企業動態 > 生技醫療

最完整健保資料庫、最頂尖科技和醫療》台灣AI醫療進程 卡在法規緊箍咒

2019-02-21
作者: 洪綾襄

中研院歐美所助研究員何之行認為,歐盟GDPR對個資管理雖嚴格,但醫療產業應用AI的技術卻已突飛猛進,值得借鏡。(圖/陳俊松攝)

去年11月,頂著一頭灰黑色鬈髮,英國智慧醫療廠商TPP的創辦人─法蘭克.赫斯特(Frank Hester OBE)爵士,以英國政府特邀企業的身分,趕赴中國上海進口博覽會,推銷他已在英國實現的「一人一生一個病歷」資訊平台SystmOne。

開發智慧病歷系統已20多年的赫斯特表示,「我的妻子是一位家庭醫師,當時我只是希望她不用花太多時間在做報表,才去開發這樣的程式。因此和坊間其他系統最大的差異在於,我的系統是以臨床數據為基礎,而不是保險或財務數據,這對我後來做癌症預測分析時,有很大的助益。」

英國病歷集中管理 病患就診紀錄帶著走

在英國,病歷已完成集中化管理,並可跟著病患到不同醫療院所就醫,廠商更可向政府取得病例資料做各式加值應用。以TPP為例,其資料庫儲存著英國2/3以上人口的完整電子病歷與病史,赫斯特便可利用大量資料來訓練AI人工智慧演算法,藉以增加判斷準確率,用以優化癌症預測與新藥研發。

TPP僅是與英國國民保健署(NHS)合作的眾多廠商之一,美國基因定序業者illumina去年也與NHS合作,啟動規模達500萬人的全基因定序計畫GENOMIC England;也因此,即使中國已有杭州微醫、平安好醫生等獨角獸公司,仍對英國政府推動AI與資料經濟的經驗很有興趣。

歐美與中國已風風火火,一衣帶水之隔的台灣,卻是現在才開始檢討修改人工智慧科技對《個資法》、《醫材法》、《醫師法》等醫療法規的緊箍咒。

英國已用全民病歷來訓練AI預測癌症,台灣電子病歷卻仍無法二次使用。(圖/陳俊松攝)

值得探究的是,歐盟去年才上路的史上最嚴格個資監管法規GDPR(一般資料保護規範)架構,為什麼英國政府能說服民眾,將最敏感的病例資料開放,並廣泛地做商業應用?

在台灣,得要到這家醫院才能查閱自己在該院的病歷,至今無法整合成完整病例。

台灣《個資法》掣肘,公衛學者、人權團體也反對

儘管健保署握有全台灣最完整的資料,卻卡在《個資法》須獲得病患同意後才能使用,且由於絕大多數資料都是解析度規格不一致的掃描PDF圖檔,無法直接做數據分析,因此至今僅部分功能對外開放使用。

此外,台灣雖早有電子病歷交換中心計畫,但醫院從未主動上傳資料,須取得病患書面同意後,才能進行跨院傳輸;而交換中心業務只建置索引,更進一步的蒐集、處理、應用功能都付之闕如,導致健保健康存摺或是國發會My Data(數位服務個人化)的成效都相當有限。

中研院歐美所助研究員何之行分析,英國政府自2002年起推動國家IT計畫,建立摘要醫療照護紀錄系統,2008年通過《衛生與社會照護特別法》(Health and Social Care Act),用立法授權要求醫師上繳病歷資料給政府,雖一開始沒有得到病人同意,後來政府為表尊重當事人權益,更制定了退場機制。

相較之下,台灣政府很難仿效英國從上而下,訂一個特別法超越《個資法》要求集中化管理病歷資料;其次,健保資料庫成立目的是為了正確核銷健保給付,強制蒐集國民醫療資料,個人沒有退出的權利;再者,《個資法》僅允許個人資料做「學術研究」,定義比GDPR符合「公共利益、科學或歷史研究或統計」規範還狹隘,三大法規瓶頸卡住台灣醫療AI進程。

因此何之行建議,也許成本最小的方式,是讓健保資料庫允許退出機制,又或是將《個資法》中的「學術研究」改為「科學研究」,就不只限於大學,科技公司也有機會申請,降低健保資料被加值利用的門檻。

前IBM首席科學家、圖策智能創辦人林清詠指出,科技已讓個資保護和去識別化不再那麼困難,法規也應適時調整。(圖/黃郁修攝)

但即使如此,業界仍有反對聲浪,公衛學者擔憂一旦讓人可選擇退出,健保資料完整性恐遭破壞;人權團體反對最力的論點,就是拒絕國家「目的外使用」個資,要求退出資料庫,國衛院就從2012年起被台灣人權促進會一路告到大法官釋憲。何之行認為,其實只要政府完整告知退出的利與弊,包括社會成本和個人醫療權利,很多人權衡後應該就不會想退出了。

「其實在科技進步的今天,讓民眾有opt-in(選擇參加)或opt-out(選擇退出)的可能性已經不像以往那麼困難,」曾任IBM首席科學家、Graphen圖策智能創辦人兼執行長林清詠分析,如果真的要全面發展AI醫療,健保資料庫的資料使用機制勢必有所鬆綁。

去識別化後,你的個資就不是你的個資

況且,一旦可識別信息去除後,「你的個資就不是你的個資」。按照GDPR精神,科學研究是對全民健康有益,因此使用並不需要事前告知。林清詠指出,當然也有反對者認為,去識別化不可能是完美的,但歐、美當局並不會因為你去識別化做得不完美就不能使用資料,而是採重罰那些有心反轉去識別化的人,例如引發臉書(facebook)個資濫用風暴的劍橋分析公司,就恐被美國聯邦貿易委員會(FTC)重罰上百億美元。

「台灣個資外洩的問題,除了系統缺失之外,民眾也常缺乏正確觀念,」中央研究院資訊科技創新研究中心主任黃彥男表示,其實去識別化的技術已一日千里,例如透過K匿名化(K-anonymity)、差分隱私(differential privacy)、夾雜訊等技術,就可讓統計資料無法輕易辨識出個人,然而在日常生活中,很多大樓門禁還是要求訪客押身分證或健保卡,就是一個很大的資安漏洞。

採用人工智慧分析數據,有機會大幅提升醫療服務與新藥開發技術,如何兼顧倫理與人權、法規機制如何與時俱進修正且有效監理等議題,也已愈發迫切,值得相關單位重視。

TOP