首页 | 新闻 | 新品 | 文库 | 方案 | 视频 | 下载 | 商城 | 开发板 | 数据中心 | 座谈新版 | 培训 | 工具 | 博客 | 论坛 | 百科 | GEC | 活动 | 主题月 | 电子展
返回列表 回复 发帖

如何建立数字医疗健康体系的友善环境(二)

如何建立数字医疗健康体系的友善环境(二)

二、移动装置隐私与安全风险


在数字健康照护产业中,移动装置或物联网医疗器材的普及,是不可避免的趋势。物联网设备搜集及传播信息,不可避免涉及安全问题。例如,数据在传递过程中若发生错误、经人为窜改数值、甚至被黑客透过蓝牙功能加以操作,将对病人造成无可想象的安全威胁。美国FDA为此发布设计指引,要求具物联性质的医疗器材须具备相当的安全防护。然而,以手机为主的移动装置的科技发展迅速,产品在市场上的生命周期短暂,业者为尽早上市,未必能在安全及隐私问题上作太多努力。台湾地区经济主管部门自2015年已推行app自主安全认证机制,但若要进一步强制化,可能会对此变化快速的产业造成阻碍,因此在政策上仍有发展空间。


据羿戓信息所了解,医疗健康信息的及时取得,虽有助于医疗决策判断,但也便于黑客入侵。据卫福部门的监控报告,光一个晚上台湾地区政府医疗信息系统受攻击的次数就可能高达上万次。运动品牌Under Armour的健康app在2018年2月被黑客入侵,约1.5亿用户数据被骇。洛杉矶一家医院于2013年被骇,所有电子病历被加密,只好付出巨额比特币赎回病历。2017年一家公司使用amazon S3 repository储存医疗数据,有47GB的数据被骇。2016年澳洲红十字会的捐血服务系统被骇,一百三十多万名捐血者的个人资料被窃。西方各国为因应这些安全议题,已通过许多法令强制提高安全标准,例如美国1995年通过的HIPPA(健康保险可携与责任法),对于医疗照护有关的产业,明确界定何种行为应取得当事人同意,取得医疗信息者应负有何种安全保护义务。


由于医疗信息的电子化,往往使非医疗机构的信息通讯业者,得以取得医疗健康个人资料,因此美国在2009年通过HITECH法,对于与医疗机构合作的非医疗机构,给予明确的隐私与安全保护规范,而非像过往只依赖民事契约加以保护。但医疗健康app或像apple watch智能手表、运动手环等装置,以及数据传输过程中的云端平台,在整个运作过程可能完全不需要与医疗机构合作,却能取得民众每日持续产生的生理资料,形成法制上的漏洞,目前只能靠一般个人资料法加以保护。未来可预见各国政府将会对此领域立法或加强管制,以消除个人资料保护程度甚低的现行乱象。


医疗器材依风险高低,各国在上市审查程序中,多半分为三级或四级。只有风险最高、依现有知识无法判断及控制其风险的类型,才需要进行人体试验。即使像岛内有名的达文西手术机器人,也是以参考腹腔镜为依据,以第二级医疗器材上市,并未经过临床试验阶段。而Android、iOS平台上诸多的健康医疗app,更几乎都没有进行过临床测试。目前市面上的健康医疗app,多半用于生理信息记录,但已有些app,宣称可将手机转换成医疗器材,进行听诊器等功能,或与外部装置结合而进行诊断或治疗用途。这些app的运作若有医疗专业人员参与,安全性疑虑较小。但如果是民众完全能自行操作的自动化技术,例如定时纪录民众生理信息的器材发生数据错误情形,若未能及时发现,就可能造成医疗诊断上的误判。依现行法规,这些错误只能透过产品责任及消费者保护法等规范加以事后求偿,行政规范中鲜少能要求这些app进行上市后的安全信息搜集及处理。尤其一些app的公司位于海外,更增加管制上的困难。如何强化这些产品的上市后监控,持续强化改善,将是管制上的挑战。


三、医疗大数据利用


数字医疗照护产业的商业模式中,利润未必只来自软硬件服务。大数据利用所产生的价值极为可观,在欧美甚至有专门出售健康医疗个人资料而上市的数据中介公司(data broker)。医疗大数据不仅可让制药业了解产业需求动态,也有助于研发新药,进行医疗决策分析。主要法律争议,在于这些个人资料搜集与贩卖行为,几乎都未曾征求过病人的同意,形成隐私争议。虽然大数据研究通常会先去除个人识别因子后再授权利用,但在部分管制密度不高的领域,例如医疗app,不排除部分企业可能未去识别化就把个人资料授权。台湾地区著名的健保数据库诉讼案,由人权团体自2012年提出诉讼,要求卫福部门将所属单位(含健保署、疾管署等)健康个人资料整合而成的研究用电子数据库,必须让当事人有行使同意权的权利,历经多次审级而败诉确定,正在申请大法官释宪中。但无论结果如何,问题的症结在于,台湾地区欠缺独立的个人资料保护主管机关,不能预先制定行政规则明确界限,使政府及民间均缺乏可资判断的行为准则,这是台湾地区相关产业难以发展的重要原因。


以法国为例,法国成立“国家信息自由委员会”,其性质犹如台湾地区的公平交易委员会,通讯监察委员会等,监管政府及企业的个人资料处理行为,对违法者可施以行政裁罚。德国创设联邦数据保护及信息自由局,设立地位崇高的联邦数据保护监察使,制定相关规范。美国相当于台湾地区卫福部门,也有人民权利办法室进行HIPPA的执法,接受人民申诉并职司教育训练。在全民健保数据运用方面,德国于2015年12月通过“加强健保电子数据流通与使用法”,主要内容是委托一家名为Gematik的通讯技术公司,处理国家的健保卡信息,加强病人对自身医疗数据的知悉权及自主权,强化安全要求,病人有权将健保卡的资料纳入其“自身健康纪录专区”,相当于台湾地区健保署推出的“个人健康存款博”,能在其中整合运动手环等数据,以及在线看诊服务等等。澳洲更有全国性的My Health Record Act,由政府建立个人可以在上面管理自己医疗个人资料的网络平台,民众可勾选要把哪些资料开放给哪些医疗机构,充分实践个人资料自主。而欧美各国对于公益或家暴等事件,也多半采取列举式的立法模式,列出政府可以不经民众同意而使用个人资料的行为及条件。台湾地区要鼓励数字医疗健康产业,应该正视隐私法律的重要性,积极立法管制,以消弭政府、企业与民众间的冲突。

mmexport1524218367968.jpg
2018-11-15 20:28

上海.羿歌,主要立足于物联网之感知层的解决方案和组件设计制造。  18918134319
返回列表