智慧應用 影音
華邦電子股份有限公司
event

【遠距醫療專題—法規篇】剖析醫療照護服務管理思維

【遠距醫療專題—法規篇3】多國個資法強化醫療數據治理

隨著數位健康與智慧醫療科技漸多,感測與收集的個人健康數據管理與運用,以及機構與當事人之間的互動及權利義務,都將是未來醫療解決方案提供者在設計開發、臨床應用、大規模跨國商業化等各階段,都需時刻留心之處。Unsplash

遠距醫療的全面價值,不僅是看診流程數位化和醫病雙方的非實體接觸,更重要的是打破時空地點延伸醫療照護服務。此模式也多將健康預防、亞健康民眾納入服務範圍,因此數位健康資訊服務廠商更須特別留心與遵循各國個人資料保護法,如歐洲GDPR、美國HIPAA等法規,才有機會讓遠距服務合法且融入既有流程而存續。

互動模式數位化與延長時空 遠距醫療核心

遠距醫療大致上可以分為兩大種,醫生對醫師再對病人的會診、醫師直接對病人的諮詢和診療。健保2021年規劃1億元的健保給付支援前者服務。後者先前多由數位平台提供自費線上諮詢服務,其中或有與商業保險合作。從疫情第三級警戒開始,衛福部逐步開放三級警戒期間從檢疫、隔離、皮膚科、眼科、耳鼻喉科,到慢性病處方箋、全部科別的遠距醫療服務。

只要有通訊,就會有資料傳輸,這之間的安全性就需要多加考量,才能進一步擴大服務範圍。美國的部分遠距醫療,就透過電話通話模式進行,因此也沒有影像傳輸的問題。台灣也有些線上通話的諮詢模式,同時也有些醫師提供視訊診療服務,但無論是哪一種遠距醫療、數位健康、線上諮詢方式,都會傳輸與傳遞病友等使用者的資訊,如姓名、病況、年齡、性別等個人資料。

隨著大數據與機器學習等AI的資料運用,都使得個人健康醫療等資料變得更加敏感。以台灣個人資料保護法來說,就是規範資料的蒐集、處理、利用,更重要是避免人格權受侵害,也要促進個人資料的合理利用。

台灣個資法與歐盟GDPR精神何在?

台灣個資法第3條也保護當事人能夠查詢、請求閱覽、請求副本、請求補正、請求停止蒐集處理或利用、請求刪除。這表示遠距醫療或數位健康管理平台,在民眾下載App時,就必須把這些條款寫清楚,同時也必須配置人力處理相關使用者疑義。

遠距醫療和數位健康平台業者在使用者體驗方面也需多下工夫,App下載時請用戶確認繁冗條文雖是必須,但除了透過若干必讀才能點選下一步的機制外,確保服務與用戶之間的彈性互動與觀念溝通,都是在未來各國資料治理的法規漸趨嚴格之下,希望擴增企業服務範圍的思考要點。

數位醫療業者試圖打破時空與地域的限制,提供用戶更加適宜的服務,過程中就需要保護個資流通安全、明訂權利義務、強化管理機關的權限,也因此歐盟從1995年的個人資料保護指令到2018年5月25日全面實施的「一般資料保護規範」(General Data Protection Regulation;GDPR),就是希望能強化資料的通透與資料當事人的權益。

法令適用範圍主要聚焦歐盟境內企業,但同時若使用歐盟人民資料、提供歐盟人民服務、境外公司與歐盟企業合作,也都受GDPR的規範。歐盟市場之大,企業也不可能將自己業務限縮,一輩子不做歐洲生意,所以這法令實質上的規範範圍也已從歐盟境內擴到歐盟境外,更代表若符合GDPR的規範,提供數位健康與智慧醫療服務的企業事業才有機會持續擴張。

GDPR對於個資的定義分為一般個資與特種個資。一般個資包含直接與間接方式識別當事人的任何資訊,包括網路IP、瀏覽紀錄等數位軌跡,以及特種個資,像是揭露人種、血統、政治建議、宗教、基因、性生活、健康相關的資料。跨境傳輸的規範也與台灣個資法有些不同,如原則上禁止,但若有例外可允許。

除此之外,個人資料運用的規範也往「加重企業責任」的方向發展,包括第24條個資保護設計及預設、第30條的文件記錄責任、第33條的個資侵害事故通報與通知、第35條的個資影響評估、第37~39條指定個資保護長、第83條提高罰則金額。許多企業會著重在最高處以2,000萬歐元或全球營業總額4%的行政罰責,但其實規範精神則是更加強調,企業資料運用以及和當事人之間的互動關係,或許需要有不同以往的轉變。

HIPAA對應數位醫療隱私需求

身為全球醫療服務與醫材大宗市場的美國,有美國健康保險可攜式及責任法(Health Insurance Portability and Accountability Act;HIPAA)、各州法令、各部門的隱私保護法令,而HIPAA內容包括個人資訊權、利用前需要及不需要得到同意的範圍、資訊的特殊規定、機構內部要求、資安規則等。

HIPAA針對健康資訊的界定,從包括遺傳資訊、口頭、文字等各種形式與媒介的紀錄等任何資訊,以及個人過去、現在、未來與生理與心理有關的內容,還有健康照護帳單、各種健康單位創造或收到的資訊都包含在內。

由於醫療健康照顧環境中,有時候服務提供者可能需要和外部機構合作,才能夠提供完善與完整的服務給客戶,因此HIPAA立法的概念也是希望能確保在服務提供過程中,各方都能善盡資料保護與客戶隱私等權益。

在數位醫療的世界,各國法令有若干不同,但基本原則都是希望藉由擬定出可想見的隱私保護需求情境,同時也希望增加資料當事人與機構或服務提供者的互動及明訂權利義務,避免過往機構取得當事人資料後,當事人較無主動提出取消或退出所受的損害,進而提升資料使用正當性等資料治理效度。

此外,在數據應用合乎各方利害關係人的同時,遠距醫療、數位健康、線上諮詢服務的電子病歷格式,也必須和既有醫療體系串接,才能夠確實融合雲端醫療、數位健康服務、地端實體醫療院所等多方,從而打破過往因時空與地點差異所造成的照護空缺。

延伸閱讀:【遠距醫療專題—法規篇2】4種情境模擬藥事法利害關係人生態

  •     按讚加入DIGITIMES智慧醫療粉絲團