劉珞亦
壹、案件事實
一、案件事實
事件解析聚焦在最高行政法院106年度判字第54號。上訴人在2012年寄發存證信函給「健保署」,表示拒絕健保署蒐集上訴人全民健保的保險資料釋出給第三者,並且利用到健保相關業務以外的目的。但健保署表示,這樣做有助益公共利益,增進國內全民健康保險的相關研究,而且對外提供利用時,都有依「個資法」來的規定來處理。
貳、判決摘要
一、上訴人主張
(一)目前的個資法第15、16條規定,並沒有讓公務機關可以做「非法定職務必要範圍內」的處理,所以健保署交付健保資料予衛福部並建置健康資料庫,明顯不是執行法定職務。
(二)敏感的個資作目的外的利用,除了要符合個資法第6、16條但書各款規定之外,也必須要符合比例原則以及合理關聯性。
(三)健保署沒有把健保資料機加密,不符合個資法第6條第1項第4款與第16條第5款由健保署負擔「資料去識別化」義務之規定。
(四)衛福部所做的加密處理,並不符合「去識別化」標準。
二、被上訴人主張
(一)其認為上訴人不可以直接主張釋字603,作為聲請行政處分的依據。
(二)且參照法務部的函示,該資料已經無法辨識特定的個人。
(三)切按照相關規定,健保署之執掌除有全民健保事項外,另就醫療品質提升研擬、規劃及執行,乃至於一切與全民健康有關事項,均屬其職掌範圍。所以做學術使用的利用,當然也是健保署的法定職務。
(四)健康保險資料已經多次加密,已經足夠作為個資保護需求。
(五)且作為目的外的利用行為,是符合比例原則。
(六)資訊自主權並非絕對的權利,而且上訴人所謂的「事前同意權」及「事後排除權」,已經是適當的限制。
(七)衛福部基於全民健保主管機關之身分,本得因執行法定職務必要,向健保署間接蒐集健保資料;且衛福部間接蒐集健保資料之法源依據,得免為事前告知之義務。因此,健保署按照個資法第6條第1項第1款但書及同第四款規定,健保署就算將所掌健保資料提供予衛福部時未予加密,亦無違法情事。
三、上訴人上訴意旨
(一)更審法院認為健保署的做法,判決有違反司法院解釋。
(二)更審法院以健保署組織法執掌,解釋個資法第16條「執行法定職務」之要件,適用法規不當。
(三)更審法院認為機關違法蒐集,做目的外的的利用。
(四)更審法院認為「資料接收者」事後的揭露行為,來做為原始蒐集者提供資料的基準點,理由上有矛盾與適用法規不當的問題。
(五)更審法院禁止以對照、組合、連結其他公眾可得資料之方式,證明系爭資料仍具有間接識別特定個人之可能,顯有理由矛盾與不適用法規。
(六)更審法院認為以個資法第16條但書作為審查,有法規適用不當與判決不備理由。
(七)更審法院認為法律既然是在限制當事人的事前同意權,也當然會限制事後的排除權,但卻忽略即使具備得限制事前同意而為目的外利用之事由。這樣有牴觸行政訴訟法第260條第3項之當然違法。
參、判決評析
一、交付健保資料建置健康資料庫之行為屬性
(一)個資「處理」行為內涵之不當擴充
最高行政法院認為「交付健保資料並建置健康資料庫」屬「處理」而非「利用」行為。但吳老師認為這個論述有其問題,因為公務機關「內部」進行個資檔案格式轉換或建置資料庫,與「交付外部機關」進行前述動作,兩行為在本質上並不完全相同。且按照個資法第2條第4款規定,個資處理行為之範圍僅及於「內部傳送」,並不能進一步擴張解釋如最高行政法院判決中所述包括「不同公務機關間流通」。因此就衛福部收受健保資料之行為,應屬個資「蒐集」,正當性則須依個資法第15條為斷個人資料是以「間接」蒐集,並不能僅因這一連串行為屬機關間資料流通,便忽略其間不同行為之性質差異,而一概以個資「處理」行為視之。
(二)個資操作行為之不當連結
最高行政法院認為「單一機關間對個人資料之『蒐集』、『處理』與『利用』行為,理應前後相續,且『蒐集』與『處理』行為應連結看待,合併處理」。但吳老師則是認為個資蒐集、處理、利用間或許存在前後階段關聯性,各自有各自的本質和功能,需要針對不同的階段有不同的處置,也要有不同的法定職務來相對應,所以不應該直接將規範特定個資處置之法定職務依據,擴大適用至其他個資處置行為。
但即便如此,吳老師很明確的表示,他並沒有完全排除可自法定職務中「合理推導」出同時具個資蒐集與處理行為之依據,為健保行政目的,他承認健保資料蒐集後之處理行為(檔案格式轉換並以特定形式儲存)確是必要之處置,故健保資料蒐集與處理之實證法依據的確可能重疊。
二、蒐集處理利用健保資料之法定職務依據
(一)法定職務之判斷:組織法 vs 行為法
首先,最高行政法院認為個資法第16條可認為個資法明顯有以組織法職掌規範作為劃定權限、蒐集處理或利用個資之規範依據。再依健保署組織法第2條各款規定,全民健保相關研究之促進、醫療衛生發展之提升等,包括提供個人健保資料以建置健康資料庫,均應屬健保署執掌而為執行法定職務之必要範圍。但吳老師認為限制人民的權利沒有行為上的規範依據,可能有違反法律保留原則的可能。
按照釋字535號解釋,行政機關的職權更應該以「行為法」作為授權依據。所以吳老師認為如果向法院判決將組織法作為限制人民的依據時,應該也要檢視一下組織法有沒有限制人民的功能。所以判決的論述有很大的爭議。
(二)健保署法定職務之判斷
最高行政法院是認為實證法已明文賦予被上訴人對健保資料之『蒐集』權限,則觀新個資法第15條之規定,蒐集與處理並列,被上訴人既然依法享有『蒐集』職權,當然也同時可依相同之實證法規定享有『處理』職權」。
但吳老師認為這樣的論述武斷,因為個資「蒐集」與「處理」行為並不必然具有緊密關聯性,所以不應該認為個資蒐集之實證法依據便可直接作為個資處理之實證法依據,這樣做是忽略兩行為在本質上之差異,且有可能會違反資料流動中的個別處置行為之相關基本原則。
三、目的相容性之判斷
吳老師認為行政法院將本案定為「目的外資料處置行為」是合理的,但法院將資料處置行為定性為「處理」而非吳老師認為的「利用」,已如前述。吳老師認為本案還有一個並沒有討論到的問題就是,健保資料去識別化有沒有與「原始蒐集目的」相容?
吳老師認為健保署去識別化行並沒有法定依據、且作蒐集資料這件事並沒有一定要去識別化才能達成蒐集目的的「必要性」,因此健保署將健保資料去識別化處理便沒有正當性。
四、「無從識別特定當事人」之爭議
吳老師認為最高行政法院的關鍵問題在於,並沒有好好回應:「去識別化作業本身可否滿足「無法直接或間接識別特定個人」之要求?」也就是說法院對於「可逆向回復」個資之專屬編碼技術處理,是否已符合個資法「無從直接或間接識別特定個人」之規範,沒有論述。
而吳老師認為要先回到個資法第2條第1款的規定,若得直接或間接識別特定個人之資料,即屬受個資法規範。而在這樣的定義之下,健保署將「直接」可識別個人之資料移除或編碼之個資處理方式,就不宜被認為資料處理後就已經滿足去識別化的要求。
吳老師舉了歐盟的例子,發現歐盟法院的判決可以得知各國對於去識別化有不同的認知與要求,相較於台灣法院的判決實在過於寬鬆。
五、公共利益與比例原則
法院是認為健保資料對於健康政策制定有重大公益的意義,所以會符合釋字603的要件。但吳老師認為在判決中對於重大公益的說明並不適當,因為法院沒有回應(一)健康資料庫可以供學術使用,但不等同於公共利益的實現;(二)就算學術結果可以改善醫療技術,但健保署並沒有提供具體的數字來說明。吳老師認為法院這樣消極的態度,會造成比例原則使用上的困境,因為這樣的開放學術研究的資料庫,可能會有「涵蓋過廣」的問題。
蕭奕弘
蕭檢察官針對北高行以及最高行判決作成相關爭點進行討論。
壹、爭點分析
一、公務機關間的資料傳遞,是處理還是利用?
最高行認為個資法就公務機關間資料流動,並沒有法律規範,是屬於法律漏洞。但蕭檢察官並不這樣認為,他認為只要不包括在「處理」之行為,就應該放入「利用」類型,並不存在所謂「法律的漏洞」。同樣舉例學者邱文聰的見解,認為不同機關間資料流通,沒有規範在「處理」中,就應該包括在「利用」範圍內。
二、法定職務必要範圍
(一)目的外利用仍有適用
原告是認為即便符合目的外利用特定的情形下,仍要符合個資法第16條的規定,如果不這樣,根本就是違反法治國原則。但是北高行以及最高行並沒有直接肯認原告這一個論點,但在論述中都有先探討是否在健保署「執行法定職務必要範圍內」。所以似乎可以認為行政法院就此部分是贊同原告的見解。
(二)組織法或作用法?
最高行的見解明確認為只要有「組織法」就可以作為依據。但是學者邱文聰卻認為這樣的見解有其問題,因為釋字535號解釋已經很明確寫到,如果要限制人民的權利義務,應該要有行為法作為依據。而學者李建良認為,個資法應該是個人資料處理的保護規範,並非授權規範,有關國家機關可否做,不應在個資法,而要另外有作用法的授權。
而蕭檢察官則是認為,雖然將個資法中的「法定職務」與「作用法」相連結,是比較保障,但以「組織法」作為依據,從文義、立法解釋看來,也有其道理之處。
三、去識別化?
(一)誰來負責去識別化?
北高行是認為「提供者處理後」或「蒐集者依其揭露方式」擇一達到去識別化程度即可。原告則是認為衛福部如果要依照學術研究目的外利用事項,則必須經過健保署處理後或依揭露給衛福部的方式去識別化,進而無從識別特定當事人,並不能直接將原始資料交給衛福部。而學者張陳弘以及邱文聰都支持原告的見解。惟蕭檢察官則是認為,所謂的匿名化處理是依照統計及研究計畫的結果,個資法應無全然禁止研究者接觸未經去識別化之個人資料之意。
(二)去識別化的標準
1.比較法的探討
(1)美國
美國在1996年所通過的HIPAA法案,提出兩種去識別化標準,分別為「專家判斷法」及「安全港標準」。
而前者的是指1.有普遍的方法讓訊息無法個別被識別;2.或是應用這些原則方法,讓確認主體的風險降到最小;3.並且要將上述結論的方法與結果以書面呈現。
而後者的判斷方式則是,立法者事先列舉出某些應加以移除的個資:在醫療資訊中移除姓名、小於州的地址、和個人直接相關的日期、電話號碼、駕照號碼、電子郵件、網址、社會安全碼、IP位址、病歷號碼、生物識別特徵如指紋或聲紋、健康計畫受益人編號、全臉或相類似照片、帳號及其他屬於唯一的識別碼等個人資料。而受規範的機構沒有實際的認知,該資訊可能會被個別使用或與其他資訊結合,以特定個資主體。
(2)歐盟
歐盟則是在2014年發布一份意見書,提出三個衡量標準:是否有可能識別出該個人?是否可能連結有關該個人的紀錄?資訊可否推斷出該個人?
2.行政法院的見解
北高行識別化標準是指:透過一定程序的加工處理,使個人資料不再具有直接或間接識別性。至於「去識別化」的程度,則應進行整體風險影響評估,綜合考量個人資料類型、敏感性程度、對外提供資料之方式、引發他人重新識別之意圖等因素。
最高行判決則是先探討本案的去識別化作業模式,由於衛福部掌握還原能力,不足到達「完全切斷資料內容與特定主體間之連結線索」之程度,仍屬個人資料。並表示「去識別化」的功能跟作用,旨在確保社會大眾看到資料內容時,難以從資料內容輕易推知該資料所屬主體。
3.具體標準的欠缺
惟學者邱文聰認為「徹底切斷資料與主體連結」後的資料,並非沒有統計或學術研究上的利用價值。而且如果立法採取「非真正去識別化」標準作為目的外利用合法要件,就不能通過憲法或行政法比例原則的檢驗。且學者吳全峰及許慧瑩則則是認為個資法規範模糊不明確,有很大的問題。
四、比例原則的操作
北高行以及最高行都認為健保署提供健保資料行為符合必要性,不過要注意的是判決範圍並不一致。因為北高行判決時是同時處理國衛院及衛福部兩種資料庫,而最高行審理時,因國衛院已經終止提供,因此僅處理衛福部部分。
而國衛院以及衛福部是兩種不同的運作資料庫,國衛院提供研究者攜帶出,衛福部要求研究者到作業中心作業,相較之下,健保署交給國衛院釋出的作法不可能屬於最小侵害了。
五、能否選擇退出?
由個資法的關於停止利用的規定,並沒有包括公務機關上有執行法定職務必須的情形。北高行以此推導出「事先同意」與「事後排除」是一體兩面,最高行雖然不贊同這樣的見解,卻也認為維護資料庫的完整性是重要公共利益,經評估之後,原告仍然不能退出。
但蕭檢察官認為這樣的說法忽略法律保留原則的適用,請求停止利用本來就是人民基本權的展現,應有法律明確規定始可予以拒絕。
六、釋字603號解釋的適用
(一)釋字603號解釋的要求
釋字603認為指紋是個人很重要的資訊,如果要大規模蒐集,應該要以法律明定,且明確規範蒐集的目的,並且與重大公益目的有密切關連性。
(二)個資法可以作為法律依據?
但這會暴露出一個問題,這樣的法律要求是指「個資法」就夠?還是需要有另外的法律依據?蕭檢察官認為必須要有另外的法律依據。
蕭檢察官認為釋字第603號解釋後,法律規範並沒有特別變化,解釋中的要求也不會因為個資法修改而自動滿足。在大規模蒐集個人資料而建置資料庫使用的情況下,如果要符合憲法解釋的要求,應該另有法律規範為宜。
(三)當例外變成原則
蕭檢察官認為行政法院中在本案對於個資法的解釋以及適用,是否有符合釋字603號解釋,有很大的問題。除了舉釋字603號解釋林子儀大法官以及許宗力曾有田大法官的意見書說明個資法的規範可能過於空泛之外,自己也認為隨著資料累積越來越多,串聯其各類的資料庫影響層面越來越大,但這當中卻沒有明確的法律來作為規範,這樣可能會脫離釋字603號解釋的原意,產生對人民侵害的風險。