醫療資料用於研究之法制淺析
撰成日期:111年8月
更新日期:111年8月22日
資料類別:議題研析
作者:李郁強
編號:R01781
【僅供委員參考】
一、題目:醫療資料用於研究之法制淺析
二、所涉法規
個人資料保護法、全民健康保險法
三、背景說明
(一)部分民間團體認為《個人資料保護法》(以下簡稱《個資法》)、《全民健康保險法》允許公務機關以組織法為據,大規模強制留存個資、建立資料庫 ,違反憲法保障資訊隱私、法律保留、比例、正當原則,聲請釋憲 。此憲法訴訟案兩個爭點,其一是將健保資料做目的外利用時的規範不明確;其二是人民得否拒絕或退出健保資料庫,並無明確的法源依據。
(二)憲法法庭於今(111)年8月12日作出憲判字第13號判決,《個資法》第6條第1項但書第4款規定有關健保資料庫供公務或學術機關統計或研究合憲,但認為《個資法》或其他相關法律欠缺獨立監督機制,對隱私權保障不足,須3年內制定或修正相關法律;另《全民健康保險法》部分違憲,以資料庫方式將健保資料傳輸第三人,欠缺法律明確規定,且無當事人得請求停止利用的規範,亦應於3年內修正或制定專法 。以下就獨立監督機制、資料安全規範及當事人請求停止利用,引介外國立法例,作為我國法制之參考。
四、探討研析
(一)建立機關內部與外部專責獨立機關監督機制
憲法法庭認為《個資法》欠缺獨立監督機制,對隱私權保障不足。對此,或可藉由組織上監督機制之設計,強化法益權衡程序之可信度。學者認為,內部管控部分,可依《個資法》,針對保有個人資料檔案之機關,課以指定專人辦理個資保護業務之義務,除負責防止個資被竊取、竄改、毀損、滅失或洩漏等安全維護事項外,於機關蒐集、處理或利用個人資料時,亦可提供專業諮詢意見,協助進行法益權衡,提升內部自律。外部監督可透過《個資法》所定之監督機關行之。惟目前我國《個資法》係採分散式管理,交由各目的事業主管機關監管,此種監管型態,一方面恐有弱化對公務機關自身監督之疑慮;另一方面,透過專責、獨立監督機關之建置,確保法益權衡過程中之中立、客觀,應亦屬維護當事人權利所不可或缺者 。
德國於1977年制定《聯邦資料保護法》,依據此法於聯邦層級設立「聯邦資料保護官機構」。法國於1987年制定《資料、檔案與自由法》,亦設「國家資訊自由委員會」(CNIL),該委員會具有獨立管制機關之地位。澳洲於1988年制定《隱私法》、2010年制定《澳洲資訊保護官專法》,設資訊保護官辦公室(OAIC),OAIC置3種官員:國家資訊官、隱私保護官、資訊自由官,各有職掌又相互合作。日本於2003年制定《個人資料保護法》(個人情報の保護に関する法律) (2021年修正),設「個人情報保護委員會」(Personal Information Protection Commission, 以下簡稱PPC),作為獨立行使職權之管制機關。我國《個資法》欠缺獨立監督機制,建議可參酌上述外國立法例設置。
(二)建立資料去識別化過程之安全機制且當事人得選擇退出
資料傳輸安全最重要的就是資料須去識別化。日本近年修法強化此機制,建構類似去識別化的加工方式稱為「匿名加工」,《個人資料保護法》為使特定個人資料及其他加工時使用的個人資料不可回復,賦予個資處理事業對個資進行匿名加工之義務,匿名加工方式依PPC訂定之標準執行(第43條)。基此,PPC於2016年訂定《個人資料保護法施行規則》,針對個資匿名加工措施進行規範 。自蒐集、處理者開始進行匿名加工,至提供第三人利用,每個階段均課以處理事業單位應負擔之法定義務,並明文禁止再識別之行為,以法律保障匿名個資之安全,又有透明化匿名提供過程之機制,讓匿名加工資料之流向、利用,公開在人民的監督下,保障其合法性,並建立社會之信賴度 。
針對提供研究之去識別化醫療資料,日本於2017年5月12日制定《有助於醫療領域研究開發之匿名化醫療資料法》(医療分野の研究開発に資するための匿名加工医療情報に関する法律) ,又稱《次世代醫療基盤法》)(最近一次係於2021年修正,2022年4月1日施行),明定提供醫療資料之醫療機構應遵守之義務、對醫療資訊進行匿名加工之受認證匿名加工業者被規範之義務。該法第30條規定,醫療資料處理事業須先通知當事人,並向目的事業主管機關提出申請,才可將醫療資料提供予經由國家認證之匿名加工事業進行匿名加工。若當事人不欲提供個人醫療資料,得選擇退出(opt-out) 。即採取「事前告知、事後退出」的方式。日本近年上述二法之修法,或可提供我國修法之參考。
撰稿人:李郁強
一、題目:醫療資料用於研究之法制淺析
二、所涉法規
個人資料保護法、全民健康保險法
三、背景說明
(一)部分民間團體認為《個人資料保護法》(以下簡稱《個資法》)、《全民健康保險法》允許公務機關以組織法為據,大規模強制留存個資、建立資料庫 ,違反憲法保障資訊隱私、法律保留、比例、正當原則,聲請釋憲 。此憲法訴訟案兩個爭點,其一是將健保資料做目的外利用時的規範不明確;其二是人民得否拒絕或退出健保資料庫,並無明確的法源依據。
(二)憲法法庭於今(111)年8月12日作出憲判字第13號判決,《個資法》第6條第1項但書第4款規定有關健保資料庫供公務或學術機關統計或研究合憲,但認為《個資法》或其他相關法律欠缺獨立監督機制,對隱私權保障不足,須3年內制定或修正相關法律;另《全民健康保險法》部分違憲,以資料庫方式將健保資料傳輸第三人,欠缺法律明確規定,且無當事人得請求停止利用的規範,亦應於3年內修正或制定專法 。以下就獨立監督機制、資料安全規範及當事人請求停止利用,引介外國立法例,作為我國法制之參考。
四、探討研析
(一)建立機關內部與外部專責獨立機關監督機制
憲法法庭認為《個資法》欠缺獨立監督機制,對隱私權保障不足。對此,或可藉由組織上監督機制之設計,強化法益權衡程序之可信度。學者認為,內部管控部分,可依《個資法》,針對保有個人資料檔案之機關,課以指定專人辦理個資保護業務之義務,除負責防止個資被竊取、竄改、毀損、滅失或洩漏等安全維護事項外,於機關蒐集、處理或利用個人資料時,亦可提供專業諮詢意見,協助進行法益權衡,提升內部自律。外部監督可透過《個資法》所定之監督機關行之。惟目前我國《個資法》係採分散式管理,交由各目的事業主管機關監管,此種監管型態,一方面恐有弱化對公務機關自身監督之疑慮;另一方面,透過專責、獨立監督機關之建置,確保法益權衡過程中之中立、客觀,應亦屬維護當事人權利所不可或缺者 。
德國於1977年制定《聯邦資料保護法》,依據此法於聯邦層級設立「聯邦資料保護官機構」。法國於1987年制定《資料、檔案與自由法》,亦設「國家資訊自由委員會」(CNIL),該委員會具有獨立管制機關之地位。澳洲於1988年制定《隱私法》、2010年制定《澳洲資訊保護官專法》,設資訊保護官辦公室(OAIC),OAIC置3種官員:國家資訊官、隱私保護官、資訊自由官,各有職掌又相互合作。日本於2003年制定《個人資料保護法》(個人情報の保護に関する法律) (2021年修正),設「個人情報保護委員會」(Personal Information Protection Commission, 以下簡稱PPC),作為獨立行使職權之管制機關。我國《個資法》欠缺獨立監督機制,建議可參酌上述外國立法例設置。
(二)建立資料去識別化過程之安全機制且當事人得選擇退出
資料傳輸安全最重要的就是資料須去識別化。日本近年修法強化此機制,建構類似去識別化的加工方式稱為「匿名加工」,《個人資料保護法》為使特定個人資料及其他加工時使用的個人資料不可回復,賦予個資處理事業對個資進行匿名加工之義務,匿名加工方式依PPC訂定之標準執行(第43條)。基此,PPC於2016年訂定《個人資料保護法施行規則》,針對個資匿名加工措施進行規範 。自蒐集、處理者開始進行匿名加工,至提供第三人利用,每個階段均課以處理事業單位應負擔之法定義務,並明文禁止再識別之行為,以法律保障匿名個資之安全,又有透明化匿名提供過程之機制,讓匿名加工資料之流向、利用,公開在人民的監督下,保障其合法性,並建立社會之信賴度 。
針對提供研究之去識別化醫療資料,日本於2017年5月12日制定《有助於醫療領域研究開發之匿名化醫療資料法》(医療分野の研究開発に資するための匿名加工医療情報に関する法律) ,又稱《次世代醫療基盤法》)(最近一次係於2021年修正,2022年4月1日施行),明定提供醫療資料之醫療機構應遵守之義務、對醫療資訊進行匿名加工之受認證匿名加工業者被規範之義務。該法第30條規定,醫療資料處理事業須先通知當事人,並向目的事業主管機關提出申請,才可將醫療資料提供予經由國家認證之匿名加工事業進行匿名加工。若當事人不欲提供個人醫療資料,得選擇退出(opt-out) 。即採取「事前告知、事後退出」的方式。日本近年上述二法之修法,或可提供我國修法之參考。
撰稿人:李郁強