個人的生理、病歷、醫療、基因、健康檢查等「生醫個資」涉及個人私密,具有相當程度的敏感性。隨著智慧型手機乃至穿戴式裝置等行動通訊設備的進化以及雲端服務環境的建構,生醫個資可獲得更廣泛的應用,卻也可能造成個資隱私的侵害。
不讓智慧型手機專美於前,穿戴式裝置也如火如荼地發展,其基本功能之一即為偵測人體生理資訊,有助於推展「行動健康」產業。例如Google繼推出Google Glass之後,其「X研究室」更於今年(2014年)一月初發表智慧隱形眼鏡計畫,研發中的穿戴式隱形眼鏡將內建無線晶片與血糖感應器,能藉由淚液監測血糖值,預計將加入LED燈號以提醒使用者血糖值的異常狀況。此外,Sony推出的智慧型手表SmartWatch也具有健康管理的功能,其於去年申請智慧型假髮SmartWig的專利,可監控血壓及其他人體的健康狀況。
個人的生理、病歷、醫療、基因、健康檢查等「生醫個資」涉及個人私密,具有相當程度的敏感性。隨著智慧型手機乃至穿戴式裝置等行動通訊設備的進化以及雲端服務環境的建構,生醫個資可獲得更廣泛的應用,卻也可能造成個資隱私的侵害。今年三月間台東某醫院的一名護理師在手術室協助醫師對某位已麻醉的病患進行心導管手術時,竟拿智慧型手機拍攝該病患全身插滿導管的模樣,還上傳到臉書打卡,甚至把參與手術的同事一起標記進來,引起輿論撻伐。
該名護理師無故洩漏病患手術過程的隱私之舉,除涉嫌違反醫療法第72條與護理人員法第28條規定而得被課處行政罰鍰之外,亦可能因違反個資法規定而招致民刑事責任。未來隨著穿戴式裝置的發展與普及,各種生醫個資無論是在手持穿戴裝置、醫療院所、還是遠在雲端,皆可能遭駭客入侵或被內部人員非法洩漏,政府、業者及民眾皆應特別注意資安管理。
醫院須保護生醫個資
我們日常生活中難免會去醫院診所看病或做健康檢查,大多是基於維護自身健康的目的,亦可能是為工作或保險所需。就個人提供的相關資訊以及醫療檢查結果,除了原先預定的使用目的之外,基於個人隱私,應不會允許他人任意蒐集、處理或利用,國家法制亦應避免他人取得生醫個資後,對個人做出不公平的待遇(例如愛滋病患或懷孕婦女遭受就業歧視)。
依個資法第2條規定,自然人的病歷、醫療、基因、健康檢查等資料皆屬於個資,個資法施行細則第4條並有相關定義。至於其他非屬於上開種類的生理資訊(如體能狀態),因其可直接或間接方式識別個人,也屬於個資的範疇。
另依個資法第6條規定,醫療、基因、健康檢查等更屬於具敏感性之特種個資(其他包括性生活、犯罪前科),原則上不得蒐集、處理或利用,除非基於下列四種例外情事:1.法律明文規定;2.公務機關執行法定職務或非公務機關履行法定義務所必要,且有適當安全維護措施;3.當事人自行公開或其他已合法公開之個資;4.公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且經一定程序所為蒐集、處理或利用之個資。
然而,若在依法告知且取得當事人同意的前提下,是否亦不容許他人蒐集、處理或利用特種個資?則見仁見智。畢竟當事人對其特種個資應有自主決定權,如過度限制,恐有礙於生醫個資的流通,亦妨害行動健康產業的發展。
前例中病患的手術過程即屬於醫療個資,護理師任意拍照且上傳到臉書打卡之行為,並非履行法定義務所必要,而醫院似乎並無建立適當的安全維護措施,則該名護理師與所屬醫院均涉嫌違反個資法。
此類利用手術室屬於密閉空間,外人無法一窺堂奧,且趁病患遭麻醉而不自知,乃關起門來胡作非為之舉,嚴重侵害病患的隱私個資,並不足取。醫療院所應強化生醫個資之安全維護,諸如病歷及藥歷資訊的控管、病患住院資訊及病情狀況應避免他人任意探知、出生嬰兒及母子個資的保密等。就病患生醫個資之揭露亦應遵守標準作業程序,確實核對申請者的身份資料,以免遭有心人士冒名取得病患個資,甚至盜領剛出生的嬰兒。
借重行動雲端科技
隨著穿戴式裝置與雲端服務的發展,個人的生醫個資不會僅儲存在醫療院所,還會隨身攜帶,甚至儲存在私有或公有的雲端上。已有廠商研發穿戴式裝置並標榜可測量使用者的體溫、心律、血壓、血糖、生理反應、運動表現及睡眠狀況等資訊,以利進行身體健康的管理。
穿戴式裝置(如手表、腕帶、戒指、眼鏡、耳環、假髮等)藉由與使用者身體直接接觸所獲取的生理數據,可透過NFC近場通訊技術傳送到智慧型手機,或透過網路傳輸到雲端進行分析處理,以利使用者、醫生或其他醫療研究人員進一步掌握及管理使用者的身體健康。此即所謂「行動健康」(Mobile Health,M-Health),將行動資訊科技應用在健康醫療照護的領域,例如智慧型腕帶每天定期測量使用者的心律與血壓,並將該等生理數據發送至使用者的智慧型手機,手機裡的應用程式App對使用者提出計量分析報告以及飲食與運動的建議,該等數據還可進一步傳送到雲端資料庫,由使用者的醫師遠端監測病情,可增進效益並節省成本。
我國衛生福利部中央健康保險署自去年七月起建制以病患為中心的「健保雲端藥歷系統」,收錄所有健保對象最近三個月門診及住院的用藥明細紀錄,以提供合作醫院的醫師看診或藥師調劑時,能即時線上查詢,除可避免重複用藥之外,亦有助於更精準地對症下藥。此類生醫雲端服務的建置倘能進一步結合穿戴式裝置,以及眾多病患生醫個資「大數據」(Big Data)的分析,將更能促進行動健康產業的多元發展與應用。
使用者信任才有發展
我國IT產業已打入雲端設備及穿戴式裝置零組件的供應鏈,生醫產業亦蓬勃發展,兩者應可聯手打造亮眼的行動健康產業,不僅包括後端之疾病治療,亦擴及於前端之預防醫學與健康、運動管理。
有鑑於使用者的信任才是產業永續發展的基石,而生醫個資畢竟涉及個人敏感隱私,政府機關及業者均應強化適當安全維護措施,並取得當事人「告知後同意」,且受限於「特定目的」之利用,儘可能採取「去識別化」的處理方式,以兼顧個人隱私與生醫個資的合理利用。
<本文作者:陳佑寰,目前為執業律師。國立台灣大學法學碩士,美國賓夕法尼亞大學法學碩士。專攻領域為智慧財產權法、高科技產業議題及資訊法等。>