政府掌控個資 至死不休

吳全峰/中央研究院法律學研究所副研究員
一個人出生後,國家便開始時時刻刻蒐集這個人的個人資料,直到死亡以後,這些資料仍然在國家資料庫中沒有終止期限地持續運作,任由國家決定是否將這些與個人相關的資料交由政府機關或企業進行運用,而這個人或他的後代是沒有任何反對的餘地。
這段仿若科幻恐怖片中全知政府對個人資料絕對操控的想像,本來是我在演講時的戲謔玩笑,卻在現代台灣獲得實現。當一個人出生後,便被要求強制加入全民健保,自此時起,攸關這個人的健康醫療資料便持續被政府所蒐集,並在沒有經過當事人同意下被迫開放在各種不同學術或商業用途上使用;那這個人死後,這些攸關隱私的個人敏感醫療資料是否就從政府資料庫中移除呢?答案卻是否定的。
死者健保資料開放惹議
日前新聞指出,健保署已經釋出350萬死亡被保險人生前的完整就醫與健康資料,放進民間業者的管理平台,並開放產業界申請使用,且數量將持續新增,每個月並透過串接內政部戶政資料,將新增過世者健保資料納入;換言之,你我先人的敏感資料,可能在你我還不知情的狀況下,就會被陸續釋出讓企業下載使用。
死亡被保險人健保資料檔的釋出,是健保署違反行政法院判決內容(未經民眾同意釋出的健保資料僅限「公共利益」用途),將個人健保資料開放產業應用後(參考作者《不用你同意,政府做莊賣個資?》乙文),又一無視個人資料保護的政策。
首先,《個資法》第11條第3項規定,資料蒐集的特定目的消滅時(亦即當事人死亡而喪失健保資格時),便應該「刪除、停止處理或利用」其所蒐集的個人資料;換言之,健保署蒐集個人資料主要是為健保給付等行政目的,而當事人死亡時(或一段時間後),健保給付等目的自然歸於消滅,則健保署依法便應刪除、停止處理或利用這些健保資料,而不應在未經正當程序(如依《個資法》第11條第3項但書,取得當事人過世前之同意或其繼承人之同意)便將這些資料釋出。
而健保署宣稱「死者非自然人,故不受《個資法》保障」的說法,卻顯然刻意忽略我國健保僅有在被保險人死亡時目的才會消滅的現實,急於將被保險人資料歸類為「非個資」以開放商業利用,忽視在健保署所宣稱「個資」轉換為「非個資」的過程中,必須先完成依《個資法》第11條第3項規定將被保險人資料刪除或停止處理利用之法律要求。
其次,目前健保署得以保留死亡被保險人健保資料的依據,或可為《個資法》第11條第3項但書所規定因健保署本身「執行職務或業務所必須」,但健保署開放死亡被保險人健保資料檔的範圍卻包括供民間機構申請為商業等其他用途,已明顯超越《個資法》所允許範圍而有違法之虞。
第三,健保署所謂「死者非自然人,故不受《個資法》保障」的說法也不正確;因為死者的個人資料仍然可能與活著的自然人有關(如遺傳疾病的資訊便可能涉及死者的子女),而仍應受到《個資法》保障;法務部在2016年1月29日函釋中也清楚說明「相關已死亡之人之資料中尚涉及現生存自然人之資料時,則該部分仍屬《個資法》所稱之個人資料,應適用《個資法》相關規定」。但健保署僅急著要釋出死亡被保險人「完整」健保資料,對於所釋出資料是否可能與自然人(如其仍在世的親人)有關,報導中卻未見相關審查標準或規範。
資料釋出勿成人權破口
第四,如果健保署的說法能夠成立,《個資法》將形同虛設,因為即使資料蒐集的目的消滅,機關或企業只要有辦法持續保留該資料(但暫時停止處理利用),時間夠久並等到當事人死亡,那該筆資料就可以變成不受《個資法》保護的「非個資」,而原本暫時停止處理利用的資料,便又可以「復活」而重新再利用。
最後,健保署所釋出的資料是將完整健保資料歸戶後,包含每一位死者生前完整健保資料,同時讓第三方在取得授權後可以自行(不需透過健保署)操作系統撈取健保資料、甚至標註醫學影像;雖然健保署會將資料去識別化(報導稱將消除身分證字號並以亂數編號),但國外經驗卻早已顯示類似健保署目前「假名化」的釋出方式,比對出死者真實身分與私密病史之風險將明顯升高,對於為死者諱的子孫(如死者患有花柳病)、或與該資料有關的生者,可能造成權利或利益的侵害。
需要特別說明的是,本文並不是反對死亡被保險人健保資料的釋出,因為巨量資料的運用對於社會或產業都有其重要性;但政府對於資料釋出過程的正當程序──包括合法性、當事人同意、透明性、比例原則──往往不夠尊重,這便可能成為人權侵害的破口。對於個人資料與隱私的尊重(甚至包括被遺忘權),一直是人權立國的重要台灣價值,如何在資料利用與權利保障間取得適度的平衡,應該是政府要更慎重思考的問題。

---------歡迎發表回應 以促進公共議題討論---------
惟與討論主題無關或惡意人身攻擊的回應,本版保留刪除權利