黃新為 律師
2024年03月27日
前言:
近年來提供數位心理健康(e-mental health)相關服務的心理健康應用程式(e-mental health apps)等數位資源大量出現,服務的範圍跨度廣泛,包括:用以配合醫師/諮商師之治療方式,提供心理治療輔助的專業性、功能性軟體[註1],例如DBT Coach[註2];進行自殺防治,例如Suicide Safety Plan[註3];提供簡易之心理評估與測驗結果紀錄,幫助使用者了解自己情緒狀態,例如憂鬱檢測APP[註4];提供冥想練習與睡眠追蹤紀錄等服務,例如Calm[註5];協助使用者進行夢境紀錄與分析(精神分析取向所使用之治療方式之一),例如Dreams[註6]。
然而,市面上五花八門的心理健康應用程式確效(efficacy)如何?是否真的有助於提升使用者之精神健康?實有進一步探討的必要。2019年一項對於心理健康應用程式的分析研究指出,在該研究篩選出的76個跨平台(platform-independent)心理健康應用程式中,僅有一款心理健康應用程式在其介紹頁面中援引經發表之科學研究來支持其宣稱之正面說法(positive claims)[註7]。
此外,心理健康應用程式可能取得使用者極度私人、敏感之資訊,包括使用者之精神狀態、行為慣性、心理傾向、諮商紀錄(包括頻率、費率與諮詢之心理師等)、是否有自殺意圖等。因此,心理健康應用程式的隱私政策(及對於隱私政策之遵守),包括該等軟體如何使用取得之個人資料、與哪些人分享個人資料等,將重大影響使用者權益。
舉例而言,藥商若取得使用者儲存於心理健康應用程式之個資,得以藉機行銷相關藥物。過去就曾發生BetterHelp,一個協助使用者藉由回答一系列問題以評估需求並媒介合適之心理師之線上平台,因為違反其隱私政策將使用者的心理健康資料分享予Meta及Snapchat作為行銷使用,遭美國聯邦交易委員會(FTC)罰緩美金780萬元[註8]。或者,若有業者取得心理健康應用程式的個資,藉機向有容貌焦慮的使用者行銷整形手術、或是美妝業者藉此行銷產品等,除了對使用者權益有重大損害,亦將衍生諸多道德爭議。
過去個人高度私密之心理健康資訊多是由持有醫師證照或心理師證照之專業人士取得,該等人士除了受有專業訓練,並受到醫患保密義務、醫療法規、心理師法規、相關倫理規範與職業公會等嚴格限制,違反保密義務可能受到罰款、吊銷執照,甚至面臨刑責[註9]等處分,個資之保密相對受有制度性保障;再者,個別精神科醫師或心理師所持有之病患私密資訊數量亦屬有限、資料儲存方式亦非一致(紙本或電子、不同紀錄格式等),或不易用於大規模行銷使用(或至少個別醫師、心理師所持有之資料量所涉商業利益有限)。
反之,心理健康應用程式有機會大量取得使用者的心理健康隱私資訊,且該等資訊為數位儲存、資料格式相對一致(可能有固定之欄位、問卷格式等)、更可能與使用者其它線上平台之身分有所連結(例如使用者之Google帳號、Facebook帳號等),資料之處理分類等相對容易,故而其所涉及之商業利益、使用者資料面臨之風險,相對於傳統模式,或相對較高。
綜上所述,對於心理健康應用程式之確效及隱私保障,應有相關法規、制度之保障,以提升使用者權益、促進其身心健康,並避免使用者個資遭濫用,甚至造成使用者之心理傾向遭到不肖業者之剝削利用。
在Safeguarding privacy and efficacy in e-mental health: policy options in the EU and Australia一文中,針對規範心理健康應用程式所為之相關立法及政策,透過將目前的歐盟法框架與澳洲法框架進行比較,作者Elisabeth Steindl對於歐盟可能採取之立法政策提出建議[註10],此對於我國心理健康應用程式之規範政策亦有參考價值。
文章摘要:
作者首先點出,澳洲政府是第一個就針對數位心理健康裝置(e-mental health devices)採取一系列整合性規範工具的國家,故其相關政策有高度參考價值。
關於心理健康應用程式之確效與隱私規範,主要適用之歐盟法規為Medical Devices Regulation(MDR)及EU General Data Protection Regulation(GDPR)。作者認為目前歐盟法框架下最大的問題在於:
- 適用MDR規定之心理健康裝置範圍有限。諸多類型的心理健康應用程式(包括市面常見促進使用者「良好狀態」(well-being)、形成健康習慣之應用程式)可能落於MDR規範外,該等應用程式之效度要求僅有General Product Safety Directive(GPSD)規定下低密度規範之適用,形成立法真空。
- 製造商有可能透過變更產品用途之說明,規避MDR之嚴格規範。由於MDR就「醫療器材」(Medical Device)之風險分類方式,是以製造商認定之產品用途作為分類標準,且促進「心理健康」(mental health)與「良好狀態」(well-being)之區別容有灰色地帶難以清楚劃分,因此製造商得以藉由調整產品用途之說明,使醫療器材落入較低風險之分類(即使之落入促進「良好狀態」之類別),進而規避高風險產品之嚴格規範要件。
相對而言,作者認為澳洲之立法技術有助於將較廣泛的心理健康裝置納入規範:
- 就「醫療器材」之定義方式與界定範圍而言,澳洲規範醫療器材之主要法規Therapeutic Goods Act(TGA),與歐盟MDR有類似的問題。TGA規定之心理健康裝置範圍有限,較難涵蓋促進使用者「良好狀態」(well-being)、形成健康習慣之應用程式;同時,製造商亦有可能透過變更產品用途之說明、包裝等,規避TGA之嚴格規範。
- 然而,澳洲採取創新的立法技術,將(a)屬於TGA定義之醫療器材,且同時(b)符合全部下述要件之心理健康應用程式,排除(excluded)適用TGA之嚴格要求,排除適用TGA之應用程式將無須辦理澳洲治療產品登記(Australian Register of Therapeutic Goods):
- 其遵循經廣泛接受之臨床指引(established clinical practice guideline);
- 該應用程式援引並展示其所遵循之臨床指引;且
- 使用者可以清楚查看(clearly view)其所遵循之臨床指引。
作者認為藉由將符合上述要件之心理健康應用程式排除適用TGA,有助於避免要求廠商遵循不成比例的嚴格規定,降低廠商規避相關法規的動機;但同時卻也藉由要求該等心理健康應用程式遵循經廣泛接受之臨床指引,保障該等應用程式之品質。
除了參考上述澳洲TGA創新之立法技術外,作者並建議在歐盟法規對於個資保護已有相當完整規範之基礎下,立法者或得進一步要求廠商應展示其產品之隱私政策符合GDPR相關規範,作為將產品排除適用MDR嚴格規範的要件之一。作者認為在GDPR的框架下,可以採用GDPR第40條規定之行為守則(Code of Conduct)或同法第42條規定之認證(Certification)作為輔助制度。
作者進一步介紹,澳洲除了採取上述「排除適用」之創新立法技術外,也採取相當配套措施,以促進心理健康應用程式效度與隱私保護之發展。Australian Commission on Safety and Quality in Health Care發布了National Safety and Quality Digital Mental Health Standards(NSQDMH Standards),作為服務提供者之參考。NSQDMH Standards屬於非強制性之標準,主要適用領域為心理健康、自殺防範及酒精或毒品(防範)相關服務,但也不排除促進使用者一般良好狀態(Generic Wellness)之應用程式提供者,得自行參考適用之。
NSQDMH Standards主要針對三個面向提出標準指引,包括:醫療與技術管理標準(clinical and technical governance standard)、與使用者合作標準(partnering with consumers standard)及照護模式標準(model of care standard),其中醫療與技術管理標準即包括了個資保護等面向。ACSQHC並針對該標準提供詳細指引及實例說明,
為了鼓勵業者符合NSQDMH Standards,澳洲政府也發展相關認證制度。符合NSQDMH Standards的業者,得以藉由獲取相關認證,向使用者展示其服務之優良品質,取得競爭上的優勢。考量到心理健康服務使用者對於隱私保障等之高度需求,此不啻為鼓勵提供數位心理健康服務的業者採NSQDMH Standards的良好政策工具。此外,澳洲部分的地方政府也考慮要求向政府申請補助之業者,必須取得NSQDMH Standards之認證;未來也將於網路上公告取得認證之業者名單,作為使用者及心理健康服務提供者(例如醫師、心理師等)之推薦參考。
淺談
我國就醫療器材管制之主要法規為醫療器材管理法、醫療器材分類分級管理辦法等。針對醫用軟體,衛福部食藥署曾於民國(下同)104年公告「醫用軟體分類分級參考指引」,該指引最近並於111年修正;及於106年公告「醫療器材軟體確效指引」。
依「醫用軟體分類分級參考指引」第三項說明:「判定醫用軟體是否列屬醫療器材管理,係依產品的功能、用途、使用方法及工作原理等綜合評估,主要可以參考下列幾點原則:(一)是否符合醫療器材管理法第3條醫療器材定義。(二)是否符合醫療器材分類分級管理辦法第4條附表所列品項。(三)是否宣稱具診斷、治療功能或協助診斷、治療。(四)對疾病治療的重要性。(五)對疾病診斷的貢獻度、參考價值。(六)對人類生命健康可能產生的危害程度。」;醫療器材管理法第3條第1項就醫療器材之判定則規定:「本法所稱醫療器材,指儀器、器械、用具、物質、軟體、體外診斷試劑及其相關物品,其設計及使用係以藥理、免疫、代謝或化學以外之方法作用於人體,而達成下列主要功能之一者:一、診斷、治療、緩解或直接預防人類疾病。二、調節或改善人體結構及機能。三、調節生育。」。
不同於歐盟MDR或澳洲TGA之規定,我國醫療器材管理法並未明定就產品「設計、使用」或「功能、用途、使用方法及工作原理」應依製造商提供之標籤、說明、廣告材料、技術文件等判定。由此或可推知,在我國法下,若製造商欲藉由變更其產品說明等而規避遭認定為醫療器材,或面臨較高之難度。因此,是否有必要借鑒澳洲TGA之立法技術,將符合一定標準之心理健康應用程式排除於我國醫療器材管理法之規範,以降低廠商藉由變更產品說明而規避相關要求之動機,似有進一步思考之空間。
惟就「健康促進軟體」(General Wellness Software),醫用軟體分類分級參考指引第五、(三)項說明,明確將之排除於「醫療器材」之範圍,故有所得規範之心理健康應用程式範圍有限之疑慮。就非屬「醫療器材」之應用程式,其確效要求較可能應適用我國消費者保護法等產品安全之一般規範,未能針對心理健康應用程式之性質予以要求,形成立法真空。
就此,我國或得參考澳洲之作法,由主管機關發布非強制性、但適用於心理健康應用程式性質之指引或標準,幫助業者瞭解發展安全、可信賴之心理健康應用程式之建議作法,並透過相關認證機制、公告符合認證之產品、優先補助該等產品等作法,促進發展良好之產業環境,使消費者及心理健康助人者得優先選擇符合標準之產品服務、保障使用者權益;並透過市場機制,鼓勵廠商成為業界「模範生」,以取得更多使用者之信任(及隨之而來的商業利益等)。
關於心理健康應用程式如何蒐集、處理、利用使用者個資,避免可能的道德疑慮,我國個人資料保護法第6條針對「病歷、醫療、基因、性生活、健康檢查」等特種個人資料,規定原則上不得為蒐集、處理及利用,但若能取得使用者書面同意,業者仍得為之。
然而,個人資料保護法施行細則將「病歷」定義為「醫療法第六十七條第二項所列之各款資料」;「醫療之個人資料」定義為「病歷及其他由醫師或其他之醫事人員,以治療、矯正、預防人體疾病、傷害、殘缺為目的,或其他醫學上之正當理由,所為之診察及治療;或基於以上之診察結果,所為處方、用藥、施術或處置所產生之個人資料」;「健康檢查之個人資料」定義為「非針對特定疾病進行診斷或治療之目的,而以醫療行為施以檢查所產生之資料」[註11]。因此,個資法第6條規定保障之「健康資料」基本上需為「醫療行為」所產生者,此定義大幅限縮了「健康資料」之範圍,難以涵蓋大多數心理健康應用程式自使用者處蒐集、處理及利用之資料,造成心理健康應用程式所蒐集個資較可能適用較低密度之一般個人資料之保護規定,而有保護不足之疑慮。
何況,我國現行個資法框架下,沒有類似歐盟GDPR之認證制度,故如欲透過業者自願性取得認證之方式,促進業者發展符合較高之隱私保護標準(包括如何蒐集、處理及利用使用者個資)之產品,則該等認證制度應如何納入目前我國隱私法體制下,仍有待觀察。
就個人資料之安全保障,依我國個人資料保護法第27條第2項規定,主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。此為主管機關針對心理健康應用程式之隱私安全進行管制時,可資利用之法律工具[註12],且未來或得考慮將此納入心理健康應用程式取得相關認證之要求之一。
備註
1.羅真,心理健康App輔助治療、訓練情緒管理 專家推薦哪些,2022年3月5日,https://www.commonhealth.com.tw/article/85922(最後瀏覽日:2024年5月6日)。
2.Apple Store網站,https://apps.apple.com/us/app/dbt-coach/id1452264969 (最後瀏覽日:2024年3月26日)。DBT Coach提供包括DBT(辯證行為治療)之相關課程影音與技巧、自我練習、追蹤紀錄等功能,並得將相關資料實時分享給使用者的心理師等照護團隊、使用該軟體進行心理師要求之課後練習與作業,病有使用者論壇等社群功能。依其官方介紹,該軟體得以幫助使用者與其心理師更好的連結、互動。
3.Apple Store網站,https://apps.apple.com/us/app/suicide-safety-plan/id1003891579(最後瀏覽日:2024年5月6日)。使用者可以透過Suicide Safety Plan預先制定合適之自殺防範計畫,包括瞭解相關的危險信號、提供初步應對技巧、危機發生時周遭之醫療資源與聯絡人等。
4.Apple Store網站,https://apps.apple.com/us/app/%E6%86%82%E9%AC%B1%E6%AA%A2%E6%B8%AC/id1469020485(最後瀏覽日:2024年5月6日)。憂鬱檢測App提供憂鬱症量表等用於自我心理評估之測驗,並得追蹤紀錄檢測結果,該軟體同時提供初步之疏壓技巧及求助資源等。
5.Apple Store網站,https://apps.apple.com/us/app/calm/id571800810 最後瀏覽日:2024年5月6日)。Calm提供冥想練習、白噪音、舒緩音樂及睡前故事等幫助使用者入眠與舒緩壓力,並提供追蹤紀錄睡眠品質等功能。
6.Apple Store網站,https://apps.apple.com/tw/app/dreams-your-dream-journal/id1225560667?l=en(最後瀏覽日:2024年5月6日)。使用者得透過Dreams創建個人之夢境日記,該軟體並得識別夢境中反覆出現之意象,協助就使用者之睡眠與夢境進行統計分析。
7.Mark Erik Larsen, Kit Huckvale, Jennifer Nicholas, John Torous, Louise Birrell, Emily Li, and Bill Reda, Using science to sell apps: Evaluation of mental health app store quality claims. 2 NPJ Digital Medicine (2019).
8.Adriana Belmonte, The mental health app data privacy problem is getting worse (Jan. 30, 2024), at https://finance.yahoo.com/news/the-mental-health-app-data-privacy-problem-is-getting-worse-161425472.html(最後瀏覽日:2024年5月6日)
9.中華民國刑法第316條。
10.Elisabeth Steindl, Safeguarding privacy and efficacy in e-mental health: policy options in the EU and Australia, 13 INTERNATIONAL DATA PRIVACY LAW 207 (2023). 以下除引用原文或對特定段落評論外,本文章的介紹部分不再特別引註。
11.個人資料保護法施行細則第4條。
12.例如我國衛福部於111年曾針對醫療器材零售業公告「醫療器材批發零售業個人資料檔案安全維護計畫實施辦法」。