本座談會由台灣人權促進會、中央研究院法律學研究所資訊法中心、AI人文法制基礎環境建置第二期計畫主辦,討論衛福部3月公告之「衛生福利資料管理條例」草案。側記由廖欣宜、康敏軒撰寫,周冠汝編輯。側記上篇請見此。
滕西華:無限高抬的學術研究跟公共利益是誰的價值與加值?
作為健保資料庫的訴訟當事人,十年來滕西華最常聽到的一句話,就是「你們阻礙醫學進步」。從2012年朱敬一於行政院科技會報提及將成立健康加值計畫,同年西華與蘇律師於健保監理會提案「未有明確法律授權前應暫停健保資料庫對外販售、利用,並應依照人體研究法成立IRB(人體試驗倫理審查委員會)」。同年五月也開啟對健保資料庫的訴願。這是滕西華第一次參與訴願,很困難也很冗長。
1998年國衛院以光碟販售資料,由資料主管機關的高階官員擔任二房東、三房東,在申請百萬筆健保資料庫之後,提供學校裡面的同儕用、分給別人用,結果就是利用者「一日持有健保個資、永遠持有健保個資」。開放產業界的證據還有「行政院衛生署及所屬機關提供產業界衛生相關資料庫使用作業要點」可資證明。2020年就影像的部分,李柏璋前署長也是要開放商業利用。
世界醫師會台北宣言旨在尊重當事人、保障隱私,規範醫學研究中使用健康與生物資料庫的倫理。然而,台灣的資料利用單位連基本倫理都做不到,又何來台北宣言?或者該改稱台北不配?健保資料庫就像讓人捨不得放棄的論文製造機,訴訟過程中資料利用方稱,退出權會引發破窗效應,一旦有人退出就再也不是全民的資料,也有法學跟公衛的學者主張匿名化、假名化就好,但究竟什麼樣的公共利益可以犧牲人民的隱私跟資訊自主權?沒有人討論這件事。
即將要實施的NGS(Next Generation Sequencing,次世代定序)給付,在3月21號的健保醫療公民會議,原本的規劃是「基因檢測結果須由病人簽署同意書,並於申報後一個月內依指定格式上傳至健保署或其指定資料庫,未上傳者本項不予支付」,經過公民連番攻擊後才改掉。這裡的指定資料庫就是國衛院的人體生物資料庫,但請問保險人是依據什麼原因,要持有被保險人的檢體?政府聲稱檢體蒐集是為了精準醫療,能造福所有台灣人的癌症治療,可是中研院的五十萬筆基因資料庫也是透過IRB,一個個取得同意書,然而NGS規範卻綁給付,民眾若不同意上傳檢體,健保就不給付。儘管後來改掉了,但也另外找了健保法第80條,主張上傳資料本來就不用經過民眾同意,我就問他是否包含檢體?他說檢體的部分,國衛院要個別按照相關法規去取得。
至於此部草案的疑義,首先,整部草案二十五條,相比歐盟、英美等國相形單薄,扣掉罰則與附則,核心條文十八條中,空白授權有七個,立法委員立的法解釋權在行政機關,而行政機關還可以有空白授權自己再去立很多法,重要的核心全部都在授權的子法規,母法也沒有規範子法規應該要符合什麼樣的原則,這是長期以來衛生法規的詬病。
其次,政府機關的串聯無需事前同意,整部草案讀起來其實沒有辦法辨識什麼叫目的外利用。過去要求串聯的主管機關眾多,然而各種串聯卻都沒有通知人民,也不知其串聯原因,機關似乎認為串聯是目的內、不是目的外,所以就不用通知也不許退出,草案的邏輯看似是如此,可是真是如此嗎?可串連的衛福資料,有家暴檔、性侵害檔,這些具有特殊敏感性的資料同樣被串聯,民眾沒有選擇的權利。
對於資料庫的管理機構,草案並未排除非公務機關,也就是說這麼龐大的資料庫,可能委託給私人機構,但卻對其沒有基礎要求,連資安都非常的薄弱跟空白。眾人皆知健保資料庫曾被駭過,某公立醫學中心的資料也被駭過與要脅。
草案對於資料庫的申請人身分,好像也不限於本國人。過去曾發生,某健保給付項目需要附上評估表單,該評估表單的版權是美國某位醫師持有,該名醫生便寫信給健保署,表明以該評估表單換取健保資料庫利用權。還有亡者資料亦未被規範,所以健保署2020年釋出350萬人死者資料,也未討論親屬的意願。Opt-out(事後退出)的資訊取得與行使,在該部草案中也是空白的。
最後是Opt-out的三種例外仍不明確,不知道大家是否記得十年前的323(太陽花學運佔領行政院),那天晚上台北市刑事警察大隊向周邊醫院急診室要求提供就醫個資,用的就是「國家安全」。草案沒有明確說明國家安全、人身安全、依其他法律這三種限制退出權實際可能發生的情況。
有些個資,像是罕見疾病,即使完全去識別化,或達到匿名,仍具有辨識性。此類研究,事實上不應只採用Opt-out而已,應更嚴謹,取得事前同意。還有一些特殊族群,早期曾經發生過,有藥廠、生技公司、保險公司委託學者,用其之名義申請健保資料庫。也曾發生商業保險公司用的團保保險,根據健保資料庫的資料,認定幾歲到幾歲的男性會有三高,團保保費因此提高,進而損及族群利益。健保資料庫案進行行政訴訟的時候,原告曾希望在符合健保署去識別化技術的情況下,使用資料庫跑資料,但法官不允許我們勘驗。而其實某些宣稱假名化或匿名化的資料,仍然足以辨識特定族群。這些資料,行使事後退出權遠遠不及,應該要取得當事人事前同意。
邱文聰:草案無限訪大機關權力,又不斷架空個人權利
在機關權力無限放大這個主軸,能分成三個子題說明。首先,衛福部將組織法視為機關蒐集個資之依據,違背111年憲判字13號判決意旨。判決意旨指出,健康資料的目的外利用或再利用應有法律依據,而作用法的意義在於驢列相關作用事項後,才能確定這些事項跟基本權利的關係,但在該部草案中稱組織法可以作為法律依據,外加空泛的授權,均不足以回應憲判字意旨之要求。
第二大問題是,衛福部大開機關間資料串聯空白授權與草案假名化定義矛盾。范姜老師提到日本法對假名化的規定,是原始資料要跟消除資料要分開存放,避免串聯。然而整部草案提到假名化的條文,除了定義外,另一個就是第5條:「主管機關為目的外利用及管理,得命各該所屬機關於假名化後,傳輸至主管機關;主管機關得予以串聯,並保存於第8條第1項之資料庫」。定義中說假名化不能再串聯,但主管機關卻可透過命令向所屬機關拿資料後再進行串聯?跨機關串聯又怎麼符合原始蒐集目的?機關間資料串聯應以法律明確授權規範。
最後是管控機制的問題,草案中提到諮議會,規定列舉類型的專家學者不能低於一半,而這些專家可能多數為利用資料的專家,於是此類型的專家學者再搭配政府機關成員,將形成穩定多數,這樣的管控機制是不可期待的。
架空個人權利方面,首先是當事人退出權名存實亡。草案規定資料於退出註記前,「已提供目的外利用」之資料,不受停止利用請求之影響;而建立資料庫本身即屬目的外利用,因此一旦資料庫建立後,當事人便無法退出,退出權名存實亡。再者,限制退出的理由缺乏認定程序。草案18條提到三種可以限制當事人退出權的情況,儘管是像COVID-19有公共衛生緊急需要的情況,在英國都是需要主管機關經法律授權,公告當事人退出權受到限制,才會有當事人無法退出的可能性,而非草案如此空泛的設計。
發展AI是草案背後更大的目的,研究與發展需要各式各樣的資料,但這部法律無法做到這件事。草案在第一條表明其目的外利用是特別重要公益,看似排除商業目的的利用,但若排除,如何達到資料經濟、發展AI的目的?其次是法條另有提到商業利用回饋,於是更無法理解立法目的主張特別重要公益,而後提到商業回饋的邏輯是什麼? 台灣在健保資料治理虛耗十年,連退出權這樣最卑微的制度都無法達成,未來十年又該如何?無論是商業利用或是學術研究,健全資料治理、資料保護法制是必要的。
劉靜怡:草案若通過,將成形式法治濫觴
台灣資料治理,可謂虛晃30年。建立資料庫與資料的運用,要透過作用法來訂定才是根本,然而本次草案再次顯現行政機關對這一點仍沒有意識。除了衛福資料,教育資料也是一個例子,教育資料如何分配與運用是依教育部部長指示這樣的空白授權。這是一體性的問題,不是只有健康跟社福資料,衛福部這部草案若過關,接下來所有行政機關都會如法炮製,造就形式法治主義。
綜合座談:EHDS、DGA、GDPR三者的關係?
翁逸泓老師
脈絡上EHDS是DGA的特別規定,在健康資料的利用上以EHDS作更強的管制,在不同軌的情況下是不相影響。意思就是說資料應用時,EHDS或DGA不能取代資料保護的規定,因此衛福資料管理條例草案以特別法取代個資法的做法,體系借鏡上不正確;應該是要先做到一般性的權利保護、特別領域的權利保護,再來處理一般性資料應用以及特種資料應用的規範,一層一層疊上去。但觀察草案跟個資法的關係,台灣個資法從1995年到現在歐盟GDPR施行,都沒有改變,也就說前面是空的,衛福資料管理條例草案就像蓋在一個空格上面。
劉靜怡老師
從歐盟自個人資料保護指令(Data Protection Directive)頒布後,以資料保護為基礎,滿足資料保護後才去談資料的利用,而非以資料利用規範去取代資料保護;然而我國法務部卻以函釋作出去識別化之個資已非個資、無須保護的結論,這樣快速追求醫療雲或是相關計畫成果的想法,並沒有為台灣帶來什麼,反而製造很多問題。
蘇慧婕老師
歐盟從經濟整合到政治整合,多半有單一市場、各自流動的考量,至遲到GDPR制定後,歐盟基本權利憲章第8條個資保護的色彩更重,甚至有點壓過單一市場、各自流動的價值,GDPR本身有很強烈的個資保護取向,但並不是說完全不允許運用,而是要去解釋何謂「合理利用」,不管是原始(primary use)或是二次(secondary use)的利用,都是在GDPR的穩固基礎下才去談資料治理、跟資料共同空間等與應用相關的規範跟政策。
