論健保卡個人資料之管理與運用

臺灣自1995年開辦全民健康保險起，迄今已歷經25個年頭，藉由強制納保達到保險覆蓋率幾近百分之百。健保局（今健保署）自1998年推動健保IC卡。又自2013年起，健保署陸續推出「健保醫療資訊雲端查詢系統」、「健康存摺」等，令民眾健康資料能夠在不同醫療院所間互享，以利醫師診療時，避免用藥重複，落實分級醫療，同時民眾也能掌握自身就醫資訊。今年新冠肺炎疫情加劇，健保卡的功能已不再僅限於醫療資訊的存儲，而與購買口罩、領取振興券等行政措施掛鉤。然而健保卡為非供醫療目的之使用，是否對於個人資料自主權利有所干涉，則不無疑問。

本期企劃以個人健康資料之管理與使用作為核心，分別探討健保卡與乘載其上之健康資料於醫療目的以及非醫療目的等使用進行討論。

在今年新冠肺炎疫情中，臺灣透過健保IC卡的自動化醫療資訊與具備多重智慧功能，開啟醫療資料即時管理系統以管控追蹤疫情。世新大學法律學院翁逸泓副教授於「健保科技防疫與個資保護：防疫個人資料之應用與界限」一文中主張除法律之依循外，旅遊、接觸史與健保資料庫串連之行為仍須注意比例原則並遵守個資法基本原則。至於防疫所得之個人資料處理與應用，即便是嚴格的歐盟個資保護觀點，在符合個資法規範並且有法律明文規定之時，亦得衡平重要公共利益。本文主張臺灣現行之個資法並無利益衡量之條款，也未有對於「公共利益」之概念界定，因此需以專法處理，並注意程序及組織之完備。

政府使用健保卡的身分辨識功能作為口罩購買與紙本三倍振興券發放，或追蹤入出境足跡之使用，應否適用法律保留原則？輔仁大學法律學系張陳弘助理教授於「健保卡作為政府辨識持卡人身分用途之法律議題：法律保留與個資目的外利用之思考」一文中，主張政府對於人民的身分辨識行為即便滿足法律保留原則要求，惟因涉及個人資料的蒐用，故仍須符合個資法的規範要求。本文提出臺灣個資法第16條對於政府就已蒐集而得之個資進行目的外利用行為之規範要求，相較於歐盟一般性個人資料保護規則(General Data Protection Regulation)第6條第4項規定，顯得過於寬鬆，不利於資料主體之個資保護。

《個人資料保護法》第6條，涉及「病歷、醫療、基因、性生活、健康檢查」等個人資料的保護。藥事品質改革協會常務理事李志宏醫師於「醫療與健保資訊在個人資料保護的差異」一文中，提出上述資料除了儲存於各個醫療機構外，最大且最多的儲存處就是健保資料庫；前者本有醫療相關法規保護之，而在《個人資料保護法》施行後，依法無論前者或後者都受到相同之規範。雖然健保資料庫所收集者是個人不完整的醫療資訊，但是健保署卻主動陸續規劃「健康存摺」、「健保醫療資訊查詢系統」等，並將之公開於網路雲端；2017年更進一步提出「健康智慧雲端服務」計畫案，「多元應用全民健保資料庫」也被核定為行政院重要政策。李醫師主張臺灣應該借鏡美國《健康保險可攜性及責任法案》（The Health Insurance Portability & Accountability Act，簡稱HIPAA），該法用於限制詐騙及濫用，並保護病人的機密醫療資訊。

長久以來健保署將去識別化之個人健保資料提供國衛院及衛福部，由其成立一平台供研究申請使用，並在實務上引發資訊自決權侵害之爭議。該爭議雖經2017年由最高行政法院做成支持健保署之判決而暫時平息。德國慕尼黑大學法學院單鴻昇博士生於「健保電子病歷資料庫個人醫療資訊作為研究目的使用之限制—兼論德國最新修法趨勢」一文中，介紹德國除一般性之個人資料保護法外，尚於法定健康保險法中，針對健保資料之處理與利用另為規定。觀察德國最新修法趨勢，法定健康保險法授權法定健康保險人於2023年起，得在一定條件下，將所建構之電子病歷資料庫中之個人醫療資訊，提供給一特別之研究資料中心，並由其在法定範圍內供研究申請使用。