3

2
1

文字

分享

3
2
1

AI 助陣醫學、防疫,個人隱私難兩全?

研之有物│中央研究院_96
・2021/07/19 ・5788字 ・閱讀時間約 12 分鐘

本文轉載自中央研究院研之有物,泛科學為宣傳推廣執行單位。

  • 採訪|黃曉君   
  • 撰文|周玉文、劉芝吟
  • 美術設計|林洵安

健康大數據、人工智慧(AI)已經成為醫療研發的新聖杯,新冠肺炎(COVID-19)更將 AI 技術推上防疫舞臺,各國紛紛串聯大數據監控足跡或採用電子圍籬。但當科技防疫介入公衛醫療,我們是否在不知不覺中讓渡了個人隱私?中研院歐美研究所副研究員何之行認為,規範不完備是臺灣個資保護的一大隱憂,《個資法》問世遠早於 AI 時代、去識別化定義不清、缺乏獨立專責監管機構,都是當前課題。

「天網」恢恢,公衛醫療的新利器

自 2020 年新冠疫情大爆發,全世界為了因應危機展開大規模協作,從即時統計看板、預測病毒蛋白質結構、電子監控等,大數據與 AI 技術不約而同派上用場。但當數位科技介入公共衛生與醫療健康體系,也引發人權隱私的兩難爭議。

2020 年的最後一夜,臺灣再次出現本土案例。中央流行疫情指揮中心警告,居家隔離、居家檢疫、自主健康管理的民眾,都不應參加大型跨年活動。而且,千萬別心存僥倖,因為「天網」恢恢,「我們能找得到您」!有天網之稱的電子圍籬 2.0 出手,許多人拍手叫好,但也挑起國家進行隱私監控的敏感神經。

隱私爭議不只在防疫戰場,另一個例子是近年正夯的精準醫療。2021 年 1 月,《經濟學人》(The Economist)發布亞太區「個人化精準醫療發展指標」(Personalised-health-index)。臺灣勇奪亞軍,主要歸功於健全的健保、癌症資料庫及尖端資訊科技。

國際按讚,國內反應卻很兩極。早前曾有人質疑「個人生物資料」的隱私保障,擔憂是否會成為藥廠大數據;但另一方面,部分醫療研究者卻埋怨《個人資料保護法》(簡稱《個資法》)很嚴、很卡,大大阻擋了醫學研發。為何國內反應如此分歧?

中研院歐美所副研究員何之行認為,原因之一是,

《個資法》早在 2012 年就實施,跑在 AI 時代之前,若僅僅仰賴現行規範,對於新興科技的因應恐怕不合時宜。

健保資料庫爭議:誰能再利用我們的病歷資料?

來看看曾喧騰一時的「健保資料庫訴訟案」。

2012 年,臺灣人權促進會與民間團體提出行政訴訟,質疑政府沒有取得人民同意、缺少法律授權,逕自將健保資料提供給醫療研究單位。這意味,一般人完全不知道自己的病例被加值運用,侵害了資訊自主權。案件雖在 2017 年敗訴,但已進入大法官釋憲。

民間團體批評,根據《個資法》,如果是原始蒐集目的之外的再利用,應該取得當事人同意。而健保資料原初蒐集是為了稽核保費,並非是提供醫學研究。

但支持者則認為,健保資料庫是珍貴的健康大數據,若能串接提供學術與醫療研究,更符合公共利益。此外,如果過往的數據資料都必須重新尋求全國人民再同意,相關研發恐怕得被迫踩剎車。

種種爭議,讓醫學研究和資訊隱私之間的紅線,顯得模糊而舉棋不定。何之行指出,「個人權利」與「公共利益」之間的權衡拉鋸,不僅是長久以來政治哲學家所關心的課題,也反映了現代公共衛生倫理思辨的核心。

我們有權拒絕提供資料給醫療研究嗎?當精準醫療的腳步飛也似向前奔去,我們要如何推進醫學科技,又不棄守個人的隱私權利呢?

「精準醫療」與「精準健康」是近年醫學發展的重要趨勢,透過健康大數據來評估個人健康狀況,對症下藥。但健康資料涉及個人隱私,如何兼顧隱私與自主權,成為另一重要議題。圖/研之有物

去識別化爭點:個資應該「馬賽克」到什麼程度?

何之行認為,「健保資料庫爭議」短期可以從幾項原則著手,確立資料使用標準,包括:允許退出權(opt-out)、定義去識別化(de-identification)。

「去識別化」是一道安全防護措施。簡單來說:讓資料不會連結、辨識出背後真正的那個人。何之行特別分享 Google 旗下人工智慧研發公司 DeepMind 的慘痛教訓。

2017 年,DeepMind 與英國皇家醫院(Royal Free)的協定曝光,DeepMind 從後者取得 160 萬筆病歷資料,用來研發診斷急性腎衰竭的健康 APP。聽來立意良善的計畫,卻引發軒然大波。原因是,資料分享不僅未取得病患同意,也完全沒有將資料去識別化,每個人的病史、用藥、就醫隱私全被看光光!這起爭議無疑是一大教訓,重創英國社會對於開放資料的信任。

回到臺灣脈絡。去識別化指的是以代碼、匿名、隱藏部分個資或其他方式,無從辨識特定個人。但要達到什麼樣的隱匿保護程度,才算是無從識別特定個人?

何之行指出,個資法中的定義不甚清楚,混用匿名化(anonymous)、假名化(pseudonymised)、去連結(delink)等規範程度不一的概念。臺灣也沒有明確定義去識別化標準,成為爭點。

現行法令留下了模糊空間,那麼他山之石是否能提供參考?

以美國《健康照護可攜法案》(HIPAA)為例,法案訂出了去除 18 項個人識別碼,作為去識別化的基準;歐盟《一般資料保護規則》則直接說明,假名化的個資仍然是個人資料。

退出權:保留人民 say NO 的權利

另一個消解爭議的方向是:允許退出權,讓個人保有退出資料庫的權利。即使健保資料並沒有取得民眾事前(opt-in)的同意,但仍可以提供事後的退出選項,民眾便有機會決定,是否提供健康資料做學術研究或商業運用。

何之行再舉英國國民健保署 NHS 做法為例:英國民眾有兩階段選擇退出中央資料庫 (NHS Digital)的機會,一是在一開始就拒絕家庭醫師將自己的醫病資料上傳到 NHS Digital,二是資料上傳後,仍然可以在資料分享給第三方使用時說不。畢竟有人願意為公益、學術目的提供個人健康數據,對商業用途敬謝不敏;也有人覺得只要無法辨識個人即可。

近年,英國政府很努力和大眾溝通,希望民眾認知到資料分享的共善,也說明退出所帶來的社會成本,鼓勵人們留在資料庫內,享受精準醫療帶給個人的好處。可以看到英國政府藉由公眾溝通,努力建立社會信任。

參照英國經驗,目前選擇退出的比率約為 2.6%。保留民眾某種程度的退出權,但善盡公眾溝通,應是平衡集體利益與個人隱私的一種做法。

歐盟 GDPR 個資保護的四大原則

健保資料庫只是案例之一, 當 AI 成為大數據浪潮下的加速器,最周全之策仍然是針對 AI 時代的資料運用另立規範。 歐盟 2018 年實施的《一般資料保護規則》(General Data Protection Regulation,以下簡稱 GDPR),便是大數據 AI 時代個資保護的重要指標。

因應 AI、大數據時代的變化,歐盟在 2016 年通過 GDPR,2018 年正式上路,被稱為「史上最嚴格的個資保護法」。包括行動裝置 ID、宗教、生物特徵、性傾向都列入被保護的個人資料範疇。圖/研之有物

歐盟在法令制定階段已將 AI 運用納入考量,設定出個資保護四大原則:目的特定原則、資料最小化、透明性與課責性原則

其中,「目的特定」與「資料最小化」都是要求資料的蒐集、處理、利用,應在特定目的的必要範圍內,也就是只提供「絕對必要」的資料。

然而,這與大數據運用需仰賴大量資料的特質,明顯衝突!

大數據分析的過程,往往會大幅、甚至沒有「特定目的」的廣蒐資料;資料分析後的應用範圍,也可能超出原本設定的目標。因此,如何具體界定「特定目的」以及後續利用的「兼容性判斷」,便相當重要。這也突顯出「透明性」原則強調的自我揭露(self-disclosure)義務。當蒐集方成為主要的資料控制者,就有義務更進一步解釋那些仰賴純粹自動化的決策,究竟是如何形成的。

「透明性原則的用意是為了建立信任感。」何之行補充。她舉例,中國阿里巴巴集團旗下的芝麻信用,將演算法自動化決策的應用發揮得淋漓盡致,就連歐盟發放申根簽證都會參考。然而,所有被納入評分系統的人民,卻無從得知這個龐大的演算法系統如何運作,也無法知道為何自己的信用評等如此。

芝麻信用表示,系統會依照身分特質、信用歷史、人脈關係、行為偏好、履約能力等五類資料,進行每個人的信用評分,分數介於 350-950。看似為電商系統的信用評等,實則影響個人信貸、租車、訂房、簽證,甚至是求職。圖/研之有物

這同時涉及「課責性」(accountability)原則 ── 出了問題,可以找誰負責。以醫療場域來講,無論診斷過程中動用了多少 AI 工具作為輔助,最終仍須仰賴真人醫師做最後的專業判斷,這不僅是尊重醫病關係,也是避免病患求助無門的問責體現。

科技防疫:無所遁形的日常與數位足跡

當新冠疫情爆發,全球人心惶惶、對未知病毒充滿恐懼不安,科技防疫一躍成為國家利器。但公共衛生與人權隱私的論辯,也再次浮上檯面。

2020 年 4 月,挪威的國家公共衛生機構推出一款接觸追蹤軟體,能監控足跡、提出曾接觸確診者的示警。但兩個月後,這款挪威版的「社交距離 APP」卻遭到挪威個資主管機關(NDPA)宣告禁用!

挪威開發了「Smittestopp」,可透過 GPS 與藍牙定位來追蹤用戶足跡,提出與感染者曾接觸過的示警,定位資訊也會上傳到中央伺服器儲存。然而,挪威資料保護主管機關(NDPA)宣告,程式對個人隱私造成不必要的侵害,政府應停止使用並刪除資料。圖/Smittestopp

為何挪威資料保護機關會做出這個決定?大體來說,仍與歐盟 GDPR 四大原則有關。

首先,NDPA 認為挪威政府沒有善盡公眾溝通責任,目的不清。人民不知道這款 APP 是為了疫調?或者為研究分析而持續蒐集資料?而且,上傳的資料包含非確診者個案,違反了特定目的與資料最小蒐集原則。

此外,即便為了防疫,政府也應該採用更小侵害的手段(如:僅從藍牙確認距離資訊),而不是直接由 GPS 掌控個人定位軌跡,這可能造成國家全面監控個人行蹤的風險。

最後 NDPA 認為,蒐集足跡資料原初是為了即時防疫,但當資料被轉作後續的研究分析,政府應主動說明為什麼資料可以被二次利用?又將如何去識別化,以確保個資安全?

換言之,面對疫情的高度挑戰,挪威個資保護機關仍然認為若沒有足夠的必要性,不應輕易打開潘朵拉的盒子,國家採用「Smittestopp」這款接觸追蹤軟體,有違反比例原則之虞。

「有效的疫情控制,並不代表必然需要在隱私和個資保護上讓步。反而當決策者以防疫之名進行科技監控,一個數位監控國家的誕生,所妥協的將會是成熟公民社會所賴以維繫的公眾信任與共善。」何之行進一步分析:

數位監控所帶來的威脅,並不僅只於表象上對於個人隱私的侵害,更深層的危機在於,掌握「數位足跡」(digital footprint) 後對於特定當事人的描繪與剖析。

當監控者透過長時間、多方面的資訊蒐集,對於個人的「深描與剖繪」(profiling)遠遠超過想像──任何人的移動軌跡、生活習慣、興趣偏好、人脈網絡、政治傾向,都可能全面被掌握!

AI 時代需要新法規與管理者

不論是醫藥研發或疫情防控,數位監控已成為當代社會的新挑戰。參照各國科技防疫的爭論、歐盟 GDPR 規範,何之行認為,除了一套 AI 時代的個資保護規範,實踐層面上歐盟也有值得學習之處。

例如,對隱私風險的脈絡化評估、將隱私預先納入產品或服務的設計理念(privacy by design),「未來照護機器人可能走入家家戶戶,我們卻常忽略機器人 24 小時都在蒐集個資,隱私保護在產品設計的最初階段就要納入考量。」

另外最關鍵的是:設置獨立的個資監管機構,也就是所謂的資料保護官(data protection officer,DPO),專責監控公、私營部門是否遵循法規。直白地說,就是「個資警察局」。何之行比喻,

如果家中遭竊,我們會向警察局報案,但現況是「個資的侵害不知道可以找誰」。財稅資料歸財政部管,健康資料歸衛福部管,界定不清楚的就變成三不管地帶。

綜觀臺灣現狀,她一語點出問題:「我們不是沒有法規,只是現有的法令不完備,也已不合時宜。」

過往許多人擔心,「個資保護」與「科技創新」是兩難悖論,但何之行強調法令規範不是絆腳石。路開好、交通號誌與指引完善,車才可能跑得快。「GDPR 非常嚴格,但它並沒有阻礙科學研究,仍然允許了科學例外條款的空間。」

「資料是新石油」(data is the new oil),臺灣擁有世界數一數二最完整的健康資料,唯有完善明確的法規範才能減少疑慮,找出資料二次利用與科技創新的平衡點,也建立對於資料二次利用的社會信任。

疫病恐懼讓人民會迫切期待政府雷厲風行,但何之行強調,疫情終將趨緩,重新反思法治社會的原則:法律保留、授權明確、正當程序與最小侵害,是民主社會在後疫情時代的重要課題。圖/研之有物
中研院集結近 20 位人文社會學者參與的科研計畫,推出數位網站,從歷史、經濟、法政、社會學、文學等不同視角,對瘟疫下的社會衝擊提出深刻討論,7 月將出版實體書籍。網站中,何之行也透過人權、法律與歷史的跨向度對話,省思科技防疫下的界線權衡。圖/COVID-19 的人文社會省思網站,中研院數位文化中心

延伸閱讀

  • 何之行,〈人權?法治?防疫下如何權衡?一個哲學、歷史與科技防疫的反思〉, COVID-19 的人文社會省思網站
  • 何之行*、廖貞,〈AI 個資爭議在英國與歐盟之經驗— 以 Google DeepMind 一案為例〉,《月旦法學雜誌》, 第 302 期,2020
  • Chih-hsing Ho,〈Challenges of the EU General Data Protection Regulation for Biobanking and Scientific Research〉,《Journal of Law, Information and Science》,2018
  • 樓一琳、何之行*,〈個人資料保護於雲端運算時代之法律爭議初探暨比較法分析: 以健保資料為例〉,《臺大法學論叢》,第 46 卷第 2 期,2017
  • 何之行個人網頁

 

文章難易度
所有討論 3

3

4
0

文字

分享

3
4
0

打疫苗越不舒服就越年輕,年紀越大越沒感覺,是真的嗎?

Aaron H._96
・2021/07/26 ・1512字 ・閱讀時間約 3 分鐘

你的臉書上最近是不是也有很多朋友,分享他們的手臂又紅又腫的樣子呢?或者,你自己就是「新冠手臂」的一員?

有人說,年輕人打疫苗手會更容易紅腫熱痛,年紀大,打疫苗比較沒感覺,這是真的嗎?

不同生理性別與年齡注射疫苗後產生的副作用,也會有所不同。1

事實上,即便身高、年紀相似的兩個人在同一個時刻走進接種站,接種了一模一樣的疫苗,對於疫苗副作用的感受也可能會截然不同。每一個人的疫苗系統都是獨一無二的,根據研究,性別和年齡的差異,的確會影響免疫系統對外在刺激的反應,當然也會使我們對疫苗的副作用,有不太一樣的感受。

年紀越大,副作用越不明顯

一般而言,多數研究將「年長」的標準定義為 65 歲。根據美國 FDA 2020 年十月所做的調查報告指出,以莫德納疫苗為例,18 到 64 歲的年輕族群施打莫德納 後,有將近 57% 的人會出現副作用;65 歲以上的年長者,則只有 48%。

18 到 64 歲以下的族群,有將近 87% 的人,感到注射部位疼痛;相較於 65 歲以上的族群,則只有 74%。雖然在兩個年齡層中,第二劑所誘發的副作用,都比第一劑要來的強,但年長者施打 mRNA 疫苗的其他副作用,也幾乎都比年輕族群要來的小。

年輕人施打 mRNA 疫苗的副作用,較年長者明顯。2

隨著年紀增長,免疫系統的功能會下降

隨著年齡不同,副作用的反應會有所差異,是因為隨著我們持續老化,免疫系統對抗外來威脅的能力也越來越差,即便施打疫苗,疫苗中的 mRNA 或是棘蛋白,也都很難誘發身體的免疫系統做出反應,所以,年長者施打疫苗後,無論是副作用或是生成抗體的效率,才會都比年輕或壯年族群來得差。

其他疫苗也有類似的現象。該調查報告中,接種 BNT 疫苗的接種者,也有類似的反應,以 56 歲做為區隔,年輕族群所感受到的副作用也相對較多。另外,在韓國有研究3指出,在 1403 名 AZ 疫苗的接種者中,20 多歲的接種者,有將近 48.4% 有發燒的現象,而 50 多歲的接種者,只有 12.2 % 的人有類似反應。

輝瑞-BNT 的接種者,也是年輕族群感受到的副作用較多。

除了年齡,性別也會影響免疫系統

除了年齡之外,在許多國家也觀察到,女性對於疫苗的副作用相對較大。過去接種小兒麻痺疫苗、流感疫苗與麻疹疫苗等疫苗時,也觀察到類似的反應。

研究認為,女性的雌激素對於免疫系統的影響很大。雌激素是能夠刺激免疫系統的激素,而雄性激素則會對免疫系統有某種程度的抑制。

根據 CDC 在 2021 年二月,每周死亡案例討論紀錄上的記載4,儘管將近 1380 萬名疫苗接種者之中,只有 61% 為女性,但副作用的回報卻有將近 79% 來自女性。另外有研究5認為,停經前的女性對疫苗的反應,也比已經停經的婦女要來的明顯。

至於性別與年齡除了影響對疫苗的副作用之外,對於體內中和抗體的濃度有沒有影響,則還需要後續更多研究與觀察。

參考文獻

  1. People ages 16 and up soon eligible for vaccines. The Thoma.
  2. Vaccines and Related Biological Products Advisory Committee Meeting. December 10, 2020.
  3. Kim SH, Wi YM, Yun SY, Ryu JS, Shin JM, Lee EH, Seo KH, Lee SH, Peck KR. Adverse Events in Healthcare Workers after the First Dose of ChAdOx1 nCoV-19 or BNT162b2 mRNA COVID-19 Vaccination: a Single Center Experience. J Korean Med Sci. 2021 Apr 12;36(14):e107. doi: 10.3346/jkms.2021.36.e107. PMID: 33847085; PMCID: PMC8042479.
  4. MMWR. 2021/02/06. CDC.
  5. Potluri, T., Fink, A.L., Sylvia, K.E. et al. Age-associated changes in the impact of sex steroids on influenza vaccine responses in males and females. npj Vaccines 4, 29 (2019).

 

所有討論 3
網站更新隱私權聲明
本網站使用 cookie 及其他相關技術分析以確保使用者獲得最佳體驗,通過我們的網站,您確認並同意本網站的隱私權政策更新,了解最新隱私權政策