的技术层面，人们的反应明显呈现为两种风格，而其目的则都是为了从技术上解决问题。

第一种包括试图通过更复杂的数字化来解决数字时代的难题，例如最近的多方安全计算，这种计算使得基因组诊断成为可能，同时还能保护受试者的隐私。第二种是利用治理，通过流程体系结构和分布式机构将权力结构重新配置（如建立信任技术的建议），将重点从隐私问题本身转移到获取对数据的控制和对其所有者的信任，从而避免数据隐私与数据可用性的零和博弈。

治理机制在当代生物医学兴起的过程中一直发挥着核心作用，同时也是制定欧洲科学政策的关键：一方面，随着市场力量的进步和“利益相关者”的多元化，国家权力和管理机构部分退出，开启了针对决策的重大调整（“去中心化”）；另一方面，更多依赖软规则工具，例如标准、行为准则和道德门槛 （“标准化”），而不是僵化的立法干预形式。反过来，这两个特征又都是构建GDPR不可或缺的组成部分。

去中心化

尽管GDPR具有约束力和严厉的处罚力度（如果违反，罚款最高可达2 000万欧元，或占公司全球年收入的4%），但GDPR将集权分散出去，把国家和欧盟的职责委托给数据控制方（即个人、公司、协会或其他控制个人数据处理的实体）。“问责原则”规定，数据控制方必须对数据保护采取积极主动的办法，并负责事前评估、实施以及事后对适当措施的核验，以确保和证明数据处理符合GDPR的要求。

在说明哪些措施体现了控制方的义务，并根据处理的性质、范围、背景和目的来确定这些措施时，GDPR旨在推广一种基于控制方、事件敏感性和特定背景的数据保护方法。这标志着欧盟的数据保护工作实现了从“家长式”管理向“自主式”管理的转变。有趣的是，有人在一场关于隐私法的会议上无意中听到了下面的评论：“因为GDPR，欧盟的数据保护工作回到了20世纪60年代。”

向去中心化、基于控制方和问责制的模式转变取得了显著进展，尤其是由“高清晰度医学”的关键推动者提出的“动态知识资源库”的出现。GDPR规定，用于科学研究的进一步数据处理“应被视为符合最初收集个人资料的原始目的”。此外，GDPR还引入了兼容性评估标准，由数据控制方负责执行，目的在于逐案确定个人数据的进一步处理（未经数据主体同意）是否符合最初收集数据时的原始目的。这项“兼容性测试”应考虑的因素包括：个人数据的性质，尤其是是否对特殊类型的个人数据进行处理；收集个人资料的目的与预期的处理目的之间的联系；在进一步使用数据方面，根据数据主体与控制方的关系判断数据主体的合理期望；收集个人数据的背景。