Google 夜鶯計畫，醫療資訊運用與個資保護的攻防戰

Photo Credit : pixabay

Google 於 2019 年 11 月時宣布與美國第二大的連鎖醫療體系 Ascension 簽訂雲端服務合作協議， 使 Ascension 擁有的數百萬患者的個人健康醫療資料存在 Google 雲端服務平台上。但根據華爾街日報的報導， Google 與Ascension 合作的「夜鶯」計畫 (Project Nightingale) 中，讓其內部多達 150 位的工程師有雲端訪問的權限，其開發的測試版軟體允許醫療人員按照類別搜尋病患醫療紀錄，以進一步建立圖表，但並沒有通知患者其資料已被使用。

回到 2018 年底，Google 成立了醫療部門「Google Health」， 執行長 David Feinberg 說明 Google 開發醫療查詢系統的目標，是希望打造一個醫療版的Google 搜尋，讓醫師可以方便的查找病患訊息。這次夜鶯計畫的爭議被大量討論，後來 Ascension 對此聲明，其合作內容符合美國醫療個資保護法律 — HIPAA 規範，會確實保障病患隱私安全，但仍無法削減民眾產生對醫療隱私被更廣泛應用的擔憂。而最近Google Health 執行長於今年年初登場的 JP Morgan Health Conference 再一次為此提出辯護，指稱 Google 員工是在合理的第三方合約下進行兩間 Ascension 旗下醫院的雲端數據存取與訪問，而且 HIPAA 是允許第三方合作夥伴於商業合約架構下與機構共享訊息的。這次事件也凸顯了科技領域與公眾之間關於 HIPAA 做什麼和不做什麼的認知脫節。可見，隨著科技領域巨頭加大在醫療領域的投入，醫療數據與病患隱私的攻防也越演越烈。

認識美國醫療隱私的把關者 — HIPAA

你去了一趟醫院，吃了醫師開給你的處方，隨手把寫有自己名字的藥袋丟入垃圾桶。但你是否思考過，你的醫療資訊到底隱藏多少價值？精神科、感染科、泌尿科、婦產科等，許多人仍將就醫紀錄視為最私密的事項之一；而前陣子，林志玲婚後疑似懷孕的傳言不斷，那時台大醫院內就有10多名職員進入病患資料系統試圖窺探林志玲的病歷，遭院方約談並處以罰款。不只明星的醫療隱私暴露在風險中，我們的過往病史、健康檢查等更廣泛的個人健康醫療資訊，對於學術機關與藥廠、保險機構而言亦是相當值得收集、監測與分析研究的對象。

而在美國，很早就開始重視醫療個資保護的議題。1996年，美國國會通過了《醫療保險可攜和責任法案》 — (Health Insurance Portability and Accountability Act, HIPAA) ， 授 權 衛 生 及 公 共 服 務 部 (Department of Human and Health Services, HHS) 制定個人健康醫療資訊相關規範， 其中 2002 年發布的隱私規則 (Privacy rule) 與資安規則 (Security Rule)，成為美國對個人健康資訊管理的主要架構。2009年，隨著《經濟和臨床健康訊息技術法案》(Health Information Technology for Economic and Clinical Health Act, HITECH) 的頒布，大大擴展了 HIPAA 在電子病歷應用上的隱私和安全規則，另外也強化了相關機構對於病患個資外洩時的通報責任。 2013 年，兩法案整合修訂為 HIPAA 最終規則 (HIPAA Final Omnibus Rules)。

HIPAA 法案如何保護我們的健康資訊？

什麼是在 HIPAA 架構下受保護的健康資訊 (protected health information, PHI) 呢？首先，健康資訊指的是「任何資訊，不論是口頭或記錄在任何媒介，其：(1) 是由健康照顧提供者、公共衛生主管機關、雇主、壽險業者、學校或健康照顧中心所創造或收到的資訊；且該資訊 (2) 與個人過去、現在、未來的身理或心理健康或情況有關；與對個人所提供的健康照顧或其付費方式 (payment) 有關。」而其中會受到保護的一般指的是「個人可識別的健康資訊」 (identifiable health information) 。任何可以辨識出該人身份特徵之資訊，包括姓名、社會安全號碼（類似於台灣身分證字號）、駕照號碼、指紋和「基因連結」 (genetic link) 等，如果可對個人健康資訊做出連結，就會被視為 PHI 的一部分。由此可見，健康資料是否經過「去識別化」處理為判別是否違反 HIPAA 的重要考量點。

在 HIPAA/HITECH Act 的隱私規則下，醫療與健康服務相關機構除了當事人書面授權外，不得任意使用或洩漏個人受保護健康資料，除非符合以下條件：「 (1) 治療、給付與健康照護之運作； (2) 基於其他被允許行為之意外使用或揭露 (3) 公共利益有關之活動 (4) 基於研究、公共衛生與健康照護目的提供之有限資料」。此外，美國明定禁止機構在未獲當事人同意下販售個人受保護健康資料，或將其運用於行銷訊息中。如果是基於研究等之目的而需提供其他單位個人受保護健康資料，也僅能收取符合其準備及傳輸受保護健康資料所需成本之費用。若出現涉及詐欺或為取得商業或個人利益而販售、傳輸或使用個人受保護健康資料等犯罪行為，就可能面臨最多達 25 萬美元的罰款和 10 年之刑期。

最後，為了強化隱私政策的落實， HIPAA 要求每個機構至少要有 1 名負責隱私保護業務之管理人員，且需有相關的人員教育訓練與管理制度。此外，為能及時獲得資料外洩之訊息，隱私規則中亦要求受管轄機構應建立一套客訴系統，並於察覺違反隱私規則之事件發生時，能盡快擬定並實施降低損害的措施。 最後， 個人受保護健康資料外洩時機構亦有通報責任。當發現可能危害當事人的未加密個人健康資料外洩時，必須於60天內將資料外洩情形與相關處置方法通知當事人，若資料外洩波及的人數達500人以上時，則必須同時及時通報美國衛生及公共服務部（HHS）。在2009年制定的健康資訊外洩通報規則（FTC’s Health Breach Notification Rule）中，也一併將健康紀錄之平台業者與提供涉及個人健康資訊之第三方服務業者納入通報規範當中。

歐洲隱私門神－GDPR 怎麼做？

將場景拉到歐洲大陸， 歐盟「一般資料保護規則」 (General Data Protection Regulation, GDPR) 已於 2018 年 5 月 25 日生效施行。與美國的 HIPAA 要求的管控設計相似， 若是公司業務涉及敏感資料收集，公司內必須有設立全職的資料保護長 (Data Protection Officer)；此外， 若資料被駭，公司必須在 72 小時內發出警訊，若違反規定罰款最高可處 2 千萬歐元（約新台幣 7.2億元），或是年度全球營業總額 4% ，兩者取其高者為罰款。

而歐盟 GDPR 規範更嚴謹之處在於， 使用者必須逐條同意其資料所應用項目，不像以往勾選一個選項便代表同意所有的使用條款。同時 GDPR 也強調「被遺忘權 (right to be forgotten) 」，即可以要求擁有資料的一方，刪除所有個人資料的任何連結 (link) 、副本 (copies) 或複製 (replication) ；以及「資料可攜權 (Right to data portability) 」，指用戶可以將 A 服務的資料，轉移到B服務上。針對被遺忘權的規範也牽涉到醫療大數據的發展，用戶可要求機構撤回對個人資訊之處理並要求刪除其個人資料，不再被納入自動化分析處理的範圍。而鑒於大數據分析及 AI 科技興起，GDPR 也允許當事人有權要求在基於資料分析與決策的過程中，增加當事人參與及挑戰該決策之機會，而不受僅基於自動化分析處理所做成之決策所拘束。

台灣個人醫療隱私如何保障？

台灣目前尚未針對醫療個資保護設定專法。而相關隱私權之保護方面， 醫療法第 72 條則規定醫療機構及其人員因業務而知悉或持有病人之病情或健康資訊，不得無故洩漏。而個人資料保護法則於個人資料之違法蒐集、使用、破壞等行為設有處罰規定。另外，去氧核醣核酸採樣條例則規定，足以辨識基因特徵之遺傳資訊，均非公開資訊，不可容許他人任意蒐集，除非法院或檢察官認為有犯罪偵查之必要，方得強制採樣。一旦受採樣者若受不起訴處分或經法院無罪判決確定者，則主管機關應刪除其 DNA樣本及記錄。

而去年，衛生福利部中央健康保險署於 2019 年 5 月開放提供健康存摺系統軟體開發套件 (software development kit, SDK) 。透過此 SDK 資訊工具，可以讓第三方APP（例如各醫療院所的APP）介接健康存摺。在使用者授權同意下，可以自由選取特定期間內的個人就醫、用藥及檢驗結果等存摺內的資料，下載並提供給第三方APP使用，讓使用者習慣用的APP協助進行健康管理。例如，一間糖尿病管理APP如果串聯起健康存摺，該APP就可以將用戶的就醫資料與既有APP的功能結合運用，如可以查閱血糖值變化圖以提供日常飲食建議等，提供更全方面的糖尿病管理。

該服務推出後，短短 9 個月已有 71 家廠商來申請，申請廠商以 34 家資訊廠商為最大宗，另有 21 家醫事機構、10 個政府或學術、5 家商業保險公司、1間非營利組織。9 家已正式上架 APP 的廠商包括 4 家健康管理公司、3 家醫院、1 家保險公司、1 家網路認證公司。對於來申請介接的企業，健保署不但免費提供民眾健保資料，目前申請成功的台灣網路認證公司，健保署甚至還要付給對方認證費。但該公司日後將技術再轉賣給哪些其他保險公司、醫院、企業去介接健保資料，就與健保署無關。而這套工具的強大延伸性，也引起許多病友及民眾擔憂自己的資訊被綁架，因為大量就醫紀錄可能被用於提高投保條件或拒絕理賠的依據。

目前，政府尚未制定出明確的管理規範，也使醫療科技新創是否侵犯醫療隱私的議題仍待存疑。面對台灣醫療資訊個資保護法令與歐美兩地的嚴謹性不同，不同地區對醫療個人資料保護的重視，是醫療新創不可不注意的地雷所在，也是醫療新創欲將其服務推廣至海外時需謹甚考量的。不過值得思考的是，在制定嚴謹法案的過程中，我們是否為了保障個人醫療隱私權益，犧牲了利用健康大數據創造更多疾病預防與健康管理服務的可能，而如何取得兩者利益的平衡，值得我們更多的考慮深思。

Reference

1. Google’s ‘Project Nightingale’ Gathers Personal Health Data on Millions of Americans (The Wall Street Journal)
2. Google signs healthcare data and cloud computing deal with Ascension (REUTERS)
3. Notification of Enforcement Discretion Regarding HIPAA Civil Money Penalties (Federal Register)
4. Google Health VP on Ascension : ‘The press has made this into something it’s not’ (Healthcare IT News)
5. 獨》林志玲懷孕？ 驚爆台大數十醫護偷查病歷遭罰 (中時電子報)
6. 個人健康醫療資訊之美國與歐盟法規管理方向 (財團法人醫藥品查驗登記中心當代醫藥法規月刊)
7. 美國醫療資訊保護法規之初探：以 HIPAA/HITECH 之隱私規則與資安規則為中心 (軍法專刊)

撰文：黃筠婷
核稿：卓筱涵