【醫病平台】我的醫療個資,你的醫療大數據?!

民報新聞

衛福部健保署日前公布利用AI輔助判讀今年(2019年)1至6月醫院門診執行電腦斷層(CT)、磁振造影(MRI)的分析成果,並表示「開發AI智慧作為醫療申報的審查工具已是時勢所趨」,同時也提到「希望透過AI判讀健保資料,揪出浪費」引起諸多討論。AI於醫療上的應用,多數的關注點仍在於技術運用上的正確度或未來可能性。然而,以此報導為例,另一個需要關注的是,使用的是民眾健保資料的數據做研究,亦即,在目前AI發展過程中,無可避免的必須使用大規模的醫療個人資料(亦即醫療大數據),而這些健康資料從何而來,其中有你我的資料嗎?而資料的所有者是否同意被使用嗎?這些問題似乎少被以相同的關注程度被重視,甚或討論。

關於醫療大數據運用於AI,多數是來自常規醫療過程中取得的醫療個人資料,無論是健保資料、病歷或各種檢查(測)的影像或數據。依個人資料保護法而言,性質上為特定目的之外的利用。最大的爭議不外乎是,在個人資料合理利用以及個人資料所有者的隱私權、自主權之人格權保護二者之間的權衡。

關於隱私權與自主權,大法官第585號解釋「隱私權雖非憲法明文列舉之權利,惟基於人性尊嚴與個人主體性之維護及人格發展之完整,並為保障個人生活秘密空間免於他人侵擾及個人資料之自主控制,隱私權乃為不可或缺之基本權利,而受憲法第二十二條所保障」,進一步於大法官第603號解釋指出「個人自主控制個人資料之資訊隱私權而言,乃保障人民決定是否揭露其個人資料、及在何種範圍內、於何時、以何種方式、向何人揭露之決定權,並保障人民對其個人資料之使用有知悉與控制權及資料記載錯誤之更正權」。相關的基本權,具體化於個人資料保護法,對於個人資料蒐集、處理與利用的規範當中。由於,醫療個人資料於個資法的分類中屬於特種個人資料,具敏感性。依該法第六條規定,除非由例外事由,否則原則上是不得蒐集、處理或利用。其特定目的外的利用應有特定的事由,非公務機關準用第20條規定,除了法律明文規定、當事人同意等共七款特定事由,其中關於研究有關的規定,為第五款「公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人」。亦即,就AI等醫療大數據的研究上,符合此一事由的判斷之點在於相關個資是否無法辨識特定當事人。2017年最高行政法院判字第54號,關於健保資料庫提供特定目的外利用是否違反個人資料保護法的爭議案件中,亦提出「個人資料涉及個人資訊隱私權,因此與建立資料庫所形成之公共利益有相衝突之現象,協調化解此等『公、私益衝突』現象最有效率之手段,即是個人資料之『去識別化』」。

「去識別化」的作用是為讓個資的當事人身份不再可辨識,以緩解隱私權侵害的疑慮。現行的法規中,類似的規定同時可見於個人資料保護法、人體研究法、人體生物資料庫管理條例等相關法規中。人體研究相關法規中,通常以「去連結」指稱去識別化,其最終的結果必須達到「使其與可供辨識研究對象之個人資料、資訊,永久不能以任何方式連結、比對……」亦即,經此處理者從資料、資訊、檢體將不再可回溯至個人身份,終極地使相關的資料、資訊、檢體不再具有個人資料的屬性。但是,去識別化是不是個資保護的萬靈丹?一般認為,去識別化後,個人身份不再可辨識,某程度上有助於隱私權保障。但是,在醫療AI的研究、發展上,去識別化足以解決目前的困境嗎?再者,就資訊自主權保障,從病人角度來看,多數人雖願意對醫學研究有所貢獻,但是未有告知說明逕自使用常規醫療產生的資料、資訊,仍會產生「這是我的資料,為何要使用都不用問我同不同意?我的自主權何在?」等等的疑慮。

首先,就第一個問題來說,有論者認為,醫療資料涉及人體,內容複雜,以病歷為例,其欄位上可得識別的資料為訓練醫療AI或醫療大數據使用上的必須,若以去識別化處理,恐影響訓練醫療AI或醫療大數據分析的準確度。此外,去識別化如何進行方得以「乾淨」的去識別,亦是常見的爭點。但如何去辨識,我國的現行法規並未有具體的規範。其次,如醫療AI上去辨別化可能減損資料利用的價值,則如何取得當事人的同意,則是另一個需要面對的議題,同時也與問題二的自主權保障直接關連。然而,醫療大數據中,是否逐一於運用前取得病患的同意?或者,因應醫療大數據用於研究或產業,同時考量使用資料的敏感性,採取不同的同意方式?各國面對此問題,亦有不同的解決方式。

以英國為例,2017年於Google DeepMind非法存取了160萬英國病患的醫療資料爭議事件後,於當年7月公布自2018年3月起病患可拒絕分享病歷資料。英國衛生部(Department of Health and Social Care)於2018年5月修正施行新「國家資料退出指令」(National data opt-out Direction 2018),英國健康與社會照護相關機構得參考國家醫療服務體系(NHS)10月公布之國家資料退出操作政策指導文件(National Data Opt-out Operational Policy Guidance Document),規劃病患退出權行使,以及退出因應措施,亦即未來病患表示退出國家資料共享者,相關機構應配合完整移除資料,不得保留重新識別可能性。

對於台灣而言,發展AI醫療與醫療大數據的過程中,現行的個人資料保護法顯然已不足以達成該法「避免人格權受侵害」、「促進個人資料之合理利用」兩大立法意旨。此時正值檢討個人資料保護法修法之際,先進國家的經驗應可作為參照,健全法規建置,方能減少民眾疑慮,降低醫療個人資料利用上不必要的爭議!

參考資料:

一、台灣人一年看病高達13次!4成頭部CT檢查恐白做...健保靠AI揪浪費

二、Google 合併DeepMind 健康部門引發隱私關切

三、英國國家醫療服務體系(NHS)公布國家資料退出(Opt-out)操作政策指導文件

※本文轉載自:元氣網醫病平台 文章屬作者個人意見,文責歸屬作者,本報提供意見交流平台,不代表本報立場。