什麼是健保資料庫?
「全民健康保險研究資料庫」從1998年開始,健保局在「未取得國人同意」也「未有任何立法授權」的情況下,透過將國人身分證字號加密的方式,將全國人民的健保及就醫資料,交給學術及非學術做研究使用,並依據資料量收取不同的行政費用。2011年起,除了健保資料,衛福部的「健康資料加值應用中心」(現在又更名為「衛生福利資料統計應用中心」),該資料庫除了國人的就醫、健保、出生、死亡紀錄之外,更加入更多社會福利相關資料,包括低收入戶家庭檔、原住民檔案等。
為什麼我們要告政府?
從2012年,台灣人權促進會等不同團體及個人開始針對此資料庫,提起訴願及行政訴訟,要求退出資料庫,拒絕自己的健保及其他相關資料被政府作「目的外利用」。然而,行政法院卻認為既然是「全民強制納保」,因此連健保的「目的外使用」,國人也沒有「退出」的選擇權。
這意味著未來政府機關可以在沒有任何法令授權,也沒有任何當事人同意的情況下,就可以將國人的資料作「目的外利用」,只要它已經做了一定程度的「加密」。這也意味著你的「資訊自主權」,已經不存在,你根本無法決定你的資料要被哪些人所使用。
最高行政法院不是都說你們輸了嗎,還說這麼多幹嘛?
法律程序上,經過行政訴訟終審判決確定後仍不服的話,最後的救濟途徑就是釋憲,也是目前最高行敗訴的原告將採取的行動。
我們的想法,是在此提供資訊給大家,如何判斷就是正在閱讀的你的決定了。
我們認為,這個案件在大數據等新技術興起的時代,有揭示人民的隱私權界線何在的重要意義,在目前國家、大企業掌控大多數資訊的狀態下,隱私權是人民擁有少數可以對抗資訊巨獸的武器,否則,在資訊及技術嚴重不對等的狀況下,一般人如你我根本無法阻止政府、企業把我們的資料看光光、再順便把這些資訊當作他們的生財工具。
判決不是說資料庫利用已經有法源依據了嗎,為什麼還不服呢?
正因為我們認為,健保資料庫案中根本沒有法律授權行政機關可以建置資料庫!
在理解最高行政法院判決的問題之前,我們需要先了解一個概念──行政法有二種:組織法跟作用法,組織法是說明一個組織的構成及分工,作用法才是針對行使職權立法授權。
但是,在沒有「作用法」存在的狀況下,最高行政法院卻以衛福部的「組織法」目的是在「促進全體國民的健康福祉」,因此建置資料庫就包括在這些概括目的裡,根本無視「依法行政原則」!大家可以接受嗎?
全台灣人民的健康資料庫非常珍貴,不把它拿來做學術或醫學研究,不是太浪費了嗎?
什麼是浪費呢?好比消耗大筆經費但未獲得成果、或所獲成果多半僅為某特定群體的利益(如藥廠)、或僅有研究者得到實質的好處:如升等、加薪等,凡此種種,對公共來說可能都是某種浪費。也因此,如這些研究還需一定程度忽視他人權利才能遂行的研究,自然需要更強的理由。
甚至在2016年中,健保資料庫即曾被美國期刊審查團隊批評為近親繁殖論文的資料庫,因為多數研究並不驗證新假設,其產出的論文對科學或醫療領域並無貢獻。
因此,我們認為特定學術研究是否要使用資料庫,本應逐一就個案審視,而非先預設學術研究本身即為正當的理由。如此,自然也不會有資料庫放著沒用「太浪費」或「太可惜」的感嘆。
要取得所有國民同意的成本很高,所以直接拿來用,不是很合理嗎?
如果取得全國人民的「同意」成本很高,那麼政府要取得全國人民的稅金或加入健保,就很簡單嗎? 處理全國人民的納保、繳稅,對於政府來說,都並非難事,為何只是取得「同意」,會讓政府覺得這麼困難? 如果因為取得同意很困難,就變成強迫全民都必須要加入,這跟「強暴」有什麼兩樣嘛?
事實上,其他國家也有其他做法,像英國政府NHS的care data也採取過讓人民有【退出】的權利,只要透過告知你的家庭醫生,說你要退出這個研究應用資料庫,醫生就會幫你退出。不過即便如此,英國的資料庫也爭議不斷,並已經於去年宣佈關閉。
若我國要建置一個資料庫,卻不願意跟民眾宣導是什麼樣的資料庫,取得民眾同意,而是背著民眾偷偷摸摸進行,這樣的資料庫到底又有何正當性可言?
如果可以不必徵詢「事前同意」,不讓人「事後退出」也很合理啊?這不是一體兩面嗎?
不用事前同意,就不能事後退出? 爸媽生我們的時候雖沒問過我們,但不表示生下我們之後,他們就能任意使用我們的所有個人資料,而我也沒有拒絕的權利吧? 既然爸媽的案例沒有道理,則為何國家可以? 歷史上的指腹為婚,未經當事人同意,就幫當事人訂下婚約,是否表示雙方因此一輩子都不能反悔或離婚?
「事前同意」跟「事後退出」,原本就是二個不同的權利。即使是充滿爭議且已關閉的英國NHS的care.data及被宣告違憲終止健康資料部分的冰島健康資料庫的例子也說明,即使沒有「事前同意」,每個人都仍保有「事後退出」的權利。
一旦允許民眾退出,難道不會引發資料庫的退出潮嗎?
政府你是林○營嗎?如果你提供了好東西,人民搶著要都來不及了,為何還會有很多人想退出?
大體而言,政府或法院擔憂的效應,其實是源自人民對制度的不信任,因此政府處理問題的積極作為,不該是以模糊的「公共利益」、或廣攝一切的「學術研究」為名,剝奪人民退出的權利,而是應設法提高人民的信任。
所以政府可做的事很多。好比提供自主加入(Opt-In)及退出(Opt-Out)的機制、尊重人民自主的權利、透明化相關機制,強化有關公共利益的連結、提供適當的回饋機制,凡此種種,都能減輕民眾的疑慮,避免退出潮的出現,以維持資料庫的研究價值。
強摘的果子不甜,政府不懂嗎?
判決不是說個人資料已「去識別化」了,還有什麼問題?
首先須強調的是,最高行政法院在判決中所提的「去識別化」(de-identification),大致有以下兩面向:(1)承認衛福部手中的資料庫對特定人員而言並未達「去識別化」標準,因部分特定人員仍掌握還原資料的密鑰(2)但亦承認當前的去識別化的強度已足以使社會大眾來說難再識別,且在此狀況只要達成讓一般大眾不了解即可。
因此判決衍生的第一個問題是,針對一份資料的「再識別」風險評估,應採行何種標準?
我們認為,健康保險資料庫的使用人,多半並非所謂的「社會大眾」,而是具有醫療背景或學術專業的人士。這些資料庫的使用者因其工作上需求,本就有掌握特定病患資料的高度可能,因此其再識別的風險理應不同於一般社會大眾。然而在法院的判決中,這部分的風險評估至少沒被呈現出來。
此外,判決衍生的第二個問題是,法院認為去識別化的強度對社會大眾來說已足,但事實上,台灣至今都仍未有「去識別化」的機制。我們沒有任何檯面上的機制可以告訴大眾,一份健康資料經過哪些處理後,才算是去識別的資料。因此法院從何判定當前去識別的強度對社會大眾已足,也相當令人困惑。
若已經去識別了,不就跟隱私無關了嗎?
最後,縱然一份資料已去識別化了,但數位時代的隱私保護,難道可因已去識別,就任意使用嗎?巨量資料(或大數據)的隱私問題不早已脫離個人輪廓的描繪,而探究關聯性與生產群體圖像,並以其所得,回過頭來影響個人嗎?設想若有人透過已去識別的健保資料庫進行研究,並得出一份建立在既有歧視上的成果,難道不會影響某些人的人格嗎?
換言之,倘若如大法官在釋字第603號中所肯認的,隱私權要保護的是個人人格的自主發展,則我們又如何能說,一份去識別化的資料進行利用時,它早已和個資無關?
What is「去識別化」?
去識別化(de-identification):簡單說,去識別化就是透過一些技術或遮蔽方式,使得一筆資料不再與特定個人有連結。最常見也最簡單的例子,像是提及人名時,時常可見以「哆拉○夢」這樣的方式進行表示(儘管這也時常是失敗的去識別化的案例)。針對比較大量的資料,常見的去識別化方式有K匿名法、差分隱私等。
你們一直說沒有完全「去識別化」,有證據嗎?
有啊,真的有驗過。
健保資料庫曾發行兩百萬人的光碟抽樣檔,可供非學術(2013年停止)及學術機關(2016年停止)攜出使用。在那個還有抽樣檔的時代,我們曾在相關研究人員的協助下,憑特定人的出生年月日、就診日期、性別三個欄位,即唯一識別出某特定個人,並因此取得該人其它的健康資料。衛福部一看不得了,因此隨即修改了後續釋出的資料欄位(移除了「出生日期」),甚至最後更全面停發光碟抽樣檔。
如今管轄健保資料庫加值利用的單位是衛福部資料科學中心,且所有資料庫的使用者,都須親至該中心使用其設備方能進行研究。
但遺憾的是,在資料庫的管理方式變更後,我們雖也曾提出計畫,或直接要求法院前往資料庫進行證據勘驗。然而在法院未採行建議,且所提的計畫又遭衛福部拒絕的狀況下,根本是無從檢證。
附帶一提,衛福部拒絕的理由是,本會所提計畫企圖識別個人,顯具惡意,因此他們無法讓這樣的計劃通過。針對這樣的理由,我們也是深感無奈。
什麼是「目的外使用」,關我什麼事
目的外利用:泛指一份資料的利用已脫離它最初被搜集而來的目的。好比健保署搜集胖虎的資料,最初目的是為了要核銷健保,但在核銷健保外,健保署更把它拿去給藥廠利用,則我們就說胖虎的資料已被目的外利用。
健保就醫及社福相關資料,依照全民健康保險法79條,原本僅限於核保納保及申請社會福利使用,政府要做原本「目的」之外的使用,就應該要取得同意或立法授權。政府只會貪小便宜,拒絕立法或詢問當事人取得授權的方式,已經違背「法治國」原則啦。如果您也認同,歡迎您和我們一同持續關注此案後續發展。
你們住海邊喔,一直堅持資料庫不能用,但我就想要我自己的資料被用不行嗎?
沒有問題!有了合理的事前同意及事後退出機制後,對於想要自己的健保資料被收集使用的人來說,並不會造成任何影響,只要在事前表示自己同意、事後不行使退出權利,你的健保資料就可以繼續被使用。
再次重申,我們的立場並不是反對資料庫的建立使用,而是我們認為這些使用必須要建立在尊重個人資訊自主權的基礎上,為了保護這個權利,完善的立法是必要der。
什麼樣才叫做「資料近用」的合理流程?
個人資料的使用並非全面禁止,依據《個資法》,原本就是在當事人同意或法令授權的情況下,才可以進行蒐集處理利用。個資法的確也規定了在某些特殊情況的例外狀態,但是現在政府卻又試圖透過「加密」,來迴避取得個人同意或法令授權。個資法裡面關於「去識別化」的定義非常模糊,在大數據時代,要比對或描繪出一個人的資料,並非難事。「去識別化」究竟如何定義? 只要資料有加密,是否就足以拿來做為「免同意」或「免立法」的尚方寶劍?
在其他國家在建立所謂的健保資料庫的運用亦非如此,大多國家皆有立法授權,也允許人民有退出機制。而非像台灣政府既無立法授權,也沒有對於資料庫做目的外利用的明確法定監督機制及法定規範,甚至還禁止人民退出。