達成京都議定書減量目標 提昇能源效率比課碳稅衝擊小

世界衛生組織（World Health Organization, WHO）於2023年10月19日發布「人工智慧於健康領域之監管考量因素」（Regulatory considerations on artificial intelligence for health）文件，旨在協助各國有效監管健康領域之人工智慧，發揮其潛力同時最大限度地降低風險。本文件以下列六個領域概述健康人工智慧之監管考量因素： （1）文件化與透明度（Documentation and transparency） 開發者應預先規範（pre-specifying）以及明確記錄人工智慧系統（以下簡稱AI系統）之預期醫療目的與開發過程，如AI系統所欲解決之問題，以及資料集之選擇與利用、參考標準、參數、指標、於各開發階段與原始計畫之偏離及更新等事項，並建議以基於風險之方法（Risk-based approach），根據重要性之比例決定文件化之程度、以及AI系統之開發與確效紀錄之保持。 （2）風險管理與AI系統開發生命週期方法（Risk management and AI systems development lifecycle approaches） 開發者應在AI系統生命之所有階段，考慮整體產品生命週期方法（total product lifecycle approach），包括上市前開發管理、上市後監督與變更管理。此外，須考慮採用風險管理方法（risk management approach）來解決與AI系統相關之風險，如網路安全威脅與漏洞（vulnerabilities）、擬合不足（underfitting）、演算法偏差等。 （3）預期用途、分析及臨床確效（Intended use, and analytical and clinical validation） 開發者應考慮提供AI系統預期用途之透明化紀錄，將用於建構AI系統之訓練資料集組成（training dataset composition）之詳細資訊（包括大小、設定與族群、輸入與輸出資料及人口組成等）提供給使用者。此外，可考慮透過一獨立資料集（independent dataset）之外部分析確效（external analytical validation），展示訓練與測試資料以外之效能，並考慮將風險作為臨床確效之分級要求。最後，於AI系統之上市後監督與市場監督階段，可考慮進行一段期間密集之部署後監督（post-deployment monitoring）。 （4）資料品質（Data quality） 開發者應確認可用資料（available data）之品質，是否已足以支援AI系統之開發，且開發者應對AI系統進行嚴格之預發布評估（pre-release evaluations），以確保其不會放大訓練資料、演算法或系統設計其他元素中之偏差與錯誤等問題，且利害關係人還應考慮減輕與健康照護資料有關之品質問題與風險，並繼續努力創建資料生態系統，以促進優質資料來源之共享。 （5）隱私與資料保護（Privacy and data protection） 開發者於AI系統之設計與部署過程中，應考慮隱私與資料保護問題，並留意不同法規之適用範圍及差異，且於開發過程之早期，開發者即應充分瞭解適用之資料保護法規與隱私法規，並應確保開發過程符合或超過相關法規要求。 （6）參與及協作（Engagement and collaboration） 開發者於制定人工智慧創新與部署路線圖之期間，需考慮開發可近用且具有充足資訊之平台，以於適合與適當情況下促進利害關係人間之參與及協作；為加速人工智慧領域實務作法之進化，透過參與及協作來簡化人工智慧監管之監督流程即有必要。

　　2009年02月17日美國總統簽署通過「2009年經濟復甦暨再投資法」（America Recovery and Reinvestment Act, ARRA），將醫療產業列為重點發展項目之ㄧ，擬由政府預算進行醫療資訊科技化計畫，俾使電子病歷的傳輸與交換得兼顧效率及安全。而以規範醫療資訊安全為主的「醫療保險可攜及責任法」之隱私權條款（HIPAA, Privacy Rule），亦因此有重大修正。 　　其中，最主要的變革在於擴充HIPAA的責任主體，由原有的健康照護業者、健康計畫業者及健康照護資訊交換業者，擴充至凡因業務關係而可能接觸個人健康資訊的個人或業者，包含藥劑給付管理公司、代理人及保險業者等，這些機構或個人原本與醫療院所或病患間係依據契約關係進行責任規範，但被納入HIPAA的責任主體範圍後，則需依此負擔民、刑事責任。 　　而於加強資訊自主權部份，亦有數個重要變革如下：（一）責任主體之通知義務：依據新規定，資料未經授權被取得、使用或揭露，或有受侵害之虞時，責任主體應即早以適切管道通知資訊主體有關被害之情事，以防備後續可能發生的損害。（二）資訊主體之紀錄調閱權：以往資料保管單位得拒絕個人調閱健康資料運用紀錄之請求，有鑒於病歷電子化後，保存及揭露相關紀錄已不會造成過重負擔；依據新規定，資訊主體有權調閱近三年內個人健康資料被使用次數及目的等紀錄。（三）資訊主體資料揭露之拒絕權：以往責任主體得逕行提供個人醫療資訊作為治療、計費及照護相關目的之使用，無論資訊主體曾表達拒絕之意與否；依據新規定，資訊主體得禁止其向保險人揭露相關資訊，除非保險人已全額支付醫療費用。 　　以上HIPAA之新增規範，預計於2010年02月17日正式施行。

　　隸屬美國科學院（National Academy of Sciences）之藥品學會（Institute of Medicine）於2009年2月4日發表一份研究報告，指出美國醫療保險可攜及責任法的隱私權規範（HIPAA, Privacy Rule），對於醫療研究中有關個人健康資訊之取得及利用的規定未盡周全，不僅可能成為進行醫療研究時的障礙，亦未能完善保障個人健康資訊。 　　在目前的規範架構下，是否允許資訊主體概括授權其資料供後續研究利用，並不明確；另外，在以取得資料主體之授權為原則，例外不需取得授權但必須由審查委員會判斷其妥適性的情況下，亦未有足夠明確的標準可資審查委員會判斷依循，此些問題不僅使得醫療研究中之資料取得及運用，產生若干疑慮，亦突顯個人相關健康資料保護之不足。 　　該報告建議國會應立法授權主管機關制訂一套新的準則，將個人隱私、資料安全及資訊運用透明化等標準，一體適用於所有醫療相關研究的資料取得及利用上；在未來的新準則中，應促進去名化醫療資訊之運用，同時對於未取得資料主體授權的資料逆向識別（re-identification）行為，應增設罰則；此外，審查委員會在判斷得否不經資料主體授權而以其資料進行研究之妥適性時，亦應納入道德考量因素，倘若研究係由聯邦層級的組織所主導，則研究團隊應先證明其已採取充分保護資料隱私及安全的措施，藉以平衡隱私權保護與醫療研究的拉鋸。

　　澳大利亞總理及內閣部（The Department of the Prime Minister and Cabinet，PM&C）之國家資料委員辦公室（Office of the National Data Commissioner）於2020年12月9日提交「澳大利亞資料可用性及透明度法案」（Data Availability and Transparency Bill 2020）至澳大利亞國會（Parliament of Australia），國會並已完成一讀及二讀 。 　　該法案旨在建立一個新的公部門資料共享方案，將原先未開放的公部門資料，透過本法案所設計的共享公部門資料相關管理制度，以促進公部門資料的可存取性及保障措施的一致性，藉此提高公部門資料透明度和大眾利用公部門資料的信心。 　　該法案所設計的資料共享機制，係由作為「資料保管者」（Data custodians）的各聯邦部門和州政府，自行或透過「被認證的資料服務提供者」（Accredited data service provider，下稱ADSP）共享其所保管的政府資料，使「被認證的利用者」（Accredited user，下稱利用者）得以利用之。 　　另外，該法案要求資料保管者必須在符合資料共享要件的情況下，才能共享資料，要件包含： 1、資料共享目的：係指該法案只允許資料保管者基於「提供政府服務」、「通知政府政策和計畫」、「研究與開發」等三個目的分享資料。倘涉及國家安全及犯罪調查等需要特殊監督利用機制的政府資料，則不包含在內。 2、資料共享原則：包含符合公共利益或道德評估之計畫；具備適合共享資格的人員；安全環境；資料最小化；合目的產出等五個原則。 3、資料共享協議：資料保管者與利用者之間，必須簽定「資料共享協議」，該法案有規定資料共享協議的應記載條款。 　　滿足上述要求時，該法案使原先被法律限制共享，或單純未積極開放的資料，都得以在利用者提出要求後，於符合要件及資訊保密相關法規後共享。反之，若不符合法案的要求，則不得共享資料，回復到原先的法律狀態，適用原先的資料保護框架。 　　最後，該法案授權獨立監管機構「國家資料委員」（National Data Commissioner），負責認證ADSP及可利用共享資料之利用者，並監管所有的資料共享計畫，以及提供諮詢、指導和倡導資料共享計畫的最佳方案。