壹、前言
由於大數據、機器學習與人工智慧的快速發展,使得資料的價值益發彰顯。過去看似雜亂無脈絡的資料,只要經過適當的整理與標記後,透過機器的學習與分析,即能轉變為對產業具有重要價值的資訊,並成為驅動產業發展的重要基礎,此即為「資料經濟」(data economy)的核心概念,包含透過資料加值應用服務,創造新的產業商機,以及將資料作為驅動力(data driven)產生相關應用之經濟價值。
在醫療領域,由於發展智慧醫療相關技術的迫切需求,醫療資料的開放與推動加值應用,即為當前所急需解決的重要問題。特別是由於醫療資料乃與當事人(或稱為資料主體)密切相關,各國在個人資料保護上,莫不以「特殊類型個資」、「敏感性個人資料」或「特種個資」而對之格外嚴加保護,如何兼顧醫療科技的發展、緩和技術發展與個資保護間的衝突,在以保護個人資料及隱私的基礎上,開放醫療資料在發展智慧醫療上的加值運用,即有法制議題研究上的重要價值。
但是隨著資通訊技術的進步,開始有資料傳輸與開放資料利用的需要,作為HIPAA主管機關的美國衛生與公共服務部(U.S. Department of Health and Human Services, HHS)也開始思考HIPAA是否有因應協同醫療(coordinated care)鬆綁的需要。在2018年3月,HHS轄下的聯邦醫療保險和聯邦醫療輔助計畫服務中心(Centers for Medicare & Medicaid Services,CMS)發起My Health E Data計畫與Blue Button 2.0,目標建立一套系統,使患者能夠自主控制醫療資料是否與如何對誰揭露,用以促進醫療資料的傳輸與開放其他醫療服務提供者使用。
同樣的歐盟一般資料保護規則(General Data ProtectionRegulation, GDPR)雖於2018年甫上路,執委會已在2018年4月提出,希望在歐洲數位單一市場當中,建立歐洲電子醫療資料交換格式與數位化醫療服務架構,並應用包含區塊鏈等新興技術以符合GDPR對個資保護與資安防護的要求,藉此架構推動My Health My Data計畫,使歐盟居民能自主控制醫療資料的使用,並促進醫療資料在智慧醫療技術開發上的利用;呼應歐盟執委會的提案,身為歐盟顧問的歐洲經濟與社會委員會(European Economic and Social Committee, EESC)亦表達支持的立場。
有別於美國、歐盟以當事人的醫療資料自主權利為核心,推動當事人自主同意醫療資料開放使用的架構,日本則是透過訂定「為促進醫療領域研究開發之匿名加工醫療資料的法律」(医療分野の研究開発に資するための匿名加工医療情報に関する法律,又稱「次世代醫療基盤法」),其基本方針為以患者對醫療資料的提供能充分理解為前提,建立醫療資料進行匿名加工後提供產、官、學界運用的法律依據與程序,包含就醫療機構已經蒐集的醫療資料,應如何告知當事人並提供行使事後退出(opt-out)權利的管道等,以此兼顧醫療資料的開放利用與對當事人隱私及個人資料的保護,進而達到將醫療資料用於研究與分析,創造創新醫藥產業並為患者提供更好的醫療效益。
臺灣自2020年個人資料保護法(下稱個資法)施行以來,即對於個人資料之蒐集、處理或利用訂定相關的保護規範,其中針對包含病歷、醫療、基因、性生活、健康檢查等在內之個人資料,於2016年個人資料保護法第6條正式施行後,非有本條第1項但書各款所列之情形,不得蒐集、處理或利用,雖更能落實對於當事人特種個資之保護,卻也導致醫療資料開放加值運用的障礙。
依個資法第6條第1項但書第4款,雖有去識別化後即可供統計或學術研究必要之利用之規定,但卻限縮於「公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的」的範圍,且無從識別特定之當事人的標準與可將資料去識別化處理的依據,亦無明確的規範,而導致本款適用上存在困難。若改依同條項但書第6款經當事人同意,則必須採書面同意,並限於特定目的之必要範圍內蒐集、處理或利用;換言之,若要取得可供加值運用的醫療資料,則必須重新逐一取得每個當事人的同意,而造成在資料取得上巨大的交易成本。
由於美國、歐盟對醫療資料保護的法制架構與臺灣個資法差異較大,而日本在醫療資料運用上,同樣面臨取得當事人同意的困難,以及去識別化後的資料僅可供大學、醫學研究機構作學術研究利用的問題,故本文以與臺灣個資法架構最為接近之日本為對照,恰逢日本於2018年5月11日次世代醫療基盤法正式施行,因此本文以日本次世代醫療基盤法為借鏡,探討日本次世代醫療基盤法的立法背景與法制架構,藉以思考在臺灣個資法規範下,應以何種方式建構醫療資料的開放與加值運用規範,以兼顧產業技術發展與個人資料保護之衡平......
全文刊登於月旦醫事法報告,第47期:食事求是──舌尖上的安全 訂閱優惠