智能应用 影音
德州仪器
event

【线上医疗专题—法规篇3】多国个资法强化医疗数据治理

【线上医疗专题—法规篇3】多国个资法强化医疗数据治理

线上医疗的全面价值,不仅是看诊流程数码化和医病双方的非实体接触,更重要的是打破时空地点延伸医疗照护服务。此模式也多将健康预防、亚健康民众纳入服务范围,因此数码健康信息服务厂商更须特别留心与遵循各国个人数据保护法,如欧洲GDPR、美国HIPAA等法规,才有机会让线上服务合法且融入既有流程而存续。

互动模式数码化与延长时空 线上医疗核心

线上医疗大致上可以分为两大种,医生对医师再对病人的会诊、医师直接对病人的谘询和诊疗。健保2021年规划1亿元的健保给付支持前者服务。后者先前多由数码平台提供自费在线谘询服务,其中或有与商业保险合作。从疫情第三级警戒开始,卫福部逐步开放三级警戒期间从检疫、隔离、皮肤科、眼科、耳鼻喉科,到慢性病处方笺、全部科别的线上医疗服务。

只要有通讯,就会有数据传输,这之间的安全性就需要多加考量,才能进一步扩大服务范围。美国的部分线上医疗,就透过电话通话模式进行,因此也没有影像传输的问题。台湾也有些在线通话的谘询模式,同时也有些医师提供视讯诊疗服务,但无论是哪一种线上医疗、数码健康、在线谘询方式,都会传输与传递病友等使用者的信息,如姓名、病况、年龄、性别等个人数据。

随着大数据与机器学习等AI的数据运用,都使得个人健康医疗等数据变得更加敏感。以台湾个人数据保护法来说,就是规范数据的蒐集、处理、利用,更重要是避免人格权受侵害,也要促进个人数据的合理利用。

台湾个资法与欧盟GDPR精神何在?

台湾个资法第3条也保护当事人能够查询、请求阅览、请求副本、请求补正、请求停止蒐集处理或利用、请求删除。这表示线上医疗或数码健康管理平台,在民众下载App时,就必须把这些条款写清楚,同时也必须配置人力处理相关使用者疑义。

线上医疗和数码健康平台业者在使用者体验方面也需多下工夫,App下载时请用户确认繁冗条文虽是必须,但除了透过若干必读才能点选下一步的机制外,确保服务与用户之间的弹性互动与观念沟通,都是在未来各国数据治理的法规渐趋严格之下,希望增企业服务范围的思考要点。

数码医疗业者试图打破时空与地域的限制,提供用户更加适宜的服务,过程中就需要保护个资流通安全、明订权利义务、强化管理机关的权限,也因此欧盟从1995年的个人数据保护指令到2018年5月25日全面实施的「一般数据保护规范」(General Data Protection Regulation;GDPR),就是希望能强化数据的通透与数据当事人的权益。

法令适用范围主要聚焦欧盟境内企业,但同时若使用欧盟人民数据、提供欧盟人民服务、境外公司与欧盟企业合作,也都受GDPR的规范。欧盟市场之大,企业也不可能将自己业务限缩,一辈子不做欧洲生意,所以这法令实质上的规范范围也已从欧盟境内扩到欧盟境外,更代表若符合GDPR的规范,提供数码健康与智能医疗服务的企业事业才有机会持续扩张。

GDPR对于个资的定义分为一般个资与特种个资。一般个资包含直接与间接方式识别当事人的任何信息,包括网络IP、浏览纪录等数码轨迹,以及特种个资,像是揭露人种、血统、政治建议、宗教、基因、性生活、健康相关的数据。跨境传输的规范也与台湾个资法有些不同,如原则上禁止,但若有例外可允许。

除此之外,个人数据运用的规范也往「加重企业责任」的方向发展,包括第24条个资保护设计及缺省、第30条的文件记录责任、第33条的个资侵害事故通报与通知、第35条的个资影响评估、第37~39条指定个资保护长、第83条提高罚则金额。许多企业会着重在最高处以2,000万欧元或全球营业总额4%的行政罚责,但其实规范精神则是更加强调,企业数据运用以及和当事人之间的互动关系,或许需要有不同以往的转变。

HIPAA对应数码医疗隐私需求

身为全球医疗服务与医材大宗市场的美国,有美国健康保险可携式及责任法(Health Insurance Portability and Accountability Act;HIPAA)、各州法令、各部门的隐私保护法令,而HIPAA内容包括个人信息权、利用前需要及不需要得到同意的范围、信息的特殊规定、机构内部要求、网安规则等。

HIPAA针对健康信息的界定,从包括遗传信息、口头、文字等各种形式与媒介的纪录等任何信息,以及个人过去、现在、未来与生理与心理有关的内容,还有健康照护帐单、各种健康单位创造或收到的信息都包含在内。

由于医疗健康照顾环境中,有时候服务提供者可能需要和外部机构合作,才能够提供完善与完整的服务给客户,因此HIPAA立法的概念也是希望能确保在服务提供过程中,各方都能善尽数据保护与客户隐私等权益。

在数码医疗的世界,各国法令有若干不同,但基本原则都是希望藉由拟定出可想见的隐私保护需求情境,同时也希望增加数据当事人与机构或服务提供者的互动及明订权利义务,避免过往机构取得当事人数据后,当事人较无主动提出取消或退出所受的损害,进而提升数据使用正当性等数据治理效度。

此外,在数据应用合乎各方利害关系人的同时,线上医疗、数码健康、在线谘询服务的电子病历格式,也必须和既有医疗体系串接,才能够确实融合云端医疗、数码健康服务、地端实体医疗院所等多方,从而打破过往因时空与地点差异所造成的照护空缺。

延伸阅读:【线上医疗专题—法规篇2】4种情境模拟药事法利害关系人生态

  •     按赞加入DIGITIMES智能医疗粉丝团