健康大數據環境下 法制整備思維與產業因應之道

健康大數據環境下 法制整備思維與產業因應之道
2023/11/14
作者/專欄

文/林冠宇 資策會科法所副主任

我國近年極力推動所謂「健康大數據」,嘗試透過個人檢體、臨床資料、健康紀錄的巨量資料,建構大型資料的分析基礎,藉此追求從醫療技術到生技醫藥產品的創新發展。

然而,隱私層面的爭議,究竟是真的受到法令的禁止?還是對法令落實的不得要領?值得各界深思與探究。

健康大數據發展 法令禁止阻滯不前?

個資風險管理恐是健康大數據發展最大的罩門,所謂個人資料依《個人資料保護法》規定,係以可否識別當事人作為定義。除了排除個人資料保護法適用的例外情況,基本上,所有可識別當事人的資料,均可列為個人資料。

然而,個人資料在識別程度上的差異,以及所可能造成的風險差異及發生機率,對於個人資料保護的程度要求有別。此一程度差別無一絕對性的量表,而必須透過個案分析,找出相對性的標準,這也是在風險預防與管理上,具有相當難度的癥結點。我國在發展這些風險基準的參考案例或量化基礎上,卻始終一直踟躇不前。

個資法強調個資運用要尊重當事人權利

無論是國外的個人資料相關法令,如歐盟一般資料保護規則,或美國各州的消費者隱私法,甚至我國的《個人資料保護法》,都是由當事人權利、個人資料的識別性、加上個資持有者風險管理的責任等等基礎要素所組成。

換言之,《個人資料保護法》透過當事人確實認知其告知內容,而得以有效同意對個人資料的蒐集作為起點,再配合個人資料蒐集主體承諾的風險管控與保護措施,適當地進行個人資料的運用和保護。此一部分與傳統法學專注於損害或損失發生後,追究責任歸屬與訴訟求償的角度有別。

《個人資料保護法》在某種程度上更偏向行政法學上,對於社會生活中重要的權利,以風險的角度適當予以預防。

在前述的基礎上,法律並無限制所有的資料運用與交換。因此,在思考「健康大數據」嘗試建構的大型資料分析基礎,必然涉及資料來源合法性、資料串接識別性以及可能增加的風險,最後必須思考巨量資料建構要採取集中或分散模式,3 者間環環相扣。

就「健康大數據」巨量資料的構成,可能包括個人檢體、臨床資料、健康紀錄。其中包括《人體生物資料庫管理條例》以非去連結方式保存之資料庫形式,作為生物醫學研究之用。

而臨床資料則是依電子病歷製作及管理辦法所產出的資料,或屬於個人資料保護法特種個資中的醫療資料,即法務部過去認定限縮在醫事人員製作的資料。最後,則是上述情境外
其他途徑取得,屬於個人生理特徵的健康紀錄。

在資料來源的合法性上,除了有作用法上的明確法定事由,得蒐集個人資料保護法中的特種個資。如《人體生物資料庫管理條例》有明確法定事由,並指向生物醫學研究之用。其他經個人蒐集的個資,一般必須與其原始蒐集目的相符,如就醫服務目的的個人資料等,因此更需要嚴謹的個資同意管理機制。

資通訊業者應具備資料治理能力

建構健康大數據的大型資料分析基礎,必然需要先提供合法基礎的法令規範,同樣在資料串接與風險的衡量,也應該在法制面上多加研議與規劃,使之具備合法基礎。而這些對於隱私尊重與加強管理的發展方向,才是符合國際上對於資料運用於創新發展,或真實世界數據的重要基礎。因為唯有資料本質上的健全與受信賴,才有「真實」的資料可供利用。

對於未來深受大數據環境影響的產業,以及提供資料儲存、交換等服務的資通訊業者而言,應盡早整備組織內部的資料治理能力。縱然資料法制環境的變動,目前尚未能一窺全貌,但對於當事人告知與取得同意,以及承諾適當保護措施的基本能力仍應具備。

「對於未來深受大數據環境影響的產業, 應盡早整備組織內部的資料治理能力。」

作者林冠宇為資策會科法所副主任作者林冠宇為資策會科法所副主任


財團法人資訊工業策進會

主責數位科技及先進醫療發展議題的法律智庫團隊,致力於研究政府及企業在新興科技發展上所碰到的科技法律課題,及協助我國參與亞太經濟合作組織的CBPR隱私認證,使國內優秀企業得通過申請取得認證標章。

喜歡這篇文章嗎?加入會員即可收藏文章、產品及供應