智慧醫療

智慧醫療需要大數據專法

OPT OUT

即使歷經全民健保資料庫訴訟案多年爭議,十多年來要求大數據專法的呼聲仍被忽略。從世界各國紛紛制定大數據專法的趨勢看來,我國若再不認真看待專法,恐在這波以數據驅動的全球智慧醫療競賽中,被遠遠拋在後面。

智慧醫療的開發有二大特色:要巨量醫療資料(會跟不特定資料庫進行串接、研究目的不特定),且要讓開發產品的商業機構與醫療機構分享資料。巨量資料要逐一取得病人同意的行政成本昂貴,且難以事先告知所有可能用途。美國國家醫學研究所(IOM)2009年重要報告指出,傳統《個資法》強調的蒐集前明示同意(即我國《個資法》原則),由於風險高低在使用過程中是動態的,很多隱私風險要等到使用時才會具體化,事前同意其實不能保障資料主體的隱私,反而會產生「同意的幻覺」,使資料主體以為隱私很安全。事前明示同意的要求,真實效果是讓資料主體承擔一切風險,免除使用者的責任。

建立事後退出機制

因此許多國家目前作法,是透過專法而更強調病人的事後退出權(opt-out),及強化對資料利用者的行為義務要求。日本於2017年的《次世代醫療基盤法》,規定若充分通知病人並提供退出機制,而病人未作退出表示,就推定同意研究。商業機構員工若違反規定,會受到刑事處罰。英國在歐盟「一般個資保護規則」(GDPR)實施後,去年公醫系統(NHS)設立退出機制(opt-out programme),病人可決定自己資料不被利用。

德國2015年通過《加強健保電子資料流通與使用法》,建立認證制度及嚴格加密要求,讓病人有權知悉使用情形及刪除。澳洲類似我國健保署「健康存摺」的系統My Health Record,可讓民眾在線上決定自己哪些資料要給哪些機構看,並因此開放讓商業機構得以利用這些資料進行開發。可見,嚴密的使用管制,以及相應的民眾退出權,是智慧醫療商業開發的關鍵。

沒有專法的後果,是研究倫理委員會在審查研究案時會更加猶豫,大幅延長通過倫理審查所費的時間。專法最重要特色是行政罰和刑罰機制,這是政府行政命令、指導準則,及機構間的民事契約,所無法取代的。英國將去識別化資料重新識別的行為當成犯罪,美國2009年《經濟與臨床健康資訊科技法》(HITECH),對於商業機構從醫療機構中分享個資的行為,作細膩的管制規範。

科技創新須搶時間

惟有政府對退出權、透明化及問責價值的執法決心,才能讓民眾放心將個資用於智慧醫療的開發。2015年英國NHS將百萬餘名民眾電子病歷交給Google旗下的人工智慧公司DeepMind(就是發明AlphaGo打敗人類圍棋高手的那家) 進行機器學習,這種事在我國一定造成延宕數年的法庭訟爭,但因為英國有獨立個資專責機構,並未採取全面禁止決定,而是提出具體改進要求,從而產品開發並未延緩。

時間,是科技創新競賽的關鍵。專法是一種公共建設,由政府擔保資料不會因不允許的目的而利用,從而公眾願放心參與。捨此不為,我國縱使坐擁資料的金山,也將眼睜睜看到各國對手的勝利。


原文載於蘋果日報《智慧醫療需要大數據專法》,經作者授權轉載