發佈日期:2017-10-25

人體生物資料庫之管制規範與國際趨勢

作者: 顧長欣

政策評析 生物資料庫 檢體 基因研究 Biobank Specimens Genetic Research

文章圖片所有權: https://goo.gl/5SwSqv ,Created by PublicDomainPictures
版權適用聲明: CC0 Public Domain-可以做商業用途-不要求署名

1 1

前言

2 2

過去在台灣進行生物醫學研究,有關檢體採集後之處理與保管,往往是由計畫主持人自行保管於實驗室進行分析,處理完畢則續為保存或銷毀。在缺乏一套完整之專屬法令控管的情況下,檢體是否確實銷毀、或檢體之保存(去連結、或帶有連結)是否安全,乃至研究結果(特別是含有基因資訊者)之處理或限制,僅能透過研究倫理審查委員會的倫理審查、主持人送審計畫結案報告審查的方式,以委員會的名義來加以監督。但隨著醫療技術的發展與研究方法的進步,為了能更加精準的掌握致病因子,檢體的保存時間越來越長,檢體提供者所需要額外提供的個人資訊越來越多,以有效的研究出致病之多重影響因素,以利疾病之治療及預防。在這樣的情況下,建立一套集中管理之監督機制,來確保檢體提供者權益之維護,已成為國際間的統一作法。台灣在民國99年公告了「人體生物資料庫管理條例」,開始對於大型檢體資料庫(Biobank)的建置與管理進行規範。對於過去未加以嚴密管控之檢體庫、組織庫,開始進行管制,從整個操作流程、告知同意、檢體保存、乃至資料庫之建置許可規定,均明文加以規範。本篇文章首先將針對此管理條例進行介紹,以掌握台灣對於人體生物資料庫之管制現況。其後,則將透過美國、歐盟相關法令的盤點與分析,瞭解國際間人體生物資料庫之管制框架,以作為未來政策規劃之重要參考。

3 3

一、台灣的人體生物資料庫管制

4 4

台灣其實早在民國92年就已開始針對建置台灣生物資料庫的可行性進行評估,其後行政院衛生署(現為衛生福利部)也委託進行了「建置台灣生物資料庫先期規劃」計畫,在執行計畫的三年期間,透過遺傳醫學、資訊平台、產業發展、倫理法律不同面向之研究,來對於生物資料庫在建置與運作之過程中,可能產生之各類議題進行了解。在經過了長期的探討與資料蒐集後,為了能夠明確規範人體生物資料庫之建置與管理,在促進醫療發展的同時,也保障「參與者」(提供檢體及個人資料之自然人)之各項權益,在99年2月3日正式公布了「人體生物資料庫管理條例」(以下簡稱管理條例),該條例並自公布日施行。依據管理條例第1條,該條例之立法目的為:「為規範人體生物資料庫之設置、管理及運用,保障生物資料庫參與者之權益,促進醫學發展,增進人民健康福祉,特制定本條例」。就管理條例之規範所訂,所謂「生物資料庫」係指:「為生物醫學研究之目的,以人口群或特定群體為基礎,內容包括參與者之生物檢體、自然人資料及其他有關之資料、資訊;且其生物檢體、衍生物或相關資料、資訊為後續運用之需要,以非去連結方式保存之資料庫。」也就是說,如果研究人員要以生物資料庫中所保存之「自人體採集之細胞、組織、器官、體液或經實驗操作所產生,足以辨識參與者生物特徵之衍生物質」(即「生物檢體」)來進行「與基因等生物基本特徵有關之醫學研究」(即「生物醫學研究」),就會成為這個法規之管控對象,必須受到這份規範文件之管制(第3條)。

5 5

首先,就檢體之取得,依照管理條例之規定,研究人員對於生物檢體之採集,必須遵守醫學倫理與研究倫理,參與研究者(即提供檢體及個人資料之個人)應以年滿20歲並有行為能力之人為原則(第6條)(註1)。且研究人員必須備妥書面同意書,明列管理條例第7條所規範的17項應告知之事項,必須取得參與者之書面同意之後,才可開始進行研究。參與者對於可辨識其身份之資料/資訊,可以請求閱覽、複製、補充或更正。而即使參與研究者已簽署同意書,其仍保有要求停止提供生物檢體、變更同意範圍、或退出研究之權利。保存這些由研究人員於取得同意後所取得之帶有連結之檢體之處所,即為「生物資料庫」。可設置生物資料庫者,以政府機關、醫療或學術機構、研究機構、法人為限,並且須經主管機關(衛生福利部)許可,該機構才可設置。各機構之生物資料庫中,必須設有「倫理委員會」,其委員組成必須依照法令規定(註2),此委員會將就生物資料庫之管理及相關事項進行審查及監督(如:檢體入庫、參與者同意書、出庫進行使用等)。生物資料庫因必須保管檢體及所屬之可連結之個人資訊,故必須訂定資訊安全之管理規定,且負責採集、處理、儲存或使用生物檢體之人員,不得洩漏因業務而知悉或持有參與者之秘密或其他個人資料/資訊。而生物資料庫所保管之檢體、資料/資訊一旦遭到竊取、洩漏、竄改,或其他侵害時,設置生物資料庫之機構,必須即刻查明,通報主管機關,並以適當方式通知相關的參與者(第11條、第12條)。

6 6

至於細部之管理規定部分,生物資料庫的資料儲存、運用與揭露,應以參與者所同意之範圍、期間、方法內為之,應以編碼、加密、去連結或其他無法辨識參與者身分之方式加以處理。特別是參與者之姓名、國民身分證統一編號、出生年月日等可辨識個人之資料,應予以加密並單獨管理;此些資訊於與生物檢體及相關資料相互比對運用時,應建立審核與控管程序,並應在進行必要之運用後立即回復原狀。生物資料庫內之生物檢體、資料/資訊,若要提供第三人使用時,其使用也應僅限於參與者之同意範圍內,且若參與者要求退出時,生物資料庫應銷毀其已提供之生物檢體及資料/資訊,生物資料庫若已將前述保管項目提供第三人者,則生物資料庫必須一併通知該第三人,第三人並應依照生物資料庫設置者之通知進行銷毀。而生物資料庫之研究與成果,應由設置生物資料庫之機構定期公佈,且如有商業運用所產生之利益,應回饋參與者所屬之人口群或特定群體(第8條、第16條、第21條)。

7 7

目前在台灣,主管機關(衛生福利部)對於生物資料庫之設置、運作之管制,大致上是依據前述之規定,及與之相關的「人體生物資料庫資訊安全規範」、「人體生物資料庫設置許可管理辦法」、「人體生物資料庫商業運用利益回饋辦法」等規範來進行管理。但除了前述特別針對人體生物資料庫所制訂之相關法規外,研究人員欲以帶有連結之生物檢體來進行基因等生物基本特徵有關之醫學研究,另外還會同步受到「人體研究法」與「個人資料保護法」之管制。依「人體研究法」之規定,以檢體、個人的醫學諮詢、遺傳資訊進行研究,必須事先送審研究倫理審查委員會(Institutional Review Board, 簡稱IRB),並且要審查通過之後才可以開始執行計畫。「人體研究法」內的其他規定,如:告知同意的要求、每年要接受研究倫理審查委員會至少一次之查核、及保密義務等,研究人員也必須加以遵守(第4條、第5條、第14條、第21條)。而「個人資料保護法」的管制,則是源於生物資料庫的研究包含「個人資料」,如:姓名、出生年月日、身分證統一編號、健康、病歷、家庭、社會活動等足資識別該個人之資訊。為了避免個人資料提供者之人格權遭受侵害,及促進個人資料的合理利用,只要是涉及個人資料之蒐集,就會成為此法令之管制對象。此法令第6條特別規定:有關病歷、醫療、基因、健康檢查之個人資料,原則上不得蒐集、處理或利用,但法律明文規定(第1款),或公務機關或學術研究機構基於醫療、衛生之目的,為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人者(第4款),不在此限。故以生物資料庫此研究類型而言,「人體研究法」、管理條例已明文規定個人資料之研究使用許可,惟此類研究同時亦屬「個人資料保護法」之受管制客體,亦須遵循此法所訂告知同意、特定目的之處理、資料安全維護、及尊重當事人請求閱覽、複製、更正、停止蒐集、刪除等規定(第1條、第2條、第3條、第8條)。

8 8

以上就台灣現行生物資料庫研究之管制規定進行瞭解,接下來將針對美國、歐盟對於生物資料庫之管理規範分別進行介紹與討論後,再予以評析與彙整。

9 9

二、美國的人體生物資料庫管制

10 10

美國目前對於「生物資料庫」,並非由單一的專法進行管制,必須從現行的法令規範中,搜尋與之相關之規定來加以了解 (Harrell & Rothstein, 2016)。以下對於與此相關的45 CFR 46 (Subpart A)、FDA Regulations (21 CFR 812)、The Health Insurance Portability and Accountability Act (HIPAA)、以及Genetic Information Nondiscrimination Act (GINA)進行介紹(註3)。

11 11

Code of Federal Regulations Title 45 Part 46 (45 CFR 46, Subpart A)屬美國的聯邦法規,是研究倫理相當重要的規範依據之一,大部份以「人」為對象之研究,都會受到這個規範之管轄(包含生物醫學研究、社會行為科學研究)。舉凡研究人員以侵入方式對個人取得資料數據(data),如:取得生物檢體;或取得可辨識個人的私人資訊 (identifiable private information),如:蒐集姓名、病歷號、出生年月日等資訊來進行研究,即符合規範中所指的「人類受試者」(human subject)之定義。這樣的研究,依規定必須送審研究倫理審查委員會,審查通過才可開始進行,且必須遵守法規中告知同意之規定(§46.102、§46.109、§46.116)。一項針對美國生物資料庫進行的調查發現(Henderson et al., 2013),有90%的生物資料庫建置者,會要求要使用其生物資料庫內檢體之研究人員,必須取得倫理審查的核准函。而有部分生物資料庫會另設有其他的委員會,如:社區的諮詢委員會(community advisory board)、科學審查委員會(scientific review committee),對於研究之規劃與執行是否符合研究倫理進行監督。而美國食品藥物管理局(Food and Drug Administration, FDA) 對於醫療器材的規範中,也同樣將被用以進行醫療器材研究的個人(包含健康人、患者)或其檢體視為「受試者」(subject) ,研究必須經研究倫理審查委員會審查通過,且必須遵守告知同意之規定(§812.3、§812.62、§812.20)。

12 12

除了上述一般性的規範之外,對於生物資料庫之研究類型尤其重要的隱私權、資料安全保護,可透過《健康保險可攜與責任法》(The Health Insurance Portability and Accountability Act, HIPAA)之規定來了解。這個法規是於1996年公告(註4),任何機構(通常是醫療院所)只要需要製作、使用、受理、保存、傳輸「需受保護之健康資訊」(Protected Health Information, PHI)的機構,就屬於「受管轄的機構」(covered entity),必須受限於此法規之規定項目。規範中同時也特別對於所謂「可辨識的健康資訊」(Identifiable Health Information)加以定義:任何資訊只要能夠足以評斷出特定個人的生理或心理狀態(不論是以口頭的形式或紀錄的形式),就屬「可辨識的健康資訊」,法規中特別說明,這類資訊包含基因資訊在內。對於受這個法規保護的「可辨識的健康資訊」,法規中有一個特別的要求:「必要的最小原則」(Minimum Necessary),當必須將「需受保護之健康資訊」釋出、傳遞、提供獲取、或給予外部單位使用時,除了是向本人揭露其自身之資訊、或醫療人員以治療為目的取得資訊、或依據個人授權而為之揭露或使用的這三種情況之外,各機構必須盡一切努力,保護PHI,將其使用限縮到「所必要的最小程度」原則,來進行資訊的提供與交換(§160.103、§164.502(b))。各機構對於HIPAA的執行,均會受到民權辦公室(Office for Civil Rights)的監督,此辦公室也負責受理對於違反隱私保護事件的申訴事宜。若確實有違反法規的情況發生,將可能判處罰鍰或甚至判刑。

13 13

HIPAA透過這樣的管制方式,對於醫療紀錄/資訊的保護(包含基因資訊),設置了一個國家級的管控標準(註5),限制其傳遞、使用、擷取、傳輸等動作,儘可能保護資訊之安全,確保不會在不當情況下被取得與使用。而若確實有需要必須揭露或使用基因資訊時,美國另設置有《基因資訊反歧視法》(Genetic Information Nondiscrimination Act, GINA)加以管理。此規範是在2008年所公布,個人的基因測試、其家族成員的基因測試、家族成員的醫療資訊,均被包含於此法規所定義的「基因資訊」之中,必須受到這個規範之管控,保障人民在工作及保險,不會因基因訊息而有被歧視之可能。GINA要求,所有基因資訊,即使基於醫療需求,需被記錄於病歷中,必須要以單獨的表單分開紀錄,並必須被視為是需保密的病歷(confidential medical record)來保管(Sec. 201、Sec. 206)。GINA法案公告之後,大幅度的改變了過去醫療行為上與基因相關的檢測篩檢與基因訊息之使用,即使GINA並非直接針對生物資料庫進行管轄,但此一法律層面的積極管理,間接對於生物資料庫的被研究對象,提供了更為完善的保護。

14 14

三、歐盟的人體生物資料庫管制

15 15

「歐盟」(The European Union, EU)是以經濟為目的所結合的一個共同性組織,現有28個會員國(Member State)。目前在歐盟,並無直接針對生物資料庫訂定單一的法令規範 (Townend, 2016),但我們可由相關的規範文件來了解。首先將針對這份指令(註6):「Directive 2004/23/EC:On setting standards of quality and safety for the donation, procurement, testing, processing, preservation, storage and distribution of human tissues and cells」進行介紹。這份指令主要目的是要設定標準,來確保對於人體組織/細胞之捐贈、取得、測試、分析、保存、傳遞等過程的品質與安全,亦即直接指導組織庫、細胞庫中檢體所涉及之基因研究,並包含對於隱私資訊之管理(因保存之檢體帶有個人資訊)。對於將處理、測試、保管、儲存、輸送人體組織/細胞的機構(tissue establishment,例如:組織銀行),各會員國必須要有適當的主管機關,對其進行查核或認證,確保該機構確實依照指令中的規範來運作。機構若在運作程序上有重要變更,必須經過主管機關之事前書面同意,且主管機關保有中止或撤回許可之權利(第6條)。

16 16

而對於組織/細胞於進行處理過程中之保護措施,在指令中規定,各成員國都應該採取必要的措施,確保在這個指令底下所收集的數據(包含基因資訊),在傳輸時必須匿名,捐贈者、收受者都無法被辨識;但也要求在任何一個過程與階段,都必須確保數據的「可追蹤性」(traceability),所有資料在必要時,可以從捐贈者追蹤到接受者,或從接受者追蹤到捐贈者;這樣的「可追蹤性」至少要在常規醫療使用後維持30年。而為了確保組織/細胞匿名的同時,仍具有可追蹤性,可採行之作法就是加以「標籤化」,所有的組織/細胞都必須要有自己的標籤,標籤內須包含可以連結到組織/細胞之處理、保存、運送的訊息或參考數值,以供進行辨識或追蹤。並且,各會員國必須要制訂出資料安全的保護規定,避免任何未經授權的數據加增、數據刪除、或對於捐贈者資料檔案的修改、或資訊傳輸,以確保資料安全與隱私保護(第8條、第14條)。

17 17

除了這份指令針對檢體進行規範之外,因保存於生物資料庫中的檢體,還帶有可連結至檢體提供者之個人資訊,故對於隱私權的保護也是相當重要的一環。此部份我們可以透過歐盟去年甫公告的 General Data Protection Regulation (Regulation (EU) 2016/679, 簡稱GDPR) 來了解。2016年的GDPR(註7)這份規章取代了過去的歐盟個人資料保護指令:Directive 95/46/EC(註8),希望能更加落實自然人(natural person)之個人資料處理及資料自由流動(於歐盟各會員國之間)之保護,確保此一基本權利與自由之保障。依據這份法規,生物資料庫所蒐集、處理、保存之基因資料、為了辨識特定個人之生物資料、健康資料,在規範中被歸類為「敏感資訊」之特殊類別。這類的資訊,原則上禁止處理及使用,除非以下幾種特殊情況:(1)資料提供者明確表示同意其資料為了一個或多個目的進行處理,並保有隨時撤回同意的權力。而取得其同意之機構,要能提具同意之證明。而有時科學研究在蒐集資料時,因可能無法立即有確定的研究目標,但若在科學研究的倫理性可以被確保的情況下,資料提供者可以被允許對某些的研究目的給予同意,或只對於其中某一部份表達同意。(2)資料處理對於重要的公共利益有其必要性,為了預防醫學、職業醫學、醫療診斷、治療或照護之提供、健康服務之目的,在成員國訂有相關法令規定之前提下,可以進行此類資訊之處理。有關資料處理之相關訊息,資料提供者必須被告知,且資料提供者表達同意後,保有隨時撤回同意、要求資料修正、或資料刪除之權利(第7條、第9條)。

18 18

而針對取得資料後的資料保存,則應遵循「限制性資料保存原則」(storage limitation)。原則上資料要以帶連結的方式保存,且僅能以該蒐集資料之目的為限;但若是以公共利益、科學研究、統計為目的時,個人資料有可能被允許保留更長時間,且必須有適當的技術與組織措施來保護資料提供者之權利與自由。機構(controller)必須對於資料保護之適當性進行評估,確保資料處理不會造成資料提供者之權益與自由有受到危害之風險,並應有安全保護措施,避免違法銷毀、遺失、變造、未經授權的取得或洩漏,及其他違法的使用。(5-1-f) integrity and confidentiality。若機構發現有資料保護之違反情事,應立即通報主管機關,及立即通知資料提供者,內容應包含違反情事及後續之補救措施等相關資訊。而主管機關對於違法之事項,可課予行政罰鍰之處分(第5條、第33條、第34條、第58條)。

19 19

GDPR對於生物資料庫所涉及之隱私權問題與管制架構,已有所指導。生物資料庫所可能包含的「基因資料」(註9),雖也被納入規範中,屬於個人資料之一部分,但對於後續使用之細部原則,則並不明確,此部分可由《人權暨生物醫學公約》(Convention on Human Rights and Biomedicine)加以補足。這份公約是於1997年公佈,目的在於規範各成員國,應保護人類的尊嚴與主體性,及涉及生物和醫學應用時,個人的整全性、各項權利、基本自由,均應受到尊重不受歧視。在此份公約的第四章「人類基因組」之中,直接條列出與基因研究相關的規範條文。首先,對於預測性的基因檢測,不論是可預測出基因疾病,或確認個人帶有某個疾病的基因,或者對於疑似的疾病進行基因偵測,都僅能在以健康為目的的情況、或與健康目的有關的科學研究下,才得以進行,且必須提供適當的基因諮詢。而對於基因組若要實施介入性措施加以調控,也僅能在以預防、診斷、或治療為目的時,才得以執行。對於生殖醫學的醫療輔助與技術,不可使用於選擇孩童的性別,除非是要避免與性別有關的疾病遺傳之可能;且對基因組的介入性措施與調控,不得運用於後代,對於個人基因遺傳的任何形式的歧視,都是不被允許的。此份公約藉由各條款之規定,來對於基因之研究與使用加以管理,確保人權之基本保障。

20 20

四、綜合評析

21 21

透過對於台灣、美國、歐盟之法令規範與管制介紹,我們可以瞭解,三者均對於「生物資料庫」建立管制框架進行管理,規範檢體蒐集、使用、告知同意等事項,並針對於隱私保護、資料保密規定也加以敘明。台灣目前對於「生物資料庫」之建置者,給予高密度之控管,須經衛生福利部審查許可,各項設施與規定均完備,才可設置,許可效期為三年,效期屆至前須再次經衛生福利部審核。而生物資料庫之研究因同時涉及參與者之檢體、個人資料,因此另外也會受到「人體研究法」與「個人資料保護法」之管轄,以更加確保檢體提供者之權益。美國對於生物資料庫之管控,是透過聯邦法規的規定(45 CFR 46, 21 CFR 812)、《健康保險可攜與責任法》、《基因資訊反歧視法》,對於與檢體和基因有關之研究,在隱私、資料保護、告知同意、受試者保護等層面提供了可供遵循之基本原則,並明確規範,要求基因訊息之研究結果不可對於受試者/及其家族成員,造成歧視之產生,而影響其工作及保險方面權益受到損害。而歐盟則是透過Directive 2004/23/EC之指令、GDPR規範、及《人權暨生物醫學公約》,限制會員國家進行檢體、基因研究時所必須遵守之基本原則,以維護資料提供者之基本權益與自由之尊重,而其他部份,包含:基因應用於治療、預防之使用、不可歧視之要求,亦均有所規定,以保障資訊提供者之各項權益。因此以生物資料庫來進行研究,將間接受到指令與公約的約束,從而達成對於生物資料庫檢體提供者之保護。

22 22

若將各國的法規及管制內容,以隱私規範、資料保密、基因資訊之使用、告知同意、倫理審查這五個項目進行比對(表1),我們會發現兩個比較重要的問題:台灣缺少基因資訊使用之規範;歐盟缺少臨床試驗以外之人體研究倫理審查之規定。在台灣目前對於基因之使用,全無法規可遵循,現可覓得可能相關之文件為「藥物基因學研究之受檢者同意書內容參考指引」。這份指引是於2005年由衛生福利部(當時的衛生署),商請財團法人醫藥品查驗中心參考諸多重要資訊後協助擬定,以維護藥物試驗衍生基因研究時,對於此類受試者權益之保護。內容共包含17項之告知同意建議項目,但其中與基因資訊相關者,僅第15項:「維護有關受檢者基因訊息的機密」。但對於進一步的基因資訊使用規範、用於預防與基因檢測之規定、以醫療為目的之使用限制、用於非醫療使用時之相關規定、資料未保密造成受檢者工作或保險或社會權益損失時之處理等,則查無相關內容。但隨著醫療技術之快速發展,基因資訊被運用於醫學之層面將更為廣泛,除目前已可做到的疾病檢測(預防醫學),判定罹病機率之外,更為積極的運用於生殖醫學、複製技術,亦是各國均爭相發展之重要趨勢,若無法制定法令規範進行管理,則基因研究之受試者權益,將難以給予完整之保護。故長遠來看,對於基因資訊各類使用的管制,實有建置基本規範之必要性。若能補足台灣於此法規上之不足,則較於美國與歐盟,應可更為完備。

23 23

表1 各國人體生物資料庫管制比較表

台灣 美國 歐盟
隱私規範
(Privacy)
資料保密
(Confidentiality)
規範基因資訊 ---
告知同意
受試者保護
(IRB)
(?)
24 24

而歐盟所缺少的倫理審查之所以可加以補足(註10),其原因在於生物資料庫之研究,除實務操作層面,如:資料庫建置、告知同意、檢體蒐集、個人資料保護、隱私權確保、資訊安全管理之外,各研究計畫之研究目的、研究設計、研究材料使用、乃至研究結果發表是否符合倫理,各國政府或主管機關,亦應一併加以管轄。台灣有人體研究法、美國有聯邦法規進行管理,均要求生物資料庫類型之研究,應同步送審研究倫理審查委員會,進行倫理性方面之審視。而歐盟目前有關研究倫理審查之規範,可在「DIRECTIVE 2001/20/EC:On the approximation of the laws, regulations and administrative provisions of the Member States relating to the implementation of good clinical practice in the conduct of clinical trials on medicinal products for human use」這份指令中可找到相關規定,但由於份指令之目的是以臨床試驗為主,故生物資料庫(若不涉及臨床藥物之研究),或普遍性之人體研究是否可直接適用,仍有待進一步確認。雖有部分成員國已自行設置研究倫理審查委員會,對於研究計畫進行審查,例如:瑞典的區域型研究倫理審查委員會、英國的機構型研究倫理審查委員會。但若能補足聯盟位階層級之規範,將研究倫理審查加以納入,除落實科學研究之倫理性之外,亦可對於各成員國在制定法規上之協調性有所助益,應更可符應歐盟之建立精神。

25 25

五、結論

26 26

以生物資料庫的方式保存人體檢體(組織),作為機構或國家重要研究資料來源,提供進行與基因等生物基本特徵相關之醫學研究,以完整探究疾病之成因(環境因素、多重基因因素等),已逐漸成為趨勢。為解決其中所涉及之隱私權、自主權、被研究者各項權益之可能損害或風險程度之顧慮,各國也已建置相關規範加以管控。在台灣現行法令管制之下,隨之而來的重要問題,便是基因研究之研究結果、後續之運用的管理議題,乃至是否會為檢體提供者(或其親屬)帶來各種社會權益損害之風險,均必須加以考量,例如:社會權益、工作權益、保險權益、或因基因遭受到歧視等;又或者,是否可能增進利益,例如:疾病之治癒、研究成果之回饋。對於這些問題,主管機關是否制訂相關規範,及提供相應的管制措施,來維護生物資料庫中檢體提供者之權益,將成為未來必須面對的重要議題。本篇文章以台灣、美國、歐盟對於人體生物資料庫及基因研究的管制模式,分別進行介紹與探討,希望透過這樣的方式,一方面可瞭解台灣與國際間之發展,另一方面則是可藉此評估台灣現行法規的修訂或增訂需求,提供相關單位及主管機關作為政策擬定規劃之參酌。台灣目前雖訂有「人體生物資料庫管理條例」對於生物資料庫之建置、許可、檢體之各類使用進行管理,但對於後續基因研究之結果與應用之管控,尚屬缺乏,此部分若可參照其他國家之規範,研擬制訂出適合台灣現況與醫學研究環境之專法,補足此部分之法律空缺,則台灣對於人體生物資料庫之管制,勢必更為周延。同時也將為檢體提供者提供更加全面性之保護,以徹底落實人權價值及權益保障之基本要求與終極目標之體現。

27 27

註解

28 28
  • 註1:但特定群體生物資料庫之參與者,不受此限。
  • 註2:倫理委員會之組成,法令中有特別規定,可參見「人體生物資料庫管理條例」第5條。
  • 註3:其他的法規來源,還包含州法(State law)。美國因是由50個州所成立的聯邦體制國家,在其法規制度之下,在不違背上位法令,如:憲法(Constitution)、聯邦法規(Code of Federal Regulations)的前提之下,各州保有自己制定州法之立法權。因此,各州可能有自己的醫療法規州法、隱私法規州法,但基於篇幅之限制,本文僅先就較為上位且適用範圍較為普遍的聯邦法規作為代表來進行討論。
  • 註4:美國其實在1974年便已公告了與隱私保護相關的「隱私法案」(Privacy Act of 1974),規範聯邦政府機關對於蒐集、保存、使用及、傳遞個人資訊之限制。就此規定來看,若生物資料庫是由政府單位所設置,資料庫中的個人資料是由政府單位進行保管,則該生物資料庫之資料使用,還會一併受到此隱私法案之管制。
  • 註5:美國在2009年,公布了促進採用「電子健康資料」(electronic health records, HER)的法規:「Health Information Technology for Economic and Clinical Health Act」(HITECH Act),這個法規屬於「美國復甦與再投資法案」(American Recovery and Reinvestment Act)此刺激經濟方案的一個分支,希望透過誘因的給予,增進健康照護提供者,如:醫院、安養院、照護機構等,建置資訊系統之基本設施,促進健康資訊之電子化,期望提升健康照護的品質、安全與效率。HITECH Act 的管制內容與HIPAA非常相近,或可以說是HIPAA的擴張。舉例來說,HITECH Act對於違反者之處分,均較HIPAA更為加重;另外,對於違反情事之通知(Notification of Breach),也是HITECH Act所增訂,當受涵蓋機構(covered entities)發現有洩漏了未加密之「受保護健康資訊」時,必須在60天內通知該健康資訊之個人,若人數超過500人,還必須立即通報主管機關健康與人類福利部(HHS)部長;夥伴商業機構(business associate)亦同,若內部發現有洩漏「受保護健康資訊」之情況,必須通知受涵蓋機構,內容中必須列明被洩漏之對象。HITECH Act之規範內容似乎較HIPAA更為進一步,對於健康資訊提供者給予了更多的保護,然因其目的與功能係以振興經濟為主要導向,故暫未納入正文中,而於此進行說明。
  • 註6:歐盟由於各個成員國家的本土化特性各有不同,因此發展出一種特殊的立法行為:「指令」(Directive)。所謂的「指令」,是將成員國要達成的目標明確訂定在指令之中,但指令本身不具有強制力,必需再經由各成員國回到國內透過正當之立法程序,制定正式的法律規範(國內法) 方能生效,以落實指令之規範內容與精神。
  • 註7:將於2018年5月正式實施。
  • 註8:Directive 95/46/EC:On the protection of individuals with regard to the processing of personal data and on the free movement of such data.
  • 註9:GDPR第4條針對「基因資料」(genetic data)之定義:指個人天生所具有或天生所獲得的遺傳特徵,透過生物檢體之分析,可以提供該個人所獨有的生理或健康之獨特資訊。但規範中對於基因資料之後續使用未給予細部規定。
  • 註10:有關檢體之使用與管理,歐盟於2006年公告了一份「建議文件」:Recommendation Rec(2006)4 of the Committee of Ministers to member states on research on biological materials of human origin. 文件中建議各成員國可制訂規範,對於人類生物檢體被採集保存供研究使用之活動進行管理。文件中包含諸多重要原則:風險與利益評估、避免研究結果造成歧視或汙名化、匿名原則、事前告知同意與授權、資料安全與保密、「族群生物資料庫」(populationbiobank) 之管理、科學審查與倫理審查等。但在歐盟的法規制度中,「建議文件」不同於指令(Directive)或規章(Regulation),並不具有法律上的約束力,而僅只於溝通協調或以透過政治力加以落實,故此份「建議文件」暫未納入正文所討論之生物資料庫管制框架中。
29 29

參考文獻

  1. 人體生物資料庫管理條例 (民99年2月3日)。
  2. 人體生物資料庫資訊安全規範 (民99年7月2日)。
  3. 人體生物資料庫設置許可管理辦法 (民100年1月31日)。
  4. 人體生物資料庫商業運用利益回饋辦法 (民99年9月8日)。
  5. 人體研究法 (民100年12月28日)。
  6. 個人資料保護法 (民99年5月26日)。
  7. 藥物基因學研究之受檢者同意書內容參考指引 (民94年10月13日)。
  8. 21 C.F.R. 812 (Revised 2017).
  9. 45 C.F.R. 46 (Revised 2009).
  10. Convention for the Protection of Human Rights and Dignity of the Human Being with regard to the Application of Biology and Medicine: Convention on Human Rights and Biomedicine (1997).
  11. Directive 2004/23/EC of The European Parliament and of The Council: On Setting Standards of Quality and Safety for the Donation, Procurement, Testing, Processing, Preservation, Storage and Distribution of Human Tissues and Cells (2004).
  12. Harrell, H. L. and Rothstein, M. A. (2016). Biobanking Research and Privacy Laws in the United States, The Journal of Law, Medicine & Ethics, 44: 106-127.
  13. Henderson, G. E., Edwards, T. P., Cadigan, R. J., Mavis, A. M., Zimmer, C., Conlon,I., Weiner, B. J. (2013). Stewardship Practices of U.S. Biobanks, Science Translational Medicine , 5(215).
  14. Regulation (EU) 2016/679 of The European Parliament and of The Council:on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation (2016).
  15. The Genetic Information Nondiscrimination Act of 2008 (2008).
  16. The Health Insurance Portability and Accountability Act of 1996 (1996).
  17. Townend, D. (2016). EU Laws on Privacy in Genomic Databases and Biobanking, The Journal of Law, Medicine & Ethics, 44: 128-142.