AI-driven healthcare and Redefinition of medical laws 數位醫療的法律再界定與應用

隨著 AI 軟硬體市場的蓬勃發展，不只帶動了數位醫療健康產業，也產生了一些上個世代未曾面臨 (沒有引起足夠關注) 的問題。個人醫療數據的收集、管理、利用、串接與揭露等等重要事項，我們對此理解多少？目前台灣的個資法和全民健康保險法的規範、監督與執行，是否跟上了數位醫療的發展速度？

The booming AI software and hardware market has not only boosted the digital healthcare industry, but has also brought about some problems that the previous generation did not face (or did not pay enough attention to). How much do we understand about important matters related to our personal data, such as the collection, management, use, connection and disclosure of health data? Are the current regulations, supervision, and enforcement of Taiwan’s Personal Data Protection Act (PDPA) and National Health Insurance (NHI) Act keeping up with the pace of digital healthcare development?

健康資訊系統對於資料收集的最重要特徵，是能夠及時收集、管理、分析和傳輸健康數據，以便管理人員能夠追蹤進度，並對系統提供回饋，以持續提高數據品質並用於做出決策。

The most important feature of data collection in a health information system is that the system should collect, manage, analyze, and disseminate health data in a timely manner, so that managers can track progress and provide feedback on system performance to improve data quality and use it for making decisions.

隨著醫療數據的使用、取得和揭露之需求不斷擴展之下，確保個人健康資訊的合法而有效使用，同時保護個人隱私權，防止此類資訊遭到濫用，顯得尤為重要。我們需要找出法規、技術、管理和臨床實務之間的差距，並找到整合的方法。

With the growing trend of expanding health data uses, access and disclosure, it’s important to ensure the legal and effective use of personal health information while protecting personal privacy rights and guarding against misuse of such information. We need to identify the gap and find ways to integrate regulations, technology, management and clinical practice.

2012年，台灣人權促進會等民間團體認為，健保署未經同意，開放全民健保資料庫及其他健保資料給學者做研究，可能違憲，因此請求釋憲。

In 2012, the Taiwan Human Rights Promotion Association and other civil groups believed that the NHI Administration released the NHI database and related data for scholars to do research without consent, which may be unconstitutional, and petitioned for constitutional interpretation.

原告批評，剝奪公民對於醫療數據的事先同意和事後控制權，就如同強迫所有公民在使用健保時，無條件地貢獻數據用於目的之外的用途一樣。個人資料法原本是為了「避免人格權受侵害，促進資料的合理利用」而設立的，但在規則設計上的不足與陳舊，無法保障公民資訊隱私不受侵犯，而且很容易為資料被用於其他目的打開方便之門。　　

The claimant criticized that depriving citizens of their prior consent and the right to control health data after provision is like forcing all citizens to unconditionally contribute data for use outside the purpose before they can use health insurance. The PDPA was originally established to "avoid the infringement of personality rights and promote the rational use of data", but in the insufficient and outdated design of the regulations, it cannot protect the privacy of citizens' information and can open the door to the use of data for other purposes.

於是，台灣憲法法庭於2022年8月12日發布判決，指出個資法第6條規定「...惟出於醫療、公共衛生或預防犯罪的目的，政府機構或學術機構為統計或學術研究需要，可不經當事者同意，收集、處理或使用有關自然人的醫療記錄(病歷)、醫療保健、遺傳、性生活、身體檢查和犯罪記錄等數據，但資料需完成去識別化。」因此，現行健保資料庫「依個資法之規定為之」，並不侵犯人們的隱私權，仍然符合憲法。

The constitutional court of Taiwan has made its judgment, released on August 12, 2022, states that Article 6 of PDPA, which writes “data pertaining to a natural person's medical records, healthcare, genetics, sex life, physical examination and criminal records can be used without the consent of the parties, where it is necessary for statistics gathering or academic research by a government agency or an academic institution for the purpose of healthcare, public health, or crime prevention, and provided that such data undergo de-identification.” Therefore, NHI Act that "in accordance with the provisions of the PDPA" does not invade people’s right to privacy and remains constitutional.

然而，對於健保資料提供給誰利用、目的、須符合哪些條件才可利用、可利用的範圍和方式，以及應遵循什麼法定要件與正當程序，以及應如何避免資料濫用與不當洩漏等重要細節，均欠缺法律的明確規定。還有，整體觀察相關法規，並無當事人可以請求「選擇退出」的相關規定，而且缺乏獨立的監督機構來確保企業和團體遵守資料保護法，可能違憲，這使得個人資料保護體系瀕臨失敗。

However, the legal provisions remains ambiguous on important matters such as to whom the health insurance information is provided, the purpose, what conditions must be met for use, the scope and method of use, what legal requirements and due process should be followed, how to avoid data abuse and improper disclosure, and who will implement the supervision and protection throughout the entire process. Moreover, according to the overall observation of the regulations, there is no relevant provision that the parties can request to “opt-out”. The judgment also finds the absence of independent supervisory authority responsible for ensuring Taiwan institutions and bodies comply with data protection law can be unconstitutional, which puts the personal data protection system on the borderline of failure. 

此外，即便個人健康資料經過去識別化處理，也依然是能夠區分個人的「個體資料」，而非「整體資料」。雖然台灣禁止原始資料輸出，但隨著串接的資料來源和種類增加（如：身心障礙檔案、性侵害案例等，以及引入外部資料或與其他機構資料串接），以及研究目的不明確，重新識別的風險也可能增加。

Another thing is that even if health data of individuals undergoes de-identification, it is still "individual data" that can distinguish individuals, not "overall data." Although Taiwan prohibits exporting original data, the risk of re-identification increases as the number of sources and types of data concatenation increases (such as: physical or mental impairment, sexual assault files and external data from other agencies) and with unspecified research purposes.

目前，台灣對於健保資料庫資料的二次利用尚無完備的法律依據。一開始，數據是自動發送的，不需要徵求所有人的同意，而且當它被用於其他目的時，也沒有辦法撤回，也就是說，沒有「事後控制權」，一旦當事人曾表示同意，或因符合強制蒐用要件，當事人即喪失事後請求刪除、停止利用或限制利用個資之權利，這是違憲的。因此，除了思考在個資法中增加何種條文作為「例外及不許要求停止使用」的條件外，是否針對二次使用制定專門的法律，也是值得思考的。

At present, the secondary use of data in the NIH database does not have a complete legal basis in Taiwan. At the beginning, the data was automatically sent in without asking for everyone’s consent, and there was no way to withdraw when it was used for other purposes. In other words, the individual loses the right to control health data after provision; once the person has expressed consent or meets the requirements for compulsory search, the person loses the right to request deletion, cessation of use or restriction of use of personal information afterwards, therefore it was unconstitutional. Hence, PDPA might need to add conditions for "exceptions and prohibition of requesting cessation of use", or formulate a special law on secondary use.

未來醫療的法律，到底是在管醫療，還是管資訊？目前看起來很可能同時管理醫療和資訊，並且放大AI和醫療的結合。未來對於醫療的執行是走向放寬的，而數據使用是朝向限縮的，重點是規範醫療器材、藥品和健康數據的道德使用，包括AI 驅動的醫療技術。區塊鏈很重要，而法律應該跟進。

Will future laws govern medicine or information? It is likely that laws govern both medicine and information, while amplifying the combination of AI and medical care. In the future, there should be less control on the practice of medical treatment, while putting more restrictions on access to personal information and data usage, especially on regulating medical devices, pharmaceuticals, and the ethical use of health data, including AI-driven healthcare technologies. Blockchain plays a pivotal role among all things, and the law should follow through.

˚˖𓍢ִ໋`🌿:୭ ˚

雖然健保資料庫早期似乎被大量拿來研究，但印象中在我需要寫paper的時候，使用健保資料庫早就是過時的資料分析研究方式了。而且要用資料做分析，你的資料品質要夠好、夠乾淨，否則只是檔案看起來大，實際上也只是「Trash in, trash out.」(丟進垃圾，產出垃圾) 另外，要蒐集任何個人資料和醫療數據來做研究，現在都規定一定要寫計劃書，向 IRB (人體試驗委員會) 申請研究案，有很繁複的規定，經過層層審查才可以開始進行，後續還會被追進度，要寫報告和回報結果等等，所以要做臨床研究沒那麼簡單，也沒那麼隨便。

所以算是在法律完備之前，要依靠自行成立的「委員會」做「機構內」的自我審查。只是，這大概只防得了AI和區塊鏈這些東西還沒出現時的犯罪，防不了因為資訊技術的發展和擴大應用而出現的資安漏洞。對個人來說，如果能在使用前多了解一下 AI醫療技術是靠誰在管理蒐集的數據，自己的資料會傳輸到哪裡，至少對使用的產品背後的供應鏈多一份警覺心，才不會在享受高科技的便利時，讓自己陷於危險。

我之前工作的醫院從很早就開始專注於發展AI，想要打造以AI醫療為亮點的醫學中心，上面的要求各科都推出一項和AI有關的發展項目。那麼，中醫的AI能做什麼呢？這是大概七年前就在如火如荼進行的事情了，包括用VR虛擬實境製作經脈的教學系統，舌診儀、脈診儀、聞診儀，這些當時就有了，還有挑出中醫病歷中的關鍵字去做分群和交叉比對，目的是可以達到AI自動化判定中醫證型、AI可以列出建議穴位甚至中藥處方。我記得在那之後，過了幾年就已經有民眾版的app了，點選症狀之後有建議穴位可自行按壓什麼的。

我們可以花幾秒鐘想一下，AI是如何做到自動化判定中醫證型的？跟西醫用AI判讀影像學資料(例如X光)一樣，一開始是大量人工判讀，將結果不斷的丟入生成式AI做訓練，那判讀的材料(主要是病歷和照片)和判讀的品質(中醫住院醫師在臨床工作之餘，自行找空擋來做) 是如何控管的呢？

那時候主要負責做AI中醫的學長，有一次在定期的讀書會議上，報了一篇用「生日日期」去分析心肌梗塞和中風風險指數的題目。他手上的分析數據也包含我的，而我在他報告的時候才知道有這回事。由於他私底下的一些行為，我對這位學長是保持很高戒心的，但他就在那場會議中，私下用Line傳了我的生日日期給我，表示就算我不透露給他，他都拿得到資訊。我不知道該怎麼形容當下逐漸升高而且將會持續很久的恐怖感。但是當我跟其他同事說了，得到的回應是「那又沒什麼。生日日期又不重要，你們都是員工，部內的名單應該都有吧，身分證字號也是啊。」我從幾個人那裡得到差不多的回應之後，也覺得是自己反應過度了，大驚小怪。「誰要你的個人資訊ㄚ？」對啊，我又不是重要人物，我的個資沒有價值。但現在我知道了，重點不在你的個人資訊重不重要、有沒有價值。而是對方可以用這個威脅到你。

每個人重視的東西都不一樣，但大致上不會超出那幾項範圍，有意為之的人要製造威脅其實並不難，他只要製造你的恐懼，在你的生活中製造一點裂痕，後續要做什麼就容易多了。

健康資訊隱私對於培養信任感、防止潛在的歧視、防止恥辱和敏感資料濫用都相當重要，因為「信任」是一種一旦失去就很難再找回來的東西。我只是就這件小事領悟到，不論你認為自己重不重要，保護好自己的資訊隱私，不是只是一項權益，也是對自己負責任，因為你應該不想替個人資訊被用在你不願意的地方製造機會。

𓊆名詞解釋𓊇

••✼••┈ IRB是「人體研究倫理審查委員會(Institutional Review Board)」，主要負責審查牽涉人體研究的倫理原則，其目的是為了保護研究對象（受試者）權益與安全。

••✼••┈「法律保留原則」指憲法已將特定事項保留予立法者，須由立法者依法律加以規定，行政機關對此等事項， 須有法律或依法律所授權訂定之命令為依據，方得有所作為。亦即在法律保留之範圍內，無法律授權即無行 政行為，而非以其行為未抵觸法律為已足。

••✼••┈ 「比例原則」(proportionality) 又名「對稱性」，指法律中出於保障基本人權的目的，而要求政府必須注重手段正當性的一個原則。很多時候，為了達到合法的目標，而需要採用一定的方式，這些手段有時無可避免會侵犯基本人權，因此需要遵循比例原則，以在人權和手段之間做出權衡，使目標和達成目標的方式之間達成對價平衡 (consideration)，以最小化政府政策對人權的干預。因此，一切因為「比例原則」而廢止或修改的政策，人權都可算是背後的原因之一。