Google管理病患資訊,是大好或不妙?

Why Google's Move into Patient Information Is a Big Deal
大衛.布魯門薩爾 David Blumenthal
瀏覽人數:3168
我們需要新的規則,來規範大型科技公司如何管理你的健康照護資料,並從中獲利。目前,Google將為基督升天醫院執行的資料管理作業,成為合法的業務伙伴。但即使這種關係在技術上是合法的,也會引起重大的未解決政策問題。而另一個問題,來自健康照護組織和資訊科技公司之間的合作,可能產生的商業利益權利。

Google最近和美國全國性的健康醫療體系基督升天醫院(Ascension)簽署一項協議,這是又一個跡象顯示,數位革命正在改造健康照護領域。我們正處於一個新時代之初,臨床醫師將能夠即時應用人類治療任何特定病症的集體經驗,來醫治照顧罹患那種病症的每位病患。

不過,人們對這項協議的重大反應,清楚顯示這種規模的改變絕對不會很平順,因為根據這項協議,基督升天醫院將把它收集到的五千萬名病患的臨床資料,傳送到Google雲端服務,而Google將處理這些資料,以協助基督升天醫院更加妥善管理它的病患和它本身的財務。這項協議宣布之後,引發人們關切病患的隱私,以及第三方錯誤使用這些資訊以謀取私利的問題。美國衛生及公共服務部(U.S. Department of Health and Human Services)因此展開調查,國會議員也呼籲進一步檢討。我們顯然置身於一場漫長、爭論不休且攸關重大的討論的起始點,將開始辯論在數位時代應如何管理個人健康資訊。

關於隱私和個人健康資料的控制,病患擁有無可爭辯的權利。醫師和醫院在治療病患時,則需要有運用病患資訊的空間。從我們的集體照護經驗中學習,以改善疾病的預防和治療方法,這對病患、健康照護專業人員和更廣大的社會都有利。科技創業家則希望,為增加健康照護資料管理的價值而投入的資本,能夠獲得報酬。接下來要展開的辯論將在於:隨著健康資訊技術徹底改變了我們的健康照護系統,要如何管理前述那些有時會相互衝突的利益。

暫時先不考慮法律問題,基督升天醫院與Google的合作關係依據的根本因素是:基督升天醫院坐擁龐大的寶貴資料,這些都是它旗下各機構醫治數百萬病患的過程中所累積的。這些資料過去一直保留在紙張紀錄中,必須經過實體運送和費力整理出要點,才能在特定地點和時間治療某一名病患之外,還用於其他任何目的。十年來,電子病歷的使用已經近乎完全普及,因此所有這些資訊現在都以電子的形式儲存,只要保護好病患的隱私,都可以立即傳送到任何有需要和有用的地方。

這對病患有幾個立即的好處。其一是他們在基督升天醫院(可能包括其他地方)接受治療時,一定可以取得他們的個人病歷。另一個好處是,基督升天醫院的醫師和護理師在治療照護任何病患時,有可能從病情類似的所有基督升天醫院病患的經驗當中學習。基督升天醫院若是使用搜尋技術和人工智慧,或許還可以即時運用整個科學文獻提供的心得,使個別病患受益。這些文獻數量龐大,即使經驗最豐富的專科臨床醫師,也很難掌握最新的發展。基督升天醫院的經驗,或許也能提供資訊給更廣泛的醫學研究,作為參考。

這方面的挑戰在於:若要實現電子資料的這些創新用途,需要範圍廣泛的資訊學、分析法和研究技能,而大多數健康照護系統都欠缺這些。一個合理的方法是,基督升天醫院之類的健康照護組織,與擁有這些必要能力的第三方合作。這就是Google加入的原因。它擁有資訊科技的技能(包括人工智慧領域),而基督升天醫院絕對無法望其項背。Google一直在大量延攬全美國知名的臨床醫師領導人和研究人員,以便在健康照護資訊學和研究的領域,建立深厚的人才庫。

不是只有Google這麼做。IBM華生(IBM Watson)進入這個領域已有一段時間。 亞馬遜(Amazon)和蘋果(Apple)似乎即將跟進。另外還有一大群新創公司正在尋找機會,想藉由探勘病患資料來為健康照護增添價值。占美國經濟18%的健康照護領域,突然進入數位時代,因而帶來幾乎不可思議的大量未利用資料,商機十分龐大。據報導,Google並沒有向基督升天醫院收取服務費用,但這可能是因為健康照護資訊學領域正在發展中,此時Google在這個領域的工作是探索性質的。未來的顧客不可能如此幸運。

當然,法律面的議題不能長久擱置。Google和基督升天醫院的合作案,可能會讓Google員工得知該醫院數百萬名病患的個人健康資訊。這是否違反了1996年的「健康保險可攜性與責任法案」(Health Insurance Portability and Accountability Act,HIPAA)?健康照護提供者總是認為HIPAA是嚴厲的法規,嚴格限制他們彼此之間分享病患資訊,甚至限制他們與病患本人及其家屬分享病患資訊。

HIPAA儘管聲名令人卻步,卻充滿漏洞,而且Google和基督升天醫院的律師可能在法律上找到很大的空間,可支持它們的協議。一方面,受HIPAA規範的健康照護提供者(所謂的適用主體)可以因為治療、付款和營運等三個主要目的,未經病患同意即分享個人健康資訊。

治療是指,臨床醫師可以和其他參與治療的臨床醫師討論病患的病情,不必每次都徵得病患同意。少了這種彈性,醫師可能會受到很大限制,不能諮詢同事的意見,以增進他們共同治療的病患的利益。付款是指,健康照護提供者可以使用個人健康資訊,獲得保險公司付款。營運則是指,健康照護提供者可以使用個人健康資訊,以處理他們組織的重要營運需求,包括改善照護的品質和安全。當適用主體委由第三方去實現這些目的,外界那個第三方主體就成了所謂的業務伙伴,也必須遵守HIPAA的規定。

Google將為基督升天醫院執行的資料管理作業,很可能符合「滿足基督升天醫院的營運需求以改善照護品質」的條件,而Google可以用這個身分擔任業務伙伴。根據這樣的詮釋,未經病患同意就分享病患資料,可能符合HIPAA的規定。執行HIPAA法規的美國衛生及公共服務部正在檢討這種關係,以研判是否符合HIPAA的要求。

但是,這種關係即使在技術上是合法的,也會引起重大的未解決政策議題。制定HIPAA的議員不曾想過會出現網際網路、Google和蘋果等資訊科技巨擘,也沒料到駭客似乎能夠隨意入侵最安全的資料系統。與外部主體分享灰塵滿布的老舊紙張紀錄是一回事。將電子版本送進雲端,則是相當不同的另一回事(儘管第三方盡了最大的心力妥善運用),因為駭客可能從地球上任何地方入侵。HIPAA可能不再足以讓病患放心相信,他們的電子健康資料受到妥善的保護。

另一個問題,是關於健康照護組織和資訊科技公司之間的合作,可能產生的商業利益權利。這些協議可能製造出大量的智慧財產,在不包含病患資訊的情況下(例如演算法和軟體)出售獲利,可賣給其他的健康照護提供者,甚至出售給開發和銷售健康照護產品的其他企業(例如藥品和設備公司,以及健康計畫)。然而,這些獲利終究會是來自數百萬名病患的個人健康資訊,而他們可能不知道自己的資料會被如何使用。是否應該讓他們有機會,表達同意他們的資料可供商業使用?是否應該讓他們分得一小部分的獲利?

必須解決以上所提問題和其他的問題,才能實現健康資訊革命的個人和社會利益,而且我們必須釐清其中涉及的多種相互衝突的利益與觀點,這是在人類歷史上每個轉折點都會出現的情況。

(羅耀宗譯)



大衛.布魯門薩爾

大衛.布魯門薩爾 David Blumenthal

醫學博士,聯邦基金(Commonwealth Fund)總裁,曾經在歐巴馬政府擔任健康資訊科技協調辦公室主任。


本篇文章主題技術