|
李先生年過80,與兒子一家居住于臺北市一所屋齡四十幾年的無電梯老屋中。由于不良于行,他因糖尿病要到醫院回診時,總是為了上下樓及交通過程感到苦惱。兒子一家要上班上學,能協助爸爸看病的時間有限。在2020年,李先生裝了一套有藍牙功能的胰島素幫浦,以及連續性血糖監測儀。每天他只要把自己吃的東西及份量輸入智能手機中,智能手機便會根據血糖監測儀所發出的體內血糖數值,計算出應注射的胰島素劑量,并以藍牙啟動胰島素幫浦進行自動注射,再將數據傳輸到李先生治療糖尿病的醫院。每隔一兩個月,醫院會透過遠程視訊,為李先生進行問診,并透過網絡藥局把處方藥寄到李先生家中。透過這些創新設備,李先生需要到醫院的次數大為減少,也減少了所需的交通、醫療人力等支出。而醫院長期搜集這些病人的數字化醫療信息,因此發現該胰島素藥物可能對X疾病也有效用,最后藥廠根據這些數據,再進行一些臨床試驗,最后獲得食品藥物管理署通過允許該藥物也用于治療X疾病。 上述的假設性情形,其好處雖顯而易見,但在目前臺灣地區的法規環境,不僅許多行為仍處于非法狀態,而實際運作上會遇到的種種困難,也不是只用“法規松綁”一語便可帶過。近年來歐美國家為推動數字健康照護(Digital Health,又稱E-health)的運用,制定許多法律,以處理醫療大數據利用、移動裝置隱私權、遠程醫療等問題。臺灣地區在科技面其實已具備實現上述情形的能力,但相關的立法討論遲遲未能化為移動。未來若不能下定決心積極立法,勢必不僅在此領域落后周圍地區和國家,也難使民眾享受到科技帶來的利益。 一、開放遠程醫療的障礙 臺灣地區醫師法第11條第一項本文規定:“醫師非親自診察,不得施行治療、開給方劑或交付診斷書。”細察該規定的立法背景,是在1960年代,為避免借牌行為,故要求有牌照的醫師,必須親自從事醫療行為,不得借助授權行為而產生無照行醫行為。但后來該項加上但書,經過一些修正過程后,變成“但于山地、離島、偏僻地區或有特殊、急迫情形,為應醫療需要,得由直轄市、縣 (市) 主管機關指定之醫師,以通訊方式詢問病情,為之診察,開給方劑,并囑由衛生醫療機構護理人員、助產人員執行治療。”使這項變成一條限制以通訊方式進行遠程醫療的行為。雖然近十幾年來臺灣地區積極推動遠程照護(telecare)計劃,但因為一直不允許醫師提供遠程醫療服務,因此只能提供生理指數監控的照護,不能開立處方,使得相關通訊器材設備的利用價值大減,成本過高而推行成效甚低,利用者少。直到2017年底,醫事司才宣布開放六大類病人,包括慢性病但移動不便、緊急住院后三至六個月內須密切追蹤、住宿型長照機構住民、國際病患、及適用健保居家醫療照護整合計劃、家庭醫師整合性照護計劃。但目前政府尚不允許網絡藥局寄送處方藥的服務,因此醫師開立處方后,仍必須親自到藥局去領藥。 日本雖有醫師親自診察義務的類似法律規定,但早在1990年代末期,就透過行政函釋的發布,認定只要符合一定條件,以通訊方式進行醫療行為,仍符合此處所謂的醫師親自診察義務。而鄰近的馬來西亞在1997年就制定遠程醫療法(Telemedicine Act)以推動利用先進信息及多媒體科技的系統,為民眾提供更優質的智慧醫療服務。歐美各國由于地廣人稀,自1970年代就有遠程醫療的合法行為,更透過判決及立法而累積了相當的判斷標準。臺灣地區要進行立法,并非沒有適合的參考依據。那么,真正的問題為何呢? 首先,據羿戓信息所了解,遠程醫療會使醫療機構間的競爭及整合行為加劇。醫療機構是特許行業,臺灣地區對各行政區域內的醫院設立許可,是以人口及病床數的比例為判斷依據。同一區域內的病人,除非有特別理由,原則上會在該區域內就醫。遠程醫療使醫療機構能服務的地理范圍擴大,甚至隨著信息通訊科技的發達,要對跨地區和跨國的病人進行服務,亦非難事。2001年,一位位于紐約的醫師,透過光纖網絡操控一臺類似達文西的手術機器人,為一位在法國的老婦人切除膽囊成功。而目前長庚醫院也與中國大陸的醫院合作,進行遠程會診。當此類行為大幅開放后,各醫療機構可能必須跟進,形成新型態的武器競賽。而大醫院與小診所透過遠程合作,將產生新形態的醫療機構混合體。由于病人不一定要到醫院,因此醫師也就不一定要常到醫院。醫院與醫師間的關系,也將因而改變。 其次,遠程醫療的過失責任不易厘清。在遠程的醫師,可能與近端的病人建立醫病關系,但也可能不想建立醫病關系,而只是單純對近端的醫師提供專業意見咨詢,屬于“遠程會診”而非“遠程醫療”。當成立醫病關系時,由于遠程醫療的信息內容,可能無法像近端診療一般詳盡(例如缺乏觸診、影像傳輸失真等),因此過失責任判斷標準究竟要采取何種注意義務程度,此項不確定會引起醫師的擔憂,從而成為抗拒開放的心理因素。 此外尚有一些細節,是大幅開放時必須考慮的問題。例如,如何證明醫病雙方確實有進行醫療行為,從而可申請健保給付?可能必須要求全程錄像,以解決醫療費用給付,以及證明有進行告知后同意的過程。如果醫師開立處方,但病人仍必須親自到藥房才能領藥,對于移動不便的病人而言,問題只解決了一半。因此是否及如何開放網絡藥局,克服實體藥局的抗議,也是下一步的課題。 雖然臺灣地區對遠程醫療仍有抗拒聲浪,但因為大陸已開放此項業務,臺灣地區因地緣關系,勢必受到影響。目前大陸已有像“在線問診”、“平安好醫生”等熱門遠程醫療app,結合醫療保險等業務建立問診平臺。平安好醫生并已在香港進行IPO上市準備,募資擴大營業。醫療是一項資本密集的產業,經濟持續成長的國家和地區,必然會投資于醫療產業,因此醫療技術的進步,是遲早的事。臺灣地區必須認清趨勢,下定決心,作好法律上的因應。 二、移動裝置隱私與安全風險 在數字健康照護產業中,移動裝置或物聯網醫療器材的普及,是不可避免的趨勢。物聯網設備搜集及傳播信息,不可避免涉及安全問題。例如,數據在傳遞過程中若發生錯誤、經人為竄改數值、甚至被黑客透過藍牙功能加以操作,將對病人造成無可想象的安全威脅。美國FDA為此發布設計指引,要求具物聯性質的醫療器材須具備相當的安全防護。然而,以手機為主的移動裝置的科技發展迅速,產品在市場上的生命周期短暫,業者為盡早上市,未必能在安全及隱私問題上作太多努力。臺灣地區經濟主管部門自2015年已推行app自主安全認證機制,但若要進一步強制化,可能會對此變化快速的產業造成阻礙,因此在政策上仍有發展空間。 醫療健康信息的及時取得,雖有助于醫療決策判斷,但也便于黑客入侵。據衛福部門的監控報告,光一個晚上臺灣地區政府醫療信息系統受攻擊的次數就可能高達上萬次。運動品牌Under Armour的健康app在2018年2月被黑客入侵,約1.5億用戶數據被駭。洛杉磯一家醫院于2013年被駭,所有電子病歷被加密,只好付出巨額比特幣贖回病歷。2017年一家公司使用amazon S3 repository儲存醫療數據,有47GB的數據被駭。2016年澳洲紅十字會的捐血服務系統被駭,一百三十多萬名捐血者的個人資料被竊。西方各國為因應這些安全議題,已通過許多法令強制提高安全標準,例如美國1995年通過的HIPPA(健康保險可攜與責任法),對于醫療照護有關的產業,明確界定何種行為應取得當事人同意,取得醫療信息者應負有何種安全保護義務。 由于醫療信息的電子化,往往使非醫療機構的信息通訊業者,得以取得醫療健康個人資料,因此美國在2009年通過HITECH法,對于與醫療機構合作的非醫療機構,給予明確的隱私與安全保護規范,而非像過往只依賴民事契約加以保護。但醫療健康app或像apple watch智能手表、運動手環等裝置,以及數據傳輸過程中的云端平臺,在整個運作過程可能完全不需要與醫療機構合作,卻能取得民眾每日持續產生的生理資料,形成法制上的漏洞,目前只能靠一般個人資料法加以保護。未來可預見各國政府將會對此領域立法或加強管制,以消除個人資料保護程度甚低的現行亂象。 醫療器材依風險高低,各國在上市審查程序中,多半分為三級或四級。只有風險最高、依現有知識無法判斷及控制其風險的類型,才需要進行人體試驗。即使像島內有名的達文西手術機器人,也是以參考腹腔鏡為依據,以第二級醫療器材上市,并未經過臨床試驗階段。而Android、iOS平臺上諸多的健康醫療app,更幾乎都沒有進行過臨床測試。目前市面上的健康醫療app,多半用于生理信息記錄,但已有些app,宣稱可將手機轉換成醫療器材,進行聽診器等功能,或與外部裝置結合而進行診斷或治療用途。這些app的運作若有醫療專業人員參與,安全性疑慮較小。但如果是民眾完全能自行操作的自動化技術,例如定時紀錄民眾生理信息的器材發生數據錯誤情形,若未能及時發現,就可能造成醫療診斷上的誤判。依現行法規,這些錯誤只能透過產品責任及消費者保護法等規范加以事后求償,行政規范中鮮少能要求這些app進行上市后的安全信息搜集及處理。尤其一些app的公司位于海外,更增加管制上的困難。如何強化這些產品的上市后監控,持續強化改善,將是管制上的挑戰。 三、醫療大數據利用 數字醫療照護產業的商業模式中,利潤未必只來自軟硬件服務。大數據利用所產生的價值極為可觀,在歐美甚至有專門出售健康醫療個人資料而上市的數據中介公司(data broker)。醫療大數據不僅可讓制藥業了解產業需求動態,也有助于研發新藥,進行醫療決策分析。主要法律爭議,在于這些個人資料搜集與販賣行為,幾乎都未曾征求過病人的同意,形成隱私爭議。雖然大數據研究通常會先去除個人識別因子后再授權利用,但在部分管制密度不高的領域,例如醫療app,不排除部分企業可能未去識別化就把個人資料授權。臺灣地區著名的健保數據庫訴訟案,由人權團體自2012年提出訴訟,要求衛福部門將所屬單位(含健保署、疾管署等)健康個人資料整合而成的研究用電子數據庫,必須讓當事人有行使同意權的權利,歷經多次審級而敗訴確定,正在申請大法官釋憲中。但無論結果如何,問題的癥結在于,臺灣地區欠缺獨立的個人資料保護主管機關,不能預先制定行政規則明確界限,使政府及民間均缺乏可資判斷的行為準則,這是臺灣地區相關產業難以發展的重要原因。 以法國為例,法國成立“國家信息自由委員會”,其性質猶如臺灣地區的公平交易委員會,通訊監察委員會等,監管政府及企業的個人資料處理行為,對違法者可施以行政裁罰。德國創設聯邦數據保護及信息自由局,設立地位崇高的聯邦數據保護監察使,制定相關規范。美國相當于臺灣地區衛福部門,也有人民權利辦法室進行HIPPA的執法,接受人民申訴并職司教育訓練。在全民健保數據運用方面,德國于2015年12月通過“加強健保電子數據流通與使用法”,主要內容是委托一家名為Gematik的通訊技術公司,處理國家的健保卡信息,加強病人對自身醫療數據的知悉權及自主權,強化安全要求,病人有權將健保卡的資料納入其“自身健康紀錄專區”,相當于臺灣地區健保署推出的“個人健康存款博”,能在其中整合運動手環等數據,以及在線看診服務等等。澳洲更有全國性的My Health Record Act,由政府建立個人可以在上面管理自己醫療個人資料的網絡平臺,民眾可勾選要把哪些資料開放給哪些醫療機構,充分實踐個人資料自主。而歐美各國對于公益或家暴等事件,也多半采取列舉式的立法模式,列出政府可以不經民眾同意而使用個人資料的行為及條件。臺灣地區要鼓勵數字醫療健康產業,應該正視隱私法律的重要性,積極立法管制,以消弭政府、企業與民眾間的沖突。 
|
