報導:資訊法中心
2022年7月15日
背景
健保個資是每一位使用全民健保的民眾,到醫療機構就醫時所留下的就診紀錄。每筆健保個資都包含民眾就醫時醫師做出的疾病診斷、開立的處方、病患接受的檢查或進行的手術等與個人健康或醫療緊密相關的明細資料。健保署自 1998 年起,在未告知個資當事人(也未得其同意)的情況下,將所蒐集之健保個資,在維持資料「可串連性」的狀態下,提供目的外學術研究利用。八位民眾於 2012 年 5、6 月間,主動請求健保署(當時仍為健保局)停止對其健保個資做保險目的以外之利用,卻遭健保署拒絕,其後展開了歷時十年的法律爭訟。
中央研究院法律學研究所資訊法中心曾於 2017 年 6 月 23 日,針對最高行政法院駁回本案八名原告行政訴訟請求的確定判決,舉辦「最高行政法院 106 年度判字第 54 號判決(健保資料庫案)討論座談會」,針對健保資料庫案所涉及個資法的解釋適用問題舉辦專家座談,盤點當中涉及之憲法爭議。健保資料庫案後經八名當事人聲請憲法解釋(會台字第 13769 號),並於 2022 年 4 月 26 日依據新的憲法訴訟法進行言詞辯論。
有鑑於本案涉及之資訊法議題,關係著台灣在巨量資料時代下,如何建構良善資料治理的制度建置方向,本所資訊法中心主任邱文聰研究員於該案憲法訴訟之言詞辯論中,以法律學者身分擔任聲請人一方之訴訟代理人,力主現行法相關條文有違憲之嫌;而資訊法中心副主任吳全峰副研究員亦受邀於言詞辯論前之說明會,擔任提供專家意見之學者。
為進一步釐清健保資料庫案涉及相關憲法爭議之全貌,資訊法中心於日前(7/11)召開線上座談,由本所李建良特聘研究員兼所長主持,邀集六位法律學界專家,包括曾擔任釋字 603 號解釋案鑑定人的臺大法律學院顏厥安特聘教授、臺大法律學院蘇慧婕副教授、淡江大學公行系吳瑛珠助理教授、世新大學法律學院科傳法研究中心主任翁逸泓副教授、本所資訊法中心副主任陳舜伶副研究員及資訊法中心執行長李長曄博士等人,從比較法與我國憲法解釋理論之觀點出發進行討論,並由本所前所長林子儀兼任研究員參與綜合討論。
釋憲者的價值引領角色
座談會開始,顏厥安教授以 1857 年美國聯邦最高法院肯認奴隸制度的 Dred Scott 案,以及近日否定婦女墮胎權並推翻 Roe v. Wade 的 Dobbs 案為引子,指出影響社會發展方向的重大爭議案件,決定其司法違憲審查結果的關鍵「並不在狹義法律論證或法釋義學的操作,而在於支持這些法律論證運作的價值基礎。」因此,如果不能清楚地認識個資保護的價值前提,「把人當人,而非把人當成資料的來源」,很可能會將原本因醫療必要性與健保強制性而提供的個資,透過法律論證,轉變成國家可自由運用的「財產」。過去,封建農奴體制 (Serfdom, Leibeigenschaft) 曾認為個人不擁有自己的身體;如今,一旦個人不擁有自己的個資,也將進入類似「個資農奴制」的狀態。
「把人當人,而非把人當成資料的來源。」
(顏厥安認為這是個資保護的價值前提)
法律保留與明確性問題
除了強調法律論證的價值前提外,顏厥安針對健保個資憲法訴訟案的法律論證問題也提出他的看法。他提到前慕尼黑大學法學院教授 Badura, Peter (1934-2022) 在他1984年的一篇文章中,就已主張,立法者在涉及基本權行使的領域內立法時,應針對所欲規範領域之實質重大規範基礎 (die wesentlichen normativen Grundlagen),自行將目前仍舊開放的法律領域做出界限規範,既不能任由行政機關裁量,也不能交給司法者來完成對行政機關授權範圍的「明確化」工作。這次憲法訴訟涉及的個資法,因為涉及基本權行使之領域,所以相關條文雖然規定了目的性(為…)、必要性(…而有必要)與去識別性(依其揭露方式…)等條件,但唯獨缺少了「如何才算滿足」目的性、必要性及去識別性的審查基準。如何才是滿足此等條件之「要件」,應該屬於「實質重大規範基礎」,是立法者自己「有憲法義務」必須加以規範的。
即使本案的「去識別性標準」涉及專業技術問題,顏厥安教授仍特別提醒,對行政機關的「授權」(Ermächtigung) 依舊不能變成是「任由」(überlassen) 行政機關自行決定;毋寧,行政機關有義務在立法前「提供」立法者各種必須考量的要件因子,讓立法者可綜合考量應該如何規定「滿足條件之要件」,然後在法律中做出明確規範。
依據顏厥安援引 Badura 所提出的標準來看,現行個資法只規定「無從識別特定當事人」,卻未考量資料可串連性對個人資訊隱私權造成的重大影響,並予明確規範,顯然是漏未規範「實質重大規範基礎」的立法瑕疵。
法律保留不足製造風險認知差異
現行個資法對「無從識別當事人」的滿足條件規範不足的結果,使得目的外利用無從識別當事人的健保個資時,究竟會產生何種風險,出現極大的認知差異。
資訊法中心副主任陳舜伶研究員指出,聲請人與機關雖然都同意在資訊經濟的脈絡下,資料利用與個資保護間存在一定的緊張關係,但雙方對風險卻有截然不同的認知:衛福部與健保署對風險的界定較狹窄,將目的外利用健保個資的風險侷限於學術研究過程資料外洩造成再識別風險,因此認為透過 IRB 以及限制資料使用地點等,便可有效控制資料主體的隱私風險;反之,聲請人則認為健保資料庫所提供的假名化資料,既是個別資料 micro data,也仍允許資料進行串連,因此真正的風險是資料串連本身就構成「人格圖像的描繪」,而與學術研究事實上有無對資料進行再識別之必要等問題無關,學術研究環節中的內控機制和資安防護措施只能減少風險,卻無法完全排除個人資訊隱私權因個人圖像被描繪而產生的風險。
從而,雙方的事實爭點其實在於:衛福部與健保署主張假名化的資料加上各種資安措施,已將再識別的風險降至合理可接受程度,但聲請人則認為,可串連的假名化資料本身即藉由資料間的串連對個人進行識別,與該等資料是否進一步外洩無關。
陳舜伶也認為,上述事實爭點惜未在憲法訴訟的言詞辯論中獲得釐清,原因或與言詞辯論中不對等的發言時間分配有關。「雖然言詞辯論長達三個小時,聲請人所能表示意見的時間遠少於三個機關」、「開始陳述意見聲請人只有 10 分鐘、機關共 30 分鐘,最後結辯聲請人只有 5 分鐘,機關共 15 分鐘;問答部分的回答時間共約 41 分鐘,粗估聲請人僅 8 分鐘,三個機關共 33 分鐘」、「大法官多數的問題是針對機關,即使聲請人不同意機關對於事實描述或機關對聲請人主張的詮釋,若大法官沒有向聲請人提問,聲請人也沒有機會回應或澄清」。根據她的觀察,實際的時間分配結果,使本案涉及的爭點、問題與資訊技術的討論,並沒有讓聲請人有公平的機會去進行陳述與釐清。
陳舜伶點出的言詞辯論程序偏頗現象,可能在無形中讓機關所設定的風險認知,單方主導了憲法法庭對問題的想像。憲法法庭也因此沒有辦法藉言詞辯論,去檢視立法者未能於現行個資法就顏厥安所說的「實質重大規範基礎」予以規範的問題。
德國比較法的他山之石
與談人當中,淡江大學吳瑛珠教授與本所資訊法中心執行長李長曄博士,均提及德國相關法制。
吳瑛珠以德國個資法第 27 條關於科學歷史研究的相關規定為例,說明一般人可能會有的誤解。德國個資法第 27 條第 1 項雖規定,為學術研究目的,在採取適當保護措施後,即允許不經當事人同意而蒐集處理或利用特種個資。這樣的規定確實容易讓人以為,只要為了學術研究,可不經個人同意就以「假名化」方式利用特種個資。
吳瑛珠認為,之所以產生誤解的原因,可能是因為沒有通盤理解德國個資法乃至於歐盟一般個資保護規則(德文稱 DSGVO,英文稱 GDPR)針對「特種個資」的規範,均採雙重要件模式。在原則禁止例外允許的前提下,特種個資的蒐集處理利用除了必須具備 GDPR 第 6 條第 1 項的「合法性要件」外,尚必須滿足 GDPR 第 9 條的例外「允許性要件」。德國個資法第 27 條作為 GDPR 第 9 條第 2 項 j 款開放會員國規定「允許性要件」的條款,本身只是「容許性要件,並非「合法性要件」,並未將「假名化特種個資的學術研究」當作一個獨立的合法基礎。因此,絕不能誤認為,在德國只要為了學術研究,一經假名化處理,就可不經當事人同意而逕行蒐集處理利用特種個資。
反之,「假名化特種個資的學術研究」雖是一種獨立的「容許性要件」,仍必須回到 GDPR 第 6 條第 1 項找尋適當的「合法性基礎」,包括個人同意,或在公務機關的情況下,必須有法律授權強制為之的依據,並非全面棄守法律保留原則。吳瑛珠指出,即使在 Covid-19 疫情期間,為了後續學術研究目的而蒐集假名化的疫苗施打後健康資料(屬於特種個資),基本上仍以個人同意為合法基礎。這說明了,「假名化特種個資的學術研究」,在德國個資法中僅僅是蒐集處理利用特種個資的「允許性要件」,絕不是一個獨立的「合法性要件」。
李長曄博士則以德國 2019 年通過的「數位健康照護法」(社會法典第五編的第 303a 條)為例,說明強制提供研究利用公立健康保險資料應該具備什麼樣的合法性要件。該法規定,所有使用德國公立健康保險的七千三百萬名被保險人資料,在經過不同中介機構多次的傳輸假名化處理,達到「永久假名化」程度後,最終均需上傳至「資料研究中心」供研究之用。依據規定「資料研究中心」對外釋出時,原則上應以「聚合資料」(aggregierte Daten) 的形式為之,例外始提供「假名化之個體資料」 (pseudonymisierte Einzeldatensätze)。針對此一立法,有德國公民團體認為,縱使醫療研究確實為重要公益,但現行法所採取的假名化措施,仍不足以維護各被保險人免於「再識別化」之風險,因此在 2022 年 4 月,向法院提出訴訟,要求法院下命,禁止公立保險公司將相關資料上傳,以保障各被保險人之個資。
上述德國公民團體提出的訴訟,在外觀上與本件憲法訴訟的背景極為相似。不過,李長曄也指出了三個重要的差異。
第一,德國將公立健康保險個資強制提供學術利用,係特別立法為之,在法律保留密度上顯然較目前台灣為高。第二,德國系爭法律雖使用「永久假名化」之用語,作為提供「個體資料」的條件,但依據學者見解,該法為符合 GDPR 所規定的「匿名化」要求,所提供之個體資料應確保其無串連可能性(vgl. Kühling/Schildbach, NZS 2020, 41 (43 ff.); Martini/Hohmann, NJW 2020, 3573 (3574));反之台灣健保資料庫提供研究之資料,則一直保持資料的可串連性。第三,德國允許所得達一定門檻者選擇加入私人保險,從而不受該法強制公立保險資料應提供學術利用之規範;反之,我國全民健保則不僅強制目的外利用健保個資,更是全民強制納保。
英國的退出權實踐
世新大學法律學院科傳法研究中心主任翁逸泓教授則提供英國法制允許當事人退出全民健康資料庫的實踐經驗,作為比較法的參考座標。翁逸泓提到,當事人退出與否,與社會對資料治理架構的信任程度息息相關。退出權的影響並不若部分論者所擔憂的那般嚴重。2021 年 7 月,英國曾因爭議事件使退出 NHS 資料庫的比例突然上升到近 5%,但研究顯示對實際醫學研究的影響微乎其微(Francis McKay et al., The ethical challenges of artificial intelligence-driven digital pathology, The Journal of Pathology: Clinical Research, May 2022; 8: 209–216),卻可能帶來強化社會信任的好處。英國在脫歐後,雖然在個資法中特別導入資料治理的概念,卻從未改變一直以來以個人自主為核心的規範思維。
回到台灣的憲法審查脈絡
臺大法律學院蘇慧婕教授則對本件涉及的個資法規定,進行一次違憲審查的模擬操作。蘇慧婕認為,本案涉及「集中式、全人口、健康」之特種個資的目的外使用,依釋字 603 號解釋之標準,應採嚴格審查基準;在嚴格審查的檢驗下,最大的違憲疑義是來自「衡平性」的三個問題。
首先,由於現有技術難以達到絕對去識別化(匿名化),法律解釋便可能朝兩方向前進,一是根本性地放棄以「匿名化」作為個資保障措施,另一是改變「匿名化」定義、將之弱化為一相對性的概念,亦即無法在合理成本範圍內的再識別化(但如此一來將產生「匿名化」與「假名化」有解釋模糊的可能)。一旦選擇第二條路徑(亦即接受假名化符合匿名化定義),並以之作為目的外利用特種個資的合法性要件與容許性要件,即會認為特種個資一經「假名化」,目的外利用在評價上即原則性地優先於資訊隱私權保障。然而,蘇慧婕指出,「假名化」的資料利用在具體脈絡中,有不同程度的再識別或人格剖繪風險,並非在所有案例中,研究利益皆優先於個人資訊隱私權保障,但現行法卻沒有考慮與衡量具體脈絡中的不同個資風險程度。這是「衡平性」的第一個問題。
第二,否定個人退出權(opt-out)亦存在衡平性爭議。由於現行個資法在文義上不容許具體個案脈絡下因利益衡量而使個人享有條件的退出權,此規範評價來自於兩個衝突的基本權,即學術自由與資訊隱私權。現行個資法雖推定前者優先於後者,卻沒有考慮後者在具體脈絡中的保障程度與保障需求,且雙重強制的問題又使衡平性問題更加惡化,因為原始加入健保與蒐集健保資料已非出於自願,接下來又強制目的外供第三人利用;此時理論上原本應強化對資訊隱私權之保障,但個資法卻反而推定學術研究自由優先於特種個資之資訊隱私權保障,產生利益衡量上第二個欠缺「衡平性」的問題。
第三, 現行個資法對組織與程序之保障付之闕如。本案在本質上是大規模特種個資的目的外利用,現實上無法於事前取得當事人對不特定利用目的之同意,此一本質會同時弱化資料控制者之義務與個資當事人之權利。在實體保障遭弱化的情況下,原應強化資訊隱私的程序與組織保障功能,包含對透明化之要求。但現行法卻什麼都沒規定,不若歐盟或德國皆針對建立獨立監管機關、保障影響評估、學術倫理委員會等有相關之規定。因此,特種個資的實體容許要件與合法要件均變得寬鬆、程序又無強化保障的情況下,特種個資的保障程度可能較一般個資更低。此為「衡平性」的第三個問題。
蘇慧婕認為,上述三個「衡平性」問題,難以透過現有法條的合憲性解釋加以解決,有賴憲法法庭對現行個資法的瑕疵做出明確的認定。而憲法法庭判決結果不僅將影響本案的健保資料庫,更將進一步劃定現在與未來所有涉及大規模、集中式特種個資目的外利用之資訊隱私權保障底線。
釋字 603 號解釋的未來
座談會最後的綜合討論階段,曾擔任大法官的本所前所長林子儀,雖表示過去參與了和本案高度相關的司法院釋字第 603 號解釋的審理工作,因此自我設限,不就具體問題提出批判,但仍分享了他的觀察與期待。
林子儀認為,隱私權是臺灣立國所追求的基本價值,也應該是憲法法庭作成憲法判決時,所秉持的價值前提。
「如果我們還認為保障基本權利是我們要追求的根本價值,如果我們也還認為,保障個人的隱私權,是保障人民基本權利的一環,那麼相信大家都很期待,關於這個案子,憲法法庭的判決能夠反映出這樣的基本價值觀。這就是大法官在做任何判決時,心中應該都要有的『價值前提』。」
他特別提到,保障人民隱私權,不只關係到個人,更因為孕育有能力獨立自主決定的個人,是民主社會得以存續的基石,因此保障人民隱私權也同時關係著民主社會的健全發展。但現今我們「面對的是數位、網路社會政治經濟權力不對等的社會現實,一般大眾的隱私權,或說個人資料保護,其實正處於一種岌岌可危的險境。」
作為釋字 603 號解釋背後的靈魂人物,林子儀拿本案與釋字 603 號解釋進行比較,他注意到幾個值得在釋字 603 號解釋的基礎上於本案中繼續發展論述的地方。
第一個是釋字 603 涉及的是「蒐集」指紋,而非「利用」指紋;在健保資料庫案中,主要則是「利用」敏感性個人資料的問題。
第二個是審查標準的不同。釋字 603 號解釋多數意見針對「指紋」採取中度審查標準,而今健保資料庫案涉及「敏感性個資」,更應採取嚴格審查標準。他因此期待大法官能在此案中表明如何(或是否會)採用嚴格審查標準,並且在釋字603已經揭示「應明文禁止目的外使用」的前提下,揭示如何操作嚴格審查標準來審查這次直接涉及「目的外使用」之情形、以及該目的是否正當之問題。
第三個是時空環境變遷所產生的機會與挑戰。釋字 603 對當代非常重要的資料治理議題,尚未能多所著墨,僅能略為論及「應配合當代科技發展,運用足以確保資訊正確及安全之方式為之」。當時的時空背景下,比較法參考對象僅有歐盟1995年的「個人資料保護指令」,而今則有 GDPR 以及英國等國際趨勢及立法、法制經驗可資多方參考。但當代資訊社會,個資之類型、型態、其利用的方式及內涵,也更加多樣化,僅以單一、一般性的立法規範方式,要達成個資保護目的,有其困難,更不用說一般性的法律規範,在法明確性原則、以及比例原則的審查上,更會面臨無法跨越的障礙。這是過去未曾面臨的挑戰。
第四個是潛在社經地位不對等問題。林子儀認為,如果今天個人資力完全不虞匱乏,完全不需要用到全民健保 ,因而該個人的資料將僅存於其就醫的醫療院所,不會被蒐集進健保資料庫,那麼就不會有資料被強制利用的情形。全民健保資料庫的雙重強制問題(如劉定基教授於言詞辯論所指出),可能導致因人民社經地位不同,財力不同,所受待遇也因此不同的不對等結果。有錢的人可以為了避免其資料遭利用,選擇自費看病;沒錢的人,卻必須淪為被研究的對象。
在當代數位經濟、資訊經濟的發展下(或有學者稱之為「監控資本主義」或「監控式經濟」),現實社會已存在政經地位、權力不對等情況。社經地位相對弱勢的一般大眾,其個人權利的保障,很大程度將僅能仰賴憲法──也就是大法官做出的憲法判決──的保障。這是過去釋字 603 號解釋未曾面臨的問題。
林子儀提醒,這是大法官第一次有機會直接對「個人資料保護法」相關規定進行合憲性審查,應把握此一機會,就憲法對於人民隱私權之保障,提出基本原則或架構,對當代資訊社會中的隱私權做出更仔細的論述,並且在面對當代資訊社會權力不對等困境的問題時,能從基本權保障的角度,提出好的解答。
「Roe 消失了,釋字 603 號解釋很可能也會跟著消失。」這是顏厥安的擔憂。相較於此,林子儀則顯得更願意相信憲法法庭仍會在釋字 603 號解釋的既有基礎上與時俱進地發展。釋字 603 號解釋的未來將會如何,憲法法庭的答案,全民都在等著看。
本次座談會有超過 150 位關心健保資料庫憲法訴訟案的各界人士,於線上共同參與。本所資訊法中心將在整理座談會錄影及與談人簡報後對外公開,以供各界參考。
(點選右上角播放清單圖示以查看個別與談人及綜合座談片段)
