健康大数据、人工智能(AI)已经成为医疗研发的新圣杯,新冠肺炎(COVID-19)更将 AI 技术推上防疫舞台,各国纷纷串联大数据监控足迹或采用电子围篱。但当科技防疫介入公卫医疗,我们是否在不知不觉中让渡了个人隐私?中研院欧美研究所副研究员何之行认为,规范不完备是台湾个资保护的一大隐忧,《个资法》问世远早于 AI 时代、去识别化定义不清、缺乏独立专责监管机构,都是当前课题。
“天网”恢恢,公卫医疗的新利器
自 2020 年新冠疫情大爆发,全世界为了因应危机展开大规模协作,从即时统计看板、预测病毒蛋白质结构、电子监控等,大数据与 AI 技术不约而同派上用场。但当数位科技介入公共卫生与医疗健康体系,也引发人权隐私的两难争议。
2020 年的最后一夜,台湾再次出现本土案例。中央流行疫情指挥中心警告,居家隔离、居家检疫、自主健康管理的民众,都不应参加大型跨年活动。而且,千万别心存侥幸,因为“天网”恢恢,“我们能找得到您”!有天网之称的电子围篱 2.0 出手,许多人拍手叫好,但也挑起国家进行隐私监控的敏感神经。
隐私争议不只在防疫战场,另一个例子是近年正夯的精准医疗。2021 年 1 月,《经济学人》(The Economist)发布亚太区“个人化精准医疗发展指标”(Personalised-health-index)。台湾勇夺亚军,主要归功于健全的健保、癌症数据库及尖端资讯科技。
国际按赞,国内反应却很两极。早前曾有人质疑“个人生物资料”的隐私保障,担忧是否会成为药厂大数据;但另一方面,部分医疗研究者却埋怨《个人资料保护法》(简称《个资法》)很严、很卡,大大阻挡了医学研发。为何国内反应如此分歧?
中研院欧美所副研究员何之行认为,原因之一是,
《个资法》早在 2012 年就实施,跑在 AI 时代之前,若仅仰赖现行规范,对于新兴科技的因应恐怕不合时宜。
健保数据库争议:谁能再利用我们的病历资料?
来看看曾喧腾一时的“健保数据库诉讼案”。
2012 年,台湾人权促进会与民间团体提出行政诉讼,质疑-没有取得人民同意、缺少法律授权,径自将健保资料提供给医疗研究单位。这意味,一般人完全不知道自己的病例被加值运用,侵害了资讯自主权。案件虽在 2017 年败诉,但已进入大法官释宪。
民间团体批评,根据《个资法》,如果是原始搜集目的之外的再利用,应该取得当事人同意。而健保资料原初搜集是为了稽核保费,并非是提供医学研究。
但支持者则认为,健保数据库是珍贵的健康大数据,若能串接提供学术与医疗研究,更符合公共利益。此外,如果过往的数据资料都必须重新寻求全国人民再同意,相关研发恐怕得被迫踩刹车。
种种争议,让医学研究和资讯隐私之间的红线,显得模糊而举棋不定。何之行指出,“个人权利”与“公共利益”之间的权衡拉锯,不仅是长久以来政治哲学家所关心的课题,也反映了现代公共卫生伦理思辨的核心。
我们有权拒绝提供资料给医疗研究吗?当精准医疗的脚步飞也似向前奔去,我们要如何推进医学科技,又不弃守个人的隐私权利呢?
▲ 近年“精准医疗”与“精准健康”成为医学发展的重要趋势,透过健康大数据来预测疾病、对症下药。但健康资料涉及个人隐私,如何兼顾隐私与自主权,也为另一重要议题。(Source:Flickr/NEC Corporation of America CC BY 2.0)
去识别化争点:个资应该“马赛克”到什么程度?
何之行认为,“健保数据库争议”短期可以从几项原则着手,确立资料使用标准,包括:允许退出权(opt-out)、定义去识别化(de-identification)。
“去识别化”是一道安全防护措施。简单来说:让资料不会连结、辨识出背后真正的那个人。何之行特别分享 Google 旗下人工智能研发公司 DeepMind 的惨痛教训。
2017 年,DeepMind 与英国皇家医院(Royal Free)的协定曝光,DeepMind 从后者取得 160 万笔病历资料,用来研发诊断急性肾衰竭的健康 App。听来立意良善的计划,却引发轩然大波。原因是,资料分享不仅未取得病患同意,也完全没有将资料去识别化,每个人的病史、用药、就医隐私全被看光光!这起争议无疑是一大教训,重创英国社会对开放资料的信任。
回到台湾脉络。去识别化指的是以代码、匿名、隐藏部分个资或其他方式,无从辨识特定个人。但要达到什么样的隐匿保护程度,才算是无从识别特定个人?
何之行指出,个资法定义不甚清楚,混用匿名化(anonymous)、假名化(pseudonymised)、去连结(delink)等规范程度不一的概念。台湾也没有明确定义去识别化标准,成为争议点。
现行法令留下了模糊空间,那么他山之石是否能提供参考?
以美国《健康照护可携法案》(HIPAA)为例,法案订出去除 18 项个人识别码,为去识别化的基准;欧盟《一般资料保护规则》则直接说明,假名化的个资仍然是个人资料。
退出权:保留人民 say NO 的权利
另一个消解争议的方向是:允许退出权,让个人保有退出数据库的权利。即使健保资料并没有取得民众事前(opt-in)的同意,但仍可以提供事后的退出选项,民众便有机会决定,是否提供健康资料做学术研究或商业运用。
何之行再举英国国民健保署 NHS 做法为例:英国民众有两阶段选择退出中央数据库 (NHS Digital)的机会,一是一开始就拒绝家庭医师将自己的医病资料上传到 NHS Digital,二是资料上传后,仍然可在资料分享给第三方使用时说不。毕竟有人愿意为公益、学术目的提供个人健康数据,对商业用途敬谢不敏;也有人觉得只要无法辨识个人即可。
近年,英国-很努力和大众沟通,希望民众认知资料分享的共善,也说明退出带来的社会成本,鼓励人们留在数据库内,享受精准医疗带给个人的好处。可看到英国-借由公众沟通,努力建立社会信任。
参照英国经验,目前选择退出的比率约为 2.6%。保留民众某种程度的退出权,但善尽公众沟通,应是平衡集体利益与个人隐私的方法之一。
欧盟 GDPR 个资保护的四大原则
健保数据库只是案例之一, 当 AI 成为大数据浪潮下的加速器,最周全之策仍然是针对 AI 时代的资料运用另立规范。 欧盟 2018 年实施的《一般资料保护规则》(General Data Protection Regulation,以下简称 GDPR),便是大数据 AI 时代个资保护的重要指标。
▲ 因应 AI、大数据时代的变化,欧盟在 2016 年通过 GDPR,2018 年正式上路,称为“史上最严格个资保护法”。包括行动装置 ID、宗教、生物特征、性倾向都列入被保护的个人特征范畴。(Source:pixabay)
欧盟在法令制定阶段已将 AI 运用纳入考量,设定出个资保护四大原则:目的特定原则、资料最小化、透明性与课责性原则。
“目的特定”与“资料最小化”都是要求资料搜集、处理、利用,应在特定目的必要范围内,也就是只提供“绝对必要”的资料。
然而,这与大数据运用需仰赖大量资料的特质,明显冲突!
大数据分析的过程,往往会大幅甚至没有“特定目的”广蒐资料;资料分析后的应用范围,也可能超出原本设定的目标。因此,如何具体界定“特定目的”及后续利用的“兼容性判断”,便相当重要。这也突显出“透明性”原则强调的自我揭露(self-disclosure)义务。当搜集方成为主要的资料控制者,就有义务更进一步解释那些仰赖纯粹自动化的决策,究竟是如何形成的。
“透明性原则的用意是为了建立信任感。”何之行补充。她举例,中国阿里巴巴集团旗下的芝麻信用,将算法自动化决策的应用发挥得淋漓尽致,就连欧盟发放申根签证都会参考。然而,所有纳入评分系统的人民,却无从得知庞大的算法系统如何运作,也无法知道为何自己的信用评等如此。
▲ 芝麻信用声称,系统会依照身份特质、信用历史、人脉关系、行为偏好、履约能力等五类资料,进行每个人的信用评分,分数介于 350~950。看似为电商系统的信用评等,但实则影响个人信贷、租车、订房、签证,甚至是求职。
这同时涉及“课责性”(accountability)原则──出了问题找谁负责。以医疗场域来讲,无论诊断过程中动用了多少 AI 工具作为辅助,最终仍须仰赖真人医师做最后的专业判断,这不仅是尊重医病关系,也是避免病患求助无门的问责体现。
科技防疫:无所遁形的日常与数位足迹
当新冠疫情爆发,全球人心惶惶、对未知病毒充满恐惧不安,科技防疫一跃成为国家利器。但公共卫生与人权隐私的论辩,也再次浮上台面。
2020 年 4 月,挪威的国家公共卫生机构推出一款接触追踪软件,能监控足迹、提出曾接触确诊者的示警。但两个月后,这款挪威版的“社交距离 App”却遭挪威个资主管机关(NDPA)宣告禁用。
▲ 挪威开发“Smittestopp”,可透过 GPS 与蓝牙定位追踪用户足迹,提出与感染者曾接触过的示警,定位资讯也会上传到中央服务器储存。然而挪威资料保护主管机关(NDPA)宣告,程式对个人隐私造成不必要的侵害,-应停止使用并删除资料。(Source:Google Play)
为何挪威资料保护机关会做出这个决定?大体来说,仍与欧盟 GDPR 四大原则有关。
首先,NDPA 认为挪威-没有善尽公众沟通责任,目的不清。人民不知道这款 App 是为了疫调?或者为研究分析而持续搜集资料?且上传的资料包含非确诊者个案,违反特定目的与资料最小搜集原则。
此外,即便为了防疫,-也应该采用更小侵害的手段(如仅从蓝牙确认距离资讯),而不是直接由 GPS 掌控个人定位轨迹,这可能造成国家全面监控个人行踪的风险。
最后 NDPA 认为,搜集足迹资料原初是为了即时防疫,但当资料被转作后续的研究分析,-应主动说明为什么资料可以被二次利用?又将如何去识别化,以确保个资安全?
换言之,面对疫情的高度挑战,挪威个资保护机关仍然认为若没有足够的必要性,不应轻易打开潘朵拉的盒子,国家采用“Smittestopp”这款接触追踪软件,有违反比例原则之虞。
“有效的疫情控制,并不代表必然需要在隐私和个资保护让步。反而当决策者以防疫之名进行科技监控,一个数位监控国家的诞生,所妥协的将会是成熟公民社会所赖以维系的公众信任与共善。”何之行进一步分析:
数位监控所带来的威胁,并不仅只于表象上对于个人隐私的侵害,更深层的危机在于,掌握“数位足迹”(digital footprint) 后对于特定当事人的描绘与剖析。
当监控者透过长时间、多方面的资讯搜集,对于个人的“深描与剖绘”(profiling)远远超过想像──任何人的移动轨迹、生活习惯、兴趣偏好、人脉网络、政治倾向,都可能全面掌握!
AI 时代需要新法规与管理者
不论是医药研发或疫情防控,数位监控已成为当代社会的新挑战。参照各国科技防疫的争论、欧盟 GDPR 规范,何之行认为,除了一套 AI 时代的个资保护规范,实践层面欧盟也有值得学习之处。
例如,对隐私风险的脉络化评估、将隐私预先纳入产品或服务的设计理念(privacy by design),“未来照护机器人可能走入家家户户,我们却常忽略机器人 24 小时都在搜集个资,隐私保护在产品设计的最初阶段就要纳入考量。”
另外最关键的是:设置独立的个资监管机构,也就是所谓的资料保护官(data protection officer,DPO),专责监控公、私营部门是否遵循法规。直白地说,就是“个资警察局”。何之行比喻,
如果家中遭窃,我们会向警察局报案,但现况是“个资的侵害不知道可以找谁”。财税资料归财政部管,健康资料归卫福部管,界定不清楚的就变成三不管地带。
综观台湾现状,她一语点出问题:“我们不是没有法规,只是现有的法令不完备,也不合时宜。”
过往许多人担心,“个资保护”与“科技创新”是两难悖论,但何之行强调法令规范不是绊脚石。路开好、交通号志与指引完善,车才可能跑得快。“GDPR 非常严格,但并没有阻碍科学研究,仍然允许科学例外条款的空间。”
“资料是新石油”(data is the new oil),台湾拥有世界数一数二最完整的健康资料,唯有完善明确的法规范才能减少疑虑,找出资料二次利用与科技创新的平衡点,也建立对于资料二次利用的社会信任。
▲ 病毒阴影下,疫病恐惧会让人会迫切期待-雷厉风行,但何之行强调,疫情终将趋缓,重新反思法治社会的原则:法律保留、授权明确、正当程序与最小侵害,是民主社会在后疫情时代的重要课题。
▲ 中研院集结近 20 位人文社会学者参与的科研计划,推出数位网站,从历史、经济、法政、社会学、文学等不同视角,对瘟疫下的社会冲击提出深刻讨论,7 月将出版实体书籍。网站中,何之行也透过人权、法律与历史的跨向度对话,省思科技防疫下的界线权衡。(Source:COVID-19 的人文社会省思网站,中研院数位文化中心)
(本文由 研之有物 授权转载;首图来源:shutterstock)
