本文上篇載於

• 行動健康應用程式：破壞性的創新、管制和信任—相互平衡之必須（一）（全球瞭望）
• 行動健康應用程式：破壞性的創新、管制和信任—相互平衡之必須（二）（全球瞭望）

伍、安全監管

正如歐盟委員會在2014年發布的行動醫療綠皮書中所承認的，行動醫療應用程式的快速發展引起了人們關注開發者、衛生專業人員、公共機構透過程式收集的資料是否進行適當處理。無論是出於一般目的還是醫療目的的健康應用程式都會收集大量資訊並進行處理。使用者理所當然擔心他們的資訊所面臨的風險，可能產生被第三方未經同意的利用，因為這些資訊在許多情況下牽涉直接或間接被識別或有識別可能的個資。有關健康資訊的處理特別敏感，因此需要特別保護以確保其安全。

GDPR規定的資料保護法不是用來規範健康應用程式的存在和使用，而是用來規範這些應用程式對個資的處理。為了幫助增加和促進用戶之間的信任，歐盟委員會在2016年促成了行動健康應用程式的隱私行為準則，該準則仍處於草案狀態，因為它尚未被批准。由於健康資料的敏感性，此守則將採用GDPR的標準，如使用者同意、個人資料收集最小原則、設計和默認等情況下的隱私。

個人資料的處理

守則的目的是在行動醫療程式獲取包括健康資料在內的個資時，促進使用者的信任。因此，行動醫療應用程式必須向使用者提供明確和重要的資訊，說明資料將如何被使用，使他們在使用應用程式前做出知情決定。GDPR本身適用於涉及資料的所有類型的應用程式，無論該應用程式是否包括有關健康的資料或其他類型的個資。根據該準則，個人資料包括使用者的資訊，如他們的姓名、設備識別器、位置資料，以及被識別或可識別的自然人有關的任何其他資訊，然而健康資料必須被當作為與個人過去、現在或未來的身體或心智健康有關的個人資料，也包括提供醫療保健服務，這些資料揭示了個人的健康狀況。生活型態資料，如與個人健康沒有內在連結的個人習慣和行為資料，不一定視為健康相關的資料。當生活型態資料與個人的健康狀況有明確而密切的連繫時，可能會出現解釋上的困難，因為生活型態資料可以被定義為有關健康的資料。

在GDPR的脈絡下，應用程式開發人員在判斷應用程式是僅處理生活型態資料還是健康相關資料時可能會遇到困難。因此，與應用程式安全方面不同的是，開發人員需要確定健康應用程式是生活型態還是醫療設備應用程式，以避免違反醫療設備法規，至於程式安全方面，被正確識別為生活型態的應用程式仍可能處理健康資料。例如，生活型態程式收集如使用者的心率或脈搏資訊。相反地，如果被正確地識別為醫療設備應用程式，它將不只包含生活型態資料，因為根據定義，該應用程式的預期目的是醫療，並需要輸入健康資料。GDPR明確強調增加個人權利以及管理者和製造者的義務，從而加強了終端用戶的資料安全。相較之下，醫療設備立法對開發者有利，它強調程式的醫療目的和開發者的主觀意圖，對終端用戶的安全有潛在消極影響。

此外，不同於醫療設備較拘束的監管框架，無論是否涉及健康或其他類型的個人資料，GDPR都適用。因此，處理任何類型的個資，都必須遵守資料保護法。對個人資料的處理必須遵守目的限制、個人資料收集最小原則、精確性、儲存限制、完整性、保密性、當責性等原則。特別是，GDPR與守則共同強調，應用程式開發人員在設計時需要遵循某些原則，包括透過設計和預設來保護資料。前者意味著應用程式的隱私及其使用在其開發過程受到考慮；後者意味著在使用者對資料的處理有選擇權但尚未採取行動來表達偏好的情況下，開發人員已經預選對隱私侵犯最小且符合規範的選擇。

GDPR禁止處理個人資料，除非適用第9條規定的例外情況之一。就應用程式而言，在此最重要的一節是第9(2)(a)條規定的例外情況，即需要資料主體明確同意處理其個人資料。應用程式開發商必須確保同意是為了一個或多個特定的目的，收集的個人資料應該是為了特定、明確和合法的目的。此外，同意的請求必須是簡潔、透明、可理解的，並以容易獲得的形式，使用清晰和簡單的語言。個人的同意必須是自由給予且特定的，而且他們有權在任何時候撤回同意。

關於健康資料這個特別敏感的個資類別，法律要求更加嚴格，根據GDPR第9(2)(h)條，健康資料的處理只有在醫療背景下才被允許，例如，為了必要的預防醫學、醫療診斷、提供健保、治療或健康管理的目的。該節必須與第9(3)條一起閱讀，即資料由受職業保密義務約束的專業人員處理或負責。如果情況不是這樣，而且健康資料不是受專業保密義務約束的專業人員負責處理，則需要得到資料主體的同意才能不被禁止。對應用程式開發者來說，可能出現的問題是事先知道健康資料是否只由專業人員處理或負責保密。如果健康資料儲存在消費者的智慧手機或伺服器上，而不是由醫療專業人員負責，這是許多應用程式（包括那些醫療設備）很可能出現的情況，則仍然需要消費者的同意。

因此，在需要資料主體同意的情況下，應用程式開發人員還需要考慮GDPR中與同意有關的條款，包括與個人資料處理有關的原則（第5條）、處理合法的條件（第6條）和同意的條件（第7條）。此外，第12條和第13條適用於管理者需要向資料主體提供的資訊類型（第13條），以及關於提供資料主體與其權利相關的資訊品質（第12條）。

當資料主體不清楚個人資料會被如何運用時，他們對處理其個人資料的同意並不一定使處理合法。儘管Mulder在對健康和一般應用程式的實證研究中發現，同意通常使用清晰明瞭的語言，以可理解和容易獲得的形式提供，而且根據第7條，提出同意的請求亦明顯區別於其他事項，但實行上可能並非總是如此。即使資料是有關健康的資料，不需要資料主體的明確同意，第12和13條的規定仍然適用。然而，根據Mulder的研究，大多數被檢視的應用程式沒有遵守這些條款。即是，這些應用程式的隱私政策太長，平均超過3500字，只有一個應用程式符合管理者以簡潔和透明的形式提供資訊。特別值得注意的是，在這些政策中經常出現如「可能分享資料」的措辭。此外，沒有一個隱私政策符合第13條和第5條關於處理個人資料的目的限制的所有必要條件，其所表達的目的清晰度往往非常模糊。研究的結論是，儘管資料主體往往被應用程式開發人員告知他們的權利，但他們無法知道個人資料如何被運用，也無法確定處理的確切目的，因此在大多數應用程式中，資料處理是不合法的。

因此，應用程式開發人員無論是在健康或其他類型的個資方面，都可能違反GDPR，甚至很可能會違反醫療設備法規。儘管有這樣的法律和監管框架，但無論是涉及健康資料還是更多個人類型的資料，行動醫療應用程式顯然並不像人們所期望的那樣安全或可靠。最近Babylon Health的應用程式出現的安全問題，以及Deep Mind出售給Google後，用Streams應用程式收集病人資料出現的潛在安全問題，都證明了這一點。這個領域最令人擔憂的議題之一是大眾對這項創新技術的信任問題，這一點將在接下來討論。

陸、健康應用程式和信任疑慮

支援自我管理已被視為改善醫療照護，同時限制了醫療服務成本的手段。與預期相反，儘管行動醫療結合了醫療去中心化和以病人為主體，但至今為止，行動應用程式的引進並沒有取得完全的成功。這可能有部分是對新技術的抗拒，但也可能是對新技術的信任存疑。在存在不確定性或可能出現不理想結果的情況下，信任是至關重要的。這種不確定性可能是由於健康應用程式的潛在安全或保障疑慮。在任何情況下，大部分對於監管健康應用程式的安全及保障之法規，目的都宣稱是促進病人的信任也就不讓人意外了。

在醫療保健領域，信任是定不可少的。有廣泛關於信任的定義在不同的研究領域中，包括機構、人際間的信任，或對技術的信任。正如Sderstrom和其他人所說，病人必須信任臨床醫生，以及他們對診斷和治療做出正確判斷的能力。然而，在醫療環境中，信任還必須包括病人對組織以及對設備或物品的信任。因此，對於線上技術來說，不需要建立在人際關係上的信任是很困難的......