2022.10
郭彥含、鄭伊芳、陳信宏
憲法法庭於今(2022)年8月12日公布111年憲判字第13號憲法判決,認定健保署於辦理全民健保之目的外,將健保資料庫所蒐集之民眾個人資料提供給第三人之二次利用行為部分違憲,應於3年內修正相關規範。本憲法法庭判決對我國個人資料保護之立法與實務將有相當深遠之影響,並可能加速推動我國個資法修法,值得注意,茲簡要說明如下。
I. 案件背景:
我國自1995年開始實施全民健康保險,二十多年來衛生福利部中央健康保險署(前身為行政院衛生署中央健康保險局)為辦理全民健保之納保與給付,大量蒐集民眾的醫療資料,並透過自行或委託國衛院建立健保資料庫,以及將資料匯入衛福部衛生福利資料科學中心的方式,將這些健保資料釋出給政府機關、學術單位甚至是相關產業利用。2012年3月間,臺灣人權促進會、民間監督健保聯盟、臺灣女人連線等團體,因認為我國健保資料庫之釋出欠缺明確法源依據,且從未告知當事人或取得同意,因而發起活動,號召民眾寄存證信函給健保署表示拒絕將其個人健保資料釋出給第三人。聲請人遭健保署拒絕後,向行政法院提起行政訴訟,於2017年1月敗訴定讞,因此向憲法法庭聲請釋憲。
II. 憲法法庭判決重點:
1. 個資法規定醫療資料得用於統計或學術研究合憲:
個資法第6條第1項但書第4款規定,公務機關或學術研究機構基於醫療、衛生之目的,為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人時,得在不經當事人同意下,蒐集、處理或利用病歷、醫療、基因、健康檢查等個人資料。大法官認為,該條文已限制利用之主體與目的,並課予採取去識別化措施之義務,沒有違反法律明確性原則及比例原則,因此不牴觸憲法第22條保障人之民資訊隱私權。
2. 我國欠缺個人資料保護之獨立監督機制,有違憲之虞:
過去大法官釋字第603號解釋已揭示,資訊隱私權之保障,除應以法律明確訂定蒐用個資之目的及要件外,並應對所蒐集之個資採取組織上與程序上必要之防護措施。本案判決中大法官認為,前述組織上與程序上必要之防護措施中,又以個資保護之獨立監督機制尤為重要。獨立監督機制得於個案申請利用個資時,審酌具體情狀是否合於比例原則,確保個資的蒐集利用均符合相關法令之規定,進而增強個資蒐用之合法性與可信度。而我國個資法及其他相關法律規定均欠缺個資保護之獨立監督機制,對個人資訊隱私權之保障自有不足,有違憲之虞,相關機關應於3年內建立相關法制。
3. 健保資料庫有關資料處存、儲存、對外傳輸、對外提供利用之規範不明確,違憲:
全民健康保險法對健保署所蒐集的資料應如何為保存、利用,應遵循之法定要件與正當程序,以及應如何避免資料濫用與不當洩漏等重要事項,僅規定「應依個人資料保護法之規定為之」。然而個資法只是框架性規範,並非個人健保資料蒐集利用的專法,其規定不包含對外傳輸、處理或利用個人健保資料相關組織上與程序上之重要事項。全民健康保險法及其他相關法律對於個人健保資料以資料庫儲存、處理、對外傳輸及對外提供利用之主體、目的、要件、範圍及方式暨相關組織上及程序上之監督防護機制等重要事項均欠缺法律明確規定,不符憲法第23條法律保留原則之要求,違反憲法第22條保障之人民資訊隱私權。相關機關應自宣判之日起3年內修正全民健康保險法或其他相關法律,或制定專法。
4. 健保資料庫未提供當事人退出權,違憲:
憲法第22條個人資訊隱私權保障當事人對於個人資料應有事後控制權,且不因當事人曾表示同意或因符合強制蒐用要件,當事人即喪失事後請求刪除、停止利用或限制利用個資之權利。個資法第6條第1項但書第4款對當事人事前同意之限制不妨礙當事人對個人健保資料事後控制權之行使。健保署就個人健保資料提供公務機關或學術研究機構於原始蒐集目的外利用,欠缺當事人得請求停止利用之「退出權」相關規定,違反憲法第22條保障人民資訊隱私權之意旨。相關機關應自宣判之日起3年內制定或修正相關法律,明定請求停止及例外不許停止之主體、事由、程序、效果等事項。若逾期未制定或修正相關法律,當事人得請求停止上開目的外利用。
III. 本件判決之影響:
本件判決是繼司法院釋字第603號解釋之後,大法官再對個人資訊隱私權保障表示意見,對我國個人資料保護之立法與實務將有相當深遠之影響:
1. 對個資法統計及學術研究「去識別化義務」進行闡述:
現行個資法就個資利用於統計或研究,要求資料之處理或揭露需「無從識別特定之當事人」。而個資法施行細則將「無從識別特定之當事人」定義為「個人資料以代碼、匿名、隱藏部分資料或其他方式,無從辨識該特定個人者。」過去由於依施行細則條文前段以代碼或其他方式處理資料不必然會達到條文後段「無從識別該特定個人」之結果,因此實務上對於去識別化之操作及應達到之程度多有疑義。
在此判決中,大法官將「無從識別特定之當事人」之「去識別化」義務定義為「使資料不含可直接識別特定當事人之資訊,但仍屬可能間接識別特定當事人之資訊之情形」,資料僅須達到無法直接識別之程度,即類似歐盟GDPR下之「假名化」(pseudonymization),而毋須達到完全不具還原識別可能性之匿名化(anonymization)程度。
大法官採取不得直接識別之之解釋無疑將更有利於政府機關或學術研究機構基於統計或學術研究目的對於個人資料之利用,畢竟若採取資料應完全去識別化的見解,此等資料於統計或科學研究中利用之價值可能相當有限,但相對的,允許統計或研究所揭露之資料仍可間接識別個人身分,恐將弱化對於資料被利用者的保護。
2. 敦促政府機關以法律明定資料之利用,非概括援引個資法:
在本件中,健保署蒐集、處理、利用民眾醫療資料並建立健保資料庫主要依據全民健康保險法第79條,該條文規定「保險人為辦理本保險業務所需之必要資料,得請求相關機關提供之;各該機關不得拒絕。保險人依前項規定所取得之資料,應盡善良管理人之注意義務;相關資料之保存、利用等事項,應依個人資料保護法之規定為之。」概括引用個資法規定。
對此,大法官認為個資法僅框架性規範,並未對於健保資料對外傳輸、處理或利用提供組織上與程序上要求,而衛福部與健保署另外僅以自訂之行政規則對於健保資料之利用予以規定,欠缺法律位階之明確規定,不符憲法第23條法律保留原則之要求。
其實如全民健康保險法此等在特定專法中就個人資料相關事項概括援用個資法之規定不在少數,在金融、勞動、藥事等專業法領域都有類似的規定[1],隨著本判決之違憲宣告,亦將敦促相關主管關就各自領域之個人資料利用重新評估是否有以法律制定特別法之必要,而非概括援用個資法。
3. 承認當事人有基於憲法資訊隱私權所賦予之退出權
個資法有關個人資料被蒐集後當事人請求停止利用其個人資料之「退出權」規定,主要規定在個資法第11條第2項、第3項及第4項,當事人僅得於「個資正確性有爭議」、「個資蒐集之特定目的消失或期限屆滿」及「違法蒐集、處理或利用個資」三種情形請求刪除、停止處理利用其個人資料。
本案判決中,大法官重申個人自主控制其個人資料之資訊隱私權為憲法第22條所保障之權利,資訊隱私權保障當事人就其個資原則上應有請求刪除、停止利用或限制利用之「事後控制權」,且不因當事人事前曾表示同意或因符合強制蒐用要件,而影響或喪失事後控制權。大法官並表示,個資法有關請求停止蒐集、處理或利用個資之規定,並未涵蓋所有利用個資之情形,不符合憲法保障個資事後控制權之要求。健保署將辦理健保業務而合法蒐集之個人健保資料提供公務機關或學術研究機構為原始蒐集目的外利用,無請求停止利用之相關程序規定,而一律不許當事人請求停止利用,顯然對於個人資訊隱私權之保護有所不足。
在此判決下,大法官承認當事人有基於憲法資訊隱私權所賦予之退出權,且公務機關不得在無適當權衡及區分下,一概限制此事後控制權之行使,未來,政府機關在推動強制所有人民納入或涉及資料釋出之系統時(例如數位身分證、政府間T-Road資料傳輸平臺),亦應注意是否提供個人退出權,以符合憲法對於個人資訊隱私權之保障。
IV. 結論:
隨著科技的進步,資料的價值也與日俱增,如何在促進資料利用的同時,充分落實對於個人隱私權之保護,在世界各國都是相當棘手的問題。我國健保資料庫的釋憲案只是當代資料議題的反映與縮影,後續仍有相當多議題值得討論與關注。特別是個資法之修正,我國個資法上一次修法之契機是2017年國發會承接法務部成為個資法之解釋機關後,為了向歐盟申請GDPR適足性認定而啟動個資法修法作業,然而由於個資法之修正涉及層面廣泛,多年來並無實質進展。借助於本件大法官已諭知個資法應進行修正,且本案件審理中聲請人、相對人、專家學者及法庭之友已就個資法之規範進行論辯,乃至於訴訟外許多學研機構相繼對相關議題進行深度的討論,且本案判決多位大法官也提出部分不同意見書進一步表示意見,或可加速推動我國個資法修法,使相關規範更加完備。
[1] 例如:金控法第43條第2項規定,金融控股公司之子公司間進行共同行銷,共同蒐集、處理及利用客戶其他個人基本資料、往來交易資料等相關資料,應依個人資料保護法相關規定辦理。;勞工職業災害保險及保護法第32條第4項規定,保險人為辦理勞工職災保險業務或中央主管機關為審議保險爭議事項相關資料之保有、處理及利用等事項,應依個人資料保護法之規定為之。新修正之藥品安全監視管理辦法第15條規定,藥商為執行藥品安全監視,有蒐集、處理或利用個人資料之必要時,應依個人資料保護法及其相關法規規定辦理。
本網站上所有資料內容(「內容」)均屬理慈國際科技法律事務所所有。本所保留所有權利,除非獲得本所事前許可外,均不得以任何形式或以任何方式重製、下載、散布、發行或移轉本網站上之內容。
所有內容僅供作參考且非為特定議題或具體個案之法律或專業建議。所有內容未必為最新法律及法規之發展,本所及其編輯群不保證內容之正確性,並明示聲明不須對任何人就信賴使用本網站上全部或部分之內容,而據此所為或經許可而為或略而未為之結果負擔任何及全部之責任。撰稿作者之觀點不代表本所之立場。如有任何建議或疑義,請與本所聯繫。