敏感健康數據
WHO 數碼健康全球策略將健康數據列為敏感個人資料,須有強而有力的法律及監管保障私隱、保密性、完整性及可用性。AI 增加對大型數據集的需求,而高維數據可使匿名化及去識別更為困難。
開發者、部署者及製造商須應對日益複雜的法例——及早了解適用規例至關重要。
司法管轄區複雜性
約145 個國家及地區有數據保護法。私隱與數據保護的定義各異;同意規則亦不同。跨境傳輸規則可能要求在國際共享數據前進行充分性評估。
對香港醫護人員:
- **《個人資料(私隱)條例》(PDPO)**規管個人資料的收集、使用及保安,個人資料私隱專員公署(PCPD)提供指引;
- 雲端 AI 工具可能在香港以外處理數據——須對處理者、分處理者及傳輸機制作盡職審查;
- WHO FG-AI4H 的倫理考量文件可補充本監管概覽。
私隱與網絡保安風險
WHO 區分網絡保安風險(因事件導致保密性、完整性或可用性損失)與私隱風險(尊嚴損害、歧視、經濟損失等因數據處理引致的影響)。合規計劃應兼顧兩者,並記錄處理操作、風險評估及緩解措施。
文件與透明度
私隱政策披露有助監管機構評估數據處理。文件應涵蓋數據類型及來源、目的及法律依據、同意方式、儲存保安,以及法律要求下算法決策中的個人資料使用。
臨床人員不應向未獲批准的工具輸入可識別患者資料;機構應就生成式 AI 及臨床文書制定清晰政策。