英國Ofcom「個資與隱私」報告

COVID-19大流行對公共衛生保健服務施加了巨大壓力，同時限制了實體醫療服務的近用，引起人們對實施或擴大實施遠距醫療（Telemedicine）的極大興趣。為了對應全球對遠距醫療服務的增長，世界衛生組織（World Health Organization , WHO）於今（2022）年11月9日發布《實施遠距醫療綜合指引》（Consolidated Telemedicine Implementation Guide），以幫助政策制定者、決策者與實行者設計與監管遠距醫療之實施。 遠距醫療，涉及使用數位科技來克服公衛服務的距離障礙，具有改善臨床管理和擴大醫療服務覆蓋範圍之潛力。遠距醫療已證明的好處包含減少不必要的臨床就診、提供更及時的醫護和擴大醫療服務的覆蓋率。 這份指引建議政策決策者以及設計和監管遠距醫療之實施人員，實施遠距醫療應分為三個階段，其詳細步驟重點如下： 階段一：評估情況 1.組建團隊，並確立目標：確定應參與遠距醫療設計、管理和實施的利害關係人。 2.定義衛生計畫的背景與目標：確定遠距醫療的服務計畫與其地理範圍。 3.對作業環境進行分析：對應用軟體（Software Applications）與通信平台的訊息傳遞通道（Channel）進行作業環境分析、評估應用軟體是否可符合硬體之需求。 4.評估有利環境：包含評估數位成熟度以確定基礎設施與組織需求、審查公衛工作者的能力、評估監管與政策之顧慮、考慮資訊跨域流動之影響、探討財政機制。 階段二：實施之規劃 1.確定遠距醫療系統將如何運作：定義功能性和非功能性需求、因應需求更新之工作流程、進行廣泛的用戶測試、變更管理計畫。 2.實施病人與衛生系統工作者之安全與保護機制：包含建立個資隱私、近用和保護病人個資的系統、實施公衛人員身分驗證之方式、決定並揭露是否會進行錄音錄影等事項。 3.建立標準操作程序（Standard Operating Procedures, SOP）：確定遠距醫療適用的案例與潛在責任、決定培訓方式與支持管道、建立確定身分之流程、建立明確的同意文件、討論是否需改變公衛人員的薪酬、建立聯網醫療器材（Connected Medical Devices）的管理計畫。 4.強化客戶/病人參與以及性別、公平與利害關係人權利：決定遠距醫療之推廣機制（Mechanisms for Outreach）、評估遠距醫療之公平性、對利害關係人權利的影響與確保殘疾人士的可近用性。 5.制定預算：確定總成本預算、計畫如何將遠距醫療服務整合到常態醫療服務和採購安排之中。 階段三：監測和評估（Monitoring and Evaluation, M&E）與持續改善 1.確定監測和評估目標：定義績效評估和影響指標。 2.計畫持續改善和適應性管理：加入日常監管和持續改善機制、降低潛在風險。 WHO最後提醒遠距醫療是對於醫療服務的補充而非取代，並提供一個確保病人安全、隱私、追溯性、問責制的可監督環境。 本文同步刊載於stli生醫未來式網站（https://www.biotechlaw.org.tw）

美國伊利諾州伊利諾最高法院（Illinois Supreme Court）於2023年11月30日對Mosby v. The Ingalls Memorial Hospital et al.案做出判決：認定符合聯邦法規健康保險流通與責任法（Health Insurance Portability and Accountability Act, HIPAA）規定，基於「治療、付款或健康照護運作」之前提下，除病患外即使是醫療服務提供者的生物識別資訊被蒐集、利用或揭露，同樣不受伊利諾州生物資訊隱私法（Biometric Information Privacy Act, BIPA）的保護。 伊利諾州現行以BIPA對蒐集或保留任何個人的生物識別資訊（如虹膜、聲紋、指紋或生物樣本等）做了較為嚴格的限制，原則上這些資訊不能在未經當事人同意的情況下被蒐集、利用或揭露。除非是1.由醫療保健機構從患者身上蒐集的生物識別資訊；或2.根據HIPAA規定，基於進行治療、付款或健康照護運作的前提來蒐集、使用或儲存的生物識別資訊，才可例外免經當事人同意（biometric identifiers do not include information captured from a patient in a health care setting or information collected, used, or stored for health care treatment, payment, or operations under the federal HIPAA.）。然而，基於進行治療、付款或健康照護運作的前提，資料主體除接受治療或健康照護的病患外，是否涵蓋醫療服務提供者（如醫護人員），則有疑義。 本案因醫院的護理人員認為醫療院所未經同意，使用帶有指紋掃描功能的藥品櫃，來蒐集、使用或儲存了他們的生物識別資訊，因此提起訴訟。伊利諾州的地方法院和巡迴上訴法院於本案均支持原告提出的主張。然而，伊利諾州最高法院審理時則透過文義解釋以及條文結構分析之方式，認為立法者係有意於例外規定中重複使用「資訊」一詞，兩次「資訊」之內涵應有不同。故前段的資訊係指患者的資訊，而後段的資訊來源則應包含了醫療照護提供者，方符合立法者真意。 生物識別資訊風險較高，過去被認為需要取得當事人積極同意授權；於本案中伊利諾州最高法院權衡認為基於「治療、付款或健康照護運作」情境下，如本案情形係用來確保醫藥品被正確分配給需要的患者，因此對患者以外的醫療人員隱私權做出限制符合例外規定。本案揭示了個資隱私得為合理利用的情境之一，然而HIPAA對於資料傳輸較寬鬆的規範會否又與資料保護的趨勢有所違背，仍須持續關注相關案例發展。

有鑑於加密資產（crypto-asset）投資交易潛在風險與市場波動性，美國聯邦準備理事會（Federal Reserve Board）、聯邦存款保險公司（Federal Deposit Insurance Corporation, FDIC）與通貨監理局（Office of the Comptroller of the Currency, OCC）於2023年2月23日發布聯合聲明，提出加密資產增加銀行流動性風險情境，例如穩定幣因市場狀況之變動，導致銀行擠兌使大量存款流出，由於存款流入和流出的規模與時間的不可預測性，加密資產相關資金恐造成流動性風險提高，提醒銀行機構應用現有的風險管理原則審慎因應。 依據聲明內容，有效風險管理作法包括：（1）了解加密資產相關實體存款潛在行為的直接和間接驅動因素，以及這些存款易受不可預測波動影響的程度；（2）銀行機構應積極監控加密資產資金來源存在的流動性風險，並建立有效的風險管理控制措施；（3）應與加密資產存款相關的流動性風險納入應變計劃（contingency funding planning），例如流動性壓力測試；（4）評估加密資產相關實體存款之間關聯性。該聲明並強調銀行機構應建立風險管理機制及維持適當有效之內部控制制度，以因應加密資產高流動性風險，確保經濟金融穩健發展。

　　行動健康是指利用行動應用程式與智慧手機、平板、或無線裝置等行動裝置結合，運用這些裝置的核心功能，如聲音、簡訊、定位系統、藍芽、或3G、4G行動通信技術等，作為健康照護用途，以提升傳統照護品質與管理健康，減少醫療成本耗費。倘若行動應用程式具有醫療用途，可用於診斷、治療、預防疾病等，則屬於醫療器材，且該應用程式通常為醫療器材之附件，或與行動裝置結合使用而成為醫療器材，對此則稱之為行動醫療。 　　隨著智慧聯網(IoT)的應用，國際間對於行動健康與醫療的發展日益著重，除了鼓勵創新研發之外，也紛紛制訂法規政策因應，包括美國食品藥物管理局(FDA)在2013年9月公布行動醫療應用程式指導原則(Mobile Medical Application, Guidance For Industry and Food and Drug Administration Staff)，並於2015年2月修訂；歐盟2012年提出eHealth 行動計畫(eHealth Action Plan 2012-2020)，並在2014年4月針對行動健康的管理規範議題開放各類相關人士進行公共諮詢，後續在2015年1月公布諮詢結果。我國亦在2015年4月公布醫用軟體分類參考指引，以提供產業開發產品、申請查驗登記之參考。 　　未來，行動健康與醫療的發展將持面臨挑戰，相關問題包括行動健康與行動醫療之區分標準、行動醫療應用程式與傳統醫療軟體之監管差異、行動健康應用程式開發使用之自律性規範、使用者或病人隱私與個人資料保護、以及在研發過程中涉及的研究倫理等議題。