健保資料釋出:人民沒有拒絕的權利?

本文收錄於<無力年代的有力書寫–2012台灣人權報告>一書


健康資料=誰的資料?

2012年年初,台灣人權促進會與民間監督健保聯盟等社團共同召開記者會批露行政院衛生署底下的中央健康保險局從1998年起即開始對外釋出國人健保資料光碟給學術界及非學術界做研究。健保局雖一再強調姓名、身分證字號等訊息已編碼加密,但我們仍質疑在《健保法》沒有明確授權的情況下,健保局無權釋出國人健保資料。而且,健保局除了釋出健保資料外,今年成立的「健康資料加值應用中心」更把健保資料與其他如戶籍、低收入戶、重大傷病等資料庫做跨資料庫的串聯,並打算與台大醫院、成大合作建立更龐大的資料庫。

政府依據特定法令所蒐集到的全國人民的資料後,是否就可以主張這些資料不再屬於人民,政府愛怎麼用,就可以怎麼用呢?政府要做任何事情,不都應該要有明確的法令授權嗎?若沒有法令授權,不就是應該一一取得人民的同意嗎?難道在法令沒授權的狀態下,人民也沒有退出的權利嗎?

這一連串的政策措施,在民間社團召開記者會[1]批評之後,行政院科技會報立即召開了二次與民間團體的溝通會議[2],但之後便無疾而終。在會議中,我們甚至聽到有醫師主張健康及醫療資料不是屬於病患的,而是醫師的智慧財產權這樣的說法。這樣的說法只顯示出台灣的醫師仍處於非常威權的地位,病患要主張自己的權利時,反而往往受到挑戰。

之後也有台大政治系的教授受政府委託而召開了健康與醫療資料的加值應用公民論壇[3],經過持各種不同意見的專家學者分享過後,參與公民論壇的50位公民結論意見乃認為政府的健康資料加值應用計畫仍應透過正式立法授權,並透過立法來進行各種相關規範及確保民眾權益[4]。但即使政府委託舉辦的公民論壇有了這樣的結論意見,我們至今仍未見健保局有任何調整或開始研擬立法。

寄存證信函給健保局

我們在2012年3月17日發起了寄存證信函給健保局的行動[5],要求健保局在沒有法令授權下,不得將我們個別當事人的健保資料釋出給第三者使用。然而,健保局卻也立刻回函表示拒絕民眾的這項請求。健保局回函表示他們已經將資料做匿名處理,所以沒有侵犯當事人隱私權、也沒有違反《個人資料保護法》[6]。在這樣的情況下,即使沒有明確法令授權,健保局仍認為政府可以自行決定是否將國人資料釋出,而不需經過任何人的同意。

在健保局拒絕我們的請求之後,我們便向健保局寄出了訴願書[7],也就是我們認為健保局這樣的行政處分,已經侵犯我們每一位當事人的資訊自決權,同時依照個人資保護法,我們也有權請求健保局立即停止釋出我們這些當事人的資料,作為健保業務之外的其他使用。

然而,這一年來的公文往返中,衛生署的訴願委員會最後仍駁回[8]了我們的訴願申請,理由也仍是認為健保局釋出國人健保的資料乃為提升國家醫療發展,且已做匿名處理,所以訴願委員會也認為健保局沒有違法,也就是說民眾在這件事情上面,沒有選擇退出的權利。

無從識別的個人資料?

冰島當年為了建立全國基因及醫療資料庫,曾透過國會立法通過「健康部門資料庫法」(Bill on a Health Sector Database),就是為了將分散各處的醫療記錄都能納入資料庫、而且免除向每位民眾取得同意的成本。該法案規定:除非有民眾申請「選擇退出」(opt-out),否則所有冰島人的醫療記錄都可被納入該資料庫。

當時這樣的法條即遭到質疑違反「告知同意」原則,當時冰島政府的回應是:衛生部門資料庫法當中的「推定同意」規定,是針對「無法辨識個人身分的資料」,其實也就跟目前衛生署及健保局對我們的回應是一樣的。

但所謂「無法辨識個人身分的資料」這種說法,仍遭到質疑。因為在資料輸入、編碼的過程中,就已經是在對可辨識的個人資料進行處理(processing),而且,該資料庫仍不斷更新每一個病人的最新就診記錄,這樣的連結比對研究,仍必須要有人擁有辨識個人身分的關鍵鑰(key),而只要有這樣的關鍵鑰和這樣的人存在,這些資料就不會是「不可追溯及辨識個人身分」的「完全匿名資料」[9]

小結

不管接下來,我們是否提起行政訴訟,但至少在公民論壇中,連原本對於這些問題不甚了解也沒有專業背景的公民也都能認知到,醫療相關的個人資料其實種類非常多樣,不能一概而論,衛生署在對外釋出這些資料時,不可能不知道要加值應用這些資料的風險所在。

統計數字當然是對於隱私權的侵害最小的,但是健康資料加值應用中心的資料處理並不僅是如此,它還包括跨其他資料庫的連結比對。若我們只用一句為了促進科學發展,就可以規避合法授權問題,也不需要區分隱私等級不同的處理方式及資料類別,並做出實際的法令規範,那我們的科學發展就是奠基在犧牲人民的權益之上。

美國在1996年即通過了個人醫療資訊的保障法案HIPAA(Health Insurance Portability and Accountability Act),為的就是因應他們的健康及醫療資料電子化之後所可能衍生相關隱私及權益問題,美國的衛生部門也明確在其官網上宣導讓民眾知道自己的權益。在台灣,我們的電子病歷管理辦法[10]卻只有八條條文,其中對於病歷電子化之後的相關權益如何保障,更是完全沒有提及。更遑論我國從2010年初修法通過的個資法中,唯一一條規範有關醫療資料等敏感性個資的條文,至今行政院仍未公告實施而予以暫緩[11]

冰島的案例最後是以違憲告終。而我們不知道台灣醫療及科技政策,哪一天才能有更民主、更合乎法治、更尊重人民選擇的作法出現?


[1] 誰允許國家販賣全民健保資料? 記者會新聞稿http://www.tahr.org.tw/node/786

[2] 健康資料加值應用溝通會議記錄http://www.tahr.org.tw/node/1074

[3] [健康與醫療資料的加值應用]公民論壇http://event.pansci.tw/hmiacf/

[4] 全體公民結論報告及分組結論報告 http://event.pansci.tw/hmiacf/archives/431

[5] 寄存證信函給健保局集體行動http://www.tahr.org.tw/node/1026

[6] 但事實上,個人資料保護法從2010年初修法通過至今,有關醫療、病歷等敏感性個資的規範條文,第六條至今(2012年底)仍受到行政院直接宣布暫緩施行。

[7] 訴願書內容詳見 http://www.tahr.org.tw/node/1091

[8] 衛生署訴願委員會駁回的函文 http://www.tahr.org.tw/node/1142

[9] 劉宏恩,2009,<冰島設立全民醫療及基因資料庫之法律政策評析–論其經驗及爭議對我國之啟示>,論文收錄於《基因科技倫理與法律》,台北:五南圖書

[10] 醫療機構電子病歷製作與管理辦法 http://law.moj.gov.tw/LawClass/LawAll.aspx?PCode=L0020121

[11] 個資法目前施行情況詳見http://law.moj.gov.tw/LawClass/LawAll.aspx?PCode=I0050021

延伸閱讀