文／林冠宇　資策會科法所副主任

我國近年極力推動所謂「健康大數據」，嘗試透過個人檢體、臨床資料、健康紀錄的巨量資料，建構大型資料的分析基礎，藉此追求從醫療技術到生技醫藥產品的創新發展。

然而，隱私層面的爭議，究竟是真的受到法令的禁止？還是對法令落實的不得要領？值得各界深思與探究。

健康大數據發展　法令禁止阻滯不前？

個資風險管理恐是健康大數據發展最大的罩門，所謂個人資料依《個人資料保護法》規定，係以可否識別當事人作為定義。除了排除個人資料保護法適用的例外情況，基本上，所有可識別當事人的資料，均可列為個人資料。

然而，個人資料在識別程度上的差異，以及所可能造成的風險差異及發生機率，對於個人資料保護的程度要求有別。此一程度差別無一絕對性的量表，而必須透過個案分析，找出相對性的標準，這也是在風險預防與管理上，具有相當難度的癥結點。我國在發展這些風險基準的參考案例或量化基礎上，卻始終一直踟躇不前。

個資法強調個資運用要尊重當事人權利

無論是國外的個人資料相關法令，如歐盟一般資料保護規則，或美國各州的消費者隱私法，甚至我國的《個人資料保護法》，都是由當事人權利、個人資料的識別性、加上個資持有者風險管理的責任等等基礎要素所組成。

換言之，《個人資料保護法》透過當事人確實認知其告知內容，而得以有效同意對個人資料的蒐集作為起點，再配合個人資料蒐集主體承諾的風險管控與保護措施，適當地進行個人資料的運用和保護。此一部分與傳統法學專注於損害或損失發生後，追究責任歸屬與訴訟求償的角度有別。

《個人資料保護法》在某種程度上更偏向行政法學上，對於社會生活中重要的權利，以風險的角度適當予以預防。

在前述的基礎上，法律並無限制所有的資料運用與交換。因此，在思考「健康大數據」嘗試建構的大型資料分析基礎，必然涉及資料來源合法性、資料串接識別性以及可能增加的風險，最後必須思考巨量資料建構要採取集中或分散模式，3 者間環環相扣。

就「健康大數據」巨量資料的構成，可能包括個人檢體、臨床資料、健康紀錄。其中包括《人體生物資料庫管理條例》以非去連結方式保存之資料庫形式，作為生物醫學研究之用。

而臨床資料則是依電子病歷製作及管理辦法所產出的資料，或屬於個人資料保護法特種個資中的醫療資料，即法務部過去認定限縮在醫事人員製作的資料。最後，則是上述情境外
其他途徑取得，屬於個人生理特徵的健康紀錄。

在資料來源的合法性上，除了有作用法上的明確法定事由，得蒐集個人資料保護法中的特種個資。如《人體生物資料庫管理條例》有明確法定事由，並指向生物醫學研究之用。其他經個人蒐集的個資，一般必須與其原始蒐集目的相符，如就醫服務目的的個人資料等，因此更需要嚴謹的個資同意管理機制。

資通訊業者應具備資料治理能力

建構健康大數據的大型資料分析基礎，必然需要先提供合法基礎的法令規範，同樣在資料串接與風險的衡量，也應該在法制面上多加研議與規劃，使之具備合法基礎。而這些對於隱私尊重與加強管理的發展方向，才是符合國際上對於資料運用於創新發展，或真實世界數據的重要基礎。因為唯有資料本質上的健全與受信賴，才有「真實」的資料可供利用。

對於未來深受大數據環境影響的產業，以及提供資料儲存、交換等服務的資通訊業者而言，應盡早整備組織內部的資料治理能力。縱然資料法制環境的變動，目前尚未能一窺全貌，但對於當事人告知與取得同意，以及承諾適當保護措施的基本能力仍應具備。

「對於未來深受大數據環境影響的產業， 應盡早整備組織內部的資料治理能力。」

作者林冠宇為資策會科法所副主任

財團法人資訊工業策進會

主責數位科技及先進醫療發展議題的法律智庫團隊，致力於研究政府及企業在新興科技發展上所碰到的科技法律課題，及協助我國參與亞太經濟合作組織的CBPR隱私認證，使國內優秀企業得通過申請取得認證標章。

喜歡這篇文章嗎？加入會員即可收藏文章、產品及供應