健保資料庫釋憲案部分違憲，欠缺監督機制及當事人無「資料停止使用權」3年內須修法

台灣人權促進會等民團認為健保署未經同意，釋出全民健康保險資料庫等健保資料給學者做研究，有違憲之虞而聲請釋憲。今（12）日憲法法庭作出判決，認定個資法規定健保資料庫供公務或學術機關統計或研究合憲，但欠缺個資監督機制及當事人請求資料停止使用規定違憲。

2012年，台灣人權促進會、民間監督健保聯盟等民團曾寄存證信函向健保署表示，拒絕健保署將他們的個人全民健康保險資料釋出給第三者，用於健保相關業務以外目的。不料此向訴求遭拒，台權會秘書長蔡季勳等人提行政訴訟敗訴確定後，聲請釋憲。

聲請人主張什麼？

聲請人主張，國家以《個人資料保護法》（以下簡稱個資法）大規模蒐集、處理、利用個資，卻未另設行為法節制國家權力行使，已違反法律保留原則；將資料提供第三方學術研究利用，且當事人事後退出的權力遭過度限制，則背於比例原則。

聲請人批評，剝奪公民對醫療資料的事前同意與事後控制權，形同強制全民需無條件貢獻資料供目的外利用，才能使用健保。個資法本是為「避免人格權受侵害，促進資料合理利用」而立，卻在規範不足且過時的設計中，無法保障公民資訊隱私不受侵害，且易於打開資料目的外的利用之門。

另外，台權會曾指出就算健保資料經過去識別化，仍為能區分個人的「個別資料」，而非「統整資料」。健保資料可與衛福部其他資料，如：身心障礙檔、性侵通報檔等串聯，也可申請攜入外部資料或與其他機關資料串聯。台灣雖禁止攜出原始資料，但隨著資料串連的來源與種類增加，以及不特定的研究目的，面臨再識別的風險也可能提升。

政府如何回應？

對此，衛福部認為健保資料是多元組成，若允許個人無條件、任意地退出，健保資料庫將因資料偏差而難以達成精準醫療與公共衛生，恐造成研究治療方式及預防疾病發生等公共利益受到影響。

衛福部也指出個資法作為規範所有個資保護及利用的基礎，不可能鉅細靡遺地規範；個資保護及利用特性，隨著時代、科技演進而快速變動，應容許有不確定法律概念的運用。

針對去識別化問題，衛福部說明目前採取的保護機制，除非經過資訊專業人員以及專業設備再識別技術，否則難以還原出個人原始資料。此外，衛福部自100年運作迄今，從未發生個資外洩、資安攻擊導致資料外洩等情，可見規範十分嚴謹。

大法官怎麼看？

本次案件爭點在於《個資法》第6條第1項但書第4款，及《全民健康保險法》第79條及第80條是否牴觸憲法。

大法官首先說明個資若經處理，資料型態與本質，客觀上仍有還原而間接識別當事人的可能時，無論還原過程簡單或困難，若以特定方法還原還是可以辨認當事人，本質上仍屬個資。故當事人就此類資料的自主控制權，仍受憲法第22條資訊隱私權保障。

反之，經處理的資料於客觀上無還原識別個人的可能性時，就喪失了個資的本質，當事人就該資訊不再受憲法第22條保障。

據此，大法官宣告根據《個資法》第6條第1項但書第4款規定，健保資料庫經處理而無法辨識特定當事人，供公務機關或學術研究機構基於醫療、衛生等目的，做必要的統計或學術研究，符合法律明確性及比例原則，並無抵觸憲法。

不過，大法官認為現行個資法或其他相關規定，仍欠缺個資保護的獨立監督機制，對個人資訊隱私權的保障不足。另外，針對個人健保資料得由健保署以資料庫儲存、處理、對外傳輸；對外提供利用主體、目的、要件、範圍、方式；以及組織上及程序上的監督防護機制等重要事項，於《全民健康保險法》第79條、第80條及其他相關法律中，均欠缺明確規定，因此判定違憲。

最後，大法官發現相關法規欠缺當事人可以請求停止利用資料的規定，無論是是當事人請求停止的權利，或是停止利用應遵循的程序也無相關明文，顯然對資訊隱私的保護不足。故針對違憲事項，憲法法庭命令相關機關應於3年內，修正健保法及相關法律，或制定專法明定。

新聞來源

• 憲法法庭111年憲判字第13號判決摘要（憲法法庭）
• 健保資料庫案言詞辯論新聞稿（憲法法庭）
• 健保資料庫案言詞辯論紀錄（憲法法庭）
• 台權會健保資料庫聲釋憲案說明（台灣人權促進會）
• 【聯合聲明】強制全民參與研究，個資法默許──健保資料庫釋憲在即（台灣人權促進會）

延伸閱讀

• AI醫療、科技防疫的人權爭議：「天網」恢恢，個資隱私與數位足跡誰來保障？
• 國際人權報告：疫情下多國政府藉機擴權，台灣「大規模監控」威脅人民隱私權
• 北市府用「台北通APP」綁定疫苗通行證，可能產生哪些個資問題？

【加入關鍵評論網會員】每天精彩好文直送你的信箱，每週獨享編輯精選、時事精選、藝文週報等特製電子報。還可留言與作者、記者、編輯討論文章內容。立刻點擊免費加入會員！

責任編輯：黃皓筠
核稿編輯：楊士範