行政院今年3月公告《個人資料保護法 》修正草案、《個人資料保護委員會組織法》草案,5月公告《全民健康保險資料管理條例》草案(前身為衛生福利資料管理條例草案),然而民間團體指出院版草案鮮少接納2024年預告期間內民間團體的建議。其中衛福部負責的「衛福資料管理條例草案」早在去年3月預告,卻始終將「健保資料庫」案原告的意見排除在外。本次個資三法的修訂,是為了回應憲法法庭於111年憲判字第13號判決(即「健保資料庫」案)。該判決要求政府於今年8月前建立個資蒐用的「獨立監督機制」,以及健保資料目的外利用的明確法律規範與當事人可以如何行使停止利用權等。
個資會首長至少應特任,委員不應由其他機關擔任
台灣人權促進會會長涂予尹(淡江大學公行系副教授)指出,行政院將個資保護委員會設計為三級機關,不足以監督包含衛福部、數位發展部等發展資料利用政策的二級機關,難以達成憲法判決要求的獨立監督機制。就算現階段難以增加二級機關數量,至少也應將個資會首長設為特任官,與其他機關拉齊。在委員身分上,為維持個資會獨立性,也不應從其他機關遴選。若個資會矮其他機關一截,同時委員亦有來自其他資料利用機關者,未來個資會將可能面臨處處掣肘,難以發揮功能的窘境。資源有限的個資會,需要公務機關個資長的協力,才能有效運作,涂會長建議公務機關個資長應由個資會任命、管考,才能落實獨立監督,並建立一致的法規解釋與法遵。
應有禁制令及罰鍰限制政府違法蒐用個資
台權會執行委員翁國彥律師呼籲,公務機關違法蒐用個資,應適用個資法第25條,並處以罰鍰。目前院版個資法第21條之4僅規定公務機關未依規定改正違法行為者,個資會可公告名稱及違法情形,以及對公務機關所屬人員懲處等規定。這些規定只能處理個別人員利用其權限私查個資,而無法處理行政機關的系統性違法行為,比如機關違法分享民眾個資供產業利用、違法串聯跨機關個資。台權會建議立法院應對違法的公務機關採取罰鍰,並加上針對違法且未依規定改正的機關採取暫時禁止蒐用的禁制令,以及刪除違法所得個資的命令,才能有效降低公務機關系統性違法帶來的損害。同時台權會也建議個資法應加入個資保護衝擊評估,使個資會有程序工具可評估高風險蒐用樣態。
民間司法改革基金會常執林鴻文律師指出,政府時常將資安與個人自主混為一談,以為只要沒發生個資外洩事件,就滿足個資保護。但台灣憲法保障的資訊自主是人民可以決定個資如何被使用,而不是只要不外洩,政府或私部門就能把個資愛怎麼就怎麼用。林鴻文律師提出司改會對個資法的修法建議,要求增修敏感資料類別、設立個資長的資格限制、增加公務機關的外部稽核並至少每兩年主動公開稽核結果。
研究含產業利益,須取得病人同意
中研院法律所副研究員,同時也是台權會執委的吳全峰表示,《全民健康保險資料管理條例》草案並未修補去年預告期間民團與學者提出的疑問。院版草案仍然隻字未提「當事人同意」如何行使,僅討論以公共利益為由的申請目的,並以此限制病人的事前同意,同時卻又開了一道後門,讓公共利益的研究可以產生產業利益。這種讓產學合作包裝商業利用繞過當事人同意的做法,不利於健全化產業對醫療個資的需求。另一方面,草案經過近一年的修改,仍然沒有盤點出現行可以限制病人停止利用權的法律,也沒有調整諮議會的制度設計來增強獨立性以及決議效果。以《癌症防治法》來說,該法授權建立的資料庫,其退出權的保障本就不足,如何透過法規盤點,補充保障不足的部分同樣重要,類似的法規可能還有《傳染病防治法》、《性騷擾防治法》、《人工生殖法》。本次修法版本,草案本身更允許衛福部一手握有資料庫,另一手負責監管,球員兼裁判,無論在內部還是外部監督,都難以達到憲法判決對於獨立性的要求。
台灣受試者保護協會林綠紅理事長指出,本次修法僅提供病患「不完整的自主權」。現在越來越多醫療檢查需要更敏感的資料,比如基因檢測,而這些資料需要知情同意讓患者知道這些資料將會用作哪些利用。台灣的病人對醫學研究有很高的信賴,常樂意提供資料供研究使用。政府需要提供更完整的資訊,讓病人知道資料提供在何種研究,取得何種成果。台灣個資法保障的個人權利不是只有停止利用權,還有查閱權,個人有權得知自己的資料用在哪裡,但這次的草案均未討論。草案以鴕鳥心態只討論研究使用,實際上產業會與研究機構或醫院合作取得資料 ; 草案應正視這些問題,用更完整的規範對待產業利用。同時,林綠紅建議政府後續也應通盤規範醫院端的資料利用,以及將健保資料串聯其他資料的規範,這在政府欲發展人工智慧的當下,是必須面對的課題。
發展人工智慧,政府不能迴避資料治理與資訊自主
民間監督健保聯盟滕西華發言人直指本次健保資料利用立法,竟沒有修正母法《全民健康保險法》第79、80條,等於強制要求人民履約提供資料。滕西華批評,本次健保資料管理條例的立法過程還停留在威權時期,對於涉及人民權利、獨立監督等憲法判決要求修法的核心精神,僅用少數條文處理,並全權授權行政機關自行立子法。草案未討論政府與產業合作,串聯利用民眾的資料,民眾是否能退出?該如何規範?比如醫療影像資料的人工智慧應用。更進一步,在諮議會獨立性與透明度上,也應公布會議記錄或提供會議直播,讓相關委員真正為人民權利把關。
最後,吳全峰執委提醒政府留意第111年憲判13號判決的外擴性,提醒不只是健保資料,衛福部資料科學中心的家暴檔、兒虐檔等資料目的外利用也需要明確的法律規範保障當事人的自主權。吳全峰建議衛福部與立法者應規劃並公布相關修法的時程。
新聞聯絡人:周冠汝 台灣人權促進會副秘書長 kuan@tahr.org.tw
