精準醫療下之隱私權保障
撰成日期:108年10月
更新日期:108年10月7日
資料類別:議題研析
作者:李郁強
編號:R00792
一、題目:精準醫療下之隱私權保障
二、所涉法律
個人資料保護法、人體生物資料庫管理條例、人體研究法
三、探討研析
(一)精準醫療的研究
今年(2019年)9月報載,有業者推出基因檢測,接軌國家型臺灣精準醫療計畫(Taiwan Precision Medicine Initiative, TPMI)。即檢測後利用人體基因大數據資料,分析出運動、藝術天分、學習能力、營養需求、污染物檢測、慢性病風險、藥物指南等。受檢者透過APP看檢測報告,並串連到臺灣精準醫療計畫。
所謂「精準醫療」,是透過生物醫學檢測(如基因檢測、蛋白質檢測、代謝檢測等),將個資(如性別、身高、體重、種族、基因檢測、蛋白質檢測、代謝檢測、過去病史、家族病史等),透過人體基因資料庫進行比對及分析,找出最適合病患的治療方法與藥品。我國在精準醫療方面,已由中研院建置「臺灣人體生物資料庫」(Taiwan Biobank),將蒐集30萬筆國人生物基因數據,其中20萬筆為健康人、10萬筆由台大、北榮、三總及北醫等大醫院病患檢體,進行肺癌、乳癌、大腸直腸癌、腦中風、阿茲海默症等12種國人常見疾病研究。
精準醫療是近年來各國生醫界極受重視的發展方向,以大量敏感的健康資訊蒐集、儲存與分析為必要基礎,以利疾病診斷或藥物治療上的精準實現。過去對於此類敏感個資,是以「告知同意」及「去識別化」作為保護機制,但仍有不足,而有探討之必要。
(二)美國對精準醫療的投入
歐巴馬總統於2015年在國情咨文演說中提出的「精準醫療倡議(Precision Medicine Initiatives,PMI)」,期藉由基因體學、資訊科學以及醫療技術的進步,加速生物醫學的發展,以達個人化治療的願景。短期目標針對癌症治療,長期目標則是10年內建立百萬志願者基因資訊庫,進行跨世代研究。
針對精準醫療下之隱私保護,美國於2015年11月於PMI下公布「隱私與信賴原則」(Privacy and Trust Principles)。該原則之6大核心分別為:(1)治理。(2)透明。(3)參與者賦權。(4)對參與者偏好之尊重。(5)資料之共享、近用與利用。(6)資料之品質與完整性。在透明方面,要求建置滾動式的資訊共享機制,以確保所有精準醫療推動方案的參與者在各個不同的參與階段,都能收到確切的告知,且溝通之方式,考量文化差異並使用能反映參與者多元性之語言(第1點)。向參與者進行資訊溝通時,應清楚明確地表示資訊及樣本蒐集及儲存的方式、時間以及類型;參與方案所欲達成之目標與潛在的益處與風險;保障參與者資料之隱私與安全措施(包括資料洩漏時之應變方案);以及參與者於任何時間能夠退出受試群體之權能—但須讓參與者了解,對於為研發目的所利用之資料,所表示之同意無法撤回(第2點)。關於參與者偏好之尊重方面,要求精準醫療推動方案應透過滾動式與持續的同意與資訊共享機制,促進參與者的自主性與信賴(第2點)。
2016年5月,針對精準醫療下之資訊安全,於PMI下,公布「資料安全政策原則與框架」(Security Policy Principles and Framework),該框架共提出8項政策性原則,其中多項與參與者相關:(1)在確認與因應資料安全風險上,採「參與者優先」,並藉此致力於創設參與者信任的體系。…… (5)讓參與者與其他相關各方對於資安能有高度的可預期性以及對於安全程序的透明度。(6)利用相關最佳實踐與管控措施以保護資料安全,但不應拒絕患者近用其自身之資料,亦不應以此作為限制相關資料之研究利用的理由。(7)盡可能讓資料的揭露最小化,並於資料揭露時通知相關參與者。
四、建議事項
(一)加強當事人參與及族群參與機制
從上述美國法制可知,在大數據時代,宜透過賦權當事人的方式,使當事人參與資訊處理、運用的決策,重拾資訊自主權。在我國,健康資訊是《個人資料保護法》第6條之敏感性資訊,以當事人同意為原則。雖然《人體生物資料庫管理條例》第6條有告知同意之相關規定,然卻採概括同意制。若檢體或資訊經去識別化,可作為繼續使用,而為無須考量當事人意願之例外:若蒐集的檢體或資訊已去連結或無法辨識其身分,依據該條例第8條即使參與者退出,也無須銷毀;又依據《人體研究法》第12條第2項但書規定,經主管機關公告「得免取得研究對象同意之人體研究案件範圍」第2點,如資訊已去連結或無法辨識其身分,得免取得研究對象同意。因為疾病與基因的關係,必須經過基因資料庫與醫療資訊資料庫之比對統計,且需要長期追蹤研究,須不斷更新資料庫內容,是以無法阻斷使用者取得足以辨識參與者資之途徑。簡言之,勢必要與其他資料庫連結比對,所以資訊之去連結是不可能的,概括同意制對於參與者的隱私保障不足。
另外,就基因作為健康資訊之功能而言,其預示個人健康之能力並非如想像中之準確,而目前對基因歧視之疑慮,大多建立在基因資訊對健康之強烈預示性的前提上。正因為基因預示健康的能力並非如想像中之準確,對於特殊族群研究可能產生的基因歧視,是科學造成的偏見,更應該加以重視。綜上,建議修正《人體生物資料庫管理條例》之概括同意制,並加強當事人參與及族群參與機制。
(二)考量成立個資保護專責機構
在精準醫療發展之前,世界各國對個人資料保護已有相關法制。例如德國於1977年制定《聯邦資料保護法》,依此規定,聯邦層級設立「聯邦資料保護官機構」。法國於1987年制定《資料、檔案與自由法》,亦設置「國家資訊自由委員會」(CNIL),該委員會具有獨立管制機關之地位。澳洲於1988年制定《隱私法》、2010年制定《澳洲資訊保護官專法》,設立資訊保護官辦公室(OAIC),OAIC置3種官員:國家資訊官、隱私保護官、資訊自由官,各有職掌又相互合作。日本於2003年制定《個人情報保護法》(2015年修正),設置「個人情報保護委員會」,作為獨立行使職權之管制機關。
從上述在外國立法例可知,無論德國、法國、澳洲、日本均有個資保護之專責機關,反觀我國之《個人資料保護法》並未指定主管機關,而是以「中央目的事業主管機關」為規範主體,一方面宣示所有部會就其主管業務而言,都是個資保護的主管機關;另方面則是錯誤期待各部會有能力建立起各該管業務範圍之相關個資保護規範。以敏感的健康相關個資為例,衛生福利部對個資保護法制不熟悉,制定政策易有缺漏;法務部對健康相關資料之蒐集、儲存途徑、資料利用之價值與合理範圍未必熟知,也無法越俎代庖。為解決這樣的問題,亟需一整合機制,爰建議參酌外國立法例,考量於《個人資料保護法》中增訂個資保護專責機構。
撰稿人:李郁強
二、所涉法律
個人資料保護法、人體生物資料庫管理條例、人體研究法
三、探討研析
(一)精準醫療的研究
今年(2019年)9月報載,有業者推出基因檢測,接軌國家型臺灣精準醫療計畫(Taiwan Precision Medicine Initiative, TPMI)。即檢測後利用人體基因大數據資料,分析出運動、藝術天分、學習能力、營養需求、污染物檢測、慢性病風險、藥物指南等。受檢者透過APP看檢測報告,並串連到臺灣精準醫療計畫。
所謂「精準醫療」,是透過生物醫學檢測(如基因檢測、蛋白質檢測、代謝檢測等),將個資(如性別、身高、體重、種族、基因檢測、蛋白質檢測、代謝檢測、過去病史、家族病史等),透過人體基因資料庫進行比對及分析,找出最適合病患的治療方法與藥品。我國在精準醫療方面,已由中研院建置「臺灣人體生物資料庫」(Taiwan Biobank),將蒐集30萬筆國人生物基因數據,其中20萬筆為健康人、10萬筆由台大、北榮、三總及北醫等大醫院病患檢體,進行肺癌、乳癌、大腸直腸癌、腦中風、阿茲海默症等12種國人常見疾病研究。
精準醫療是近年來各國生醫界極受重視的發展方向,以大量敏感的健康資訊蒐集、儲存與分析為必要基礎,以利疾病診斷或藥物治療上的精準實現。過去對於此類敏感個資,是以「告知同意」及「去識別化」作為保護機制,但仍有不足,而有探討之必要。
(二)美國對精準醫療的投入
歐巴馬總統於2015年在國情咨文演說中提出的「精準醫療倡議(Precision Medicine Initiatives,PMI)」,期藉由基因體學、資訊科學以及醫療技術的進步,加速生物醫學的發展,以達個人化治療的願景。短期目標針對癌症治療,長期目標則是10年內建立百萬志願者基因資訊庫,進行跨世代研究。
針對精準醫療下之隱私保護,美國於2015年11月於PMI下公布「隱私與信賴原則」(Privacy and Trust Principles)。該原則之6大核心分別為:(1)治理。(2)透明。(3)參與者賦權。(4)對參與者偏好之尊重。(5)資料之共享、近用與利用。(6)資料之品質與完整性。在透明方面,要求建置滾動式的資訊共享機制,以確保所有精準醫療推動方案的參與者在各個不同的參與階段,都能收到確切的告知,且溝通之方式,考量文化差異並使用能反映參與者多元性之語言(第1點)。向參與者進行資訊溝通時,應清楚明確地表示資訊及樣本蒐集及儲存的方式、時間以及類型;參與方案所欲達成之目標與潛在的益處與風險;保障參與者資料之隱私與安全措施(包括資料洩漏時之應變方案);以及參與者於任何時間能夠退出受試群體之權能—但須讓參與者了解,對於為研發目的所利用之資料,所表示之同意無法撤回(第2點)。關於參與者偏好之尊重方面,要求精準醫療推動方案應透過滾動式與持續的同意與資訊共享機制,促進參與者的自主性與信賴(第2點)。
2016年5月,針對精準醫療下之資訊安全,於PMI下,公布「資料安全政策原則與框架」(Security Policy Principles and Framework),該框架共提出8項政策性原則,其中多項與參與者相關:(1)在確認與因應資料安全風險上,採「參與者優先」,並藉此致力於創設參與者信任的體系。…… (5)讓參與者與其他相關各方對於資安能有高度的可預期性以及對於安全程序的透明度。(6)利用相關最佳實踐與管控措施以保護資料安全,但不應拒絕患者近用其自身之資料,亦不應以此作為限制相關資料之研究利用的理由。(7)盡可能讓資料的揭露最小化,並於資料揭露時通知相關參與者。
四、建議事項
(一)加強當事人參與及族群參與機制
從上述美國法制可知,在大數據時代,宜透過賦權當事人的方式,使當事人參與資訊處理、運用的決策,重拾資訊自主權。在我國,健康資訊是《個人資料保護法》第6條之敏感性資訊,以當事人同意為原則。雖然《人體生物資料庫管理條例》第6條有告知同意之相關規定,然卻採概括同意制。若檢體或資訊經去識別化,可作為繼續使用,而為無須考量當事人意願之例外:若蒐集的檢體或資訊已去連結或無法辨識其身分,依據該條例第8條即使參與者退出,也無須銷毀;又依據《人體研究法》第12條第2項但書規定,經主管機關公告「得免取得研究對象同意之人體研究案件範圍」第2點,如資訊已去連結或無法辨識其身分,得免取得研究對象同意。因為疾病與基因的關係,必須經過基因資料庫與醫療資訊資料庫之比對統計,且需要長期追蹤研究,須不斷更新資料庫內容,是以無法阻斷使用者取得足以辨識參與者資之途徑。簡言之,勢必要與其他資料庫連結比對,所以資訊之去連結是不可能的,概括同意制對於參與者的隱私保障不足。
另外,就基因作為健康資訊之功能而言,其預示個人健康之能力並非如想像中之準確,而目前對基因歧視之疑慮,大多建立在基因資訊對健康之強烈預示性的前提上。正因為基因預示健康的能力並非如想像中之準確,對於特殊族群研究可能產生的基因歧視,是科學造成的偏見,更應該加以重視。綜上,建議修正《人體生物資料庫管理條例》之概括同意制,並加強當事人參與及族群參與機制。
(二)考量成立個資保護專責機構
在精準醫療發展之前,世界各國對個人資料保護已有相關法制。例如德國於1977年制定《聯邦資料保護法》,依此規定,聯邦層級設立「聯邦資料保護官機構」。法國於1987年制定《資料、檔案與自由法》,亦設置「國家資訊自由委員會」(CNIL),該委員會具有獨立管制機關之地位。澳洲於1988年制定《隱私法》、2010年制定《澳洲資訊保護官專法》,設立資訊保護官辦公室(OAIC),OAIC置3種官員:國家資訊官、隱私保護官、資訊自由官,各有職掌又相互合作。日本於2003年制定《個人情報保護法》(2015年修正),設置「個人情報保護委員會」,作為獨立行使職權之管制機關。
從上述在外國立法例可知,無論德國、法國、澳洲、日本均有個資保護之專責機關,反觀我國之《個人資料保護法》並未指定主管機關,而是以「中央目的事業主管機關」為規範主體,一方面宣示所有部會就其主管業務而言,都是個資保護的主管機關;另方面則是錯誤期待各部會有能力建立起各該管業務範圍之相關個資保護規範。以敏感的健康相關個資為例,衛生福利部對個資保護法制不熟悉,制定政策易有缺漏;法務部對健康相關資料之蒐集、儲存途徑、資料利用之價值與合理範圍未必熟知,也無法越俎代庖。為解決這樣的問題,亟需一整合機制,爰建議參酌外國立法例,考量於《個人資料保護法》中增訂個資保護專責機構。
撰稿人:李郁強