憲法法庭於憲判字第111年第13號判決認定健保資料目的外利用有違憲之虞,被大法官要求三年內完成修法:一、個資法及相關法律欠缺獨立監督機制;二、健保署以資料庫蒐用健康保險資料之相關規範未由法律明定,違反法律保留原則;三、健保署將個人健康保險資料提供公務機關或學術研究機構目的外利用,未設退出權。衛福部因此趕在期限前將修法草案送交立法院,但內容仍有嚴重缺失,不應由立法院倉促通過。此篇文章為6月7日座談會之側記。
側記紀錄與整理:廖欣宜、余宜家、周冠汝
涂予尹:成立「獨立監督機關」,卻沒設計「獨立監督機制」
現行個資法存在法律解釋分歧與執行力不足的問題,導致戶政、役政及公務員銓敘資料外洩等重大事件頻傳。儘管本次成立獨立個資保護機關的修法同時修訂個資法、個人資料保護委員會組織法,但其對個資會機關等級的定位仍不足。根據《中央行政機關組織基準法》,相當於二級機關的獨立機關,如中選會、公平會、通傳會,其合議制成員中屬專任者須經立法院同意後任命,組織規模以設置四至六個業務處,各處設置三至六科為原則。對這些機關的處分或決定不服者,可直接依行政訴訟程序提出,無須先行訴願。相較之下,相當於三級機關的獨立機關,如運安會,其合議制成員由一級機關首長任命,內部單位設置則依機關事務繁簡而定,較無固定標準。對其處分或決定不服者,同樣可直接依行政訴訟程序提出,無須先行訴願。
在個資會的組織規範上,個資會籌備處認為,既然個資會為獨立機關,直接討論組織編制即可,無須先行定位其機關等級。然而,講者對此看法持保留態度,並質疑草案中所設計的組織規模──等同三級機關的架構,以及員額不得超過50人──是否足以有效監督行政院及所屬部會。更進一步地,個資會主任委員由行政院院長任命,講者認為此安排不利於確保其獨立性,亦削弱其應有的監督功能。
所謂「獨立監督機關」只是「獨立監督機制」的下位概念。為運作獨立監督機制,保障人民之資料自主,成立專責機關固然必要,但但並非僅設置獨立監督機關,獨立監督機制的建置工程即已完成。此外,講者也批評草案中關於公務機關「個資長」的設置方式。該條規定:「公務機關應置個人資料保護長,由機關首長指派適當人員兼任。」講者指出,既然個資長由機關首長指派,自然隸屬於該機關並受其監督與考核,實際上難以發揮獨立監督功能。講者質疑,如此產生的個資長,如何可能獨立於所屬機關之外來保障個人資料。此外,草案亦未釐清個資會主委與各公務機關個資長之間的關係,缺乏明確的指揮、協調或監督機制。講者並進一步指出,草案未處理好個資法與其他相關法律間的關係,也未說明個資會如何在現行法制中發揮統合功能。
「全民健保資料管理條例」草案不僅未規定如何取得被保險人同意,也未明確規範如何通知被保險人其個資被用於目的外利用,個資主體根本無從行使退出權。被保險人行使退出權的前提是知悉其資料被目的外利用,但草案中未規定資料使用者需通知被保險人相關利用情形。草案甚至要求人民申請退出須經主管機關許可,無視人民是本於權利請求。草案雖規定當事人可申請停止特定目的外利用,但第19條以國家安全或急迫危險等寬泛模糊的概念設定多項「得繼續目的外利用」的除外事由。另就「依其他法律,主管機關或保險人有提供之義務」的除外條款,立法過程中又未先行盤點相關法規以權衡是否應予除外。
單鴻昇:德國並未對電子病歷退出權做例外限制
根據《全民健康保險資料管理條例》草案,申請二次利用健保資料的情形可分為兩大類。第一類為健保署以外之其他公務機關,基於執行法定職務之需要所提出的申請。第二類則為特定醫療機構或研究機構,為提升醫療品質、促進公共衛生與社會福利,或推動學術研究發展等目的而提出申請。
健保署與其他公務機關
應本草案目的外利用條文與其他法律的適用關係。現行制度中,有法律授權特定機關為執行職務可以請求其他政府機關提供資料,例如社會救助法第44-3條、警察職權行使法第16條第1項、戶籍法第 68 條。各該法條對於受請求機關提供資料的義務規範並不一致,部分甚至明文規定受請求機關不得拒絕。若政府機關依此等法律請求提供健保資料,可越過本草案有關健保資料目的外利用的實質審查,將使得本草案的審查規定形同具文。講者表示衛福部對此不加補強與釐清,將使設計粗糙的草案失其隱私保障的立法目的。
本草案並未交代審核目的外利用申請的標準。實際上,健保署要實質審核各政府機關的職權目的範圍已經相當困難,本草案又將健保資料目的外利用申請程序、應檢附之文件、健保資料之提供方式及其他應遵行事項廣泛授權主管機關另定。講者反對草案全權交由主管機關另定,認為立法者至少應於母法將各政府機關得為執行法定職務申請健保資料的情形限縮於必要範圍內。講者又指出,本草案沒有相關事前或事後有適當安全維護措施的要求。這些與個資法對於特種個資目的外利用標準的落差,衛福部甚至沒有試圖提供說明以正當化其差別規定,講者認為有檢討修正的必要。
健保署與特定醫療/研究機構
本草案未對二次利用於學術研究目的及例外不許可事由作進一步界定,而是授權主管機關以辦法另行訂定。然從法律保留原則觀之,該等事項屬於應於母法明確規範之重要內容,不宜僅以子法授權方式處理。
相較之下,德國法對研究目的及例外不許可事由均有具體且明確的規範。研究目的涵蓋提升護理品質及強化預防與照護之安全標準等範疇;例外不許可事由則指,若資料存取行為將對公共安全與秩序或個人資料保護造成無法以其他措施充分緩解之不合理風險,主管機關得以拒絕提供資料。
健保資料的區別對待模式
於健保資料存有不同性質與敏感度的資料,似有區分管理與使用規範的討論空間。以德國為例,其法定健保法針對電子病歷資料設有專門且更為嚴格的規定。電子病歷內容涵蓋診斷性資料(如核磁共振檢查報告、診斷書)、用藥紀錄、急診就醫紀錄及醫師開立的相關證明文件等。該國建立的電子病歷資料庫採取opt-out制度,當事人在資料庫建立時即享有表達異議的權利,亦即可選擇不讓自身醫療個資納入該資料庫。即使資料已納入,當事人仍保有權利拒絕其醫療個資用於特定目的。德國最近的修法方向是給予當事人6個月的期限來表示不願加入,若未於期限內反對,則視為同意。
申請主體嚴格限縮特定研究機構
本草案將學術研究目的之健保資料二次利用申請主體限縮於特定醫療機構或研究機構。其動機可理解為希望藉此防止健保資料被用於營利目的或造成資料洩漏風險,並避免私法人因資料使用而面臨境外滲透或國家安全威脅。然而,這種武斷的劃分標準,不僅無法確保資料使用的價值,也未必能達成防衛相關風險的目標。相比之下,德國法更著重於對研究價值的實質審查,而非嚴格限制申請主體身分。德國依法定健保法所設置的電子病歷資料庫,即不限定申請主體資格,申請者可為法人或自然人(例如撰寫論文的研究生)。惟對研究目的與計畫內容則有明確且嚴謹的規範,涵蓋衛生及護理領域的科學研究、護理狀況分析,以及生命科學領域的基礎研究,並支持法定健康及長期照護保險相關政策決策的發展。講者認為值得我國借鏡。
退出權之例外限制
草案列舉例外情形,包括依法令提供義務、維護國家安全及避免緊急危險。相比,德國電子病歷資料庫未設例外規定,本條例之例外範圍恐過於寬泛。講者認為,限制停止利用權的第19條第三款雖非無必要,但應予以具體化,例如明定適用於傳染病與其他公共衛生風險、疾病趨勢監測、疫苗計畫效果評估、藥物不良反應追蹤、以及食源性或環境傳染風險等情境。建議草案明確界定例外適用條件與範圍。
范姜真媺:個資長由機關首長指派,難有獨立性
曾參與個人資料保護會籌備處主導的《個人資料保護法》修正討論,遺憾的是,許多具體建議未能納入草案,使其對現行草案內容感到相當失望。講者強調,我國修法明顯落後於日本、韓國,就更別說是歐盟標準,認為面對國際資料保護法制的快速演進,實不應再以分階段方式進行修法。
就現草案將個資會類等為三級機關,講者難以想像三級機關如何對二級機關的行政處分進行實質審議,質疑個資會將無法有效監督各部會。此外,個資會與數位發展部所關切的事務關係密切難免有所重疊,但籌備處自使未回應講者有關職權分工與界定的提問。在人事設計方面,草案規定個資會委員與主管官員均由行政院任命,雖設有任期與免職保障機制,講者仍擔心難以真正確保人事運作的獨立性,建議應參考日本制度,增設更嚴謹的免職程序。講者亦指出,草案以強化獨立性作為會議不公開的理由並不恰當,認為會議不公開應是為了保障委員討論時的思路自由與不受壓力,而不是能確保委員獨立性的方式。另就公務機關個人資料保護專責人員(即「個資長」)設置方式,講者亦指出該職位既由機關首長指派,受其指揮監督,難有獨立性可言。
關於我國獨特的國際資料傳輸規範,該條延續舊法精神,並未採取如歐盟GDPR及日本等國「禁止為原則、例外許可」的嚴格制度,只做了形式上的微調。有關主管機關監督非公務機關違法疑慮的稽核制度,僅要求提交檢查報告並層層上呈主管機關,缺乏向國會負責及公開公告的機制,難以發揮實質監督效能。尤其是第26條規定,主管機關得在非公務機關同意後公布未違法的檢查結果,卻未要求公布違法結果,令人無法理解其立法用意。刑罰部分,雖明訂違反個資法規定者可處五年以下有期徒刑及罰金,但對於「利益」是否限於財產利益未明確釐清,最高法院即曾點出此立法疑義並闡明個資法所稱損害他人之「利益」,並不限於財產上之利益。本草案實應加以修正。針對六年過渡期,講者認為缺乏必要正當性,將影響監管體系的現代化推動。
邱文聰:個資三法修正草案,未能具體回應新興數位風險
個人資料保護三法的修正,原本應為我國邁向下一個數位時代提供關鍵的法治基礎建設。然而,從目前的修法方向來看,卻未能把握這次制度轉型的關鍵契機。早在釋字第603號指紋案中,大法官即已指出,指紋資料一旦被串聯使用,其對個人隱私與自主權可能造成重大影響。依現在的數位環境,健保資料被串接的影響更顯重大,足以勾勒出個人的完整輪廓,可形成「數位分身」。
在實務操作上,許多個資處理者為了規避法律責任,採取所謂「內卷式」做法:與其強化保護機制,不如從設計上避免將所蒐集、處理的資料界定為「個人資料」,以逃避保護法規的適用。另一方面,數位技術的進展也為強化個資自主權創造了前所未有的可能性。與過去類比資料時代相較,現今的資訊科技不僅降低資料蒐集與處理的成本,更提升了使用者在決策、同意與控制上的可行性。此一條件本應成為推動資料主體權利強化的重要基礎,台灣亦應藉此機會,建立更完善的個資自主機制,實現使用者對自身資料的知情與參與權。
然而,此次個資三法的修正草案,卻未能針對這些新興數位風險提出具體回應,也未建立起符合當代科技條件與治理需求的制度設計。若此契機再次錯失,我國恐將無法建立足以支撐數位社會長遠發展的個資保護架構,並持續落後於國際法制趨勢與治理標準。
滕西華:你的資料變成你不知道的商業利益
身為健保資料庫案原告之一的講者指出「全民健康保險資料管理條例」具有十大問題尚未修正。首先,這部涉及敏感資料利用的法規條數甚少,其中涉及釋憲案的條文(包含資安、目的外利用、退出權、個資監督機關等)都空白授權給主管機關。再者,草案未規範其他持有健保資料者,比如使用SDK介接使用健康存摺的公司、商保理賠調閱資料、衛福部或健保署自行與產業合作的情形。更進一步,衛福部與健保署持有的資料庫能否與其他串聯,過去已知可與其他機關進行串聯,後續則須明確規範串聯是否告知、以及退出權的行使。在監督機制方面,講者指出諮議會設於衛福部下,且諮議會成員內涵政府機關人員,難以保持獨立性。
吳全峰:健保資料治理問題重重,退出權設計徒具形式
憲法法庭對健保資料治理提出四大問題:缺乏獨立監督機制、《健保資料管理條例》未賦予法律明確授權、對資訊自主權的忽視,以及對退出權設計的不足。講者特別強調資訊自主權的重要性,不僅是資料當事人對資料使用方式的控制權,更在憲判字第13號中被視為憲法保障的核心。理論上,任何限制退出權的規定,必須有完整且具體的配套措施。
目前的設計僅形式上尊重退出權,細節卻問題重重。例如,個人申請退出資料使用後,政府擁有三十天的「註記期」,期間若有第三人申請資料,主管機關是否應提供資料,相關處理標準並不明確。此外,現行機制未考慮退出權具備回溯效力,民眾無法釐清退出後對過去資料運用的影響。以英國為例,即使無法回溯,也有配套清楚告知民眾退出效力的限制,確保民眾是在完全知情的情況下做出選擇。
更進一步,《條例》第八條雖列出部分例外情況(如醫學研究),但仍未釐清公共利益與商業使用的界線。條例只有規範學術研究,但是又同意產學合作,產學合作是屬於學術研究還是產業利益?條例有提到產業利益回饋。但是商業利用走的是事前同意,而不是事後退出。
在制度設計上,監督機制的獨立性亦遭質疑。《條例》第六條允許主管機關建立資料庫,卻同時賦予主管機關自我監督的角色,形同「自己監督自己」,無法符合「獨立監督」的原則。無論是政府或非政府機構皆應提出「再利用計畫書」,明確說明資料使用的合法性基礎、使用方式及治理機制,而非僅以「法律職權」作為充分依據。這部分也正是憲判中第79至80段所指出的資料治理缺口。
諮議會的設計也不具獨立監督效果,且組成中政府代表比例過高,利益衝突的處理邏輯是個案,但資料是否要開放使用,是立場問題。諮議會在程序透明度上缺乏要求,外界無從得知通過計畫的標準及背後邏輯,也缺乏讓民眾進行問責的機制。
目前《條例》內容限縮在全民健康資料,卻忽略其他衛福資料如家暴、性侵案件等同樣具高度敏感性,且會被跨部會串聯使用(如交通部、環保署資料),卻未納入規範與退出權保障。衛福部底下的國健署、社家司等資料同樣未受到管理,政府應說明具體時程,何時能完成資料治理架構的全面性設計。
最後,他提出《條例》名稱使用「資料管理條例」或「資料庫管理條例」的用詞爭議。雖然衛福部聲稱未建立正式資料庫,而是在個案申請時才進行資料調用,但實際上已涉及資料處理,過程已經有資料庫的雛形。這種模糊處理方式,使得政府無法清楚說明其資料治理的實質運作邏輯,亦暴露台灣在資料治理制度設計上的不完整與不透明。
王德瀛:隱私衝擊評估是個資保護程序對「責信」的新要求
全世界個資保護規範中,都有共通的基礎原則,從80年代OECD的隱私框架,到後來的GDPR,當中都要求責信、當責。責信的意思,在劍橋英文字典中,講得是為自己的行為負責並能夠給出令人滿意的理由與事實,或發生這種情況的程度。也就是,能不能說明我做的事情是合理的。
隱私衝擊影響評估(Data Protection Impact Assessment, DPIA)的觀念是程序上對責信的新要求,最早是2016歐盟GDPR,之後其他國家才跟上。過去的個資保護規範是要做風險評估,要衡酌狀況,採取適當的安全措施。而現在的DPIA,是更往前討論到底應不應該蒐用資料,以及與主管機關保持溝通。因為當今資訊科技發展,資料蒐用的量、目的,法律往往跟不上。歐盟強調要做事前的影響評估,是因應新興的科技挑戰,在要求從事DPIA的條件中也著重敏感資料、大規模處理、新技術。韓國、美國加州、新加坡、巴西等也都將DPIA納入個資保護要求,是世界性的現象,然而目前的個資法修法,並沒有納入DPIA。
本次個資法修正條文增加的個資保護長(個資保護長,DPO)與歐盟強調的獨立監督功能,有所差距。歐盟的DPO側重獨立監督,而非執行,需視審視資料蒐用是否合法,並與主管機關保持溝通。台灣本次修正條文,要求公務機關應置個人資料保護長,由機關首長指派適當人員兼任,並配置適當人力及資源,負責統籌推動及督導考核本機關, 所屬或所監督公務機關之個人資料保護相關事務 。一開始的草案版本有非公務機關,但在預告期間,有很多金融機構詢問DPO究竟是監督還是管理機制。台灣的草案對於DPO的期待,只停留在避免資料受入侵嗎?還是進一步期待避免資料被濫用?若我們對DPO的期待包含後者,那就必須納入監督機制。
三項修法並未在獨立監督上串聯,全民健保資料管理條例草案中的諮議會腳色設定為提供建議,難以做到獨立監督。甚至該草案的內容大部分都與現行作法一致,呈現政府路徑依賴的效果,對提升資料主體信賴並無幫助,同時資料利用方也不滿意。缺乏責信的立法,只是把既有規則變成規定,是否有足夠的立法價值,是個大問題。而在監督公務機關上,或許應該調整思考為,為什麼還要區分公務與非公務機關?國際上大致已不再區分,但在台灣公立學校為公務機關,私立學校為非公務機關的區分方式,其實無論公私立學校蒐用個資應不會有太大區別。
