- 點擊數:24879
- 發佈:2018-06-08
李先生年過80,與兒子一家居住於台北市一所屋齡四十幾年的無電梯老屋中。由於不良於行,他因糖尿病要到醫院回診時,總是為了上下樓及交通過程感到苦惱。兒子一家要上班上學,能協助爸爸看病的時間有限。在2020年,李先生裝了一套有藍芽功能的胰島素幫浦,以及連續性血糖監測儀。每天他只要把自己吃的東西及份量輸入智慧型手機中,智慧型手機便會根據血糖監測儀所發出的體內血糖數值,計算出應注射的胰島素劑量,並以藍芽啟動胰島素幫浦進行自動注射,再將資料傳輸到李先生治療糖尿病的醫院。每隔一兩個月,醫院會透過遠距視訊,為李先生進行問診,並透過網路藥局把處方藥寄到李先生家中。透過這些創新設備,李先生需要到醫院的次數大為減少,也減少了所需的交通、醫療人力等支出。而醫院長期蒐集這些病人的數位化醫療資訊,因此發現該胰島素藥物可能對X疾病也有效用,最後藥廠根據這些資料,再進行一些臨床試驗,最後獲得食品藥物管理署通過允許該藥物也用於治療X疾病。
上述的假設性情形,其好處雖顯而易見,但在目前的法規環境,不僅許多行為仍處於非法狀態,而實際運作上會遇到的種種困難,也不是只用「法規鬆綁」一語便可帶過。近年來歐美國家為推動數位健康照護(Digital Health,又稱E-health)的運用,制定許多法律,以處理醫療大數據利用、行動裝置隱私權、遠距醫療等問題。我國在科技面其實已具備實現上述情形的能力,但相關的立法討論遲遲未能化為行動。未來若不能下定決心積極立法,勢必不僅在此領域落後周圍國家,也難使民眾享受到科技帶來的利益。
一、開放遠距醫療的障礙
我國醫師法第11條第一項本文規定:「醫師非親自診察,不得施行治療、開給方劑或交付診斷書。」細察該規定的立法背景,是在1960年代,為避免借牌行為,故要求有牌照的醫師,必須親自從事醫療行為,不得藉由授權行為而產生無照行醫行為。但後來該項加上但書,經過一些修正過程後,變成「但於山地、離島、偏僻地區或有特殊、急迫情形,為應醫療需要,得由直轄市、縣 (市) 主管機關指定之醫師,以通訊方式詢問病情,為之診察,開給方劑,並囑由衛生醫療機構護理人員、助產人員執行治療。」使這項變成一條限制以通訊方式進行遠距醫療的行為。雖然近十幾年來我國積極推動遠距照護(telecare)計畫,但因為一直不允許醫師提供遠距醫療服務,因此只能提供生理指數監控的照護,不能開立處方,使得相關通訊器材設備的利用價值大減,成本過高而推行成效甚低,利用者少。直到2017年底,醫事司才宣布開放六大類病人,包括慢性病但行動不便、緊急住院後三至六個月內須密切追蹤、住宿型長照機構住民、國際病患、及適用健保居家醫療照護整合計畫、家庭醫師整合性照護計劃。但目前政府尚不允許網路藥局寄送處方藥的服務,因此醫師開立處方後,仍必須親自到藥局去領藥。
日本雖有醫師親自診察義務的類似法律規定,但早在1990年代末期,就透過行政函釋的發布,認定只要符合一定條件,以通訊方式進行醫療行為,仍符合此處所謂的醫師親自診察義務。而鄰近的馬來西亞在1997年就制定遠距醫療法(Telemedicine Act)以推動利用先進資訊及多媒體科技的系統,為民眾提供更優質的智慧醫療服務。歐美各國由於地廣人稀,自1970年代就有遠距醫療的合法行為,更透過判決及立法而累積了相當的判斷標準。我國要進行立法,並非沒有適合的參考依據。那麼,真正的問題為何呢?
首先,遠距醫療會使醫療機構間的競爭及整合行為加劇。醫療機構是特許行業,我國對各行政區域內的醫院設立許可,是以人口及病床數的比例為判斷依據。同一區域內的病人,除非有特別理由,原則上會在該區域內就醫。遠距醫療使醫療機構能服務的地理範圍擴大,甚至隨著資通訊科技的發達,要對跨國的病人進行服務,亦非難事。2001年,一位位於紐約的醫師,透過光纖網路操控一台類似達文西的手術機器人,為一位在法國的老婦人切除膽囊成功。而目前長庚醫院也與中國的醫院合作,進行遠距會診。當此類行為大幅開放後,各醫療機構可能必須跟進,形成新型態的武器競賽。而大醫院與小診所透過遠距合作,將產生新形態的醫療機構混合體。由於病人不一定要到醫院,因此醫師也就不一定要常到醫院。醫院與醫師間的關係,也將因而改變。
其次,遠距醫療的過失責任不易釐清。在遠端的醫師,可能與近端的病人建立醫病關係,但也可能不想建立醫病關係,而只是單純對近端的醫師提供專業意見諮詢,屬於「遠距會診」而非「遠距醫療」。當成立醫病關係時,由於遠距醫療的資訊內容,可能無法像近端診療一般詳盡(例如缺乏觸診、影像傳輸失真等),因此過失責任判斷標準究竟要採取何種注意義務程度,此項不確定會引起醫師的擔憂,從而成為抗拒開放的心理因素。
此外尚有一些細節,是大幅開放時必須考慮的問題。例如,如何證明醫病雙方確實有進行醫療行為,從而可申請健保給付?可能必須要求全程錄影,以解決醫療費用給付,以及證明有進行告知後同意的過程。如果醫師開立處方,但病人仍必須親自到藥房才能領藥,對於行動不便的病人而言,問題只解決了一半。因此是否及如何開放網路藥局,克服實體藥局的抗議,也是下一步的課題。
雖然我國對遠距醫療仍有抗拒聲浪,但因為大陸已開放此項業務,我國因地緣關係,勢必受到影響。目前大陸已有像「在線問診」、「平安好醫生」等熱門遠距醫療app,結合醫療保險等業務建立問診平台。「平安好醫生」並已在香港進行IPO上市準備,募資擴大營業。醫療是一項資本密集的產業,經濟持續成長的國家,必然會投資於醫療產業,因此醫療技術的進步,是遲早的事。我國必須認清趨勢,下定決心,作好法律上的因應。
二、行動裝置隱私與安全風險
在數位健康照護產業中,行動裝置或物聯網醫療器材的普及,是不可避免的趨勢。物聯網設備蒐集及傳播資訊,不可避免涉及資安問題。例如,數據在傳遞過程中若發生錯誤、經人為竄改數值、甚至被駭客透過藍芽功能加以操作,將對病人造成無可想像的安全威脅。美國FDA為此發布設計指引,要求具物聯性質的醫療器材須具備相當的資安防護。然而,以手機為主的行動裝置的科技發展迅速,產品在市場上的生命週期短暫,業者為盡早上市,未必能在資安及隱私問題上作太多努力。經濟部自2015年已推行app自主安全認證機制,但若要進一步強制化,可能會對此變化快速的產業造成阻礙,因此在政策上仍有發展空間。
醫療健康資訊的及時取得,雖有助於醫療決策判斷,但也便於駭客入侵。據衛福部的監控報告,光一個晚上台灣政府醫療資訊系統受攻擊的次數就可能高達上萬次。運動品牌Under Armour的健康app在2018年2月被駭客入侵,約1.5億用戶資料被駭。洛杉磯一家醫院於2013年被駭,所有電子病歷被加密,只好付出巨額比特幣贖回病歷。2017年一家公司使用amazon S3 repository儲存醫療資料,有47GB的資料被駭。2016年澳洲紅十字會的捐血服務系統被駭,一百三十多萬名捐血者的個資被竊。西方各國為因應這些資安議題,已通過許多法令強制提高資安標準,例如美國1995年通過的HIPPA(健康保險可攜與責任法),對於醫療照護有關的產業,明確界定何種行為應取得當事人同意,取得醫療資訊者應負有何種資安保護義務。
由於醫療資訊的電子化,往往使非醫療機構的資通訊業者,得以取得醫療健康個資,因此美國在2009年通過HITECH法,對於與醫療機構合作的非醫療機構,給予明確的隱私與資安保護規範,而非像過往只依賴民事契約加以保護。但醫療健康app或像apple watch智慧手錶、運動手環等裝置,以及資料傳輸過程中的雲端平台,在整個運作過程可能完全不需要與醫療機構合作,卻能取得民眾每日持續產生的生理資料,形成法制上的漏洞,目前只能靠一般個資法加以保護。未來可預見各國政府將會對此領域立法或加強管制,以消除個資保護程度甚低的現行亂象。
醫療器材依風險高低,各國在上市審查程序中,多半分為三級或四級。只有風險最高、依現有知識無法判斷及控制其風險的類型,才需要進行人體試驗。即使像國內有名的達文西手術機器人,也是以參考腹腔鏡為依據,以第二級醫療器材上市,並未經過臨床試驗階段。而Android、iOS平台上諸多的健康醫療app,更幾乎都沒有進行過臨床測試。目前市面上的健康醫療app,多半用於生理資訊記錄,但已有些app,宣稱可將手機轉換成醫療器材,進行聽診器等功能,或與外部裝置結合而進行診斷或治療用途。這些app的運作若有醫療專業人員參與,安全性疑慮較小。但如果是民眾完全能自行操作的自動化技術,例如定時紀錄民眾生理資訊的器材發生資料錯誤情形,若未能及時發現,就可能造成醫療診斷上的誤判。依現行法規,這些錯誤只能透過產品責任及消費者保護法等規範加以事後求償,行政規範中鮮少能要求這些app進行上市後的安全資訊蒐集及處理。尤其一些app的公司位於外國,更增加管制上的困難。如何強化這些產品的上市後監控,持續強化改善,將是管制上的挑戰。
三、醫療大數據利用
數位醫療照護產業的商業模式中,利潤未必只來自軟硬體服務。大數據利用所產生的價值極為可觀,在歐美甚至有專門出售健康醫療個資而上市的資料仲介公司(data broker)。醫療大數據不僅可讓製藥業了解產業需求動態,也有助於研發新藥,進行醫療決策分析。主要法律爭議,在於這些個資蒐集與販賣行為,幾乎都未曾徵求過病人的同意,形成隱私爭議。雖然大數據研究通常會先去除個人識別因子後再授權利用,但在部分管制密度不高的領域,例如醫療app,不排除部分企業可能未去識別化就把個資授權。我國著名的健保資料庫訴訟案,由人權團體自2012年提出訴訟,要求衛福部將所屬單位(含健保署、國健署、疾管署等)健康個資整合而成的研究用電子資料庫,必須讓當事人有行使同意權的權利,歷經多次審級而敗訴確定,正在申請大法官釋憲中。但無論結果如何,問題的癥結在於,我國欠缺獨立的個人資料保護主管機關,不能預先制定行政規則明確界限,使政府及民間均缺乏可資判斷的行為準則,這是我國相關產業難以發展的重要原因。
以法國為例,法國成立「國家資訊自由委員會」,其性質猶如我國的公平交易委員會,通訊監察委員會等,監管政府及企業的個資處理行為,對違法者可施以行政裁罰。德國創設聯邦資料保護及資訊自由局,設立地位崇高的聯邦資料保護監察使,制定相關規範。美國相當於我國衛福部的部門,也有人民權利辦法室進行HIPPA的執法,接受人民申訴並職司教育訓練。在全民健保資料運用方面,德國於2015年12月通過「加強健保電子資料流通與使用法」,主要內容是委託一家名為Gematik的通訊技術公司,處理國家的健保卡資訊,加強病人對自身醫療資料的知悉權及自主權,強化資安要求,病人有權將健保卡的資料納入其「自身健康紀錄專區」,相當於我國健保署推出的「個人健康存褶」,能在其中整合運動手環等資料,以及線上看診服務等等。澳洲更有全國性的My Health Record Act,由政府建立個人可以在上面管理自己醫療個資的網路平台,民眾可勾選要把哪些資料開放給哪些醫療機構,充分實踐個資自主。而歐美各國對於公益或家暴等事件,也多半採取列舉式的立法模式,列出政府可以不經民眾同意而使用個資的行為及條件。我國要鼓勵數位醫療健康產業,應該正視隱私法律的重要性,積極立法管制,以消弭政府、企業與民眾間的衝突。
作者 陳鋕雄 為交通大學科技法律研究所副教授兼所長