生醫健康資料之整合應用與退出規範
Tags: ,

公共性與AI論壇(二十三)

時間:2023/4/21(五)下午2:00-4:30
地點:中央研究院人文社會科學館9樓第一會議室

◎ 主持人:李建良(中研院法律學研究所特聘研究員兼所長)
◎ 主講人:何之行(中研院歐美所副研究員)

◎ 整理:游皓翔

Photo by Jair Lázaro on Unsplash

一、前言

憲法法庭111年憲判字第13號判決(下稱健保資料庫案),認定相關法律未給予當事人退出之機制等,牴觸憲法第22條保障之資訊自主權。行政院提出之《個人資料保護法》(下稱個資法)修正草案,雖將成立保護委員會並提高相關罰則,然現階段並未見當事人退出機制之建立。由此可知,退出機制將為個資法修正之重點。本文將從國際規範,特別是英國案例,討論生醫健康資料的整合應用與退出機制之規範設計。

二、資料分享之促進

(一)資料分享之障礙

1. 技術面(Technical)

於資料處理階段,蒐集資料時因各種資料之格式化標準不一,若欲進行資料分享,其第一步即為資料格式之標準化(Standardization),讓資料於不同分享格式之模型(Model)內具相互操作性(Interoperability)。

2. 規範面(legal、ethical)

大多數資料分享之問題在於規範面,特別是法律規範上,可能將使本來已有之資料,於分享時面臨許多障礙。於法規層面,應設計資料分享框架(Data Sharing Framework)以反映個資蒐集利用處理之同意,以利後續資料分享、保存,甚至二次利用之合法基礎等。

於建立資料分享框架或規範時,應符合相關原則:一、需為「可問責的、負責任的(accountable)」,不論為跨機構,如一國內跨醫療院所間之資料分享,或跨國資料分享,都需為可問責的。二、需尊重原來國家對於隱私規範之要求,於各種不同規範中,「協調(harmonize)」出建構資料分享架構之方式。

(二)資料分享之原則:FAIR Data Principle

  1. Findable:希望資料可以被找尋到、被看得到,找尋到資料後,才有後續開放分享及應用等操作性之問題,甚至於原始目的外進行二次利用斗,因此最重要的是資料可以被看的到。
  2. Accessible:資料之開放使用。
  3. Interoperable:資料之相互操作性。
  4. Reusable:資料之二次應用。

(三)資料分享之實例

1. 歐盟:BBMRI-ERIC

BBMRI-ERIC並非建立一資料庫整合所有人體生物資料庫(Biobank),而係建立之一「資料分享虛擬架構或平台」,透過建立類似圖書館目錄之方式,以「單一平台服務提供者」(Single Service Provider)之角色,整合歐盟境內各人體生物資料庫,藉由「統一檢體目錄」,使申請者得經由此一中心化平台更易找尋研究所需之檢體和資訊。

BBMRI-ERIC本身不負責受理檢體及資訊近用之申請,判斷是否釋出資料之審核,仍由各該人體生物資料庫負責。即研究者於BBMRI-ERIC提供之目錄平台搜索到所需之檢體或資料後,審核是否核准近用檢體及資訊之權限,仍為各資料庫所有。各資料庫審核是否釋出資料,仍應回歸其原有之資料治理架構及模式加以判斷。

2. 臺灣

國家級人體生物資料庫整合平台:於2019年推行之「國家級人體生物資料庫整合平台」(National  Biobank Consortium of Taiwan, NBCT),即仿照歐盟模式,由國家衛生研究院建置整合平台,每個人都可向國家衛生研究院申請,惟是否釋出資料,仍回歸原人體生物資料庫進行判斷。

健康大數據永續平台:於2020年,科技部(現為國科會)推出「健康大數據永續平台」,與國家級人體生物資料庫整合平台不同,生物資料庫整合平台,係將現有之生物資料庫以虛擬平台方式促進資料分享,故其對於個資處理之同意,本即存於原生物資料庫中。健康大數據永續平台則為未來之前瞻性收案,重新設計一同意模式,讓當事人簽署兩份同意書,一為生物資料庫之同意書,另一為特定研究計畫之同意書。

三、資料之二次利用(Secondary Use of Data)

(一)範疇

人體生物資料庫之同意模式與其他特定研究之同意模式不同。以特定研究而言,其同意係基於特定目的(Specific Consent);而人體生物資料庫,其同意本即以建立該資料庫為目的,係為了未來不特定目的之研究所為之概括式同意。因此,該同意模式,即不限於單一研究計畫,而包含未來整合式利用,於規範上較易處理;若為單一目的,則須進行資料二次利用之相容性判斷。

(二)處理方式

1. 芬蘭:Fin data

國際上大多以重新立法之方式,處理資料二次利用之問題。以芬蘭之Fin data為例,於2019年時通過《健康與社會資料二次利用法》(Act on the Secondary Use of Health and Social Data),為健康照護資料之目的外利用提供適法性基礎,其所處理之資料範圍,限於社會照護及健康資料。。根據該法,將成立一中介機構即Fin data(類似於我國衛福部之衛生福利資料科學中心),其成立目的在於進行資料之整合,然跟歐盟BBMRI-ERIC作為單一平台服務提供者不同,Fin data有專法授權,使用者係直接向Fin data申請資料,由Fin data協尋資料控制者(Data Controller)並進行資料之整合包含去識別化等,再將資料傳給申請者,申請者無需自行找尋個別之資料控制者。

此種第三方中介機構之模式有二特點,一有專法授權作為適法性基礎;二為毋庸建立大型資料庫以集中化所有各別生物資料庫之資料,而係處於資料控制者與二次利用者之間,以第三方中介之方式整合並提供資料二次利用。

Fin data模式跟我國衛福部資科中心不同,衛福部資科中心係先將資料篩選在一起,於申請後資科中心再進行資料串聯,將資料釋出。國際上考量資料治理、去識別化標準或風險控管等,特別是第三方中介者跟資料控制者間之風險控管,會盡量避免於資料整合時再成立一個資料庫。Fin data不將其自身定位為資料控制者,而屬於資料處理者,與我國目前對於資科中心或資料整合之推動,有不同想法,亦值得我國探討,以避免大型資料控制者之資訊風險。

2. 歐盟:歐盟健康資料空間(European Health Data Space, EHDS)

現為草案,尚未立法通過。該草案希望在歐盟境內促進二目標:

(1) 促進健康資料的原始利用與共接

於系統上提升標準化與相互操作性,建立所謂「common data model」以進行健康資料共接,其並非要求醫院於蒐集資料時統一格式,而是請醫療院所以此方式進行資料分享。如此,病人至境外之其他歐盟國家旅遊時,若欲尋求醫療照護,即得因其同意而使不同醫療團隊存取其健康資料。

(2) 促進健康資料的二次利用(目的外利用)

歐盟希望能夠促進健康資料之二次應用,特別是在計畫跟創新方面。EHDS建立於歐盟關於資料治理法案之下,除一般資料保護規則(General Data Protection Regulation, GDPR)外,尚有資料法(Data Act)、資料治理法(Data Governance Act, DGA)及網路與資訊系統安全指令(Directive on Security of Network and Information Systems, NIS Directive)。如何於EHDS內二次利用,同時尊重到特別是GDPR賦予當事人之各種權利機制,實有許多規範設計。搭配另外兩個法案,透過類似資料利他主義之方式,希望大眾提供資料共享,建立可行之資料治理架構,因此EHDS實為另一種類似Fin data之模式,然其範圍更廣而擴展至歐盟境內進行資料分享。

3. 臺灣

以健康大數據平台而言,為前瞻式資料整合,因其係重新收案,尚未處理原始同意目的以外之利用,不存在資料二次利用之問題。以人體生物資料庫整合平台而言,因其同意本即為概括同意,其原始目的開放較廣,因此不太會面臨二次利用之問題。

以我國健保資料庫而言,其原先並未取得當事人之同意,係用保費稽核方式要求醫療院所將資料上傳至健保資料庫,若開放健保資料庫之資料進行後續應用,則將落入資料二次利用範疇。

(三)資料二次利用之相容性判斷:歐盟GDPR第6條第4款

資料二次利用之相容性判斷,需考量原始目的與二次利用目的間之關聯性、資料主體與資料控制者間是否有足夠之信任關係、資料性質是否為敏感資料(Sensitive Personal Data)、二次利用對於資料主體之影響及後果、資料主體之預期可能性以及資料之適當保護措施(Appropriate Safeguards)如加密(Encryption)或假名化(Pseudonymization)等因素,進行脈絡式之判斷。

目前臺灣於隱私風險評估內大多未進行上開詳細評估,僅簡化為判斷資料有無加密及假名化,較為可惜。

(四)無需取得同意處理敏感性個資之例外

1. 歐盟GDPR第9條第2款

以歐盟而言,符合特定要件時,得於欠缺二次利用同意之情況下,利用該敏感性個資。若係為了公共利益之建檔目的(Archiving Purpose in the Public Interest)或科學、歷史或統計研究目的(Scientific or Historical Research Purpose or Statistical Purpose),且符合法律保留原則(on the basis of Union or Member State Law)即授權各會員國於GDPR框架下針對健康資料於一定範圍內無需取得當事人同意進行二次利用,並有適當安全維護措施時,即無需取得當事人同意而處理敏感性個資。

2. 我國

以歐盟GDPR對照我國現行規範,我國個資法第6條亦有公共利益之要求,亦符合對資料進行適當安全維護措施之要求即資料須經去識別化處理,然欠缺將個資法作為普通法而需符合法律保留原則之部分。

(五)憲法法庭111年憲判字第13號判決之評析

1. 判決內容

(1) 健保資料庫之建置

健保資料庫係依全民健康保險法(下稱健保法)第79、80條所建置,健保資料庫之資訊安全與維護等要求,則規定依個人資料保護法處理。健保法第79、 80條透過該規範模式,使健保資料庫之建置同時符合健保法及個資法之要求,惟其並未於個資法外另有一明確授權規定。因此,憲法法庭即認此二部分應分別判斷。

(2) 個資法

憲法法庭認為個資法第6條第1項但書第4款所謂「無從識別當事人」,並未違反法律明確性原則及比例原則。

判決中亦提及個資法欠缺獨立監督機制,亦屬違憲。然此部分似屬國發會之權責,衛福部並未多加處理。

(3) 健保法

健保資料庫中之資料於提供目的外利用時,健保法第79、80條僅援引個資法而無明確授權,亦欠缺資料儲存、處理、對外傳輸及對外利用等組織及程序上之監督防護機制,應屬違憲。此外,健保法欠缺當事人得請求停止利用之機制,亦屬違憲。

2. 延伸問題

(1) 修法方向

目前傾向以專法方式處理,蓋考量若直接修正健保法第79、80條,於體例上可能無法清楚涵蓋健保資料庫之資料治理跟法律授權之要求。然專法模式亦有其缺點,雖解決健保資料庫本身二次利用之問題,但無法處理衛福部資科中心進行資料串聯亦將落入資料二次利用之問題;且若於專法內納入當事人請求停止之規範,於體系上亦僅限於健保資料庫,而無法擴及於其他資料庫之情形。

(2) 適用範圍

健保資料庫案是否將影響回溯式之病歷研究,解釋上建議回歸健保資料庫原先所欲處理之問題,即健保資料之二次利用欠缺適法性基礎。於醫院端資料之二次利用是否同樣有規範基礎,若本即經當事人同意,基本上即回歸同意模式處理,若當事人改變意願,僅須撤回原先之同意即可,無須適用當事人請求停止利用之規定。然而若醫院端原即欠缺當事人之同意而進行後續目的外利用,建議仍須直接處理當事人同意之部分,於健保資料庫案作成後,於操作上即不適合以資料去識別化取代當事人之同意。

(3) 健康存摺

於健保資料庫案作成前,即有考量是否得利用現有之健康存摺,允許當事人直接於前階段表達意願。

當時評估退出率時發現,於當事人意願表達之文字上,使用「雙重否定句」與「直述句」所得出之同意比率有相當大之差距。因此,未來於設計退出機制時,應審慎使用詢問當事人意願之文句,以避免影響其意願表達。於商業利用上,設計上應有前階段之同意,即應使用Opt-In之模式表達當事人意願。

當時推估,最後當事人選擇退出之比率可能達8%至9%,以臺灣而言相當高。因此,建議健保署於大眾溝通資料二次利用之目的與範圍時,應詳實說明以建立足夠之公信力與信任關係,以利大眾願意將資料留存於健保資料庫內。

四、資料分享之規範問題

(一)資料整合(Data Integration)與資料二次利用(Secondary Use of Data)

若為前瞻式資料整合,較為單純;若為回溯式資料整合,其將面臨資料二次利用之問題,特別是原始同意為特定目的之同意,或根本欠缺同意,若欲進行目的外使用,即需找尋適法性基礎。如何於不同之同意模式下,建構資料二次利用之合法化,為較大之課題。

以目前臺灣實務上,許多醫療院基於再同意或重新同意(re-consent)之成本及是否允許退出等考量,採取「規避同意」之方式。操作上,大部分係直接處理資料,透過資料去識別化之方式,規避資料當事人的再同意或重新同意。

(二)同意模式(Consent Models)

1. 現有之同意模式

現有的同意模式,係基於特定之研究目的,詢問當事人之意願,因此當事人之同意基本上是一次性的,若之後欲進行二次利用,研究者即需再次申請,並得到資料當事人之再次同意。

2. 新的同意模式:Meta Consent

所謂Meta Consent,其實類似於Dynamic Consent,將區分「不同維度」之同意,基本上先將資料進行區分:如資料之性質、使用範圍、是否出境、被誰利用等,一開始進行不同維度之意願表達,並將該意願註記於資料上,於後續即較易進行資料之分享。該模式得有效降低資料二次利用之成本,亦提供當事人較好表達意願之機會。

(三)去識別化(De-identification)、資料保護(Data Protection)

1. 去識別化作為資料二次利用之適法性基礎?

鑒於取得當事人同意之成本,許多討論在於得否以資料處理之方式,取代或不處理當事人同意之問題,例如將資料進行去識別化處理,而不受個資法令之限制。

(1) 美國

於美國,生醫健康資料通常透過「健康保險可攜性和責任法」(Health Insurance Portability and Accountability Act, HIPAA)加以規範。資料於移除識別符號(Removal of Identifiers)並配合一定程度之資安風險評估,即可認定該資料已不再屬個人資料,而不受HIPAA之規範。

明確規範之方式,於應用上有其局限性,特別是HIPAA係於1996年通過,彼時尚無所謂以大數據進行數據探勘(Data Mining)之能力,後來已有許多文獻發現 HIPPA其實遠遠不足作為資料當事人之保護。

(2) 歐盟

歐盟於2018年通過GDPR,即採取跟HIPPA不同之規範方式。GDPR僅將匿名化作為一種資料安全維護之措施,因此若僅將資料進行匿名化處理,則該資料仍屬個人資料。既然匿名化之資料仍屬個資,該資料即不適合作為資料之二次利用,欠缺當事人同意作為適法基礎。

(3) 我國

以我國脈絡而言,最大問題在於不同規範下,對於所謂「無從識別特定當事人」,使用不同用語及模式。以《人體生物資料庫管理條例》觀之,其規定「資料以去連結之方式保存」;個資法則規定「資料處理,達無從識別特定這個當事人」。因此,對於「無從識別」與去識別化程度之關聯性,係僅須假名化(Pseudonymization)即可,抑或須達到匿名化、(Anonymization)之程度,造成實務上之認定困難。

以敏感性個資之蒐集處理利用而言,個資法第6條第1項原則上禁止,於但書規定例外容許之情形。然以健保資料庫為例,其既無法律明文授權得進行二次利用,亦無當事人同意,因此經常以但書第4款作為適法性基礎。普遍認為所謂「無從識別」之標準,除不甚清楚外,其僅於「揭露」時有此要求,因此基本上並未達完全資料匿名化之標準。當時個資法之主管機關法務部,於107年頒布之函釋認為「去識別化後,若可認非屬個人資料,則後續提供外界利用,自無個資法之適用」,惟所謂去識別化應達到何種程度,並未說明清楚「無從識別」之定義問題。

目前操作上,呈現與歐盟GDPR相反之狀態,大部分仰賴去識別化,認為將資料去識別化後即已符合所謂「無從識別當事人」之標準,而無需處理當事人之同意,然而該去識別化實際上並未達到去連結標準,而僅為「假名化」程度。

2. 去識別化僅作為資料保護措施:歐盟

比較歐盟假名化與匿名化之規範,其僅將「假名化」、「匿名化」作為資料處理之安全維護措施,而不足以作為資料後續處理或二次利用之合法充足條件。於歐盟之標準下,於欠缺當事人同意之情況下,需透過資料二次利用之相容性判斷,以進行資料之二次處理。

(四)商業近用:產學合作(Commercial Access:Public Private Partnership)與透明度及問責機制(Transparency and Accountability)

我國個資法規定研究者若欲近用資料庫,需先找尋學術研究機構,建立公私協力模式,再進行申請。於該模式下,除造成許多產學合作之現象外,公部門本身資料庫之公共利益,即有相當多之討論;資料審核過程中,如何確保透明性及問責性,亦為具討論性之議題。

五、英國之資料整合與退出政策

(一)資料整合

1. Care. Data Programme之推行與阻礙

於2013年Care. Data Programme施行前,英國並不像我國建有中心化之健保資料庫,而是大部分資料都在家庭醫師手中。因此,英國於2012年立法通過「健康與社會照護法」(Health and Social Care Act 2012, HSCA 2012),透過專法授權之方式,將家庭醫師手中之資料,集中到中央資料庫即國民保健署(National Health Service, NHS)下新成立之「健康與社會照護資訊中心」(Health and Social Care Information Center, HSCIC,於2016年更名為NHS Digital)。

Care. Data Programme於推行之初並非順利,最大反對者並非一般民眾,而為家庭醫師。醫師們認為,該立法授權要求家庭醫師強制上傳至HSCIC,將破壞醫師與病人間之信任關係。此外,Care. Data Programme亦未明確說明其使用範圍及資料釋出對象,蓋該計畫本望透過資料整合,進行照護目的外之資料二次利用,特別是研究與規劃,然該範圍極大,且並未限制資料分享之主體。

只要滿足「健康與照護」目的,商業機構同樣可以作為Care. Data Programme之分享對象,惟不允許作為純粹之商業用途,如保險與直接行銷(Direct Marketing)。因此,後來演變成每一位家庭醫師皆須向其病患解釋,其資料上傳至HSCIC後將有何機構進行何種運用,實已加重醫師與病人間之溝通成本,且不足以說服當事人願意將資料上傳。

2. Care. Data Programme之失敗與檢討

Care. Data Programme最終於2016年由英國NHS宣告結束。英國健康與社會照護部(Department of Health and Social Care, DHSC)下所設之「國家資料監護人」(National Data Guardian, NDG)Dame Fiona Caldicott,於2016年6月提出《資料安全、同意及退出之政策建議報告》(Review of Data Security, Consent and Opt-Outs)。該報告用以檢討Care. Data Programme之失敗原因,並提供相關建議,該等建議並影響至現行英國National data opt-out Programme所遵循之資料治理原則。

基本上,對於病人而言,其須明知資料將向何人釋出,為了何種目的,及如何退出(opt-out)之選擇。該退出選擇,應向當事人清楚說明其資料留在資料庫中之理由,並要求應提供一容易退出之方式。因此,NHS後來即於書面外,增加電子化退出之可能性。該報告並要求NHS評估Dynamic  Consent之可能性。該報告作成後,NHS Digital(前身為HSCIC)即開始討論退出選擇之可能性。

以現階段英國之模型而言,有「兩階段」之退出。第一階段,因病人之資料大部分落於家庭醫師手中,若病人不願上傳,得直接向醫師表達意願,醫師即不會將病人資料上傳至中心化之資料庫,而仍留存於家庭醫師手中。第二階段,若病人資料已上傳至資料庫,因NHS Digital尚有其他管道如醫院等,獲取家庭醫師以外之資料,當事人仍得於資料釋出階段表達意願。因此,當事人於「事前」或「事後」皆有表達意願之機會。

對比我國健保資料庫,剛好相反,一開始資料上傳至健保資料庫時,即無前階段之意願表達機會;資料釋出時,亦無表達意見之機會。

(二)退出政策與機制:國家資料退出政策(Nation Data Opt-Out Programme)

1. 退出機制之建立

為說服大眾資料分享之意願,於2018年NHS推出「Nation Data Opt-Out Programme,該計畫特別強調與Care. Data Programme不同,為使大眾了解資料分享之重要性,其試圖說明清楚資料分享之目的、資料分享可能帶來之好處及所謂「公共利益」,以說服大眾將資料留存於資料庫內。英國未將Nation Data Opt-Out Programme以立法授權之方式進行規範,而僅為「政策」,並透過此政策,於民眾與NHS間建立信任關係。

該計畫之法律基礎,僅為NHS Digital本身成立之授權依據,整個計畫,係用指引(Direction)一詞,透過NHS Digital於資訊系統內建立規範模式,架構Nation Data Opt-Out Programme。

2. 退出機制之類型

(1) 類型一(Type 1)

維持原來在Care. Data Programme時,病人直接跟家庭醫師表明意願,當事人得下載表格或直接透過NHS之網站表達意願,提供了一較易退出之可能性。若當事人選擇以類型一退出,基本上就會要求家庭醫師,告知病人不會再去分享資料予NHS Digital,因此當事人將知悉其資料僅留存於家庭醫師處,而不會集中至資料庫。

(2) 類型二(Type 2)

因NHS Digital仍得向其他健康照護提供者(Health Care Provider)如醫院等,蒐集或分享資料。若當事人不願其資料從醫院端分享給NHS Digital,其得透過Nation Data Opt-Out Programme表達退出之意願,由Nation Data Opt-Out Programme進行註記,而不會將有該等註記之資料,再分享予醫療院所。

3. 適用退出機制之資訊:病患機敏資料

所謂病患機敏資料(Confidential Patient Information),於觀念上與所謂個人資料不同,係由二部分資料所組成,一為得識別特定個人之個人資料,二為與健康照護或治療相關之醫療資料。因此,若僅為個人資料,則非Nation Data Opt-Out Programme退出資料之處理範圍。

4. 退出機制之例外:退出權之限制或豁免(Exemption)

(1) 明示同意(Consent)

若當事人已於其他研究計畫表達明示同意,該同意本即為Opt-in(選擇進入)之同意,於邏輯上即不合適由該當事人再行使退出權,其回歸原本研究計畫,撤回原同意即可。

(2) 傳染病及公共衛生風險(Communicable Diseases and Risks to Public Health)

若具有公共利益極高之傳染病風險或相關公衛研究,因其具有一定公共健康之價值,同樣亦得以限制當事人退出。

(3) 首要公共利益(Overwriting Public Interest)

該計畫亦將所謂「首要公共利益」作為一例外,其實係要求進行「公共利益衡量評估」(Public Interest Test)之判斷。此衡量評估是由資料控制者(Data Controller)負責,即於資料適用之範圍下,其所欲滿足之公利與對當事人自主權所致之損害而言,是否具所謂之「首要公共利益」。

例如,依據英國醫學委員會(The General Medical Council, GMC)之指南,對於病患是否是於駕駛,為取得許可,須向交通機構進行通報。為了資料庫之完整性,比如英國交通監理所之資料庫,即會認為具有重要的公共利益。

(4) 法律或法院命令所要求提供之資訊(Information required by Law or Court Order)

若有法律或有法院命令,當然亦得作為退出之限制。

(三)公共利益對於退出機制之建構

1. 不同層級之公共利益

相較於英國於公共利益之衡量評估,將介紹與分析歐盟對於健康資料,特別是所謂「Public Goods」所進行之層級化區分。

以歐盟而言,其將公共利益進行不同層級等級之區分,若於時間跟空間皆非常緊迫時,即可能得以正當化而具有所謂「實質重大公共利益」(Substantial Public Interest);若無時空上之急迫性,公共利益即可能退讓至普通或甚至沒有公共利益之程度。

2. 不同層級公共利益對應不同之退出機制

公共利益之層級化區分,即使其得以對應不同同意模式之設計。若有非常急迫重大之公共利益,如符合傳染病防治法之要件或面臨Covid疫情時,即可能得以限制當事人「選擇退出」(Opt-Out),甚至無需當事人「選擇加入」(Opt- In)。

若公共利益之層級不高,可能即須滿足當事人之同意,不但應許當事人「選擇加入」,可能亦須允許其「選擇退出」之可能性。由此可知,不同層級公共利益之考量,得以建構對於當事人自主權「同意模式」之不同選擇。

若再加上「去識別化處理」之維度,對於非常高之公共利益(High Public Interest)而言,應不至影響其判斷,蓋該公共利益實際上高到得以限制當事人同意權之行使,而不適合再以資料處理之方式處理。若為「一般公共利益」(General Public Interest),此時即可能得以考量「資料去識別化處理」得否取代當事人同意之問題。若將資料進行完全匿名化,此時因已非個人資料之保護範圍,因此得限制當事人「選擇退出」之可能性。於其他資料去識別化處理時,可能仍須容許當事人「選擇退出」之可能性。

對於低公共利益(Low Public Interest)之資料使用,即不適合「選擇退出」,而應使用「選擇加入」之方式。蓋於生醫領域「選擇退出」其實係一「假設同意」(Presume Consent),既已假設當事人同意,若當事人不願意,再行退出即可,對於當事人之自主表達將因公共利益之考量而有所妥協。然當公共利益本身之價值已不顯著時,該等妥協即無存在之必要,則應回歸原本之同意模式,尊重當事人意願之表達。

以我國健保資料庫而言,大多聚焦於「選擇退出」之討論,因為資料庫已經形成,若採行「選擇加入」方式,將提高建置成本,且於政策考量上,如同前述「選擇退出」實已代表假設同意,不願意分享資料之當事人,若需再為一次意願表達,大部分的人大多不會再進行該強烈意願之表達,而得以維持資料留存於資料庫中之意願及比例。

(四)退出之社會外部性(Social Cost of Opt-Out)

英國倫敦帝國大學醫學院轄下之小區域健康統計研究中心(Small Area Health Statistics Unit, SAHSU),就Nation Data Opt-Out Programme中針對非白人群體高退出率之原因進行相關研究。

該研究指出,於白人居住比較多之區域,選擇退出之比例較低,蓋其可能較不擔心,選擇退出會使自身演變為政治上之不利益;真正擔心將遭受不利益者,多為少數群體,故最後選擇退出者大部分亦為少數群體。然這群人反而是NHS希望透過健康照護系統去照顧之群體,如此反而使最需要醫療保健之群體,其資料於二次利用時消失。雖不會直接影響其直接醫療照護之任何福利,惟將影響基於資料二次利用所制定之健康或公衛政策,並應進行相應之調整或回應。如果於資料庫矯正時,無法以統計學或其他方式進行調整或限制時,則須了解退出機制實將帶來一定成本,並造成生物學研究上之限制。

(五)資料分享之信任網絡(A Web of Trust)

生醫健康資料之分享,如何於各種不同利害關係人間建立信任網絡,實為難題。生醫健康資料分享能否成功,其原因可能不僅為規範設計或技術處理之問題,更包含許多無形因素,如公眾對於該計畫之信任度等。法規範固為重要之治理架構,然公眾之信任、資料控制者對於資料二次利用所帶來公益之說明,反倒成為健康資料分享成功與否之核心議題。

(六)相關案例

1. Google DeepMind

於2017年,Google DeepMind希望跟NHS及其轄下之Royal Free醫院分享健保資料,惟未讓病患知悉,於資料分享完成後,亦未經去識別化處理。英國之個資保護獨立專責機關-英國資訊專員辦公室(Information Commissioner’s Office, ICO)即認定該資料分享違反當時之資料保護規則等規定。

經此事件,英國開始反省於公私協力模式中,應如何說明清楚公共利益,以避免圖利特定開發商之錯誤印象,而傷害大眾對於NHS之信任。因此,不論是當時Nation Data Opt-Out Programme或Google DeepMind案,NHS仍不斷向大眾說明可能帶來之公共利益及資料二次利用之好處等,以維繫大眾對NHS之信賴。

2. UK Biobank

至今為止,UK Biobank基本上仍為各國於建置人體生物資料庫時一成功案例。成功原因在於,其資料治理架構起初即就後續資料治理將面臨之困難進行處理,包含倫理治理委員會(Ethical Governing Committee, EGC)及資料處理架構斗,在前階段即與大眾進行長時間溝通,進行公眾參與(Public Engagement)處理。

六、問題與討論

李韶曼:第一個問題,資料庫之類型似可分為一般人體生物資料庫如英國Care. Data Programme及我國健保資料庫。前者之目的本即為建立資料庫而蒐集資料,我國《人體生物資料庫管理條例》對此亦設有退出機制;而後者則係依健保法第80條,建立一資料庫,然病患就醫時並不知悉其資料將被蒐集以建置健保資料庫。關於此二種情形,於思考層面是否不同而應分開討論?第二個問題,應如何理解同意模式或架構下之「同意」? 包括:去識別化得否代替同意,而為二次利用之合法條件?抑或僅將去識別化本身視為當事人同意?或依個資法第六題,去識別化事實上已脫離同意,而係於某些條件下欲進行利用時,需達去識別化程度?

何之行:完全同意老師的說明,健保資料庫案作成後,面臨之問題大多在於,哪些資料庫將落入該判決之射程範圍,而需處理當事人退出之問題。於先前之部分,因當事人本有同意,因此資料二次利用問題並無太大困難。將資料庫不同之類型進行區分,同時也是回應健保資料庫案之適用範圍。

李韶曼:資料分享時,使用者介面亦相當重要,如資訊呈現、認知成本等等可能都將影響當事人同意。想詢問最常看到之介面設計為何,對於不同科技界面影響當事人之同意,是否有經驗分享?

何老師:英國後來有考量到,在手機跟電腦設計不同介面。當時牛津大學研究團隊,即藉由介面之帶入,使當事人參與到同意之過程。

楊岳平:英國退出機制,跟健保資料庫案包括撤銷權、刪除權及更正權等,是否相同?兩者看似有相通之處,如以「選擇退出」(Opt-Out)代替同意,惟某種意義上而言,當事人選擇「選擇退出」,其實類似撤回同意,或是請求停止利用其資料。另外,退出權之行使是否有時間上之限制。想要釐清,「選擇退出」機制與健保資料庫案間之關聯性?

何之行:英國退出機制跟健保資料庫案所謂當事人請求退出且是向未來的退出,二者不同。以英國模式而言,當事人得向家庭醫師表達意願,請求不要上傳資料,也隨時得向家庭醫師再去表達不同意願。醫師可以在上傳資料時,同樣跟NHS Digital表達不希望其資料透過NHS Digital跟醫院端分享,因此在英國並無明確限定時間,造成其資料庫呈現滾動式狀態。當初我國公衛學者也在關心,若採取滾動式資料庫(Rolling Base Database)是否將造成每次釋出之數據欠缺對照組得以比較。惟於操作性上亦有解決方式,即限定一個年度,將意願表達之年度註記於資料庫中,使大眾知道週期長度,研究者於申請資料時,亦可知悉是否跨越該週期;進行如此之揭露,使申請者知悉該資料於統計學上之極限。綜合而言,英國並無過多限制。以我國健保資料庫案而言,雖然給予當事人表達意願之相關權利,惟規範上應如何進行及設計,公衛學者有進行相關討論。

楊岳平:使用者介面之設計,當詢問題目愈多,介面愈趨複雜,惟當事人大多仍草率同意,距離真正欲達到之保護效果似有一定差距。是否有更進一步之實證,顯示優化界面之設計,有無達到預期之保護實效?

何之行:以目前Dynamic Consent而言,常常是一個問題接著一個問題,到底有多少當事人耐心閱畢並瞭解;如何之介面設計得使當事人願意花較多時間留在介面,實為難題。但最終其實是信任問題,如果願意停留者本即會停留,不願意者其實不論介面設計如何,皆不因此改變其意願。

楊岳平:假設像健保資料庫案,使當事人享有一相對不受限制之事後更正權,甚至是刪除權,從資料分析之角度而言,將有技術上之問題。因為不論係當事人明示同意或法律強制同意,研究者利用該等資料進行分析並得出模型後,欲進行相關利用時,若當事人此時行使其更正權、刪除權甚至撤回同意,對於研究完成後之模型即可能須重新調整,以資料分析而言,將可能有不一致之問題,該模型將存在需不斷進行調整之狀態,並提高相關成本。關於英國狀況,想要釐清是否當事人當初不行使退出權,即便事後選擇退出,是向未來生效,過去已分享之資料則不在此範圍?

何之行:在臺灣即便以後允許該等權利,亦是向未來生效,而移除二次利用資料庫中之資料,健保資料庫本身仍為完整之資料,但健保資料庫以後即不得隨意進行二次利用,真正會去變動的實為二次利用之資料庫。我們的健保資料庫之資料,基本上是current data,若欲進行某項研究,許多研究者會因該等資料無法滿足其研究目的,而不使用健保資料庫。以英國而言,其實較為偏重臨床資料而非行政資料,於資料準確性及使用用途上即有所不同。對於以後讓當事人是否可以無限制之退出,可能需透過「退出權之例外」之設計,維持一定之公共利益。因此,若欲進行具極重要公益(Significant Public Interest)價值之研究時,仍得維持完整之資料庫而不影響研究或統計結果。

林詠青:研究者當然會擔心「退出」是否將致資料不完整、研究喪失參考價值,然該等影響並非二分法而為連續性之光譜,仍應視其所占比例而定。當事人選擇退出本即為研究者所需面臨之課題,研究者應思考於後段應如何解釋即便有人退出,仍可維持結論之正確定;甚至知悉退出者之相關特質,仍可做出部分有效之結論。此外,健保資料庫於提供資料予研究者時,經常是提供部分資料,而非分析整個資料庫,因此退出之問題,未必將完全影響研究之價值。於公衛研究上,向受試者介紹研究意義、公共利益、對當事人本身之影響等等說明,其實即可降低當事人退出之比例至一定範圍內,對於研究者或資料庫而言,應不必過度擔心或持負面態度。

李建良:資料庫之問題應區分兩層次,即得否建置資料庫本身為一問題,得否二次利用資料庫內之資料為另一問題。以健保資料庫而言,醫療院所為稽核保費,將資料上傳至健保資料庫。事實上已建置健保資料庫,且當事人之資料亦已匯入,再來才是資料得否釋出之問題,該等問題一直沒有釐清。再者,退出是過去式還是未來式,若已有資料庫,當事人之退出是否將有所影響;若為未來式,選擇退出時,當事人得否主張從一開始的資料都不進行分享,抑或是資料先分享予資料庫,之後在選擇退出?當初健保資料庫案爭訟時,即主張並非退出而是從現在開始不要將資料匯入資料庫之問題。因此,該等問題尚未釐清。

何之行:以目前狀況而言,退出機制對於我國較難處理,因為醫療院所申報保費將自動形成健保資料庫,較難要求醫療院所進行申報時限制其上傳,問題在於:健保資料庫內之資料得否為二次利用。建議健保署得分成兩個不同之資料庫,因為醫療院所需要申報,故仍允許資料匯入,且對於申報機制,健保法第79、80條即得作為適法基礎,因此健保資料庫之建置,應符合健保法之授權範圍,但僅能作為健保申報用途。另一資料庫,即專門作為學術研究用途,與原來申報用途之資料庫分開,於機制設計上,允許於當事人表達意願後,其資料即不再分享予第二個資料庫。透過該模式,從第二個資料庫釋出之資料,基本上即已尊重當事人之意願表達。現在之修法模式,希望透過專法使第二個資料庫有類似於健保法第79、80條之法律授權,處理第二個資料庫建置之問題。

李建良:個資法第六條,條文是否違憲跟條文得否適用為兩回事,該問題一直未釐清。條文上並無明文衛福部,僅稱學術監管機關,衛福部不得適用該條文,或適用錯誤而條文本身並無問題等等,大法官並未處理,蓋此為裁判憲法審查之問題,大法官亦無法處理,因此該問題一直未釐清。

何之行:健保資料庫案確實沒有處理個資法公務機關使用之問題,大法官直接就回到個資法第六條,其實也是想多聽一下老師評論這一塊。

簡資修:相較於一般消費行為,於消費過程中建置消費者相關資料,若企業未經消費者同意,進行資料之利用如廣告宣傳,甚至轉賣個資等,抑或是關係企業直接將資料串連,似乎沒有構成法律問題。在健保領域,雖然類似強制保險,但我覺得沒有非常強烈的公權力,若運用得當,如統計出某種疾病占比最多,如何分配可以得到較好結果,無論有無同意,至少沒有違反善良風俗等,惟是否有公法上限制之問題?

李建良:是否使用,我們不知道,我們不知道就沒有辦法,可是當我們知道時,那才是問題的開始。以臉書為例,是否可以分析我們的發言、按讚等等,其實這些都是資料。那要不要經過同意,其實大多數人並未注意而勾選同意。

何之行:於北歐國家大多著重於,政府有無妥善利用該資料提升公衛等益處;惟於德國可能即為完全不同之解釋。究其根本,即為整個社會希望國家是大政府,還是希望是於有人民同意情況下才允許有所行動。這兩個原理跟學說會帶領出不同狀況,就像簡老師認為並無壞處,因為是符合公共利益的事情。

簡資修:像器官捐贈的問題,德國跟奧地利,一個是Opt-in一個是Opt-out,兩個差別非常大。個人認為如果我國器官捐贈採取像奧地利的Opt-out模式,在台灣可能會引起暴動,因為器官捐贈顯然在臺灣,大多數人都有其自己的想法,而認為怎可預先假定要器官捐贈。因此,究竟要採取Opt-in或Opt-out模式,可能要相對於議題之嚴重性去作衡量與評估。談回健保的問題,對於利用健保資料所造成之影響,不知道反對者是在何種情況下認為其權益受到侵害,是否有可能大多數人反倒認為應善加利用健保資料,以提升公共衛生,個人認為中間差距應該不大。

何之行:反對者可能會認為不公平或不公正,因為使用健保資料的公共利益說明不清,如果以後有商業用途,可能不一定能夠回饋制原來之健保體系,而圖利特定團體,因此,起初若欠缺尊重,後面之信任關係即有可能遭到破壞,此為核心問題。信任關係一遭破壞,擁有權力之政府應即負責重建,除政府需說明清楚公共利益外,大眾亦需進行瞭解。退出機制所帶來之社會成本,亦應值得於政策回顧時多加關心。

楊岳平:報告中有提到Fin Data模式,其特殊之處在於並不是自行成立一資料庫,而是扮演串接或中介者之角色,當研究者有申請需求,再協助從其他資料庫調取資料之運作模式。想詢問有無運用類似區塊鏈之技術?因為該模式類似於臺灣現正在實驗的「保險聯盟鏈」,是由各保險公司組成聯盟,全部資料仍留存於各資料庫。當要保人投保時,保險公司為了確認有無重複投保等等,利用聯盟串接之方式進行比對,而非建立中央資料庫調取資料。因此,所有資料一直保留於各公司之資料庫,並未傳輸任何資料。該模式之好處在於,減少「資料中心化」,減少資料外洩、傳輸過程之安全問題;盡可能達到「資料最小化」,當有比對需求時再進行核實,毋庸傳輸整個資料給其他公司。不太確定Fin Data是否類似於此等模式?

何之行:技術這邊不太確定,但Fin Data跟日本第三方仲介又有點不同,雖然理念一樣,Fin Data是透過資料二次法,然後就只成立一個Fin Data,而且一個公共機構,不是像日本其實是可以跟政府去申請成為第三方的資格。因此,其實Fin Data要負的資安成本或責任都會更高,我推測可能會去使用區塊鏈技術去進行資料傳輸和控管。

楊岳平:從法律人角度,會假定個資為一既定權利,未經同意不得侵害。然從法律經濟分析之角度似無絕對,而為public right分配之問題。此外,大多數人對於個資並非真正覺得敏感,反倒著重利用個資獲利後,其是否有分潤之權利,較接近寇斯定理之想法,各利害關係人可以協商如何分配利潤,成為另一較為自由主義之解析角度,去探討資料權之核心意義。

何之行:關於財產權跟隱私權的問題,從美國法跟英國法的角度,會發現最後都不太使用財產權處理,因其問題即為資料之價值,其實於90年代,美國法院即特別避免承認Data Subject具有財產權之權利基礎;若為隱私權,則得以同意方式處理。現在歐盟係以「資料利他」方式鼓勵大家捐出資料,最後透過類似合作社之方式,避免商業化定價問題,可能亦無法直接導引出每個人有資料之財產權,僅為尊重其資料控制權。以現有之人體生物資料庫管理條例,有規範一個回饋機制,只能回饋至群體,不能回饋至個人。但希望以後會開放回饋資訊給個人,但是金錢上回饋就會碰到定價的難題。

李建良:針對前面補充,資料是隱私權抑或財產權,實為複雜問題。資料是隱私權並無問題;不過僅限於自然人,法人不會有隱私權之問題;財產權除自然人外,法人亦得有財產權。可是資料是否財產權爭議極大,歐盟大都反對,美國似有法律認為係財產權,然僅限定於一定範圍內,且以信託方式處理。由此延伸回應楊老師之問題,是可行的,但並非用財產權(指狹義之所有權或物權)而以契約來討論。就目前理解,歐盟或是德國基本上認為如果承認資料是財產權,其外溢效應太大,但得以用契約方式處理,且其形式多元,不一定需要紙本。

簡資修:如果將資料作為隱私權,其實是沒有退出之處理方式,因為其非財產權。若為財產權,則當事人即得自由決定交易,若為隱私權則為保護當事人,禁止由當事人自行決定交易。因此,若定義成隱私權,反而限制個人得自行處理之範圍。法律經濟分析之學者,指出法律不只有Property rule(財產規則),尚有liability rule(補償法則)跟inalienability(禁易規則)等,尤其於關於人體健康之權利,不應使用財產規則處理,而應以禁易規則處理,亦即個人沒有自己決定是否交易之空間而受有限制。

與會者:信賴關係之建立,似為推行之重要關鍵,從公衛角度上亦重視與參與者之溝通與說明。具體上而言,應採取如何之行為,建立信任關係?

何之行:以英國案例觀察,「說清楚、講明白、夠透明」即可建立信任關係,權力在哪裡,誰就有義務進行該努力,因為基本上只有資料控制者自己最清楚資料之二次利用、利用之用途、存取之主體等等,其即須說明清楚,甚至包含未來資料治理之模式等等,夠透過越來越透明的資訊公開建立信任關係。

與會者:透明化跟資訊公開,是否需要到「演算法透明」程度,抑或是僅需說明使用目的即可?

何之行:若起初對於資料使用狀況不透明,說明清楚資料如何使用即可;若涉及資料使用涉及AI,以後可能會慢慢去處理不同label之不透明性,可能會碰到處理AI演算法透明度之問題。

與會者:英國於2018年之計畫,目的係為增加大眾信任,想詢問英國NHS於此階段所花費之成本有多少?臺灣目前是否可以負荷該成本?

何之行:雖然不太清楚英國NHS於公眾溝通,特別是建構public engagement trust上,所花費之成本,惟從這幾年其不斷去努力調整來看,並未放棄如此嘗試。最大成本其實係NHS無法方便使用它的資料,其必須進行許多說明,讓當事人知悉其有資料之自主決定權,這個其實是最大的成本。最終其實是哲學上爭論,一為團結之概念,即我們願意為社會付出多少,另一為自由主義之概念,社會本即為我們每一個人所建立,故須要尊重每個人。不同利害關係人有不同之利益,如何透過參與或溝通,使各利害關係人間得以彼此理解,即已足夠。

與會者:2020年蔡甫昌老師之文章指出,NHS退出之比率上升,從2021年之4.97%,到現在2023年5.36%。因此,想詢問英國NHS於2018年之Nation Data Opt-Out Programme,對於民眾之宣傳,是一次性或持續性?

何之行:2018年英國NHS推行Nation Data Opt-Out Programme時,原設計於2019、2020年截止,其後因為Covid疫情而往後延, 所以最後要求各家醫院去完成該計畫之時間其實落於2022年之7月31日。我設想在這整個過程中應該都有一些宣傳,但不一定是NHS一直在推,也會有不同的利益團體,因此一定的時間可以完成一些事情。

與會者:實際上會不會有權利主體應向誰去行使退出之問題。於退出時,若之前之資料已分享給先前之多年期計畫,則當事人選擇退出之界線為何?同時已分享之資料可能是經去識別化後才釋出,但還是可能構成個人資料之範圍。

何之行:現在的退出機制,牽涉我國是否透過專法解決,還是健保署同時利用其他方式允許退出機制。因為立專法需要時間,健保署希望一邊立法,一邊透過應用軟體之方式讓當事人得以表達意願。退出其實是向未來生效,如果之前有一個多年期同意的計劃,基本上退出不會影響到過往之同意,若不願意資料於該計畫繼續使用,則應撤回原先之同意。

李建良:這個問題其實剛好引發就是要修正個資法跟健保法或立專法之問題,因為修健保法或修專法,是解決健保資料庫之問題,修正個資法是普遍適用,不只解決健保資料庫之問題,所以才會說退出的要向誰來主動退出的那個對象,絕對不會是健保署,所以他的那個困難度在這邊。

李建良:簡報中所謂「still basic private right」為何?

何之行:這邊是強調即便資料已經完全匿名化,仍僅為一個資料處理本身,不代表該資料處理本身得以取代當事人本即享有之權利保護。因此,解釋上來說,若資料已經匿名化,即便不再受個人資料保護法之規範而無需處理當事人同意,但當事人仍有其隱私權需加以尊重。

李建良:英國的ICO為何?其掌有何種權限?

何之行:英國之ICO為一獨立之保護機關,有調查權跟處罰權。

李建良:因為個資法草案已草擬將成立個人資料保護委員會,作為個資法之主管機關。然成立獨立委員會與法律主管機關為不同問題,以德國而言,其設立個資保護官,其並非主管機關而是一獨立監督機關,所以設計上將其從整個公務體系抽離出來,惟現在草案是規定個人資料保護委員會為主管機關,反倒將其嵌入公務體系中。因此想瞭解英國ICO之情況。

何之行:通常英國會定位ICO為獨立監管機關,其實獨立於資料控制者。英國於建立ICO時還在歐盟內,所以其實是採取像歐盟GDPR所要求獨立監督機關之設計方式。我國若將主管機關與獨立監督機關合併一起將有困難,以ICO而言其實很多判斷是對立於政府所為,因為政府是最大的資料控制者;主管機關其實就是資料庫完整,至少他要付跟資料控制者一樣的責任,假設數發部將作為一獨立監督機關,一定不合適,因為他自己就是一個資料之使用者、控制者,將獨立監督機關作為一個資料控制者其實相當奇怪。