【專欄】從新冠肺炎肆虐看我國生物資料庫之應有功能與法規調適 | 社團法人台灣人體生物資料庫學會
林瑞珠 (國立台灣科技大學特聘教授、台灣人體生物資料庫學會秘
http://biobanksociety.tw/article/covid19withbiobank/
article
社團法人台灣人體生物資料庫學會
http://biobanksociety.tw/main/wp-content/uploads/2018/12/FB-share-e1544149490151.jpg
Loading...
【專欄】從新冠肺炎肆虐看我國生物資料庫之應有功能與法規調適
cell split

【專欄】從新冠肺炎肆虐看我國生物資料庫之應有功能與法規調適

發表時間:2020年6月28日
發表作者:林瑞珠 (國立台灣科技大學特聘教授、台灣人體生物資料庫學會秘書長) 廖嘉成 (聖島國際法律事務所律師)
全文收錄
全文收錄
【專欄】從新冠肺炎肆虐看我國生物資料庫之應有功能與法規調適

林瑞珠 (國立台灣科技大學特聘教授、台灣人體生物資料庫學會秘書長)

廖嘉成 (聖島國際法律事務所律師)

  • 前言—Biobank Can Help

目前,全球肆虐的新冠病毒,已造成全球超過800萬例確診、43.6萬[1]人死亡的浩劫。有鑑於此,各國無不投入資源研發疫苗和藥物,希望可以根本解決此病毒的威脅,在與病毒、時間、和生命賽跑的三重壓力下,如何短時間內研發出最精準、最有效的藥物或疫苗,即為首要之務。

在此緊急時刻,儲存有大規模族群基因和個人健康資料的基因資料庫,儼然成為突破和加速研發的關鍵所在,例如美國的Mayo Clinic[2]、英國的UK BIOBANK[3]、瑞典的BIOBANK SWEDEN[4]、德國的German Biobank Node[5]、芬蘭的THL[6]皆紛紛針對新冠病毒設計因應計畫,歐洲的BBMRI更快速整合了整個泛歐洲653個從事新冠病毒研究的生物資料庫,完成其登錄系統(Directory Registry)[7]。生物資料庫龐大的數據和檢體規模,讓研究者可以嘗試在最短時間內獲得治療藥物或疫苗,這不僅是各國最需要生物資料庫發揮其功用的時刻,新冠病毒的襲擊,也成為檢視各國生物資料庫實力的時機,除了技術、規模、數據、與檢體外,在符合科學論據和研發時程需求下能以兼顧倫理法律正當性的方式促進生物醫學研究的進行,正是生物資料庫在這場疫情中須扮演的關鍵角色。

我國生物資料庫自2010年人體生物資料庫管理條例三讀通過後,至今已實行十年,目前共有33個生物資料庫完成核准設置[8]。然而,法規的通過並沒有讓生物資料庫的運作更為順利,個人資料保護法和人體研究法接連的通過,為法規適用的調合帶來前所未有的挑戰。甚至,我國從過去為人詬病的法規荒漠在短短一年內迅速轉變成法規叢林[9],讓生物資料庫的設置與運作迭生爭議,也連帶使生物資料庫的使用效率低下;近來主管機關也在重新審視其運行模式,而在2019年籌組國家級生物資料庫整合平台,希望能提升國內生物資料庫加值服務串聯健保申報資料、電子病歷、癌症登錄、罕見疾病等資料庫,提供台灣醫藥生技研究與精準醫療發展之重要資料來源,加速疾病研究與新藥研發[10]。然而,治本之道,仍在於:究竟我國需要甚麼功能的生物資料庫?若未能釐清其根本目的,推動修法的結果終究將難免削足適履。因此,本文之撰寫擬透過考察各國生物資料庫的發展趨勢和相對應法規治理,汲取其發展經驗,以尋求我國下一階段發展生物資料庫的借鏡。

  • 國際間人體生物資料庫的重要發展
  • 生物資料庫的典範—英國人體生物資料庫(UK BIOBANK)

自2012年開始對外釋出後,挾著其本身50萬名健康參與者的數據規模和加值優勢,UK BIOBANK儼然是當今最成功的生物資料庫。根據資料,UK BIOBANK至今不僅已有超過13,000名來自世界各地的生醫研究者註冊其資料庫,且已進行超過1200件研究案,其研究單位橫跨68個國家、超過1375個研究單位,堪稱最全球化、最規模化的生物資料庫[11]。UK BIOBANK並於2013年完成20,000名參與者之追蹤調查,其中包括與參與者健康資料串聯,並定期接收參與者之相關健康資料(如死因、癌症、就醫紀錄等)更新,除此之外,UK Biobank亦致力於其研究資料之加值服務,包括:(1)進行生物標識(Biomarker),為生醫研究提供更迅速、高價值的研究工具[12]。(2)與GlaxoSmithKline合作,對50,000名參與者進行外顯子測序(Exome sequencing)[13]。(3)影像計畫(Image Study),邀請參與者前來進行核磁共振影像檢測,預計收集10萬名參與者身體內部臟器影像[14]。(4)體適能監測(Physical monitor),邀請10萬名參與者配戴穿戴裝置提供24小時活動的生物訊息[15]。(5)邀請60歲以上有參加前述影像計畫之參與者,一同參與心臟監測(Heart Monitor)計畫,透過穿載裝置(ZIO Patch),在為期2週內量測參與者心臟活動,研究心律相關問題等[16]

除了每年定期推出新的資料加值服務,在英國疫情高居不下的艱難時刻,UK BIOBANK也宣布將投入新冠病毒的研究[17],號召20,000名自願參與者在未來的六個月內,提供血液進行檢測,以供研究者深入了解總人口群中遭感染者的比例,以及為何當中有些人有嚴重病徵,有些人卻是輕症,以更深入了解其治療或預防方案。

  • 歐洲BBMRI領航下的BIOBANK NETWORK

歐盟在2009年成立生物銀行及生物分子資源研究基礎機構(Biobanking and Biomolecular Resources Research Infrastructure,下稱BBMRI)以求整合歐盟區域內資料庫的資源,經過十年的努力,已經展現相當成果,建立了統整歐盟內20個成員國的生物資料庫總目錄(Directory),串聯了境內600個生物資料庫,是泛歐洲最大的生物資料庫入口,含括了超過1億筆檢體資料,每月有超過443個使用者[18];除此之外,BBMRI為了統一區域內的各國資料庫的資訊系統(IT)和倫理法律治理(ELSI)規章,也投入專案團隊建置統一的標準作業準則供資料庫成員遵循[19],且訂定資料庫品質管理作業規範和評估機制(Quality and Management)[20],設計查驗標章;近期BBMRI更進一步從統合的角色轉為助攻的角色,除提供入口式釋出申請窗口外,也制定資料釋出流程[21],並建置Negotiator系統[22],作為協助欲申請資料庫釋出者更便利地找尋和特定其所需檢體和聯繫窗口的作業平台,以更全面提升歐洲境內資料庫的能見度和使用度。隨著疫情的升溫,BBMRI也充分發揮其多年來整合境內資料庫資源的優勢,快速串聯相關有從事COVID-19病毒的資料庫[23],為新冠病毒的研究提供助力。

在BBMRI的統合和管理之下,歐洲各國的生物資料庫近年來展現相當的進步,特別是在本身已有悠久生醫歷史的北歐國家,憑藉其行之有年的國家健康保險和長期以來儲存的各式人體組織,在BBMRI的整合挹注下呈現更顯著的進步。例如丹麥以及芬蘭的生物資料庫即是著例。

  • 美國—崛起中的ALL OF US

美國在2015年由當時的歐巴馬總統提出精準醫療倡議後,即積極建置整合國內各大醫院、研究機構以及生物資料庫業者的平台[24]。同時,也更新了沿用多時的Common Rules和聯邦健康保險法案(Health Insurance Portability and Accountability,簡稱HIPPA),重新校對生醫研究的規範準星。隨著ALL OF US計畫的正式誕生,美國國家衛生研究院(NIH)開始推動與各大企業與機構設置收案規模達100萬人的國家型資料庫,透過與各大醫療院所和私人企業合作,除了積極進行收案、設立基因庫之外,也建置雲端化的資料中心,收錄參與者的電子健康紀錄(EHR),藉由即時性的行動通訊系統,即時、動態的與參與者更新其資料運用的狀況和對參與者個人健康產生影響的研究發現。目前為止,ALL OF US計畫已收錄超過35萬名參與者,統合超過20萬筆的電子健康紀錄和27萬筆的生物檢體[25],並且提供客製化的研究平台[26],為資料庫使用者量身訂做研究所需的最佳組合。

  • 日本—從生物資料庫的整合到健康醫療紀錄的整合

Biobank Japan為日本文部科學省發展之一主要計畫,目的在於集合政府資源,串聯生醫研究與臨床醫療產業,作為國家基因體醫學政策之要角。其主要資金來源係由國家支出,以2016年為例,其總資金為1265億日圓,分別來自文部科學省、厚生勞動省及經濟產業省。根據日本2013年訂定之「健康與醫療方案」,Biobank Japan於2014年開始推動「基因藥物研究計劃(2014 initiative implementation of genome medicine)」[27],擬提升基因研究成果的臨床應用,更快速地反饋於社會大眾。該計畫2015年的目標為:(1)完成Biobank網路。(2)建立中央、醫學基因體中心。(3)建構完整串接臨床表現型資料的基因資料庫。而2020年預計達成的目標為:(1)改善醫學健康照護。(2)建置癌症預防診斷。(3)對於憂鬱、失智症之臨床基因研究[28]。另,日本於2015年成立國立研究開發法人日本醫療研究開發機構(Japan Agency for Medical Research and Development,AMED)[29],此係為統合研究、試驗、到醫療、乃至於產業化(IP)的戰略政府機構,其所成立之研究管理委員會與諮詢委員會可直接對國家領導提供政策方針和指導建議。而Biobank Japan及日本國內其他Biobank皆被整合至AMED工作項目,目的在於鼓勵國內各研究中心彼此的合作,推動Biobank臨床應用。Biobank Japan亦以臨床數據(臨床資料庫)、健康人收案(基因資料庫)之資訊之相互串聯[30],透過人工智慧結合深度學習,希望能夠為解開個人基因、生活環境、與疾病等三者間的因果機轉帶來全新的研究方向與解決方案。換言之,人工智慧結合深度學習(Deep Learning),成為打通基因資料庫以及臨床資料庫的關鍵,為下游個人化治療與預防醫學開啟了全新大門[31]

近年來,日本政府為了融合生物資料庫與個人的醫療紀錄,以讓研究者可以透過大數據研究方法,掌握更完整、充分的基因、環境與疾病資料,研究致病因子,也通過了「次世代醫療基盤法」,藉由明定資料安全的管制措施,讓醫療資料可以更廣泛地被其他非學術研究機構來使用,將過去分散在各處醫療機構的醫療紀錄,可以在符合特定法令架構下,經過政府認可的匿名加工程序後,安心地被其他機構研究,並回饋給國民全體[32]

 

 

·       生物資料庫應有定位與規範策略

上述各國對於規範模式的選擇,雖然不無政策、產業、與社經條件的考量,但更重要的是必須對於生物資料庫的角色和功能有清楚的界定,才能在符合法令遵循的基礎上,讓人體生物資料庫能恰如其分地扮演其推動生醫研究、促進產業進步的推手。於茲試就人體生物資料庫之發展軌跡與我國的推動策略,說明如下:

·       下世代生物資料庫應有的定位

從各國採取的規範方法和資料庫的發展軌跡,吾等或可有下列觀察:

  • 生物資料庫必須具備多重功能角色:生物資料庫從過去求量、到追求品質、到現在跨入biobank 3.0的時代,所追求的不再是規模和檢體的品質而已,而是必須尋找創造資料庫價值,以追求生物資料庫永續發展的機會[33]。在此理念之下,生物資料庫不能只是漫無目的的尋求擴張或提高資料庫規模,透過提供加值服務以嵌入產業鏈,是追求生物資料庫永續發展的關鍵方法。也因此,在角色方面,生物資料庫不能再消極地扮演研究資源的保護者而已,而必須轉變為促進研究資源有效利用的管理者;在功能方面,生物資料庫不僅是匯聚各個資料的平台等待研究者來利用而已,而是需正面積極了解潛在使用者需求,提供客製化研究工具或解決方案之服務提供者;在產業位置上,生物資料庫不再是被定位成產業上游提供研究素材的來源而已,而是可以橫跨上游(基礎研究)、中游(產業研究)、下游(產品或服務提供)的服務介面,不論是面對提供檢體資料的參與者、利用資料庫的使用者,生物資料庫都可以提供相關的服務和加值,也唯有透過如此,才能確保生物資料庫可以永續經營。
  • 生物資料庫必須能分析、統合各種數據資料:不論是虛擬的整合平台(例如BBMRI),還是實際收集檢體和資料的生物資料庫(例如UK BIOBNK),生物資料庫業者皆不再只能消極的做「資料收集」、「入庫」、和「管理」等管家式的工作,在大數據的趨勢下,將不同來源(病歷、死因、戶政、基因型)、不同格式(紙本、電子化)的資料進行統整、純化、並進而探勘(Mining),透過演算法來加速跨資料的整合和新的研究方向,正是各大國家型資料庫提升競爭力的不二法門。實際上,不論是發展多時的UK BIOBANK、BIOBANK JAPAN,還是正在發展中的ALL OF US,皆直接或間接地使用大數據和人工智慧的科技,來進一步整合、編纂來自不同資料庫的各種個人資料,提升資料庫內容本身的價值和提供客製化的研究工具,以進一步與產業鏈相連結。
  • 生物資料庫必須快速反應、整合的能力:隨著科學與技術的不斷進步,生物資料庫的建置、營運皆需越來越能與時俱進,根據產業的型態和實際需求調整本身組織運作。舉例而言,在2018年5月才開始進行收案的美國ALL OF US,短短2年內即已累積超過34萬名參與者的資料,未來將透過e-consent行動通訊方式,與參與者即時更新其資料使用的情形;UK BIOBANK在接獲釋出申請後,平均約需耗時24週方能將使用者需要的文件和資料送交到釋出申請者的手上,但UK BIOBANK在思考下一世代的資料庫運作時,為了讓使用者可以儘快收到研究材料,UK BIOBANK決定將上述時間縮短為12週;因應新冠肺炎的襲擊,BBMRI也在短短1-2個月的時間,迅速整合其下600百多個生物資料庫的資源,配合歐盟針對COVID-19發布的作業準則[34],更新其資料庫的品質管理標準流程,並建立COVID-19病毒的資料庫登錄網路[35],為新冠肺炎病毒的研究奠定基礎,促進相關生物資料庫資源的運用和整合。這當中除了反應了生物資料庫扮演多重角色、提供加值數據和服務外,也體現了生物資料庫在生醫研究產業中必須具備的關鍵功能—快速的因應產業或政策需求,整合、調整相關資源的能力。

·       人體生物資料庫規範策略與思維

  • 採取何種規範模式,需考量擬賦予資料庫的任務和角色:

以美國為例,其針對包含BIOBANK此等行為類型,仍主要透過COMMON RULES來規範[36],配合更新後的Health Insurance Portability and Accountability Act (HIPAA),讓欲使用參與者或病患電子病歷的資料庫業者,得以在符合個人資料保護的要求下,進行資料的處理和利用[37]。以美國目前最大的ALL OF US計畫為例,該計畫的進行即須同時受到COMMON RULES以及HIPAA規範的約束[38]。不過,因為主要行為仍是透過自律色彩較濃厚的COMMON RULES規制,故ALL OF US的角色定位可說是目前世界上最多重、也是企圖心最強的生物資料庫,貫通了上到下游產業鏈,替研究者整合了醫療紀錄系統,且標榜參與者為夥伴關係,將資料庫的相關研究成果透過行動通訊系統,定期的回饋給參與者,可說是集合百萬民眾之力,共同為下一世代努力的BIOBANK[39]。因此,為了讓資料庫可以具備多重角色和扮演不同功能,同時又不會受到過度的管制,此時規範的架構即必須容留充足的自主空間和彈性。在此種考量下,採取框架式立法或透過非法律位階的行政規則來進行管制,皆為可採的方案。

  • 在大數據的浪潮下,個人化健康資料(EHR)的處理和利用成為焦點:

從過去生物資料庫的管制發展脈絡,可以得知,對於生物資料庫的設置和運用,或有兩種規範思維,其一為生物資料庫之建置與一般涉及人體研究和個人資料之活動並無本質不同,故在管制工具的選擇上,會偏向以既有的人體研究法令和個人資料保護規範作為主要法規基礎;另一種思維,則是認為人體生物資料庫的設置和運用與一般人體研究和個人資料的收集雖然有相關聯,但存在本質上的差異,故在管制工具的設計上,會傾向以專門的法令作為規範基礎[40]

近年來隨著巨量資料的收集和人工智慧運用的提升,也讓資料庫的個人資料收集和處理所涉及的資料安全成為焦點。特別是,越來越多的生物資料庫和科技巨擘進行合作,例如UK BIOBANK與GOOGLE旗下的DEEP MIND合作[41],也連帶讓個人儲存在生物資料庫中的資訊隱私是否可確保,產生疑慮。因此,生物資料庫的管理架構,除了人體研究面向外,個人資料保護的相關法規如何一起整合,也屬重要。

  • 設計專法,必須能打通關鍵環節,避免疊床架屋:

一般而言,若對於生物資料庫的定位採取不同於人體研究的定性,則容易傾向透過專法來進行規範;此外,對於資料庫的角色或分工越是固定明確,例如主要資料庫主要是扮演資料的收集和管理的角色,則此時透過法律的規範來讓生物資料庫的組織架構和行為可以適切的和其他規範類型(例如人體研究和資料收集)可以有更清楚的釐清,即為合理的作法,因為透過專法來釐清生物資料庫相對於一般人體研究和個人資料保護更特殊之處,例如概括同意、資料的匿名化程度、目的外資料的使用、國際傳輸、資料釋出的公平原則等,更能協助打通生物資料庫運作的關鍵環節。歐洲國家例如愛沙尼亞[42]、瑞典[43]、冰島[44]、芬蘭[45]等,即為適例。

以芬蘭的生物資料庫專法(BIOBANK ACT)為例,該專法的訂定,一方面填補了人體研究法規是否適合規範生物資料庫的空隙,另一方面考量生物資料庫與一般人體研究相較,涉及預算規模更大、資料更集中、儲存管理越長久、複雜的科技事務,故須更強力的公權力監管,例如:生物資料庫的設置必須經過國家級的研究倫理委員會(National Committee on Medical Research Ethics)核可[46]

專責機構的設置,也讓生物資料庫的治理更能迅速因應變遷快速的生物科技法律,例如GDPR的通過,BBMRI隨即開始起草CODE OF CONDUCT[47],歐盟各國也紛紛透過其既有的專責機構調整生物資料庫在GDPR時代下的應有規範架構,讓生物資料庫的治理架構能快速跟上腳步。若是透過框架性或原則性的個人資料保護法規來規範生物資料庫,則因為這些法規規範層面本不以生物資料庫為限(尚包含其他例如金融、商務、娛樂等),其如何因應GDPR衝擊而精準的針對涉及生物資料庫來修正而不會導致射程範圍過寬或過狹,即屬困難之事。但相對的,專法的訂定就必須要特別留意與其它既有規範的分際釐清,特別是人體研究以及個人資料保護的相關規定,以免變成與其他法規有疊床架屋的情形,產生資料庫運作的窒礙。

 

·       我國人體生物資料庫管理規範架構與需調適之重要議題

針對生物資料庫的設置、管理和運用,目前我主要相對應的規範是2010年的「人體生物資料庫管理條例」,值得注意的是,在2010年也同時大幅翻修的「個人資料保護法」、以及2011年隨後制定的「人體研究法」,均為重要相關的法律[48]

·       我國人體生物資料庫管理規範架構之問題

對於生物資料庫的規範採「個資」、「人體研究」、「生物資料庫專法」三法並陳的例子雖不多,但也並非沒有(例如芬蘭);事實上,若設計得宜,此規範架構可藉由法律規範建立明確的行為架構,更快速的整合生物資料庫的研發能量。然而,與他國是由「一般」(人體研究、個人資料保護)發展到「特殊」(生物資料庫)的軌跡不同,我國法規發展軌跡正好相反,是先制定了較專門的人體生物資料庫管理條例(2010.2.3)後,又陸續通過了屬於一般法的個人資料保護(2010.5.26)和人體研究法(2011.12.28),而法規定義與規範架構又皆未適當釐清,導致專法的適用產生扞格,無法發揮專法的應有功能之問題,具體而言:

  • 定義不明確:舉例而言,設置生物資料庫的行為本身究竟是否應同時適用人體研究法?在過去中央研究院執行「台灣生物資料庫」(TAIWAN BIOBANK)計畫時,即曾經發生人體研究法和人體生物資料庫管理條例的解釋爭議[49]。依照人體研究法定義[50],人體研究指:「人體研究(以下簡稱研究):指從事取得、調查、分析、運用人體檢體或個人之生物行為、生理、心理、遺傳、醫學等有關資訊之研究」,故文義解釋上,人體生物資料庫的設置既然也涉及為了生醫研究取得人體檢體和有關資訊,職司人體研究倫理審查的IRB即有審查之職責;但從特別法的角度出發,人體生物資料庫的功能是在長期性的檢體和資料的收集和管理,與人體研究專案性、計畫型的性質不同,且人體生物資料庫依法有設置倫理委員會,人體生物資料庫就其資料的運用計畫除須經過倫理委員會的審查外,還須送主管機關的專家委員會審核通過後,方得進行[51]。是故,人體生物資料庫管理條例所採行的規範密度已較人體研究法更高,舉重明輕,解釋上似無再要求人體生物資料庫的設置者將設置運用計畫再送機構內IRB的審查之理。
  • 管理架構疊床架屋:上述定義不明確的爭議,直接導致目前國內生物資料庫的設置者(大多屬醫院)除了本身的IRB外,尚需額外另設置人體生物資料庫管理條例所要求的倫理委員會,形成倫理治理多頭馬車的現象。而這不僅是人體研究的定義外延過廣的問題,人體生物資料庫管理條例對於生物資料庫的界定[52]為:「指為生物醫學研究之目的,以人口群或特定群體為基礎,內容包括參與者之生物檢體、自然人資料及其他有關之資料、資訊;且其生物檢體、衍生物或相關資料、資訊為後續運用之需要,以非去連結方式保存之資料庫」,在此定義下,過去醫院於醫療行為中所取得、儲存之病灶組織,若要運用於人體研究,則可能須適用人體生物資料庫管理條例,除了院內IRB的審核外,還需另外設置倫理委員會,並向主管機關申請設置許可,驟增的法遵成本和嚴格的管制措施,也對人體研究的進行產生阻礙(這或可解釋為何國內各大醫院皆紛紛成立成本高昂的生物資料庫)。
  • 不利於大數據資料庫之發展:上述法律適用的混亂不僅只發生在人體生物資料庫專法和人體研究法,在個人資料保護的層面,也有類似問題。以國人最關切的問題為例,對於人體生物資料庫所涉及的個人資料之蒐集、處理和利用,參與者是否可請求停止、閱覽、更正?人體生物資料庫第10條規定「依本條例所為之生物檢體或資料、資訊之蒐集、處理,參與者不得請求資料、資訊之閱覽、複製、補充或更正。但屬可辨識參與者個人之資料者,不在此限」,但個人資料保護法第3條則規定:「當事人就其個人資料依本法規定行使之下列權利,不得預先拋棄或以特約限制之:一、查詢或請求閱覽。二、請求製給複製本。三、請求補充或更正。四、請求停止蒐集、處理或利用。五、請求刪除。」從規範文義觀察,似乎資料庫的參與者在針對可辨識其個人資料,仍可請求生物資料庫刪除,但是對照文義,人體生物資料庫第10條似乎漏掉了「查詢」、「刪除」和「停止蒐集、處理和利用」,則資料庫參與者若想知道其提供的資料是如何地被生物資料庫利用,其利用成果對其個人健康是否有影響?是否可要求生物資料庫對其說明和報告?皆不明確,也衍生出生物資料庫是否有違反個人資料保護法的疑義。

更迫切的問題,是個人資料保護的「資訊自決」和「資訊安全」層面,個人資料保護法所要求的標準和人體生物資料庫管理條例的標準並不完全清楚一致。例如,對於告知同意的要求,個人資料保護法第6條要求針對基因和健康等敏感性個資,必須有明示、特定的書面同意,但人體生物資料庫的運作是為了長期研究所需,難以事先預見所有可能的研究領域和類型,故往往需透過概括同意(General Consent)進行,則人體生物資料庫若採行範圍較不明確的概括同意,是否能符合個人資料保護法第6條規定的明示、特定的要求,即非無疑。又,生物資料庫是針對參與者個人的基因和表現型資料進行收集,若可將參與者家族或是病歷資料一併統整納入,將可更提高生物資料庫的價值[53],故與其他健康資料的串聯(linkage),對於提升生物資料庫的運用效益是非常重要的。就此,人體生物資料庫管理條例第7條已明文將生物資料庫擬串聯的其他資料庫列為應告知參與者的事項,故理論上若參與者同意,應可表示生物資料庫可據此向其他資料庫進行資料的蒐集和串接,但上開做法是否符合個人資料保護法所要求的個人同意,並不明確,對於其他健康資料庫而言,與生物資料庫進行串接可能被認為是「目的外使用」,須符合個人資料保護法第16、20條的規定,方得為之,若要透過「匿名化」讓串連的資料「無從識別」以符合個人資料保護法目的外使用[54]的條件來進行,則因為人體生物資料庫管理條例的匿名化是規定「以編碼、加密、去連結或其他無法辨識參與者身分之方式」[55],是否與個人資料保護法所要求的「無從識別特定個人」相符,亦非確定,易生爭議。綜上,在資料的收集、管理與運用方面,人體生物資料庫管理條例與個人資料保護法皆有重疊、但彼此規範不一致的情形,也讓生物資料庫無法透過資料的串接來發揮整合的功能[56]

·       我國人體生物資料庫需調適之重要議題

承前所述,本文以為,對於現行人體生物資料庫管理條例須調整面向,至少有下述幾大面向:

  • 調整人體生物資料庫之型態:盤點當今世界各國職司整合和推動生醫研究的國家型生物資料庫,除美國ALL OF US仍是計畫性質(project-based)由NIH推動外,英國(UK BIOBANK)、芬蘭(FINNGEN)、日本(BIOBANK JAPAN)、丹麥(DANISH BIOBANK)和歐洲(BBMRI Consortium)等,其組織型態皆是獨立的權利主體,或為公部門(例如BBMRI、DANISH BIOBANK),或為公益法人(例如UK BIOBANK),或是研究機構(例如FINNGEN)來進行推動,故我國若想進一步整合國內33個生物資料庫,思考的起點是要透過哪一種組織型態(公法人?私法人?)來推動。就此,於人體生物資料庫管理條例修法時,應考慮是否針對此種透過國家預算推動政策任務的國家型資料庫予以特別處理,另闢專章,或是透過早前已通過的行政法人法或財團法人法來處理,以釐清法規林立下的適用分際。
  • 落實利益回饋機制:目前對於生物資料庫的運用回饋,訂有「人體生物資料庫商業運用利益回饋辦法」。惟其中針對「商業運用利益」,係「指設置者或資料庫運用者使用生物資料庫之生物檢體、資料、資訊產出或衍生之商業有關收益」,故意味著是指「使用該資料庫後所產生的收益」,比較典型的例子為:若研究成果申請專利,其相對應的權利金。但在近來生醫大數據的使用需求下,越來越多的科技大廠或藥廠是純粹為了取得資料而來,例如2019年世界前六大藥廠以上億美元的重金來換取UK BIOBANK基因定序資料的使用權[57],換言之,在其使用申請中,根本不會有「將來使用資料產生或衍生的商業收益」,因為根本還不知道如何商業化,遑論預期有收益。而目前利益回饋的設計,導致生物資料庫投入巨額成本進行資料加值(例如進行基因定序),但在資料釋出時,囿於利益回饋以「商業運用利益」為限,資料庫無法收取對等的釋出對價(因為還沒有商業運用利益可言),來適切的反應資料庫應有的價值,除了造成資料庫加值的意願低落,也連帶影響資料庫的永續經營[58]
  • 強化資料庫管理與資訊連結:如前所述,人體生物資料庫對於和其他資料庫(例如健保資料庫的串接),可見於人體生物資料庫管理條例第7條的告知事項:「將來預期連結之參與者特定種類之健康資料。」但此種型態的告知是否能符合個人資料保護法的規範,讓生物資料庫可以據此向預期連結的健康資料庫進行串接,在實務的操作上仍有見解認為不符合個人資料保護法的要件。此外,對於生物資料庫接軌國際至關重要的國際傳輸,人體生物資料庫管理條例採核可制[59],與個人資料保護法第21條的規定模式並不相同[60],且似乎限於因研究計畫主持人因資料釋出需要而須進行國際輸出的情形[61],則倘若有國外業者(例如藥廠)欲國內生物資料庫合作進行基因資料定序的場合,相關作業(資料傳輸)必須以研究計畫的方式進行,衍生實務上諸多不便(例如須以研究計畫主持人提出申請)。
  • 確保參與者保護機制:參與者的保護機制略可分為「事前」與「事後」二階段。在目前人體生物資料庫管理條例的架構下,主要是透過事前的告知、資料庫管理機制、和資訊安全事件發生的通報和保全程序來規範[62]。但近來隨著大數據分析技術的進步,生物資料庫越來越可能在收集、整合相關參與者個人資料時(例如進行超音波和MRI影像蒐集),發現高度影響參與者健康的致病因子(例如疑似腫瘤或遺傳疾病),此時對於偶然發現(incidental finding),生物資料庫究竟應否主動告知,以及其相對應的配套(例如諮詢或轉介機制),成為近年來國際上生物資料庫業者間的難解議題[63]。但是在目前人體生物資料庫管理條例第7條的架構下,似乎並未處理此種「預期外」的偶然發現,若未來我國擬再升級、整合國內生物資料庫的資源,並且串聯健康資料庫,則此種偶然發現的個案發生可能性勢必將提高,則人體生物資料庫管理條例應有相對應的調整,以確保參與者的自主權和隱私,增進公眾對於資料庫的信賴。
  • 健全資訊安全與資料處理利用機制:對於人體生物資料庫的資訊安全機制,人體生物資料庫管理條例訂有「人體生物資料庫資訊安全規範」,針對「(一)資訊管理單位之組織、權責及分工。(二)人員管理及資訊安全訓練。(三)電腦系統安全管理。(四)網路安全管理。(五)資訊系統存取控制管理。(六)資訊系統購置、發展及維護安全管理。(七)資訊資產之管理。(八)實體及環境安全管理。(九)資訊安全事件發生之通報及保全處理程序。(十)業務持續及回復管理」[64]等進行管制,此外,並規定「收案後所建置之生物資料庫之個人資料,應以實體隔離之方式建構及使用,其資訊系統不得與網際網路連接」[65];然而,上述安全規範的控管規格是否符合個人資料保護法的規定,各生物資料庫業者據此訂定的資訊安全規則又是否足以符合當前國際個人資料保護的原則,特別是GDPR的適足性問題,涉及未來生物資料庫國際合作的重要前提,殊值重視。但目前國內對於生物資料庫的資訊安全和資料處理利用並無統一的規則,各資料庫的資訊管理架構也不盡相同,在思考修法時,應與國際接軌,導入驗證機制(例如ISO),以提升資料庫的資安品質,為日後的資料庫彼此間的串聯,奠定基礎。

·       結論與建議

綜上,本文提出推動下世代人體生物資料庫建置,應有之法規調適建議,如下:

  • 在法規調適策略與規範面向上:法規之調整,應聚焦人體生物資料庫的角色定位,特別是受政府經費捐補助而設置的生物資料庫,發揮其整合、串連的功能;至於,法規體系部分,必須一併考量「個人資料保護法」與「人體研究法」的規範模式,以發揮專法整合的功能。
  • 有鑑於生物資料庫的建置和其營運需投入高昂的成本,往往需要政府出資或官方機構扮演火車頭的推動角色,例如在我國推動多時的「台灣人體生物資料庫」[66]、以及近期推動的「國家級人體生物資料庫整合平台」[67]等,這些國家層級、帶有強烈公益和政策性質的生物資料庫,與其他一般人體生物資料庫的定位應有區別,因此,現行人體生物資料庫管理條例宜明文確立政府捐補助資料庫之定位,明確化「政府捐補助設置之生物資料庫」角色定位;對此,應可參考器官移植條例[68]與醫療法[69]體例,明訂中央主管機關為促進生物資料庫發展、統籌資源、提升生物醫學研究品質及效率,得捐助成立專責機構或採取補助措施,推動生物資料庫的管理、登錄、作業程序,以增進資料庫有效運用。
  • 在加速人體生物資料庫釋出程序上:配合國家級生物資料庫計畫的整合推動,規劃國家級倫理治理委員會,用以督導國內各生物資料庫倫理委員會之監督、管理、評鑑;訂定人體生物資料庫管理條例的倫理治理方針;加速國內各生物資料庫釋出(例如:設置單一審查窗口)。
  • 在促進人體生物資料庫加值運用上:應透過法規鬆綁,以促進生物資料庫之運用,依人體生物資料庫管理條例第5條第3項:「生物資料庫有關資料、資訊之運用,應擬定計畫,經其倫理委員會審查通過後,再報經主管機關邀集法律專家、社會工作人員、資通安全管理人員及其他社會公正人士等人員審查通過後,始得為之。」實務上,人體生物資料庫設置者若擬從事相關資料加值(例如與業者合作進行基因定序或跨資料庫連結),往往面臨是否還須適用人體研究法,依該法規定(第5條)送交倫理審查委員會(IRB)審查。本文建議,就生物資料庫的運用,應明確條列生物資料庫設置者對於其所儲存的檢體、資料可進行的相關分析、研究和處理[70]
  • 在建構下世代資料庫應有之功能上:為因應大數據與人工智慧資料運用需求,兼顧個人資料保護國際趨勢,得修訂現行人體生物資料庫管理條例,以強化跨資料庫連結的適法性。在確實保護個人資料前提下,評估健康資料加值運用的可行條件,可以橋接個人資料保護法與人體研究法,釐清個人資料應有的保護措施,於符合個人資料保護的原則下,以開展健康資料運用的解決方案。如:參考日本次世代醫療基盤法,建置獨立第三方審議;或參考美國HIPAA,建立去識別化的標準[71];或因應科學研究的需求,訂定屬於生物資料庫的行為準則[72],均為可行的方案。

[1] 資料來源:衛福部疾管署官網https://www.cdc.gov.tw/,2020.06.16上午10:00之統計數據。

[2] COVID-19 Biobank,MAYO CLINIC,https://www.mayo.edu/research/clinical-trials/cls-20484659 (last visited Jun.16,2020)

[3] UK BIOBANK MAKES HEALTH DATA AVAILABLE TO TACKLE COVID-19,biobank,https://www.ukbiobank.ac.uk/2020/04/covid/ (last visited Jun.16,2020)

[4] Covid-19: Priority for biobank applications in connection with covid-19,Biobank Sverige,https://biobanksverige.se/inlagg_eng/covid-19-priority-for-biobank-applications-in-connection-with-covid-19/ (last visited Jun.16,2020)

[5] Covid-19 Working together to combat the corona virus,German Biobank Node,https://www.bbmri.de/forschung/covid-19/?L=1 (last visited Jun.16,2020)

[6] Finnish Institute for Health and Welfare is investigating individual susceptibility to severe coronavirus infection, The Finnish Institute for Health and Welfare (THL),https://thl.fi/en/web/thlfi-en/-/finnish-institute-for-health-and-welfare-is-investigating-individual-susceptibility-to-severe-coronavirus-infection (last visited Jun.16,2020)

[7] BBMRI-ERIC,https://directory.bbmri-eric.eu/menu/main/app-molgenis-app-biobank-explorer/biobankexplorer (last visited Jun.16,2020)

[8] 詳如附表,見表一。

[9] 林瑞珠、廖嘉成,〈大數據浪潮下蛻變中之人體生物資料庫〉,《月旦醫事法報告》,第24期,頁7-22(2018)。

[10] 國家級生物資料庫整合平台 開創台灣精準醫療新里程,國家衛生研究院電子報, https://enews.nhri.org.tw/?p=2414(最後瀏覽日:2020/06/16)

[11] https://www.ukbiobank.ac.uk/researchers/ (last visited Jun.16,2020)

[12] https://www.ukbiobank.ac.uk/uk-biobank-biomarker-panel/ (last visited Jun.16, 2020)

[13] https://www.ukbiobank.ac.uk/2019/03/new-genetic-data-on-50000-uk-biobank-participants-made-available-to-the-global-health-research-community/ (last visited Jun.16, 2020)

[14] https://www.ukbiobank.ac.uk/scanning-study-launches/ (last visited Jun.16, 2020)

[15] https://www.ukbiobank.ac.uk/activity-monitor-3/( last visited Jun.16, 2020)

[16] https://www.ukbiobank.ac.uk/heart-monitor/ (last visited Jun.16, 2020)

[17] UK Biobank, INFORMATION SHEET: UK Biobank coronavirus research, https://www.ukbiobank.ac.uk/coronavirus-research-information-sheet-for-ukbppts/ (last visited Jun.16, 2020)

[18] BBMRI-ERIC, ABOUT US, https://www.bbmri-eric.eu/about (last visited Jun.16, 2020)

[19] https://www.bbmri-eric.eu/services/elsi (last visited Jun.16, 2020)

[20] https://www.bbmri-eric.eu/services/quality-management (last visited Jun.16, 2020)

[21] https://www.bbmri-eric.eu/services/access-policies (last visited Jun.16, 2020)

[22] https://www.bbmri-eric.eu/services/sample-negotiator (last visited Jun.16, 2020)

[23] https://www.bbmri-eric.eu/covid-19 (last visited Jun.16, 2020)

[24] https://obamawhitehouse.archives.gov/precision-medicine (last visited Jun.16, 2020)

[25] https://www.researchallofus.org/data-snapshots/ (last visited Jun.16, 2020)

[26] https://www.researchallofus.org/about-the-research-hub/ (last visited Jun.16, 2020)

[27] https://www.genome.gov/Multimedia/Slides/GM6/21_Okamura_Kubo_Miyano_Japan.pdf (last visited Jun.16, 2020)

[28] 同前註,頁6。

[29] https://www.amed.go.jp/en/aboutus/gaiyou.html (last visited Jun.16 2020)

[30] https://www.amed.go.jp/en/program/list/14/01/003.html (last visited Jun.16, 2020)

[31] http://ngbrc.com/img/file94.pdf(last visited Jun.16, 2020)

[32] 范姜真媺,〈日本次世代醫療基盤法之簡介〉,《月旦醫事法報告》,第24期,頁44-56(2018)。

[33] Simeon-Dubach D, Watson P, Biobanking 3.0: evidence based and customer focused biobanking, CLINICAL BIOCHEMISTRY, 47(4-5),300‐308(2014).

[34] https://www.bbmri-eric.eu/covid-19 (last visited Jun.16, 2020)

[35] https://directory.bbmri-eric.eu/menu/main/app-molgenis-app-biobank-explorer/biobankexplorer (last visited Jun.16, 2020)

[36] 45 CFR part 46.

[37] Harrell, Heather L. and Rothstein, Mark A., Biobank Research and Privacy Laws in the United States (April 20, 2016). Journal of Law, Medicine and Ethics, Vol. 44, No. 1, 2016; University of Louisville School of Law Legal Studies Research Paper Series No. 2016-8. Available at SSRN: https://ssrn.com/abstract=2772700 (last visited Jun.16, 2020)

[38] https://allofus.nih.gov/sites/default/files/f2_hipaa_ehr_part_2_supplement-eng-sample.pdf (last visited Jun.16, 2020)

[39] The Precision Medicine Initiative Cohort Program – Building a Research Foundation for 21st Century Medicine Precision Medicine Initiative (PMI) Working Group Report, page 39, available at:

https://www.nih.gov/sites/default/files/research-training/initiatives/pmi/pmi-working-group-report-20150917-2.pdf (last visited Jun.16, 2020)

[40] 關於人體資料庫治理及審查規範的立法層面討論,可參照陳仲嶙,〈生物資料庫之倫理治理機制與倫理審查機制的交錯〉,《醫事法學》,第21卷第2期,頁45-60(2014)。

[41] https://www.washingtonpost.com/news/the-switch/wp/2018/02/19/google-used-artificial-intelligence-to-predict-heart-attacks-with-the-human-eye/?noredirect=on&utm_term=.fab26b3268b3 (last visited Jun.16, 2020)

[42] Human Genes Research Act, available at: https://www.riigiteataja.ee/en/eli/531102013003/consolide (last visited Jun.16, 2020)

[43] Biobank in Medical Care Act, available at: https://biobanksverige.se/wp-content/uploads/Biobanks-in-medical-care-act-2002-297.pdf (last visited Jun.16, 2020)

[44] Act on Biobanks, available at: https://www.personuvernd.is/information-in-english/greinar/nr/439 (last visited Jun.16, 2020)

[45] Biobank Act, available at: https://www.finlex.fi/en/laki/kaannokset/2012/en20120688.pdf (last visited Jun.16, 2020)

[46] 見芬蘭生物資料庫專法(Biobank Act)第6條。

[47] http://code-of-conduct-for-health-research.eu/  (last visited Jun.16, 2020)

[48] 關於人體生物資料庫適用的法律,可參考林瑞珠、廖嘉成,〈大數據浪潮下蛻變中之人體生物資料庫〉,《月旦醫事法報告》,第24期,頁7-22(2018)。

[49] 〈人體生物資料庫爭議,中研院盼釋法〉,中央社,https://www.cna.com.tw/news/ahel/201611160320.aspx(最後瀏覽日:2020/06/16)

[50] 人體研究法第3條參照。

[51] 人體生物資料庫管理條例第5條參照。

[52] 人體生物資料庫管理條例第3條參照。

[53] 如UK BIOBANK。

[54] 個人資料保護法第16、20條參照。

[55] 人體生物資料庫管理條例第18條參照。

[56] 就人體生物資料庫及個人資料保護法解釋、適用競合問題之詳細探討,可參考蔡奉真,〈淺析生醫研究中之隱私權保障規範──以人體研究法、人體生物資料庫管理條例與個人資料保護法三者競合為中心〉,《司法新聲》,第107期,頁47-60(2013)。

[57] https://www.theatlantic.com/science/archive/2018/07/big-pharma-dna/566240/ (last visited Jun.16, 2020)

[58] 針對我國法對利益回饋制度設計之批評機修正建議,可參考李崇僖、星友康,〈人體生物資料庫之合理近用及其專利政策-以我國之商業運用利益回饋為核心〉,《智慧財產評論》,第13卷第2期,頁73-106(2016)。

[59] 人體生物資料庫管理條例第15條。

[60] 個人資料保護法第21條規定:非公務機關為國際傳輸個人資料,而有下列情形之一者,中央目的事業主管機關得限制之:一、涉及國家重大利益。二、國際條約或協定有特別規定。三、接受國對於個人資料之保護未有完善之法規,致有損當事人權益之虞。四、以迂迴方法向第三國(地區)傳輸個人資料規避本法。

[61] 見人體生物資料庫國際傳輸或生物檢體衍生物輸出審查基準附件四。

[62] 資訊安全規範第1條。

[63] 請插入瑞珠的文章          關於「偶然發現」之詳細探討與建議,可參見Jui-Chu Lin, Wesley Wei-Wen Hsiao, Chien-Te Fan, Managing “Incidental Findings” in Biobank Research: Recommendations of the Taiwan Biobank , Computational and Structural Biotechnology Journal, 17, pp 1135-1142 (2019).

[64] 資訊安全規範第1條參照。

[65] 資訊安全規範第8條參照。

[66] https://www.twbiobank.org.tw/new_web/ (last visited Jun.16, 2020)

[67] https://nbct.nhri.org.tw/zhtw/index.php (last visited Jun.16, 2020)

[68] 第17條。

[69] 第88條、第91條。

[70] 就此,或可參考採用專法規範生物資料庫之國家之立法例,例如愛沙尼亞Human Genes Research Act, § 14 - §21, https://www.riigiteataja.ee/en/eli/ee/531102013003/consolide ; 芬蘭的Biobank Act, Chapter 3, https://www.finlex.fi/en/laki/kaannokset/2012/en20120688.pdf

[71] https://www.hhs.gov/hipaa/for-professionals/privacy/special-topics/de-identification/index.html (last visited Jun. 16, 2020)

[72] BBMRI-ERIC, CODE OF CONDUCT FOR HEALTH RESEARCH: TAKING UP SPEED & CALLING FOR YOUR INPUT, https://www.bbmri-eric.eu/news-events/code-of-conduct-for-health-research/, (last visited Jun. 16, 2020)