2022.10
郭彦含、郑伊芳、陈信宏
宪法法庭于今(2022)年8月12日公布111年宪判字第13号宪法判决,认定健保署于办理全民健保之目的外,将健保资料库所搜集之民众个人资料提供给第三人之二次利用行为部分违宪,应于3年内修正相关规范。本宪法法庭判决对我国个人资料保护之立法与实务将有相当深远之影响,并可能加速推动我国个资法修法,值得注意,兹简要说明如下。
I. 案件背景:
我国自1995年开始实施全民健康保险,二十多年来卫生福利部中央健康保险署(前身为行政院卫生署中央健康保险局)为办理全民健保之纳保与给付,大量搜集民众的医疗资料,并透过自行或委托国卫院建立健保资料库,以及将资料汇入卫福部卫生福利资料科学中心的方式,将这些健保资料释出给政府机关、学术单位甚至是相关产业利用。2012年3月间,台湾人权促进会、民间监督健保联盟、台湾女人连线等团体,因认为我国健保资料库之释出欠缺明确法源依据,且从未告知当事人或取得同意,因而发起活动,号召民众寄存证信函给健保署表示拒绝将其个人健保资料释出给第三人。声请人遭健保署拒绝后,向行政法院提起行政诉讼,于2017年1月败诉定案,因此向宪法法庭声请释宪。
II. 宪法法庭判决重点:
1. 个资法规定医疗资料得用于统计或学术研究合宪:
个资法第6条第1项但书第4款规定,公务机关或学术研究机构基于医疗、卫生之目的,为统计或学术研究而有必要,且资料经过提供者处理后或经搜集者依其揭露方式无从识别特定之当事人时,得在不经当事人同意下,搜集、处理或利用病历、医疗、基因、健康检查等个人资料。大法官认为,该条文已限制利用之主体与目的,并课予采取去识别化措施之义务,没有违反法律明确性原则及比例原则,因此不抵触宪法第22条保障人之民资讯隐私权。
2. 我国欠缺个人资料保护之独立监督机制,有违宪之虞:
过去大法官释字第603号解释已揭示,资讯隐私权之保障,除应以法律明确订定搜用个资之目的及要件外,并应对所搜集之个资采取组织上与程序上必要之防护措施。本案判决中大法官认为,前述组织上与程序上必要之防护措施中,又以个资保护之独立监督机制尤为重要。独立监督机制得于个案申请利用个资时,审酌具体情状是否合于比例原则,确保个资的搜集利用均符合相关法令之规定,进而增强个资搜用之合法性与可信度。而我国个资法及其他相关法律规定均欠缺个资保护之独立监督机制,对个人资讯隐私权之保障自有不足,有违宪之虞,相关机关应于3年内建立相关法制。
3. 健保资料库有关资料处存、储存、对外传输、对外提供利用之规范不明确,违宪:
全民健康保险法对健保署所搜集的资料应如何为保存、利用,应遵循之法定要件与正当程序,以及应如何避免资料滥用与不当泄漏等重要事项,仅规定「应依个人资料保护法之规定为之」。然而个资法只是框架性规范,并非个人健保资料搜集利用的专法,其规定不包含对外传输、处理或利用个人健保资料相关组织上与程序上之重要事项。全民健康保险法及其他相关法律对于个人健保资料以资料库储存、处理、对外传输及对外提供利用之主体、目的、要件、范围及方式暨相关组织上及程序上之监督防护机制等重要事项均欠缺法律明确规定,不符宪法第23条法律保留原则之要求,违反宪法第22条保障之人民资讯隐私权。相关机关应自宣判之日起3年内修正全民健康保险法或其他相关法律,或制定专法。
4. 健保资料库未提供当事人退出权,违宪:
宪法第22条个人资讯隐私权保障当事人对于个人资料应有事后控制权,且不因当事人曾表示同意或因符合强制搜用要件,当事人即丧失事后请求删除、停止利用或限制利用个资之权利。个资法第6条第1项但书第4款对当事人事前同意之限制不妨碍当事人对个人健保资料事后控制权之行使。健保署就个人健保资料提供公务机关或学术研究机构于原始搜集目的外利用,欠缺当事人得请求停止利用之「退出权」相关规定,违反宪法第22条保障人民资讯隐私权之意旨。相关机关应自宣判之日起3年内制定或修正相关法律,明定请求停止及例外不许停止之主体、事由、程序、效果等事项。若逾期未制定或修正相关法律,当事人得请求停止上开目的外利用。
III. 本件判决之影响:
本件判决是继司法院释字第603号解释之后,大法官再对个人资讯隐私权保障表示意见,对我国个人资料保护之立法与实务将有相当深远之影响:
1. 对个资法统计及学术研究「去识别化义务」进行阐述:
现行个资法就个资利用于统计或研究,要求资料之处理或揭露需「无从识别特定之当事人」。而个资法施行细则将「无从识别特定之当事人」定义为「个人资料以代码、匿名、隐藏部分资料或其他方式,无从辨识该特定个人者。」过去由于依施行细则条文前段以代码或其他方式处理资料不必然会达到条文后段「无从识别该特定个人」之结果,因此实务上对于去识别化之操作及应达到之程度多有疑义。
在此判决中,大法官将「无从识别特定之当事人」之「去识别化」义务定义为「使资料不含可直接识别特定当事人之资讯,但仍属可能间接识别特定当事人之资讯之情形」,资料仅须达到无法直接识别之程度,即类似欧盟GDPR下之「假名化」(pseudonymization),而毋须达到完全不具还原识别可能性之匿名化(anonymization)程度。
大法官采取不得直接识别之之解释无疑将更有利于政府机关或学术研究机构基于统计或学术研究目的对于个人资料之利用,毕竟若采取资料应完全去识别化的见解,此等资料于统计或科学研究中利用之价值可能相当有限,但相对的,允许统计或研究所揭露之资料仍可间接识别个人身分,恐将弱化对于资料被利用者的保护。
2. 敦促政府机关以法律明定资料之利用,非概括援引个资法:
在本件中,健保署搜集、处理、利用民众医疗资料并建立健保资料库主要依据全民健康保险法第79条,该条文规定「保险人为办理本保险业务所需之必要资料,得请求相关机关提供之;各该机关不得拒绝。保险人依前项规定所取得之资料,应尽善良管理人之注意义务;相关资料之保存、利用等事项,应依个人资料保护法之规定为之。」概括引用个资法规定。
对此,大法官认为个资法仅框架性规范,并未对于健保资料对外传输、处理或利用提供组织上与程序上要求,而卫福部与健保署另外仅以自定义之行政规则对于健保资料之利用予以规定,欠缺法律位阶之明确规定,不符宪法第23条法律保留原则之要求。
其实如全民健康保险法此等在特定专法中就个人资料相关事项概括援用个资法之规定不在少数,在金融、劳动、药事等专业法领域都有类似的规定[1],随着本判决之违宪宣告,亦将敦促相关主管关就各自领域之个人资料利用重新评估是否有以法律制定特别法之必要,而非概括援用个资法。
3. 承认当事人有基于宪法资讯隐私权所赋予之退出权
个资法有关个人资料被搜集后当事人请求停止利用其个人资料之「退出权」规定,主要规定在个资法第11条第2项、第3项及第4项,当事人仅得于「个资正确性有争议」、「个资搜集之特定目的消失或期限届满」及「违法搜集、处理或利用个资」三种情形请求删除、停止处理利用其个人资料。
本案判决中,大法官重申个人自主控制其个人资料之资讯隐私权为宪法第22条所保障之权利,资讯隐私权保障当事人就其个资原则上应有请求删除、停止利用或限制利用之「事后控制权」,且不因当事人事前曾表示同意或因符合强制搜用要件,而影响或丧失事后控制权。大法官并表示,个资法有关请求停止搜集、处理或利用个资之规定,并未涵盖所有利用个资之情形,不符合宪法保障个资事后控制权之要求。健保署将办理健保业务而合法搜集之个人健保资料提供公务机关或学术研究机构为原始搜集目的外利用,无请求停止利用之相关程序规定,而一律不许当事人请求停止利用,显然对于个人资讯隐私权之保护有所不足。
在此判决下,大法官承认当事人有基于宪法资讯隐私权所赋予之退出权,且公务机关不得在无适当权衡及区分下,一概限制此事后控制权之行使,未来,政府机关在推动强制所有人民纳入或涉及资料释出之系统时(例如数字身分证、政府间T-Road资料传输平台),亦应注意是否提供个人退出权,以符合宪法对于个人资讯隐私权之保障。
IV. 结论:
随着科技的进步,资料的价值也与日俱增,如何在促进资料利用的同时,充分落实对于个人隐私权之保护,在世界各国都是相当棘手的问题。我国健保资料库的释宪案只是当代资料议题的反映与缩影,后续仍有相当多议题值得讨论与关注。特别是个资法之修正,我国个资法上一次修法之契机是2017年国发会承接法务部成为个资法之解释机关后,为了向欧盟申请GDPR适足性认定而启动个资法修法作业,然而由于个资法之修正涉及层面广泛,多年来并无实质进展。借助于本件大法官已谕知个资法应进行修正,且本案件审理中声请人、相对人、专家学者及法庭之友已就个资法之规范进行论辩,乃至于诉讼外许多学研机构相继对相关议题进行深度的讨论,且本案判决多位大法官也提出部分不同意见书进一步表示意见,或可加速推动我国个资法修法,使相关规范更加完备。
[1] 例如:金控法第43条第2项规定,金融控股公司之子公司间进行共同营销,共同搜集、处理及利用客户其他个人基本资料、往来事务数据等相关资料,应依个人资料保护法相关规定办理。;劳工职业灾害保险及保护法第32条第4项规定,保险人为办理劳工职灾保险业务或中央主管机关为审议保险争议事项相关数据之保有、处理及利用等事项,应依个人资料保护法之规定为之。新修正之药品安全监视管理办法第15条规定,药商为执行药品安全监视,有搜集、处理或利用个人资料之必要时,应依个人资料保护法及其相关法规规定办理。
本网站上所有资料内容(「内容」)均属理慈国际科技法律事务所所有。本所保留所有权利,除非获得本所事前许可外,均不得以任何形式或以任何方式重制、下载、散布、发行或移转本网站上之内容。
所有内容仅供作参考且非为特定议题或具体个案之法律或专业建议。所有内容未必为最新法律及法规之发展,本所及其编辑群不保证内容之正确性,并明示声明不须对任何人就信赖使用本网站上全部或部分之内容,而据此所为或经许可而为或略而未为之结果负担任何及全部之责任。撰稿作者之观点不代表本所之立场。如有任何建议或疑义,请与本所联系。