雖我國與日本對醫學研究因所規範領域劃分之不同,及因立法上考量之 重點不同,採不同之立法政策,規範強度亦有落差;但無論如何以人為對象 之醫學研究過程中,必然涉及研究對象敏感性個資蒐集、處理或利用,因此 對醫學研究如何保護個人對自己資料之自主權,應為各國醫學研究上重要且 共通之議題。又因醫學研究所蒐集者為包括人體檢體、病歷等隱匿性高之個 資,此類個資常反映當事人之健康狀態、潛藏之疾病原因,其揭露往往使當 事人背負精神上負擔外,如再被無故利用或洩漏,更將可能使其受到歧視或 排擠,對當事人人格造成之傷害遠勝於其他個資;且其蒐集方法可能對人身 體具有侵襲性,因此必須特別重視並規範 IC 取得方法;此觀日本之倫理指 針,我國人體研究法、資料庫管理條例、醫療法之人體實驗規定,均設有明 確要件即可證之。而 IC 取得時之對研究對象所應說明事項,其內容差異不 大,取得方法是否應以書面同意或說明後作成紀錄,大致上則以檢體或研究 材料取得方法是否具有侵襲性,而有寬嚴不同之規定。
其次,醫學研究不僅只蒐集研究對象個資,其後進行之處理、利用,性 質上同屬保障研究對象對資料自主權所必須受規範之行為,仍應有個資法原 則之適用。對此,日本之倫理指針第四特別設置個資保護一節,將個資法所 規定之特定利用目的,依特定目的限制個資之利用,得為目的外利用個資之 事由(例如:法律有明文規定、為提升公共衛生特別有必要,而取得研究對 象之同意為困難者等),將個資提供給第三人之限制,對個資之安全管理措 施,研究對象對研究機關有請求個資之公開、訂正、停止利用等權利及其程 序等,納入倫理規範中;其內容與個資法相關規定幾乎一致,在對研究對象 資料自主權之保護上,與個資法無分軒輊,在立法上較為周全亦具有法令之 一致性。
反觀我國,人體研究法、資料庫管理條例及醫療法對個資之保護規範均 未設有專章,有關個資之保護原則散見於各條項中,且未見完全。例如:利 用目的之限制:資料庫管理條例第 16 條第二項規定:設置者自行或提供第三 人使用生物檢體及相關資料、資訊,應於參與者同意之範圍、期間、方法內 為之。其第 20 條規定:生物資料庫之生物檢體、衍生物及相關資料、資訊,
除報請主管機關審查通過之研究計畫外,不得作為生物醫學研究以外之用 途。再,人體研究法對利用目的之限制亦規定應於告知研究對象範圍內,為 檢體、資料等之蒐集、使用,而其第 19 條第二項規定:使用未去連結之研究 材料,逾越原應以書面同意使用範圍時,應再告知研究對象,並取得其同 意;因去連結之研究材料已無識別特定個人之可能,不屬於個資,故無須再 取得同意。最後醫療法第 78 條規定,為依受試者書面同意範圍內為受試驗者 生物檢體、個資或其衍生物之保存與再利用。顯然三法原則均以取得研究對 象或受試驗者 IC 時所告知而經同意之利用目的、方法、範圍界定個資之利 用,而為目的外利用時,包括提供給第三人,亦規定應得到研究對象之同 意。較令人質疑者為人體研究法,依其第 12 條第二項 IC 之取得應依審查會 通過之方式,換言之,並未限制人體研究計畫均應以書面取得 IC,自得依口 頭方式取得 IC;甚至依同條但書尚有主管機關公告得免取得 IC 之研究計畫 及第 5 條免除經過倫理委員會審查之計畫,此種口頭告知或免審查之研究計
畫,先不問如此立法是否違背第 2 條所定「應尊重研究對象之自主權」之基 本原則,在取得口頭同意 IC 之計畫,如將來對檢體等個資之利用方法、範圍 有爭議時,應如何認定解決?如前述日本之倫理指針第三、1 亦有略式 IC 或 免除取得 IC 之規定,然於細則中則列有明確之要件,在適用上疑慮較少,實 足供我國主管機關在制定相關細則或辦法時參考,以免被濫用或發生爭議。
關於以口頭方式取得同意者,亦得參考日本倫理指針之規定,要求研究人作 成有關說明內容及得到同意之紀錄,對研究人及研究對象均較有保障。
又,研究機構保有個資之公開:亦即研究機關應公告保有個資之檔案名 稱、保有之依據及目的、個資之類別等,及提供研究對象等得閱覽、複製保 有自己之個資;此為個資法公開之基本原則,以保障個資蒐集、處理或利用 之透明化,避免錯誤或過剩個資之蒐集,造成當事人損害73,但我國之人體 研究法、醫療法之人體試驗相關規定,均未對此置任何規定,此為立法之疏 失,抑或立法者認為提供當事人閱覽、複製將有妨礙其研究計畫進行之虞或 是由主管機關進行監督即可,不得而知。而管理條例第 10 條規定:除屬可辨 識參與者個人之資料者外,參與者不得(即提供生物檢體與個資等予資料庫 之人)請求為資料、資訊之閱覽、複製等,係持原則禁止、例外准許之立 法,但事實上此為無意義之規定,因如為不能識別特定個人之資料,原已不 屬個資,亦無從提供給特定當事人閱覽。
最後,有關個資安全保護之部分,於處理或利用過程中,保有之個資被 洩漏、竊取或竄改,亦將對當事人造成損害,「安全原則74」亦為保護個資 之基本原則,前述日本倫理指針第四、1、(7)即對研究機關所保有之個資應 採取之安全措施,自組織面、人的管理面、物理面及技術面,作詳細之規 範。查我國之人體研究法、管理條例、醫療法卻未對所保有個資之安全應採 取之安全管理措施,有任何具體規定,僅於取得 IC 時,應告知研究對象事項
73 范姜真媺,「個人資料自主權之保護與個人資料之合理利用」,法學叢刊,第 57 卷 第 1 期,頁 87(2012)。
74 范姜真媺,前揭註 63,頁 36-37。
中,列有:「保障參與者個人隱私及其他權益之機制」(人體生物資料庫管 理條例第 7 條第十一款)、「研究對象之權益及個資保護機制」(人體研究 法第 14 條第五款)、「受試者個資之保密」(醫療法第 78 條第二項第七 款),如此不具體之條款,且僅列為應告知研究對象之事項,如何能具體落 實安全管理機制?
由上述檢討可知,我國有關規範醫學研究之三法,似乎在立法時,仍依 傳統醫學倫理之觀點建制研究對象之保護法制,側重在 IC 取得之規定,而對 其他個資保護之部分,則未多加考量;然因為醫學研究所涉及之個資多屬敏 感性特種資料,且醫學研究機構常高舉提升公共衛生增進國民健康之大旗,
依仗其具有高度專業知識,疏於與研究對象溝通致力取得其信賴。相對之研 究對象一般多為弱勢之一方,且與機關間更處於極度資訊不對等之狀態;對 研究對象個資之保護,實應再參酌我國修正之個資保護法有關規定或日本之 指針,在法律面上朝更具體細微方向改進。