北醫大「AI醫療產業發展論壇」首場--個資保護與挑戰

生物資料庫個資保護/利益回饋難題 專家提新解方

撰文記者 巫芝岳
日期2021-02-25
EnglishFrenchGermanItalianPortugueseRussianSpanish
生物資料庫個資保護/利益回饋難題 專家提新解方(攝影/羅翊方)

昨(24)日,由臺北醫學大學主辦的「AI醫療產業發展系列論壇」中,針對生物資料庫(Biobank)、醫療/健康資料應用的倫理及利益回饋問題,邀請到清大科法所教授范建得和北醫大醫療暨生物科技法律所副教授李崇僖2位法律專家進行分享。

 

范建得:大數據時代,以完善資料監管來取代「匿名化」保護個資隱私,是平衡私利與公益的關鍵


范建得表示,因個資的規模與處理方式高度複雜,讓我們幾乎難以追蹤個資使用的狀況,導致保護個資的核心自決權徒具形式。(攝影/羅翊方)

清華大學科技法律研究所教授范建得,以「生物資料庫之資料倫理與治理」為題,強調大數據時代下,個資保護與法律倫理必需與時俱進。

范建得表示,生醫大數據帶給我們無限的期待,但也因個資的規模與處理方式高度複雜,讓我們幾乎難以追蹤個資使用的狀況,導致保護個資的核心自決權徒具形式;是以聯合國國際生命倫理委員會特別強調,我們必須走出狹隘的個人權益維護,在鼓勵團結互惠的倫理基礎上,透過符合法定公益的資料監管及完善的多層次治理,來落實21世紀應有的自決權。

在生物資料庫的實務上,相對於傳統倫理及法律要求的個人特定同意,因應大數據時代之效益所作調整已不再陌生;包括:概括同意(broad consent)、退出同意(opt-out consent)及動態同意(dynamic consent)等,目前台灣也有部分的實務,但社會正當性的支持依然不明確,有待各方努力。

范建得建議,「其中,尤其是退出同意權的法制化,攸關我國珍貴健保資料的應用,是亟需我國補強的部分。」

范建得指出,大數據時代為隱私帶來許多挑戰,包括:資料的蒐集是本諸開放與變動的目的、資料量無限、處理方式不夠透明 ;又為了盡可能獲取最多知識,導致資料保護不足、資料關係人不夠透明等。

「因此,在資料交錯使用的衝擊下,僅『匿名化』已不足以保護隱私。」范建得進一步強調,要兼顧隱私和公益,必須同時採取包括:法律、公眾監督、科技設施等多元措施。

「傳統觀念往往強調個人權益,強調資料取自何人?是誰所有?不過在大數據時代,由於資料的????集、串聯及多用途利用已成為常態,難以再回溯尋求個人之同意,因此,有賴新的規範方式調和。」他說。

范建得也以英國的UK Biobank為例,指出UK Biobank在自我檢視歐盟《一般資料保護規範》(GDPR)的合規過程,其發現便是一個回應聯合國呼籲的好例子。

「首先UK Biobank先釐清,它是本諸合法利益與明示同意來蒐集資料,符合GDPR的正當理由要求,其次,其參與者也都有被賦予近用權、限制處理權、被遺忘權、刪除權、撤回權等GDPR所正式新權利。此外,UK Biobank也依規定設置了資料保護長(data protection officer),將自己定位為資料所有者及監管者。」

最後,范建得指出,在病歷資料使用上,英國係回歸法律,並透過完善的監管與退出權(opt-out)設計,來取得公眾信任,未來更加強化資料提供者對其資料使用之「知情選擇」,「未來台灣在修改定相關法律時,應可多加參考。」他建議。

 

李崇僖:生物資料庫資訊回饋參與者 比金錢更有價值


李崇僖指出,在人體生物資料庫、人體研究法、健保資料研究利用中,雖然都制定出提供生物資訊參與者應獲得回饋的機制,但如何建立好利益是財務或非財務的轉換、回饋對象、合理的對價關係等,卻都無法從法條中解讀出來。(攝影/羅翊方)

台北醫學大學醫療暨生物科技法律研究所副教授李崇僖以「醫療與健康資料之利益回饋法制」為題,他特別強調,「『典範轉移』的思考是很重要的,也就是商業價值和公共價值之間,應如何取得平衡。」

簡單而言,沒有經過同意,不能使用資料,但經過同意後就可以使用,只是,那些同意,並不是真的在充分了解下的同意,並不一定能確實保障權益。 

李崇僖指出,在人體生物資料庫(Biobank)、人體研究法、健保資料研究利用中,雖然都制定出提供生物資訊參與者應獲得回饋的機制,但如何建立好利益是財務或非財務的轉換、回饋對象、合理的對價關係等,卻都無法從法條中解讀出來。

李崇僖表示,生物資料庫規範的內在矛盾,是因為台灣沿襲歐洲之生物資料庫架構,是以參與者之利他主義為基礎,因此,並未在法律上賦予參與者更多主動性權利。但另一方面,之前又受到國際人類基因組HUGO組織(The Human Genome Organization,簡稱HUGO)影響而強調利益回饋,因而產生如何回饋之基本治理的問題與衝突。

「『利他精神、公共利益、研究成果歸屬』此三概念,其實並未被立法者釐清,因此,造成立法政策上混淆不明。」李崇僖指出。

他進一步以英國生物資料庫為例,「英國的生物資料庫謹守公益原則,對於資料利用者僅以契約規範其不可將研究成果用於妨礙公衛與醫療,並未強調利益回饋。」

李崇僖也同時以美國國家衛生研究院(NIH)進行的全民健康研究計畫(All of Us Research Program)招募為例,舉出了精準醫學的資料回饋新模式。

2015年,美國在提出精準醫學計畫的同時,也同步提出Privacy and Trust Principles(隱私權與信任原則),即針對參與者的權益提出規劃,並特別重視多元族群之召募,其中,更強調會讓參與者能接觸其貢獻的生物資料。2020年12月,美國國家衛生研究院(NIH)更宣布,開放參與者可以申請個人基因資訊分析作為回饋。

「基因資訊的回饋對參與者來說更具意義。」李崇僖說。

他直指,資料治理之發展關鍵在於:對資料性質與價值要有正確認知─資料不是本身有價值,而是因利用才產生價值; 個人資料權力須重新定義:以參與治理機制來補強個資保護,平衡個人與公眾健康權的不平等。

「個人能取得完整資訊回饋比金錢回饋更有意義。」李崇僖再次強調。

(報導/巫芝岳、李林璦)