即使歷經全民健保資料庫訴訟案多年爭議，十多年來要求大數據專法的呼聲仍被忽略。從世界各國紛紛制定大數據專法的趨勢看來，我國若再不認真看待專法，恐在這波以數據驅動的全球智慧醫療競賽中，被遠遠拋在後面。
 

智慧醫療的開發有二大特色：要巨量醫療資料（會跟不特定資料庫進行串接、研究目的不特定），且要讓開發產品的商業機構與醫療機構分享資料。巨量資料要逐一取得病人同意的行政成本昂貴，且難以事先告知所有可能用途。美國國家醫學研究所（IOM）2009年重要報告指出，傳統《個資法》強調的蒐集前明示同意（即我國《個資法》原則），由於風險高低在使用過程中是動態的，很多隱私風險要等到使用時才會具體化，事前同意其實不能保障資料主體的隱私，反而會產生「同意的幻覺」，使資料主體以為隱私很安全。事前明示同意的要求，真實效果是讓資料主體承擔一切風險，免除使用者的責任。
 

建立事後退出機制

因此許多國家目前作法，是透過專法而更強調病人的事後退出權（opt-out），及強化對資料利用者的行為義務要求。日本於2017年的《次世代醫療基盤法》，規定若充分通知病人並提供退出機制，而病人未作退出表示，就推定同意研究。商業機構員工若違反規定，會受到刑事處罰。英國在歐盟「一般個資保護規則」（GDPR）實施後，去年公醫系統（NHS）設立退出機制（opt-out programme），病人可決定自己資料不被利用。
 

德國2015年通過《加強健保電子資料流通與使用法》，建立認證制度及嚴格加密要求，讓病人有權知悉使用情形及刪除。澳洲類似我國健保署「健康存摺」的系統My Health Record，可讓民眾在線上決定自己哪些資料要給哪些機構看，並因此開放讓商業機構得以利用這些資料進行開發。可見，嚴密的使用管制，以及相應的民眾退出權，是智慧醫療商業開發的關鍵。
 

沒有專法的後果，是研究倫理委員會在審查研究案時會更加猶豫，大幅延長通過倫理審查所費的時間。專法最重要特色是行政罰和刑罰機制，這是政府行政命令、指導準則，及機構間的民事契約，所無法取代的。英國將去識別化資料重新識別的行為當成犯罪，美國2009年《經濟與臨床健康資訊科技法》（HITECH），對於商業機構從醫療機構中分享個資的行為，作細膩的管制規範。
 

科技創新須搶時間

惟有政府對退出權、透明化及問責價值的執法決心，才能讓民眾放心將個資用於智慧醫療的開發。2015年英國NHS將百萬餘名民眾電子病歷交給Google旗下的人工智慧公司DeepMind（就是發明AlphaGo打敗人類圍棋高手的那家） 進行機器學習，這種事在我國一定造成延宕數年的法庭訟爭，但因為英國有獨立個資專責機構，並未採取全面禁止決定，而是提出具體改進要求，從而產品開發並未延緩。
 

時間，是科技創新競賽的關鍵。專法是一種公共建設，由政府擔保資料不會因不允許的目的而利用，從而公眾願放心參與。捨此不為，我國縱使坐擁資料的金山，也將眼睜睜看到各國對手的勝利。

_{原文載於蘋果日報《智慧醫療需要大數據專法》，經作者授權轉載}