-
政委,我先跟您介紹一下今天出席的人,之前其實在石司長開草案會議的時候,簡參議已過去參加了這個過程。
-
我們今天主要過來是因為這個案子過了以後,我們非常地擔心,怕會影響我們工作人員和個案受法規保護的相關問題,因為終歸我們做心理諮詢或治療的人,牽涉比較多的私密問題,在這一種情況之下,再加上我們法規的規定,我們必須要主動保護我們的當事人資料,存在特定的地方,達十年以上,所以如果我們在這整個處理的過程有任何資訊是移出去的話,我們的工作者是會有危險的。
-
當然。但這部份跟遠距醫療,狀況是差不多的,沒有太大的差別?
-
比較大的差異是,我們會有更多的人是蓄意想要得到這個資料。
-
你是說比起一般的內科、外科?
-
是。我們這幾位都是臨床心理師,除了侯教授,侯教授是我們成功大學在工科系是系主任,但是他是我們成功大學附屬醫院資訊中心的主任,所以他對於資安,尤其是電子病歷的部分,他比較熟,所以今天特別麻煩他,我們請他當顧問來協助我們。
-
李主任今天過來的理由是因為之前在臺灣有出過事情,有上新聞及刑事案件,因為李主任是當事人,所以請他來說明一下這個狀況,因此等一下說明這個狀況,因為牽涉一些法律問題……
-
理解。
-
劉老師是我們學會代表、廖先生是全聯會的副秘書長,及這位是佳安秘書。
-
我簡單說明一下,法規的問題我們比較希望的是,有沒有辦法把這一個部分的平台,不是由每一個服務工作者自行委託?而是這個平台可以比照像自然人系統、電子病歷系統、健保系統等方式來經營?
-
至少資安上,不管是衛福部或者是相關的單位,有掛保證的?
-
-
瞭解。
-
主任要不要補充說明一下衛福部推電子病歷的作為?
-
當時衛福部推動電子病歷的時候,先是從衛福部本身有編預算,後來是招標,也就是各單位承接,承接了電子病歷辦公室,先從醫學中心開始做起,所以等到所有的醫學中心上去之後,然後再推到區域醫院、地區醫院,那時給的金額還滿高的,給了幾百萬,大家願意處理,也願意事先召開會議,讓各醫院的資訊室主任、從事的專業人員去check這樣的要求是否合理,有時還有一些很複雜的原因,就訂了一些可以接受的標準,然後每一家醫院都去檢查,檢查一次到兩次。
-
整個過程完成之後,就可以依照當時的金額去跟健保局申請,這樣大概推了四至五年,整個醫療院所從上到下推起來;最近兩年是在做偏鄉的處理,做得更好。
-
我們自己的專業工作人員該如何配合的倫理,隨著網路時代,我們自己很努力,也做了很多事,但是即使做了很多事,還有一些事情處理不了,像第一個是很怕對方有側錄的情形。
-
但是你在實體空間,如果個案躺在長椅上,口袋裡有錄音機,其實你也不知道?
-
可是我們看得到他的反應,而且他進來的是我們的空間,但是遠距就比較擔心那個空間。
-
我知道未來是不是有更好的機會去預防這一些事,不過如果真的就像您剛剛所說的國家保證,工作者在一般約束下,萬一有狀況也就不會私人吃上官司。
-
應該這樣講:個案如果自己要錄的話,不管你是實體或者是遠距,你防不了他。
-
但是如果是個案跟心理師之外的第三人,當然我們希望他的空間是安全的。
-
後面這個我想可以幫一些忙。至於個案自己要側錄,這個沒有辦法。
-
-
第二個部分我們擔心的事是,當時在李主任那裡,曾經發生過,我們等一下再說明那個部分的故事。如果我們是各自的工作者自己找自己的網路平台,是不是很理想的平台,我們很難評估,因為跨專業,所以很多設備也不知道該怎麼辦,因此有鑒於保護我們的工作者,需要協助。
-
我想這幾年的社會消息大家都很熟悉,我們的服務對象,很常的時候他們的大腦功能跟我們一般人不一樣。所以當他們決定要做某一些事的時候,我們的網路資源、知識體系跟技術體系是完全不夠因應的。
-
因此也希望由國家訂出一個很明確的規範,即使專業工作者個人要委託平台的時候也有保障,應該要符合什麼樣的要件、廠商應該有什麼要求,並非簽訂一般的商業模式契約等。這純粹是我們專業團體的期望,因為未來萬一有什麼事,我們整個專業團體背書也不是、不背書也不是,相當地為難。
-
第三個重要的事情是,這個資料因為管理隱私權的問題,在我們的法規當中,我們必須要負擔這個管理的權責,所以如果今天我的辦公室被偷,是我自己的門沒有關好,或我的個案跟辦公室間有自動可以走動機會等,都是有保管疑慮,雖然是我個人的辦公室。
-
但若我已經達到一個足夠的安全保管說明,也就是事先已經做到最好的保護,真的有高手、蜘蛛人下來,工作者也沒有責任。今天主要是希望能夠得到協助,因為對我們個人來講,這個是比較難直接完成。
-
這個事情比較著急是因為有實際的案例,所以我們也很擔心。
-
(中場休息)
-
剛剛有說明一下,在去年十二月份與石司長討論的時候,這個案子其實是有在衛福部的roadmap當中,其中包括有隱私跟網路平台的事。接著是我們從「vTaiwan」的這個討論過程中,有兩個接觸點,一個假設這個機構有足夠的capacity。
-
就是點對點、不經過第三方的。
-
另外一個是假設我沒有這樣的能力,有很多小機構的話,衛福部有思考建立一個合規範的平台。
-
瞭解。我剛剛特別想要講的是點對點的部分,其實只要學資訊都知道,只要不是點對點的,中間方一定有個公式在腦裡算:它能不能告訴前、後這兩方自己有做到一些要求,但是事實上卻沒有?它沒有的話,被發現的機率有多少?
-
因為剛剛您特別提到這一方面的隱私利益非常多、誘惑非常大。
-
而且是特殊性很高。
-
只要經過第三方「儲存再轉送」的情況,那只要個案夠有意思,他永遠還是會被誘惑。
-
所以我們為什麼一開始想說,先推這一種點對點的,是因為如果不經過第三方的話,自然也沒有人會被誘惑。
-
這樣,雙方當然還是要信任各自的通訊設備,但這是比較容易的,因為這方面的業者沒有直接的利益相關。
-
但是如果是儲存再轉送,那隨著儲存的資料越來越大,誘惑也越來越大。
-
所以我是覺得開始先用這一種點對點,對大家建立安全上的信心會比較有幫助,這個是我第一個想要講的。
-
點對點是需要程式,那個程式有規範嗎?像LINE等,那個算是點對點?
-
LINE原本不是點對點,本來群組通信中間有儲存。前兩年他們有改變了程式,但是並沒有開放源碼出來給大家稽核,所以看起來是點對點,但是沒有人知道未來會不會是這樣。
-
舉例來講,我自己平常用的一些程式,像Signal、Wire,都是點對點模式。因為原始程式碼是放出來的,所以任何人都可以稽核,確實中間沒有存到第三方去。
-
我不確定我們的資安處有沒有這樣的列表,但是只要是開放源碼的,又是以點對點為原則的,而且已經有一定程度的歷史,這樣子國際上的像EFF這些組織都會給一個認證,也就是滿足哪一些溝通的要件,所以並不一定完全需要資安處給認證,因為開放源碼的意思是任何人都可以自己稽核。
-
像一些開放源碼的瀏覽器,例如Firefox,也可以透過Jitsi Meet互相視訊。整個瀏覽器是開放源碼的,就比較沒有剛剛所講的程式碼藏在裡面的問題。
-
所以是以開放源碼、有相當久歷史的,而且本來的通訊方式就沒有經過第三方的,運用這一些技術,就比較不會有問題。
-
FaceTime算嗎?
-
FaceTime跟Skype都沒有開放原始碼。雖然FaceTime號稱有通過一些資安檢查,但是這些檢查都是以目前的版本,所以明天Skype或者是FaceTime更新了新版,之前的稽核基本上都不算數。
-
從我們的角度來看,是希望他的開發過程是開放的,讓整個社群去看有沒有違背保密原則。
-
因為草案已經出來了,所以我們需要有一些正式的公開,告訴大家說相關步驟要怎麼處理,並不是草案出來就大家都可以做。
-
我們有個人開業的心理治療所,他可能一個單位買個2萬元之類的平台,就是個不得了的商機,這個也是我們比較擔心我們的夥伴和個案在這段過程中會受到傷害。如果我們有一個很清楚的announcement,除了點對點之外,如果要處理平台的話,必須要符合什麼要件才是比較可靠的。
-
可以。簡單來講,我們請衛福部寫這份建議,或者您會偏好什麼單位?像資安辦,或者是我們辦公室?
-
其實我們今天過來也有一點越級報告了,講究的是速度,因為我們看工作夥伴已經跳下去了。
-
瞭解,我的意思是要看是正式到什麼程度。
-
如果只是要放在「gov.tw」的網站上,表示有某種政府公信力等等,我們這個逐字稿十天之後可以上網,就是放在sayit.pdis.nat.gov.tw網域裡。
-
所以有一個最簡單的方法是,我在這邊直接跟大家說,你們就直接提供這個逐字稿就好了。
-
但是這只表示是我覺得這樣比較對,但是沒有到院長、也沒有到衛福部,也就是我們今天的意見交換。
-
如果你覺得這個效力就可以了,這個速度是最快的。大家看逐字稿如果都OK,那明天就出了。
-
如果覺得需要簽到院、資安處或衛福部,那你們就要再往正確的人去協調一次。
-
如果可以快的話,就知道正確的方向在哪裡。
-
接下來是正確的步驟,背後還有太多的相關議題,像我自己考量將來平台說不定不在臺灣、而是在中國大陸,其實背後還有相當多的行政作為,也是要麻煩你們用比較全面性的福祉及保護角度來做。
-
平台經濟法規調適,是有一個非常明確的單一窗口在處理的,也就是「行政院所屬各機關因應平台經濟發展法規調適參考原則」,少數把網址寫在法條,而不是寫在說明文字裡面,也就是國發會法制協調中心,現在又兼負著個資專責機關的籌備工作。
-
這些個資相關的判例,未來都可以累積到法協中心,所以之後只要是平台經濟相關的,有任何想法或者訴求的東西,可以直接到law.ndc.gov.tw的平台上提出,他們依照平台經濟的原則,本來就要確保在服務的提供者、平台、使用者中間可以達到自律及平衡的關係。
-
而且尤其你剛剛所講的一些國外平台,如果實質上幫服務提供者決定了服務方式、價碼,即使沒有個資或者是資安的問題,也是有整個市場規管的問題,這個部分就會由法協來會同主管機關的處理。
-
我們對這一些都不熟,所以希望讓您們知道我們的危機,盡早進行協助。
-
知道。
-
謝謝。
-
看到大家有沒有想要補充或者是詢問的?
-
就很愉快地講清楚,我們就很清楚地知道。
-
歡迎大家編輯一下逐字稿,我們把剛剛比較建議性質的東西,把它列得更清楚。
-
我問一個問題,因為其實我們以前在做的時候,我們有考量到青少年這一塊,是免費的,然後用匿名的方式去做,這樣子的規範,應該跟這個就不一樣?
-
不一樣,這樣很難去主張心理治療,那就是一般的網友聊天。
-
-
就回到一般的《數位通訊傳播法》。
-
如果是執業的部分,就是回歸到專業倫理規範,你們在實體世界如何倫理規範,在虛擬世界也是一樣。
-
其實《數位通訊傳播法》草案裡面有一個很重要的精神,為什麼沒有特針對網路行為定義罰則?因為它是一部橋接法,是把網路上的行為一一對應到實體世界裡面民法及刑法,盡量讓司法體係有一樣的概念可以參照。
-
重點是不會把網路上看成是治外法權的行為,而是對應到實體世界相同的行為,所以倫理規範應該一個字都不用改,按照這個精神就可以適用。
-
謝謝,非常感謝,我們安心了。
-
謝謝。