本座談會由台灣人權促進會、中央研究院法律學研究所資訊法中心、AI人文法制基礎環境建置第二期計畫主辦,討論衛福部3月公告之「衛生福利資料管理條例」草案。側記由廖欣宜、康敏軒撰寫,周冠汝編輯。
范姜真媺:「通知」當事人具有退出權,而非「公告」
范姜老師指出草案具有基本構想、資料庫建立、監督機制不完全、安全措施缺乏風險評估、退出權隱晦等不同面向之問題,並以日本相關法律對照討論。
針對資料庫建立問題,老師指出衛福部濫權之可能,與資料串聯的危害。草案第5條第2項規定:衛福部為目的外利用及管理,得命各該所屬機關假名化後,傳輸至衛福部,衛福部得予以串聯,並保存於資料庫。此處授權衛福部只要一紙命令即可命其所屬機關將所需資料假名化上傳給其建立資料庫?如此資料庫之設置要件為何?設置目的如何決定?完全空白。事實上資料庫之建置再依大數據運算、分析其利用價值才是最大,亦是被濫用風險最高者。但本草案對此不置任何規制,亦與前述憲判字13號意旨有違。再者,衛福部得將各所屬各機關上傳之假名化資料存於資料庫並予以「串聯」,此處「串聯」是何義?如是將各假名化資料組合、比對,將特定人之衛生或福利資料集結而造成特定人被確認之危險極高。
監督機制方面,存在透明化不足與球員兼裁判之問題。本草案以第6條設置諮議會為監督機制,而查其任務規定為爭議之處理、利用及管理規則之政策、法令之擬定等,欠缺極重要之申請目的外利用之申請人資格審查及目的外利用之適當性審查等應有之事前監督機制。依草案第11條此兩項關係衛生福利資料被適當、合法利用之要件審查,卻由主管機關或其指定機關進行,頗有機關大開方便之門之嫌,遑論事前監督。另一方面,本草案欠缺透明化規範,致使目的外利用過程不透明。在安全管理上,資料庫之建置需備置電腦及網路傳送資料系統,且傳送、處理資料數量龐大,更包含有個人健康等敏感資料在內,因此在運作前應先進行隱私風險評估(DPIA)。
草案的退出權規範過分隱晦,且有許多問題。首先,退出權為當事人受憲法保障之資訊自主權之一部,亦是憲判字13指出健保資料利用法制不足之處。本草案雖規定主管機關應依個資法第17條公告當事人之退出權,表面上看似回應憲法判決之指摘。但其問題在,第17條之立法目的是保有個資檔案公務機關之資訊公開義務,並非對資料當事人得行使權利之通知,當事人之退出權與第17條公告事項一起公告,不僅令人感到違和,而且又有多少人能自此公告得知其得行使退出權,如此退出權之設計有再討論之空間。日本次世代醫療基盤法為保障當事人此項權利,規定必須依通知方方式,不得僅以置於當事人可得知之方式為之。再者,草案未討論關於死者之衛生福利資料,遺族能否行使退出權。又草案第18條但書限制當事人退出權之例外事由規定,太過空泛,概括被濫用之可能性極高。草案說明所指稱本條參考日本個資法第18條可為目的外利用事由規定,似有誤會,該條是有關蒐集者例外得不通知本人利用目的之規定。依日本以人為對象之生命科學、醫學研究指針第4章第8點、9點之9另有詳細規定。
蘇慧婕:個資利用法規仍應遵守資料最小化原則
台大法律系副教授蘇慧婕強調我國在參考外國法規範時,必須在基本法的根基上解讀特別法。衛福部未思量台灣與歐盟個資保護基本法律的差異,只擷取歐盟健康資料空間草案的片面條文作為其衛生福利資料管理條例草案的樣板,實有未洽。
衛服部衛生福利資料管理條例草案數度於說明欄位援引的歐盟健康資料空間草案( European Health Data Space;EHDS),性質上屬特別法。體系上,歐盟健康資料空間草案的條文不能牴觸作為基本法的個人資料保護規則(General Data Protection Regulation;GDPR),且歐盟健康資料空間草案所未提及的個資利用態樣,仍受歐盟個人資料保護規則概括規範。由上可知,歐盟個人資料保護規則對於一般個人資料的保障強度,會連動影響特種個資在歐盟受保障的強度。如果歐盟個人資料保護規則的規範密度夠堅實,一部保障健康資料的特別法規即毋庸重複對於健康資料的利用訂定與個人資料保護規則規範密度相當的條文,而僅需針對有待加強規範之處另定高標。同理,個人資料保護法作為我國個人資料保障的基本法,與保障特種個人資料的特別法之間,一樣具有連動關係。鑑於我國個人資料保護法的規範密度遠低於歐盟個人資料保護規則,我國不能單憑仿照歐盟健康資料空間草案的內容,提供高敏感資料相同強度的保障,而勢必要增列更周詳的規範以彌補個人資料保護法的短欠。
衛生福利資料管理條例草案參考歐洲健康資料空間草案內容,以第5條第2項廣泛授權衛福部可以為管理與目的外利用衛生福利資料,命所屬機關將其蒐集之衛生福利資料傳輸至衛福部,並於取得資料後將資料保存於資料庫,進而對該資料加以串聯。問題是在基本法的層次上,我國個人資料保護法相較於歐盟個人資料保護規則,疏於規範相關態樣的目的外利用。衛生福利資料管理條例草案在此前提下,沒有以具體明確的合法性要件加以限制草案第5條第2項授權範圍的失當更顯重大。
此外,衛生福利資料管理條例草案第18條第1款授權主管機關得不顧當事人請求停止利用,繼續目的外利用當事人衛福資料的例外情事,竟不以機關執行法定職務所必要者為限。依照個人資料保護法的框架,衛生福利資料受目的外利用的事實,於該資料受衛福部利用的時點即已實現,不是衛福部提供該資料予第三方利用才算作目的外利用;111年憲判字第13號最令人詬病的即是搞錯違憲審查的標的。我國個資法針對「一般個人資料的目的外利用」與「特種個人資料的利用」分別規定合法性要件,而兩者皆以「執行法定職務之必要」為前提。更明確而言,該法容許公務機關為執行法定職務之必要,例外將所蒐集之個人資料二次利用於學術研究,不論該學術研究與原始蒐集目的是否相容。同時也容許公務機關為執行法定職務之必要,或為醫療衛生之研究,例外使用特種個人資料。
該草案其他的明顯問題還有第5條第2項與第13條第2項。草案第5條第2項只要求衛福部所屬機關於傳輸衛生福利資料衛福部前將個資「假名化」,而非「匿名化」。第13條第2項只要求申請目的外利用衛生福利資料者,不得於最終結果呈現可識別個人身分之資料,而不需於每一個資處理階段皆謹守。顯不滿足歐盟個人資料保護規則所要求的資料最小化原則,或憲法法庭所稱的「必要蒐用原則」。
翁逸泓:特種個資利用法規奠基於一般個資利用法規與個資保護法規上
世新大學法律系教授翁逸泓解析衛福資料管理條例草案在個資法制體系上的定位,以及草案與體系內其他法規的適用關係,並針對草案所援引的歐盟與英國法規,評點衛福部借鏡外國立法例時的缺失與改進方向。最後警惕政府以外國尚未通過之草案為我國立法參考對象可能產生不必要的棘手問題。
111年憲判字第13號稱個資法,是我國個人資料保護的基本法。基本法之所以為基本法,即其性質上不受特別法取代。何況衛福資料管理條例草案應該被定性為個資利用法規,而非一部個資保護法規。法體系上,不應有衛福資料管理條例草案第1條說明欄位所示「本條例未規定之事項,始適用上開法律及其他相關法律(含個人資料保護法)之規定。」的餘地。相反地,衛福部聲稱研擬衛福資料管理條例草案時參考歐盟健康資料空間草案(EHDS),即在第1條第4項確立該草案的規定不影響歐盟個人資料保護法規。也就是說EHDS草案對於電子健康資料的近用、共享或二次利用,或處理電子健康資料相關資料的要求,均必須符合GDPR。又假設我國法制有意將衛福資料管理條例草案定性為衛福資料再利用的基本法,建議先設立特種個人資料再利用的基本法,以及政府各類型科研資料庫資料應用的基本法。有了前述基準後,再於其上訂定因涉及敏感資料而具高規範密度的衛福資料再利用法規。
衛福部參照EHDS草案於衛福資料管理條例草案第6條訂定所謂「衛生福利資料組織上監督防護機制」時,應同時查考歐盟健康資料空間草案的基本法即歐盟資料治理法(DGA)。DGA第26條明定同法第13條第1項的資料仲介監理機關必須實質獨立於受監理單位。在此基礎之上,EHDS草案第10條要求成員國建立監理數位健康資料原始利用的國家級機關(digital health authority) ,同法第36條要求成員國指定專責機關(health data access body)核准數位健康資料的二次利用,並確保該專責機關具備有效運作的必要資源。弔詭的是,衛福部衛福資料管理條例草案第6條援引的EHDS草案第64條與第65條,是設立以促進歐盟成員國間交流草案施行事務為目標的歐洲健康資料空間委員會(EHDS European Health Data Space Board),而非前述具獨立監理功能的專責機關。鑒於歐洲健康資料空間委員會性質上並非健康資料利用的監督防護單位,衛福部以該委員會為衛福資料管理條例草案所稱「衛生福利資料組織上監督防護機制」的參考對象顯不合理。
衛福資料管理條例草案第11條與第12條對於審查目的外利用衛生福利資料申請的規範則相當空虛,甚至將核心領域的實體要件授權主管機關另定。反觀,EHDS草案第35條明定二次利用數位健康資料的禁止事項,同草案第41條課予原資料保護者陳報二次利用專責機關的義務。此外,衛福資料管理條例草案第18條授權主管機關得不顧當事人的停止利用請求而繼續目的外利用當事人衛生福利資料時,說明該條文參考了英國國家資料退出政策(National Data Opt-Out)。但英國在施行此政策時有以許多附件具體說明得繼續利用的例外情事,而衛福部衛福資料管理條例草案第18條的「依其他法律」則未有類似配置。
倘若衛福部確實如衛福資料管理條例草案說明所示有意借鏡英國的健康資料應用管理機制,即應效法其制定管理委外廠商的配套性規範,釐清健康資料保有機關與委外廠商之間的責任義務、設定委外廠商安全管理之技術能力,以合理成本調查評估委外廠商是否符合資料保護與安全標準。英國的健康與社會照護法(The Health and Care Act 2022),奠基了公家醫療和成人社會照護機單位向其他公家位或私營醫療和成人社會照護者索取匿名資訊(anonymous information)的授權依據,該法亦允許內閣健康和社會照護大臣向成人社會照護單位索取服務資訊。讓人不解的是,衛福部衛福資料管理條例草案在條文說明中表示其以非現行的2012年英國健康與社會照護法為參考對象,而沒有提及現行的2022年英國健康與社會照護法(The Health and Care Act 2022),且衛福資料管理條例草案第5條說明欄位所指的英國衛生與社會照護資訊中心(The Health and Social Care Information Centre;HSCIC)早已於2016年改制為NHS Digital,其掌理醫療和社會照護資料的蒐集、處理和共享,有保護資料安全和隱私之職責,並於2023年與NHS England整併。在外國立法例的研究與引用上,衛福部難謂有善盡核實與說明責任。
(未完,下篇請見此)
