事前的事故應變計畫得降低資料外洩成本

　　隸屬美國科學院（National Academy of Sciences）之藥品學會（Institute of Medicine）於2009年2月4日發表一份研究報告，指出美國醫療保險可攜及責任法的隱私權規範（HIPAA, Privacy Rule），對於醫療研究中有關個人健康資訊之取得及利用的規定未盡周全，不僅可能成為進行醫療研究時的障礙，亦未能完善保障個人健康資訊。 　　在目前的規範架構下，是否允許資訊主體概括授權其資料供後續研究利用，並不明確；另外，在以取得資料主體之授權為原則，例外不需取得授權但必須由審查委員會判斷其妥適性的情況下，亦未有足夠明確的標準可資審查委員會判斷依循，此些問題不僅使得醫療研究中之資料取得及運用，產生若干疑慮，亦突顯個人相關健康資料保護之不足。 　　該報告建議國會應立法授權主管機關制訂一套新的準則，將個人隱私、資料安全及資訊運用透明化等標準，一體適用於所有醫療相關研究的資料取得及利用上；在未來的新準則中，應促進去名化醫療資訊之運用，同時對於未取得資料主體授權的資料逆向識別（re-identification）行為，應增設罰則；此外，審查委員會在判斷得否不經資料主體授權而以其資料進行研究之妥適性時，亦應納入道德考量因素，倘若研究係由聯邦層級的組織所主導，則研究團隊應先證明其已採取充分保護資料隱私及安全的措施，藉以平衡隱私權保護與醫療研究的拉鋸。

　　美國職業安全及健康研究院﹙NIOSH﹚是美國發展奈米科技的重要政府單位之一。近來，其頻頻透過國際組織的運作來處理與奈米科技有關之職業安全與健康影響問題。NIOSH首長John Howard表示，在國際層次上，科學家及決策者皆明瞭處理與奈米材料製造及產業使用所引致之職業病或職災，是當下最重要的工作之一。而由於NIOSH在促進世界性科學對話上，始終扮演者厥功甚偉的角色，因而在奈米科技發展初期，其亦積極協助此一科技能夠充分考慮安全及健康問題，發展出具全球協調性的技術方法，並有助於美國在國際市場的領先地位。而其近期主要成就在於以下三個部分： 1.今﹙2007﹚11月29日，經濟合作暨發展組織﹙OECD﹚人造奈米材料工作小組通過NIOSH-Led計畫，負責執行奈米材料暴露控制與測量等相關資訊之交換，同時透過領導小組，與會員國共同聚焦商討一些足以引起公眾意識的議題，例如在職業環境中之暴露測量與減輕。 2.其次，在今年12月4日至同月7日的國際組織會議中，ISO TC229表決通過有關奈米科技在職業環境之安全與健康規範的報告初稿，此報告係以NIOSH所發表一份名為“Approaches to Safe Nanotechnology”的報告作為基礎，而繼續由其發展與修正。本報告初稿送至ISO技術委員會審查，委員會認為報告內容涵蓋完整的技術性工作，且其未來影響將遍及全球，而為全球組織所關切。 3.此外，在今年12月2日，NIOSH另參與世界衛生組織﹙WHO﹚之職業健康合作中心全球聯網會議，當次會議之焦點在於奈米科技，會中NIOSH代表負責報告工程奈米粒子在職業安全及衛生上所遭遇之挑戰現況。本次會議中將決定WHO合作機制如何發展運作，以避免暴露於可能有害的工程奈米粒子。 　　整體而言，關於奈米科技之安全與健康影響及其相關應用的研究，NIOSH統整建置了一套策略性工作計畫，透過這些研究專門處理一些重要問題，包括某些對於評估風險及控制暴露極為有效的科學資訊。除了研究之外，NIOSH亦積極參與國際組織活動，可以預見其對奈米科技未來發展之影響將無遠弗界。

　　隨著英國國家健康服務（National Health Service, NHS）的改革，英國於去（2012）年3月27日通過衛生和社會照護法（The Health and Social Care Act 2012）。當中一項主要的變革即是成立衛生與社會照護資訊中心（The Health and Social Care Information Centre, HSCIC）作為醫療健康資料的專責機構。而這樣的變革，也影響過去病歷資料的蒐集、分享和分析方式。依據衛生和社會照護法的規定，HSCIC若受到衛生部長（Secretary of State for Health）指示、或來自照護品質委員會（Care Quality Commission, CQC）、英國國家健康與臨床卓越研究院（National Institute for Health and Clinical Excellence, NICE）、醫院監管機構Monitor的命令要求時，在這類特定情況之下，可以無需尋求病患同意，而從家庭醫師（GP Practice）處獲得病患的個人機密資料（Personal Confidential Data, PCD）。 　　今(2013)年3月獲NHS授權， 由HSCIC於6月開始執行的care.data服務，即是依據前述立法所擬定之方案。care.data藉由定期蒐集醫療照護過程中的相關資料，對病患於國內所為的各項健康和社會照護資訊（例如病患的住院、門診、意外事故和緊急救護記錄）進行具延續性之連結。以提供即時、正確的NHS治療和照護資訊給民眾、門診醫師和相關部門之官員，進而達到care.data所設定的六項目標，支援病患進行治療的選擇、加強顧客服務、促進資訊透明性、優化成果產出、增加問責性，並驅動經濟成長。 　　然而，由於care.data是以英國民眾就醫行為中，屬於基礎醫療的家庭醫師（General Practitioner, GP）系統為基礎，所提取的資料包括家族歷史、接種疫苗、醫師診斷、轉診記錄、生理指標，以及所有NHS處方。其次，care.data在進行初級和次級資料連結時，將會透過NHS號碼、生日、性別和郵遞區號，這四項可識別資料的比對。因此雖然care.data在涉及敏感性資料時會加以排除，但此項服務仍引起社會上相當大的爭議。包括部分醫師、隱私專家和的社會團體皆提出質疑，質疑care.data是否有充分告知病人、HSCIC所宣稱的匿名性是否足夠、此項服務對醫病關係的衝擊、該服務所宣稱的資料分享退出機制（opt-out）並未妥善等。 　　care.data是NHS所推出的創新資料現代化服務，但同時也涉及病患隱私權保護之議題。反觀我國近來所推動的醫療健康資訊加值再利用政策，英國的案例值得我們持續觀察其發展。

　　加拿大的身份盜用問題嚴重，根據Canadian Council of Better Business Bureaus估計，每年因身份盜用所造成的經濟整體損失超過二十億加幣。此外，去年十一月Ipsos-Reid的調查顯示，73％的加拿大人擔心身份盜用問題，且28%的加拿大人曾親身遭遇、或是有周遭認識之人因此受害。 　　然而，與身份盜用猖獗的現況相較，加拿大個人資料和隱私保護法制一直飽受批評，被認為無法遏止此一問題擴散。加拿大資料安全之基礎規範為「個人資訊保護與電子文件法」（Personal Information Protection and Electronic Documents Act），但以具有重要嚇阻效果的刑法而言，卻只處罰濫用他人身份資訊，如身份詐欺、冒用、偽造等行為，但對於初步蒐集、處理和盜賣身份資訊之行為，卻難以透過現行刑法規範。 　　身份盜用可能造成的影響層面相當廣泛，例如個人的財務和信用損失、商業或財金產業的損失，甚至是整體納稅人的傷害。 　　職是之故，加拿大勞工部、魁北克經濟發展部等政府首長乃宣布，聯邦政府有意推動刑法之修改，使檢警對於先期身份盜用（或違法資料蒐集）之行為，有更大的調查和追訴空間，並希望此一政策方向能獲得國會的後續支持。