跳到主要內容區塊
:::

議題研析

健保資料庫在大數據時代面臨個資保護問題之探討 撰成日期:107年12月 更新日期:107年12月18日 資料類別:議題研析 作者:李麗莉 編號:R00600
一、 題目:健保資料庫在大數據時代面臨個資保護問題之探討
二、 所涉法律
全民健康保險法、個人資料保護法
三、 探討研析
(一) 臺灣健保已開辦23年,全民健保納保率達99%以上,累積龐大而完整之國人健康醫療資料,使得健保資料成為醫藥衛生相關領域研究中具代表性之實證資料,其研究成果可作為醫藥衛生政策之參考,為重要之研究資源。自1998年起,中央健康保險局(現改制為衛生福利部中央健康保險署,以下稱健保署)委託財團法人國家衛生研究院(以下稱國衛院)推動「全民健康保險研究資料庫(以下稱健保資料庫)」之建置,自2000年起提供學術界健保資料庫加值服務,以利相關研究。健保署自2007年起實施二代加密作業,以加強保護資料安全及民眾隱私,國衛院於提供加值資料前,須依每一申請案別或每一申請人別再加密,才能提供給申請人使用。
(二) 由於臺灣健保資料庫世界有名,重大醫學及公衛研究幾乎都取材於此資料庫,但也引來不少非議。因部分醫界人士浮濫使用,衛福部於2016年收回健保資料庫之管理權,國衛院不再提供加值服務,所有數據均不得攜出衛福部建置之電腦室,使用者不得複製光碟片,只能拿到最後統計圖表結果等報告。衛福部認為此等經嚴密程序去識別化之個資,不屬個人資料保護法(以下稱個資法)之個資,且已顧及個人資料主體之隱私權。但因應科技發展大數據之應用,可能透過大數據之技術得以結合不同資料庫中匿名化之資料,進而識別出資料主體,因此存在再識別(reidentification)之風險,這是大數據時代關於個人資料保護所面臨之問題。
(三) 衛福部擬將健保資料庫國人健康資料,去除可識別個資後,開放給醫療、壽險及健康管理產業使用。因資料庫中國人健康醫療資料完整,有助於提高相關產業之發展。但卻面臨法制上之挑戰:
1. 全民健康保險法第79條、第80條是健保署辦理保險業務,為保險給付核算或審查需要而蒐集資料,因此連結醫療上必要資訊,這是健保署應辦理保險業務所需之特定目的而蒐集健康保險資料之作用法依據。其資料蒐集行為符合行政上之目的,惟如將健保資料作為學術研究、醫療或供產業利用,事實上已超出資料蒐集之原始目的,對於此目的外之利用,並無法律授權。縱然依個資法為目的外利用,第6條第1項第4款指「公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要」;第16條但書第5款亦僅指「公務機關或學術研究機構基於公共利益為統計或學術研究而有必要」,尚不包括醫療、壽險及健康管理等產業。
2. 何謂執行法定職務之必要範圍?上開個資法「執行法定職務」應指作用法而言,而該規定並無法作為健保署將健保資料交予衛福部為目的外利用之依據。但最高行政法院 認為此一規定具作用法授權性質,因此「執行法定職務」自然包括「公務機關在組織法上之職掌範圍」。該院將健保署執行法定職務擴張至衛生福利部中央健康保險署組織法第2條第5款及第8款之概括規定,利用健保醫療資料以促進醫學研究及提升醫療衛生發展,可否認為是執行職務必要範圍?仍有疑義。
3. 個資法第16條但書第5款「無從識別」之程度為何?即究竟去識別到何種程度才符合無從識別特定當事人之條件。關鍵在於,究竟以誰之識別能力來判斷是否滿足去識別化之要求?最高行政法院認為,去識別化之要求僅在確保一般社會大眾看到資料內容時,無法輕易推知該資料所屬主體。至於特定個人因擁有特定主體之相關個資,再刻意連結經去識別化處理之個資,因而辨別經去識別化處理個資之主體,再以此反論該處理過程之個資並未滿足「去識別化」程序要求,並不足採。如此見解是一種相當寬鬆之標準設定,因為侵害隱私權之情形,通常發生在侵害人鎖定特定個資主體之情況下。
4. 個資於二次被利用時,因人數眾多,徵得每人同意顯有困難,而不同意個人醫療資料被目的外使用,可否行使事後退出權?臺北高等行政法院 及最高行政法院有不一樣看法。前者認為,基於個人資訊隱私權並非絕對權利,立法者自得於保障個人資料隱私及合理利用個資之衡平考量下限制個人資訊隱私權。因此,就權利本質而言,個人資訊自主權及事後控制權,應屬一體之兩面,法律既已限制事前同意權,亦應同時限制事後排除權,否則健保署得不經個人同意利用其資料,個人卻能任意行使排除權,則法律所欲達到合理利用個資,增進公共利益之目的無以達成。後者則認為,個人對自身資訊公開之「事前同意權」及後來要除去已公開資訊之「事後刪除權」,並非一體兩面。從個資法將「蒐集及處理」與「利用」分開規範之架構可知,個資法要求執法者在「蒐集、處理及利用之每一階段」,均應重新評估「是否對個人資訊隱私權提供足夠保障」。惟最高行政法院仍認為健保署拒絕被保險人行使事後退出權,並無違反比例原則。揆其主要見解在於只要個資經滿足識別化之要求,基本上對這種個資之利用,即不會對個資主體造成隱私侵害。所採取的是非常寬鬆之比例原則操作。
四、 建議事項
(一) 對於已提供之去識別化個資,應以法律明文禁止,不得利用其蒐集之其他個資或資訊技術,以回復其特定個人之識別性及公開資料。
(二) 健保資料庫價值極大,可以發展新的醫學、藥學技術,在蒐集、利用之同時應兼顧資訊安全及個人隱私之保護。如要使被蒐集資料者安心、社會信賴,應讓整個個資蒐集利用過程透明化,並建立回饋機制。因不同之資料對社會之公共利益差異頗大,以個資法規定一體適用規範性恐有不足。健康醫療資料公益性較高,應以專法規定,並明定去識別化之處理標準。
(三) 我國個資法未設單一主管機關而採分散管理,各機關之個資由各目的事業主管機關負責,難免產生跨部會間協調整合問題。我國個資法參考歐盟個資指令而制定,然而,歐盟設有獨立之個資主管機關,針對個別問題或個案作風險評估,並訂定具體施行細則。又歐盟一般資料保護規則(GDPR)已於2018年5月25日實施,設置資料保護員(Data protection officer) 或設立專責機關,對資料控管者提出資料保護之建議及政策、監督法規執行、辦理教育訓練或提供諮詢,值得我國參考學習。
撰稿人:李麗莉