提示:完整原文可在文章末尾“阅读原文”处获取。
2026年4月,欧洲数据保护委员会(EDPB)正式通过《科学研究目的下的个人数据处理指南》(Guidelines 1/2026)。作为GDPR实施以来科研数据领域最核心的规则文件,该指南终结了欧盟长期以来科研数据合规口径不一的困境,既为科研活动“松绑”,明确数据二次使用、合规基础等核心问题,也为数据主体权利筑牢防线,划定清晰边界。这份指南不仅影响欧洲科研生态,更对全球生物医药、人工智能、社会科学等领域的数据合规具有极强参考价值,尤其是跨境科研合作与出海机构需重点关注。
指南核心定位:
破解科研与隐私的平衡难题
一、出台背景
GDPR自2018年生效后,科研领域数据处理一直存在规则模糊、合规成本高、跨境适用争议三大痛点。新冠疫情后,生物医药、公共卫生科研数据需求激增,同时AI训练数据合规问题凸显,欧盟各成员国对科研数据豁免条款、二次使用规则解读差异显著,严重制约科研创新效率。此次指南出台,核心目标是明确GDPR在科研场景的具体适用标准,降低科研机构合规门槛,同时坚守数据主体基本权利底线,实现科研自由与隐私保护的双向平衡。
二、适用范围
覆盖所有欧盟境内及受GDPR域外效力约束的科研机构、高校、企业研发部门;涵盖生物医药、临床研究、AI研发、社会科学、公共卫生等全领域科学研究活动;适用于个人数据的收集、存储、二次使用、共享、跨境传输、匿名化/假名化全流程。
六大核心重点:
精准拆解科研数据合规规则
1. 明确“科学研究”定义:六大判定标准划清边界
指南首次给出可落地的“科学研究”六要素判定法,同时满足即可直接认定为合规科研活动,无需额外举证:
• 方法系统性:遵循领域内公认的方法学,流程规范可追溯;
• 伦理合规性:通过伦理审查,遵守科研伦理准则;
• 结果可验证性:研究方法、数据、结论可复核(如同行评议、成果可公开);
• 研究独立性:由具备专业资质的科研人员独立开展,无商业利益主导;
• 目标公益性:以贡献科学知识、提升社会福祉为核心(含私立资助科研);
• 知识创新性:能推动现有知识进步或创新应用。
关键例外:商业导向的用户行为分析、纯营销类数据挖掘不属于科学研究,无法适用科研豁免条款。
2. 数据二次使用“松绑”:推定目的兼容,简化合规流程
这是指南最核心的利好规则:科研目的下的个人数据二次使用(如历史病历用于新药研发、公共数据用于AI模型训练),直接推定与初始收集目的兼容,无需开展“目的兼容性测试”。
• 前提:初始数据收集具备合法依据(如用户同意、公共利益);
• 限制:仅适用于科学研究,不可用于商业变现;
• 价值:大幅降低科研机构数据复用合规成本,尤其利好长期队列研究、多中心临床研究。
3. 合法依据优先级:敏感数据处理有明确路径
针对科研中高频的健康数据、生物特征数据等敏感个人数据,指南明确三大合法依据,优先级清晰:
公共利益(首选):公共卫生、重大疾病防控等科研,无需单独同意,需配套严格安全措施;
数据主体明确同意:需单独、具体、知情,不可捆绑授权,未成年人需监护人同意;
合法利益:仅适用于非敏感数据,需开展利益平衡测试,且不得损害数据主体核心权利。
4. 安全防护底线:匿名化优先,假名化强约束
指南重申GDPR第89条核心要求,安全防护贯穿科研全流程:
• 首选匿名化:能实现科研目标的,必须优先匿名化(匿名数据不再属于个人数据,不受GDPR约束);
• 假名化强规则:需建立严格身份映射机制,仅授权人员可解密,解密记录全程留痕;
• 数据最小化:仅收集科研必需数据,禁止过度采集;
• 存储期限:科研数据仅保留至研究结束,后续需匿名化或安全销毁。
5. 数据主体权利:边界清晰,兼顾科研特殊性
指南平衡权利保护与科研需求,明确权利行使的合理限制:
• 知情权:科研机构需提前公示数据用途、存储期限、安全措施,简化告知流程;
• 访问/更正权:数据主体可申请访问本人数据,但不可要求披露科研核心结论或他人数据;
• 删除权:科研数据已匿名化或用于公共利益科研时,不可强制删除,但需停止非必要使用。
6. 跨境传输规则:无新规则,强化合规执行
指南未新增跨境传输条款,重申GDPR第五章规则:
• 向非欧盟国家传输科研数据,需采用**标准合同条款(SCCs)、绑定公司规则(BCRs)**等合规工具;
• 跨境传输前需完成数据保护影响评估(DPIA),重点评估敏感数据风险;
• 需同步履行数据主体跨境传输告知义务。
规则背后的深层逻辑与行业影响
1. 核心逻辑:“分类施策、平衡优先”
EDPB并非“一刀切”收紧或放松规则,而是精准区分科研与商业场景、敏感与非敏感数据:对纯公益性科研“松绑”,释放数据价值;对商业伪装科研、过度采集行为“严管”,守住隐私底线。本质是效率与公平的平衡、创新与权利的平衡,为全球科研数据治理提供了“中欧可借鉴”的范式。
2. 对行业的三大影响
• 对科研机构:合规成本显著降低,历史数据复用、跨机构数据共享更便捷,利好生物医药、公共卫生等领域创新;
• 对AI企业:训练数据合规路径清晰,公共科研数据可合法复用,但需严格区分科研与商业场景,避免合规风险;
• 对出海机构:欧盟科研数据规则成为“风向标”,需同步完善国内数据合规体系,适配跨境科研合作需求。
3. 潜在挑战:落地执行仍需细化
指南虽明确核心规则,但部分细节仍需成员国转化落地(如伦理审查标准、匿名化技术细则);同时,科研机构需同步升级数据管理系统,适配二次使用记录、安全防护留痕等新要求,短期仍需投入合规成本。
EDPB这份《科学研究目的下的个人数据处理指南》,既是GDPR科研数据规则的“澄清手册”,也是全球科研数据治理的“重要参考”。它既打破了过往科研合规的“模糊困境”,为科研创新注入动力;也坚守了数据主体权利的“核心底线”,筑牢隐私保护防线。
对我国而言,这份指南对完善科研数据安全法规、规范跨境科研合作、平衡数据利用与隐私保护具有重要借鉴意义。未来,随着全球数据治理规则持续细化,科研数据合规将成为科研创新的“标配”,而非“负担”。
作者简介
