評論
因健保署將有關民眾健康隱私的健保資料釋出,卻未事先取得民眾的同意、也不允許民眾事後「退出」,去識別化的安全保障引起人權團體質疑。經蔡季勳等7人提出釋憲聲請,憲法法庭今年4月26日針對「健保資料庫釋憲案」進行言詞辯論,司法院日前公告,將會於8月12日下午宣判。
此案對憲法所保障之隱私權具有決定性的影響,無論大法官最後見解為何,許多討論對於我國資訊隱私保障與個人資料保護的諸多誤解,仍應予釐清。
此釋憲案發生的緣由和背景為,衛生福利部中央健康保險署依據相關法律辦理全民健保業務,並因行政需要擁有全國民眾之納保與就醫資料,為使資料獲得最大利用,遂分別於1996年委託國家衛生研究院建置「全民健康保險研究資料庫」(於2016年結束)、2011年起由衛福部建置「加值應用協作中心服務平台」(現為衛生福利部資料科學中心),釋出資料提供醫療與公共衛生研究應用。
但健保署或衛福部將有關民眾健康隱私的健保資料釋出,卻未事先取得民眾的同意、也不允許民眾事後「退出」,去識別化技術是否能達到無從直接或間接識別特定個人也缺乏獨立公開的評估機制,引起人權團體質疑對民眾資訊自主與資訊隱私可能造成侵害,後續並有民眾提起行政訴訟,拒絕健保署將所蒐集該民眾之資料釋出給第三者作為健保行政以外用途之使用,並於最高行政法院敗訴定讞後提出釋憲聲請。
4月26日憲法法庭針對健保資料庫目的外利用所引起之爭議召開言詞辯論庭,即將宣判。而誠如林子儀前大法官所述,本案對憲法所保障之隱私權具有決定性的影響,因為本案「不僅只是關係到如何合理保護全民健康保險資料,更關係到在當今資訊社會權力不對等的情境下,一般大眾隱私權與個人資料保護的未來發展」。
但健保資料庫釋憲案所引起之討論卻存在許多誤解,如健保署或部分人士主張,若允許民眾退出健保資料庫將影響健保行政效率與政策形塑、「知識屬於公眾」所以個人有「義務」提供資料給研究使用、健保資料只要經過「假名化」就可以不用經過民眾同意提供給第三人使用等,應藉此機會釐清,以對於我國資訊隱私保障與個人資料保護之深化將更具意義。
以下針對健保資料庫釋憲案所討論的三大誤解,一一解析:
此論點明顯混淆「執行法定職務」(《個資法》第6條第2款)與「統計或學術研究」(第6條第4款)。
民眾使用健保就醫而將健康資料提供健保署後,健康資料之處理在概念上可以依據條件或目的不同做為區分,分別為「健保行政用資料庫」與「研究用資料庫」:
- 健保行政用資料庫: 為健保署依《健保法》職務所需(如政府要精算健保支出等)而設置,授權健保署於「執行法定職務」時使用,依《個資法》第6條第2款,即可使用完整的「健保行政用資料庫」。
- 研究用資料庫: 用於原始蒐集目的(健保行政)以外的學術研究使用,亦不屬於健保署「法定職務」使用範圍之內,應保障民眾資訊自主權並允許其退出「研究用資料庫」。
所以「研究用資料庫」與「健保行政用資料庫」應具獨立性,允許退出「研究用資料庫」並不影響「健保行政用資料庫」的完整性。
換句話說,允許民眾退出健保學術研究,對於政府為執行全民健保法定職務所需資料的完整性(健保行政用資料庫),並不會造成影響。
這個論點只說了一半的事實,由於免除當事人「事前」同意是對個人自主權的重大限制,所以各國雖允許例外免除當事人事前同意,但範圍均有嚴格限制,並非適用「所有」學術研究。
同樣的, 歐盟《一般資料保護規範》(General Data Protection Regulation,GDPR)第89條第2項,雖允許限制個資當事人「事後」反對個資利用的權利,但也嚴格要求該限制「只能」發生在「反對權將導致目的無法實現或嚴重損害」的情況;而歐盟從未通案性地將「破壞資料庫/研究的完整性」視作「目的無法實現或嚴重損害」的理由,而是在尊重並承認反對權的原則下,於單一個案中衡量判斷是否有例外限制反對權的必要。因此,GDPR第89條第2項絕非如台灣政府及部分論者所主張,為了讓資料庫「一點都不能少」就可全面限制民眾退出研究的資訊自主權。
反觀歐盟個資保護委員會(European Data Protection Board,,EDPB)針對COVID-19相關研究所發布之個資指引,強調研究者原則上仍應依GDPR第6條第1項第a款和第9條第2項第a款獲得當事人同意(除非透過立法排除);換句話說,即使在公益性極高的COVID-19研究上,歐盟都仍原則要求「需要」當事人「事前同意」,台灣卻在健保資料庫利用上放寬到「所有」學術研究「都不准」當事人「事後退出」,顯然並沒有細緻規劃學術研究與資訊自主的平衡。
若從較複雜的法律規範觀察,GDPR第89條第2項雖允許限制反對權,但仍必須具備GDPR第6條第1項可強制蒐用個資的「合法基礎」與限制反對權的明確立法為必要前提,並以限制手段符合比例原則為條件。在此要求下,德國便以2019年通過的《數位健康照護法》(Digitale-Versorgung-Gesetz, DVG,社會法典第五編第 303a 條)作為 「履行法定強制義務」的依據,並規定僅能以「無外部串連可能性」的資料形式對外提供。
反觀台灣,除《個資法》框架規定外,對於「未」經當事人同意便將敏感個資提供第三人學術研究使用,並無其他明確、具體的法律基礎,導致民眾無法透過立法程序,瞭解並監督資料用在何種研究、如何被利用,而有違反民主課責原則的疑慮。
這種說法恐怕是混淆「假名化」、「去連結」與「匿名化」等技術概念。
依《人體研究法》第4條第3款規定,「去連結」指永久不能以任何方式連結、比對個人資料之作業;「去連結」資料在《個資法》定義下應已無直接或間接識別特定個人的可能。但健保署所仰賴的兩種主要去識別化技術(包括身分證字號加密,以及對少部分資料的模糊化處理,其他還包括硬體與環境限制),其實並未完全達到「去連結」的標準。
- 身分證字號以外的眾多資料欄位並未加密,使健保資料仍保有直接「比對」可能: 將身分證字號加密成一組亂碼,雖然能確保一般人無法直接從身分證字號識別個人,但健保資料庫的變項相當龐大,在技術上仍能從非身分證字號的其他欄位資料回推個人。 舉例來說,就算不知某位癌症病患的身分證字號,但資料集內還包括病患癌症原發部位、組織類型、臨床分級、戶籍地代碼(至縣市鄉鎮區)、就診醫院代碼、各種治療內容與時間(至年月)等,這些資料拼湊在一起產生的馬賽克效應,使「比對」並再識別出個人的風險大幅增加,與真正「去連結」並不相同。
- 身分證字號的加密仍然保留「串連」可能性,而保留資料串連能力的去識別化,並非真正的「去連結」: 目前只要同一身分證字號的加密序號相同,就可把病人不同次就診資料(如不同年度、不同醫院的所有看病紀錄),依據相同的加密序號進行匯整(稱為「歸人」),而資料愈多,再識別的風險愈高;更何況儲存於衛生福利資料科學中心的健保資料,還可與性侵害通報明細檔、家暴通報明細檔、兒童及少年保護通報明細檔、低收入及中低收入戶資料庫等數量更少、更為敏感的資料進行串連。
以上3種誤解,可能弱化個人退出權意義、過度簡化外國比較法規範內容,也低估目前健保資料利用的風險;因此,不論大法官最後見解如何,這些誤解都是個資保護中應該釐清的重要議題。
用行動支持報導者
獨立的精神,是自由思想的條件。獨立的媒體,才能守護公共領域,讓自由的討論和真相浮現。
在艱困的媒體環境,《報導者》堅持以非營利組織的模式投入公共領域的調查與深度報導。我們透過讀者的贊助支持來營運,不仰賴商業廣告置入,在獨立自主的前提下,穿梭在各項重要公共議題中。
你的支持能幫助《報導者》持續追蹤國內外新聞事件的真相,邀請你加入 3 種支持方案,和我們一起推動這場媒體小革命。