英國國家醫療服務體系(NHS)公布國家資料退出(Opt-out)操作政策指導文件
個人健康資料共享向為英國資料保護爭議。2017年英國資訊專員辦公室(ICO)認定Google旗下人工智慧部門DeepMind與英國國家醫療服務體系(NHS)的資料共享協議違反英國資料保護法後,英國衛生部(Department of Health and Social Care)於今年(2018)5月修正施行新「國家資料退出指令」(National data opt-out Direction 2018),英國健康與社會照護相關機構得參考國家醫療服務體系(NHS)10月公布之國家資料退出操作政策指導文件(National Data Opt-out Operational Policy Guidance Document)規劃病患退出權行使機制。
該指導文件主要在闡釋英國病患退出權行使之整體政策,以及具體落實建議作法,例如:
- 退出因應措施。未來英國病患表示退出國家資料共享者,相關機構應配合完整移除資料,並不得保留重新識別(de-identify)可能性;
- 退出權行使。因指令不溯及既往適用,因此修正施行前已合法處理提供共享之資料,不必因此中止或另行進行去識別化等資料二次處理;此外,病患得動態行使其退出權,於退出後重新加入國家資料共享體系;應注意的是,退出權的行使,採整體性行使,亦即,病患不得選擇部分加入(如僅同意特定臨床試驗的資料共享);
- 例外得限制退出權情形。病患資料之共享,如係基於當事人同意(consent)、傳染病防治(communicable disease and risks to public health)、重大公共利益(overriding public interest)、法定義務或配合司法調查(information required by law or court order)等4種情形之一者,健康與社會照護相關機構得例外限制病患之退出權行使。
NHS已於今年9月完成國家資料退出服務之資料保護影響評估(DPIA),評估結果認為非屬高風險,因此不會向ICO諮詢資料保護風險。後續英國相關機構應配合於2020年5月前完成病患資料共享退出機制之建置。
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
- 【北部場1】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場2】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場3】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場4】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【南部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【中部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
林其樺
專案經理 編譯整理
NHS Digital, National data opt-out Direction 2018, https://digital.nhs.uk/about-nhs-digital/corporate-information-and-documents/directions-and-data-provision-notices/secretary-of-state-directions/national-data-opt-out-direction-2018(last visited Oct. 8, 2018).
NHS Digital, Guidance for health and care staff, https://digital.nhs.uk/services/national-data-opt-out-programme/guidance-for-health-and-care-staff#national-data-opt-out-operational-guidance-policy(last visited Oct. 8, 2018).
德國聯邦內政部資料保護與資訊自由委員會於2015年8月15日針對歐盟部長會議於6月15日所確立對歐盟資料保護基本規則(Datenschutz-Grundverordnung)的基本立場,若依該立場則(1)資料處理目的之變更理由將變得更寬泛(2)對資訊保有機構所提出的申請程序以有償為原則(3)蒐集個人資料應遵循之規範過於簡略等,該委員會提出批評與建議。 該委員會會議認為有必要改進歐盟「資料保護基本規則」,令其更周延,更呼籲對資料保護基本規則的修正,應循以下重點及原則進行: 1.資訊節約原則應該堅持 多年來在德國法已確立的資訊節約原則(Datensparsamkeit)和資訊避免原則(Datenvermeidung),應予維持。因此資料保護基本規則中,須清楚詳盡地規定節約原則和資訊避免原則。 2.目的明確性原則的要求不能退縮 目的明確性原則(der Grundsatz der Zweckbindung)之功能,係為資料處理之透明性和可預見性,該原則亦強化了當事人的資訊自主權,使其得以信賴個人資料之處理,僅限於所申請之目的內進行。 故若依理事會建議之規範,使資料處理目的之變更,得以更寬泛的理由進行,將背棄歐盟基本權利憲章中之目的明確性原則。 3.即令個人同意書亦不得拋棄資訊主權 資訊自決權,意謂原則上個人可以用同意的方式,決定個人資訊的使用和拋棄。但即使有清楚明確的意思表示,該同意亦僅係保障資訊主權的重要因素之一。另就同意書而言,若如歐盟部長理事會所建議者,只需清楚明確即可,則這種方式於保護上是不夠充分的。 4.個人資料建檔必須有效地限制 該會議重申,嚴格規範對個人資料的蒐集有其必要性。為個人檔案之整合與充分使用設置嚴格的界限,現有規定太過簡略而遭到批評。 5.有效的資訊保護需要歐盟層級的企業與官署的資料保護專員 對於資訊保護監督的有效性,在德國已確立之官方與私人企業的資訊保護專員制度係重要之一環。應致力於歐盟層級公/私機構資訊保護專員制度在整個歐洲的推動。 6. 資訊傳輸第三國官署和法院需要更嚴格的監督 近期的隱私醜聞之後,目前亟需對歐洲公民個人資料給予更妥善的保護,以對抗來自第三國的機構。此意見書贊同歐盟議會的建議,即以第三國法院的判決和行政機關的決議,要求對個人資訊的披露,在歐盟之中僅能基於國際公約中機關互助和法律協助之規定,原則上予以承認與執行。
全美各州醫療委員會聯合會發布人工智慧(AI)治理指引,並要求醫師為AI之利用結果負最終責任全美各州醫療委員會聯合會(The Federation of State Medical Boards, FSMB)於2024年4月發布「引導人工智慧以負責任與符合倫理方式融入臨床實務」(Navigating the Responsible and Ethical Incorporation of Artificial Intelligence into Clinical Practice)指引,明確概述醫師於利用AI協助提供照護時可採取之步驟,以履行其倫理與專業職責,期能藉此降低對患者造成傷害之風險;本指引之特色在於,其要求醫師為AI之利用結果負最終之責任。 FSMB 向各州醫療委員會與其他利害關係人所提供之原則與建議如下,以支持對包含AI之臨床照護進行負責任與符合倫理之監管: (1)透明度與揭露(Transparency and Disclosure): 應要求維持於醫療照護領域使用AI之透明度;各州醫療委員會應制定明確之指導方針,向患者揭露AI之使用情況,其有助於患者與醫師之理解,但不會造成不必要之行政負擔;FSMB 應制定文件,詳細說明最常用之AI工具之功能與局限性,以協助醫療委員會發揮監管者之角色,並應制定常見問題與最佳實務文件,作為提供照護時利用AI方面關於透明度之資源。 (2)教育與理解(Education and Understanding): FSMB及其於醫學教育界之合作夥伴,應為醫師、醫療委員會與患者,確認有關醫療照護中AI之結構化教育資源,該等資源應包括協助瞭解AI如何運作、其優點、潛在風險以及對患者照護之影響。 (3)負責任之使用與問責(Responsible Use and Accountability): 開發人員應協助醫師瞭解何時、以及如何於患者之照護中利用AI工具;選擇AI工具支援臨床決策之醫院系統、保險公司或其他機構應向醫師提供有關AI工具之教育、存取各工具之性能報告,並應設計一個定期檢視工具功效的流程;AI工具應以得使各州醫療委員會能稽核與理解之方式設計,以便適當評估依賴工具輸出結果之醫師是否偏離照護標準(standard of care);FSMB 應支持各州醫療委員會針對臨床醫師如何負責任、可問責地使用AI之解釋。 (4)公平性與近用(Equity and Access): 應努力確保所有患者皆能公平地近用AI帶來之好處;FSMB與各州醫療委員會致力於以下原則:醫療人員所提供之照護是公平的、且不受基於種族、民族或其他形式歧視之偏見影響;FSMB應與其他利害關係人一起理解並解決演算法偏差問題。 (5)隱私與資料安全(Privacy and Data Security): AI工具之開發者必須實施嚴格之保護措施,以保護AI開發與評估時所利用之患者資料,通常情況下應告知患者資料如何被利用,且FSMB應與行業利害相關人一起制定AI系統使用與散布患者資料之政策,包括針對AI開發或評估中使用之患者資料之最低資料保護措施。 (6)監督與監管(Oversight and Regulation): 各州醫療委員會必須保留對於提供醫療服務時,不當應用AI工具之醫生進行紀律處分之權力,其包括問責議題之考慮,特別是當AI系統變得更加自主時;各州醫療委員會應審查其管轄範圍內如何對「醫療行為」(practice of medicine)進行法律定義,以確保對提供醫療照護、人力或其他方面進行持續之監管監督。 (7)法律法規之持續審查與調整(Continual Review and Adaptation of Law and Regulations): 各州醫療委員會應在FSMB之支持下,隨著AI之不斷發展,持續檢視與更新與AI相關之指引與法規;政策制定者應考慮AI對基本法律原則的影響,例如醫療行為之定義以及AI對企業醫學實務之影響;FSMB 應建立一個專門團隊,持續檢視與調整AI指引與法規。 本指引指出,AI工具通常無能力取代醫師之專業判斷、道德責任或對州醫療委員會之責任,醫療行為中之關鍵職業責任始終為確保診斷、臨床決策與建議不存在偏差。與用於診斷或治療疾病之任何其他工具或鑑別方法相同,醫療專業人員有責任確保基於證據結論之準確性與真實性,因此於將AI系統用於患者照護前,醫師應以合理努力識別與解決偏差(如虛假或不準確之資訊等)。
加拿大隱私專員呼籲提升加拿大人在美國之隱私保護加拿大隱私專員表示,其國人在美國雖享有一些隱私保護,但該保護主要係依賴不具法律效力之行政協議,因而相當脆弱。 隱私專員Daniel Therrien在一封致加拿大司法部長、公共安全部長及國防部長的公開信中,請求加拿大政府官員們向其對口之美國政府部門,要求藉由將加拿大列入美國國會去(2016)年通過之「司法賠償法案(Judicial Redress Act of 2015)」指定國家清單,以強化對其國人之隱私保護。隱私專員並表示,國人關切並請加拿大隱私專員辦公室(OPC)針對美國總統唐納.川普(Donald John Trump)所發布之行政命令進行影響評估,因其將排除非美國公民及合法永久居民隱私權法中關於個人可資識別資料之保護。 倘若加拿大能如同歐洲聯盟(European Union)及26個歐洲國家一般,於今年初時被列入前述指定清單,則其公民即可透過美國法院之強制執行,獲得隱私保障。此外亦可同時強化行政協議,如:美加邊境安全行動計劃(Canada-U.S. Beyond the Border Action Plan)及其聯合隱私聲明原則(Joint Statement of Privacy Principles)給予加拿大人之保護。 聯合隱私聲明原則涵括12項,其重要者有: 1.善盡一切合理努力,確保個人資料之正確性,以及後續請求查閱及更正錯誤之權利。 2.個人資料適當安全維護措施。 3.蒐集個人資料之相關性及必要性。 4.當事人認為其隱私受侵害時,得受繼有國家當局之賠償。 5.公務機關之有效監督。 縱算美國隱私權法自始即從未適用於加拿大人,且前開行政命令亦未改變現況,該命令仍突顯出「在南邊境上對加拿大人個人資料保護的顯著差距」。 「作為一個長期盟友以及密切的貿易夥伴,加拿大應要求被給予和那些經指定列入清單之歐洲國家相同程度之保護。」