文 / 施逸翔(台權會副秘書長)
整理/Yankee、Yuk Ki、Sharon、KC(台權會實習生)
民進黨籍立法委員蔡易餘、余宛如、林靜儀,三位委員共同於6月26日上午舉辦一場公聽會,試圖探討歐盟最新的個資保護規範GDPR對於台灣個資法的衝擊,以及健保資料庫是否可能透過區塊鏈技術來解決個人資訊自主權的爭議?會中並邀請到法務部、健保署、國發會等官方代表出席報告,也有民間人權團體、區塊鏈技術業者、各醫院資訊人員出席討論。除了原本設定的議題之外,政府是否設立獨立的個資保護專責機構,也成為對話中所延伸出來的爭議焦點。可惜的是,經過一個上午的討論,公聽會並沒有形成比較具體的政策和修法方向。
歐盟GDPR與台灣個資法比一比
公聽會首先由法務部林建宏專員發言,她摘要報告了台灣個資法與歐盟GDPR的立法沿革與比較,主要就「規範對象和地域範圍」、「保護客體-個人資料的範圍和之定義」、「資料處理的要件」、「當事人權利」、「資料管理者之義務」、「主管及監督機關」、「跨境傳輸」、「救濟與處罰」等八大面向進行比較。
而科技部的代表在報告時,則特別提到GDPR有關資料可攜權、被遺忘權、及事前必須進行影響評估等等偏重保護個人權利的規範,做了基礎的說明。但科技部代表話鋒一轉,指出納保率達99%、建立時間長達23年的健保資料庫,對於學術研究非常重要,因為健保資料庫可大量儲存複製再利用、可長期分析、是巨量資料。科技部代表的潛台詞不難猜測,擔憂如果不去使用健保資料庫實在非常可惜,因此儘管科技部還是要配合國發會去確保當事人個人資料保護的安全,但科技部還是明確表示「目前是採推定同意原則,如果當事人不積極表達不同意,就表示同意被使用」。
但台權會台灣網路透明報告專案經理何明諠事後補充,科技部此說法與事實不符。因為健保資料庫的狀況是以學術研究或公共利益為名,去徵收或利用全民的健保資料,健保署或衛福部所持理由既非推定同意,亦不保障人民不同意時希望退出研究的權利。當初所以會引發一連串後續的訴訟案,正是因為八名原告積極表達不同意後,卻仍遭健保署拒絕,才引發後續爭議。
健保署代表報告時也表示,現行健保資料庫在應用於醫學研究方面,健保資料庫整合了台灣公民的醫療紀錄及病歷紀錄,以提供給研究人員進行學術性研究。健保署強調所有台灣公民的醫療紀錄及病歷紀錄都會匿名化,並重伸其身份不會被洩漏。同時,研究人員若希望透過健保資料庫獲取資料,必須先經過人體試驗倫理委員會的審查及經過程序核准才可 “on site”進行研究。對此,林靜儀委員也抱怨健保資料庫應用於研究方面並不實用,因為這些資料難以取得,甚至提到很多研究人員因為所獲得的資料不足及獲取資料不方便,導致國際學術期刊認為台灣的研究很差勁、台灣健保資料庫很爛的印象。
林靜儀委員進一步指出,她認為健保資料庫的應用取決於誰可以取存「敏感」資料,但所謂「敏感」資料的定義卻是非常主觀的,每一個人都有不同的定義和看法。健保資料庫的使用者主要為公務員和個人,個人仍分為個人及私人產業。而民眾被賦予權利到甚麼程度,將會是一個關注焦點。若此問題不被去面對,最後可能只會讓私人企業獲利。
再者,林委員認為設立健保資料庫的重點在於全體利益及個體利益,這兩件事應該分開來討論。健保資料庫所蒐集的個人資料乃是國家公共資源,亦可作為全球疾病研究資產。國家像是一間「保險公司」,並應保護那些個人資料。因此,政府更應該讓有關部門或機構使用那些個人資料於學術或科學研究用途,使資料分享更容易。最後,林委員表示各國的做法是值得參考的,但各部門更應以台灣當前狀況及健保機制為考量。
對此,台權會副會長周宇修律師在綜合性的回應中表示,病歷是需要連續性的追蹤,而它是連續性的資料。對於資料的處理和運用,應保留自主性,意指自由地決定個人資料的運用,徴用個人資料以及它的操作方式都會影響它的後續發展。與此同時,亦應告知公眾個人資料如何被運用及用在甚麼地方,他們亦被賦予拒絕權,拒絕授權相關機構使用或取存他們的個人資料。因此周律師重申台權會對於捍衛資訊自主權的立場,認為唯有在當事人可以清楚掌握與了解個人資訊在每個環節將如何被使用,以及當事人在每個環節與階段都可以踐行知情同意權,如此才有可能真正保護個人的資訊自主權。
個人資料保護專責機關有譜嗎?
在有關「主管及監督機關」的部份,由於我國個資法並沒有明確的主管機關,是採用分散式的行政管理,由非公務機關的各中央目的事業主管機關來執行相關的個資保護權限,而這就與GDPR所規範的應設立至少一個獨立公務機關的要求,有明顯的不符,對此,余宛如委員有表示高度關切。而行政院長賴清德已在5月24日第3601次行政院院會指示國家發展委員會研議成立「個人資料保護專案辦公室」,且國發會委託達文西個資暨高科技法律事務所的研究案「個人資料保護專責機關與資料在地化之法制研究」也在5月15日完成,但台權會副秘書長施逸翔就質疑,這個行政院辦公室的定位,似乎與GDPR所要求的獨立專責機構,仍有很大的差異,且政府具體的進程也非常模糊,因此國發會的參事林志憲就回應表示,現階段政府都還正在與歐盟進行GDPR適足性認定的談判與溝通,又因為現在《中央行政機關組織基準法》所規定的機關數量已達上限,要新設立一個獨立個資保護機關,難上加難。
技術性的問題,或許只要願意處理,應該都可以克服,但此事最怕遇到沒有政治意志想要設立專責機構的政治主導者,比較令人詫異的是,主持這場會議的蔡易餘委員在會議快要結束之際,公開表示他認為目前並不需要獨立的個資保護專責機構,因為各領域的專業不同,還是由各專業來管理個資保護的事務即可,換句話說,就是維持現況的意思。
區塊鏈技術可以解決健保資料庫隱私權爭議?
區塊鏈技術強調去中心化,這項技術的目的,當初是想要減少大量網路交易的弊端,讓資料可以溯源,讓交易透明化。健保署代表表示,如果這項技術要應用在以資料集中為主的健保資料庫上,目前尚未有這樣的應用,但健保署樂見其成。現階段健保署只有健康存摺、雲端醫療查詢的兩項服務,也就是以一種雙向的方式來傳遞資料,當醫生獲取了病人的授權後,便可以把他的病歷紀錄上載到雲端的資料庫,同一時間醫生亦可以查詢相類似的紀錄。簡單來說,醫生只需要病人的健保卡就能查詢病人過住的求醫記錄。而這個做法的確可能造成一個隱憂,也就是病人的資料容易被外洩用作商業用途。
臺北醫學大學資訊長羅友聲則報告其正在研究的一項計畫,也就是利用區塊鏈技術的手機應用程式iWell chain,來推動與健保資料的結合。首先,服務提供者會要求病人簽一份知情同意書,讓病人得知他的個人病歷會被記錄在資料庫內,然後病人的病歷便會集中傳到一個龐大的資料庫,但當這些資料要被使用時,都必須透過病人的自主授權以及知情同意,才有可能被使用。假如在實驗階段中的測試中有什麼不利的反應,病人有絕對的權利去中止資料的使用。而這個應用程式更著重資料上的保護,確保病人會知道自己的資料會被應用在什麼途徑之上。但不少與會者都提到區塊鏈技術終究是商業導向的技術,因此上述這個計劃有一些有利私人企業利潤的嫌疑,比如保險業者,且事實上也會遇到一些執行上的困難,例如如何定義敏感性資料,敏感性資料的運用方式等等。
代結論:執政黨立委欠缺個資保護的中心思想
在兩個半小時內要一次處理GDPR個資保護、健保資料庫爭議、以及區塊鏈技術這三大議題,其實也不是不行,但如果議題設定無法讓各方聚焦討論,就容易形成失焦以及無法產出修法方向與政策建議的局面,這場公聽會就是一個最佳案例。
但討論沒有焦點問題算小,最大的問題來自執政黨立委的欠缺中心思想、以及行政部門想要各方都討好的思維方式。既然都已經知道歐盟GDPR確實在未來會造成衝擊,尤其主要的衝擊點就是個人資料保護的漏洞,但執政黨立委不管是在獨立機關的議題,還是個人資訊自主權的立場,都四處漂浮,既想要追隨歐盟又不想放棄健保資料庫目的外使用所帶來的各種利益,特別是如林靜儀委員那般,不區分各類學術研究的重要性,主張所有學術研究的價值都可凌駕於個人權益的保護,更是全然不在乎個人資訊自主的說法。而如果連監督行政權的立法權都沒有踩在一個堅強的個人資料保護的立場上,行政部門在個資保護的改變上當然就可以繼續慢慢來、再看看。
