從健保資料庫案的憲法指標，檢視未來台灣的數位政策｜司法動態

從健保資料庫案的憲法指標，檢視未來台灣的數位政策｜林煜騰、楊劭楷

本文作者：

林煜騰律師。為美國哥倫比亞法學院及台大法碩士，目前就讀台大博士班。致力於於資訊科技、隱私權、言論自由、著作權等領域。擅長協助新創業者章程、股權規劃、商業模式設計以及智慧財產規劃服務。

楊劭楷律師。為台大法律學士/碩士、中文系學士學位。特別關注網路等新興科技所帶來的言論自由和隱私權議題。

兩位律師聯絡方式請見圓矩法律事務所網站。

 

近日憲法法庭公布了111年憲判字第13號。此號憲法裁判（下稱本次判決）之所以重要，不僅是因涉及健保資料庫的建立，蒐集、處理並利用個人資料，是否合乎個人資料保護的精神。更因大法官在本次判決建立的論理與標準，未來將作為數位時代下，政府推行任何數位政策的指引——特別是針對政府近年來積極打造的數位身分證制度（eID）、跨機關資料傳輸專屬通道（T-Road）等數位基礎建設。

因此，本文將以本次判決為始，釐清我國憲法法庭至今累積的看法，藉此檢視政府一連串數位政策措施——eID、T-Road。希望讀者能從中認識這些政策，將如何影響人民的資訊自主權，或會帶來哪些隱私風險？憲法法庭又對人民的隱私指引了哪些保護？

這次與過往，大法官說了什麼？

這次案件的起因，是因為民間團體認為：目前健保資料庫強制留存民眾就醫個資，卻欠缺監督機制或讓當事人要求停止利用等途徑，因而聲請釋憲。本次判決涉及許多規定，雖然部分最後被認定合憲（註一），但仍作出了許多違憲認定，並對個人資料與隱私保護，提出了三點指標性準則：

1. 《個人資料保護法》（下稱個資法）與其他相關法律，欠缺個人資料保護之獨立監督機制，有違憲之虞；
2. 就健保資料儲存、處理、傳輸、及相關防護機制，大法官認定現有《全民健康保險法（下稱健保法）》及相關法律皆無足夠明確規定，違反法律保留原則（特定事物應保留給立法者制定法律規範的意思）。
3. 最終大法官認定，提供公務機關或學術研究機構在原始蒐集目的外利用健保資料，卻沒有賦予當事人退出的權利，違反憲法保障的資訊隱私權。

換言之，大法官從《個資法》與其他相關法律整體觀察，發現裡面欠缺保護個人資料的獨立監督機制，對資訊隱私保障有不足之處，要求相關機關應自本判決宣示之日起三年內，制定或修正相關法律。

就健保署使用個人健保資料的行為，大法官認為《健保法》及相關法律並沒有提供足夠的規範，保障人民的權利。如欠缺儲存、處理、對外傳輸資料庫，或利用主體、目的、要件、範圍及方式等事項。甚至組織與程序上該如何建立監督防護機制等內容，也付之闕如。因此違反重要事物應交由立法者制定對應規範的憲法精神，而違反法律保留原則。

此外，健保資料既然提報公務機關，並轉供學術研究、從事原始蒐集目的外之利用，大法官則認定：目前法律欠缺當事人得請求停止利用的對應規定，相關機關同樣應於三年內制定或修正相關法律，明定當事人可以請求停止或例外不許停止之相關要件。

本次判決之所以認定違憲，是因從歷年大法官解釋、憲法裁判可知，大法官很早就肯認隱私權的保障內涵：個人應就個資享有是否揭露的自主決定權；且相關隱私內涵，也應配合科技與時俱進。

例如，在111年憲判字第1號中，針對肇事駕駛人該不該強制被抽血檢測酒精濃度，大法官便認為憲法「保障人民就是否揭露其個人資料及揭露之對象、範圍、時間及方式等，享有自主決定權，並保障人民對其個人資料之使用，有知悉、控制權及資料記載錯誤之更正權」。而就涉及個人資訊之取得與利用目的、範圍與程序等要求，「均應有法律或法律明確授權之規定」。

在司法院釋字第603號解釋，大法官面對按捺指紋、才能領取身分證的爭議，也提及：「主管機關尤應配合當代科技發展，運用足以確保資訊正確及安全之方式為之，並對所蒐集之指紋檔案採取組織上與程序上必要之防護措施，以符憲法保障人民資訊隱私權之本旨。」

綜觀大法官所累積的見解，我們可以發現：資訊隱私權的作用，不只有消極抵抗政府侵害的防禦功能，更具有積極要求國家提供保護的功能——也是說，國家為保障資訊隱私權，負有配合當代科技發展的保護義務，無論係由國家或私人蒐集、利用個人資訊，其皆應有法律基礎，且必須具備特定目的。為確保資訊正確及安全，更要建立資訊不受濫用與不當洩露的適當防護機制，這些防護機制並應配合當代科技發展而有所提升。

然而，在數位時代下，政府似乎未將人民資訊自主權的保護機制，納入政策的考量範圍內。此問題不僅在健保資料庫案中顯現出來，在政府所推動的eID、T-Road等兩大數位政策中，也可以看出這些政策對人民資訊自主權的風險。

從大法官的話檢視數位時代的資料串接

一、從健保資料庫到T-Road

除本次判決涉及的健保資料庫外，我國各政府機關其實早已建立多種資料庫，包含：戶政、地政、財政、社福、交通等，並在日常生活中大量利用人民個資。

行政院更於2019年1月10日核定「智慧政府推動策略計畫」，以現有政府骨幹網路（GSN）為基礎，建置跨機關資料傳輸專屬通道（以下簡稱T-Road）及管理平臺，達成各資料庫對接之目的。

但當各機關利用T-Road將民眾的個人資料進行串接、交換時，是否有充分考慮對個人資訊自主權之保障？《政府資料傳輸平臺管理規範》第8點規定：「透過T-Road資料傳輸前，應確認該資料傳輸符合資通安全管理法、個人資料保護法、本管理規範及該介接機關所定資料傳輸規定等相關法令規定。」

由上述條文可知，目前的T-Road只要符合《個資法》任何一款（註二），即可以讓各機關串接資料庫、交換民眾個資。但這部分，如果對照本次判決的指示——政府機關在利用人民的個人資料時，除了《個資法》，還要另定專法針對此種利用（包含：傳輸）行為，制定更細緻的法律規範。

因此，《政府資料傳輸平臺管理規範》第8點以空泛的文字，說明利用T-Road進行資料傳輸只需符合《個資法》，其實並未提供人民任何的個資保護機制。很有可能因為欠缺更具體的法律依據而違憲。

二、 eID與T-Road的潛在風險

時間走到2019年8月，行政院決定把T-Road和數位身分識別證（New eID）定調為智慧政府的兩大基礎架構。也就是說，透過eID作為開啟T-Road的鑰匙，以雲端方式串連政府所有服務，試圖達成「資料開放」和「極大化加值應用」目標。

依照國發會計畫，人民可以透過eID經雲端開啟T-Road的通道、申辦各類政府服務，這也意味單一機關有能力和權限連接到各類的政府資料庫調取資料。方便歸方便，但於服務申辦完畢後，也就等同人民同意各機關蒐集自己的資料。

但是，eID的推行，讓各機關依據「申辦服務之特定目的」所蒐集到的個人資料，皆可依據個資法等規定（如註二規定），透過T-Road讓各機關二次利用，人民將就無從預期自己的個人資料將如何被使用、更失去對個人資料的控制。

縱使如此，內政部在先前推動eID時，仍一再辯稱現行的個資法保護已足夠，無需制定專法，——這在健保資料庫的憲法判決出來後，可能就會踢到鐵板。

換言之，大法官已透過判決表示，政府在建置資料庫時，如涉及到資料儲存、處理、傳輸等行為，應該有專法提供相關防護機制，否則就會被認定規範的細膩程度不足；因此，內政部未來發行eID時，就背負著需另定專法的憲法義務，而不僅只是政治上的施捨。

此外，本次判決也說：基於人民對於資訊的自主控制，人民應在被強制加入健保資料庫後，有退出權。舉輕以明重，當人民在將自己的資料加入「單一資料庫」都有選擇權，在面對影響層面更為全面的數位身份認證制度，更應該有自主決定是否要被「數位化」的選擇權。這部分，也是未來內政部在制定專法時，不可忽視的部分。

從上述說明可知，本次健保資料庫的判決，將直接成為目前政府眾多資料庫間彼此串接、應用的憲法指標。而在這些數位政策背後，對於人民資訊隱私最大的危害，其實是「再識別化」等「數位足跡」問題。

為什麼該留意自己的數位足跡？

一、去識別化就夠了？你該知道的再識別化風險

你以為個資遮掉姓名就沒事了嗎？由於科技的日新月異，假名化（pseudonymization）和匿名化（anonymization）等去識別化（deIDentification）技術已難絕對保障隱私權。

早在1997年，美國即有學者透過選舉名冊上的姓名、地址、出生年月日、五碼郵遞區號，從去識別化的資料中，找出特定人（註三）。

再者，近年來，隨著人工智慧與機器學習技術的演進，也讓比對大量資料、識別個人身份變得更加容易。如在2017年的研究中，即證明只要透過演算法，就能以獲得少量個人的移動資料——如從行動通訊業者釋出的匿名化定位資料庫，識別使用者的特定身份，藉此取得更全面的移動軌跡（註四）。

總的來說，經聚合後的個人資料，即使去識別化，都會有再識別化的風險。亦即，此技術就如同「以簾遮物」，雖然看不見簾後之物，但「物」本身亦無任何變化。

隱匿身份的個人資料，仍然包含大量能連結到特定個人的各種資料。就算該特定個人的身份資訊已被匿名，在當代鉅細靡遺的巨量資料庫、以及日新月異的「再識別化」技術發展之下，透過跨資料庫的比對和串接，在不破譯匿名化加密機制的情況下，重新識別個人身份，已是被公認的隱私風險——當「去掉遮蔽之簾後，物的全形會被一覽無遺」。

二、蠶食鯨吞個人資訊自主權的數位足跡

再識別化科技的進步，將導致數位足跡（digital footprint）的問題變得不可忽視。數位足跡，就是指民眾在網路上從事的所有活動所留下來的痕跡。也就是說，當民眾在不同資料庫使用不同服務時，所留下來的使用紀錄，皆可能稱為數位足跡。如以門禁卡進出門禁時，所留下來的卡片讀取資料。

至於數位足跡可能會對資訊自主權造成什麼問題呢？

首先，即是對個人的分析和剖繪：在不同資料庫的資料串接下，國家掌有大量民眾的數位生活足跡，透過分析、分類，就能拼湊出「個人的圖像」。也就是說，數位資料庫帶來的風險，其實不在於資料庫本身，而在於資料庫之間的資料串連，本身即可能讓公權力或有資力的私人掌握「我們的數位生活圖像」（註五）。

儘管這些數位足跡看似匿名、皆被去識別化，但實際上，串接越多的資料庫、建置越完整的系統，就越可能藉由個資收集及利用，拼湊出完整的個人圖像。上面提到的分析模式，正傷害了我們的資訊自主權——即在眾多資料庫的串接、建置下，用戶並不知悉自身留下的足跡是如何被拼湊，更無法控制這些涉己資訊如何被他人利用，也無從確認圖像拼湊是否正確，進而失去自我資訊的控制權。

其次，數位足跡的蒐集，更可能衍生對整個社會的監控。按照美國隱私法學者Daniel Solove之定義，監控（Surveillance）即是對個人活動的觀看、收聽或記錄。透過蒐集數位足跡，除了當下的監控外，更令人擔憂：資料蒐集完畢後的分類與標記，及後續再利用分類的持續性監控。

這種社會性的、結構性的監控，正如Solove教授指出的，會使個人產生「被監視感」，除使主體改變自身行為外，也可能導致主體無時無刻處在自我審查狀態，抑制特定行為（註六）。行文至此，可知數位時代中的數位足跡，不論是對個人的剖繪，會衍生對整體社會的監控，都對個人資訊自主權造成極大風險。

重申「退出權」重要性，大法官判決也應跟進科技發展

面對數位時代下的隱私風險，本次判決為政府提出很多積極指引及明確要求。

首先，本次判決中認定，國家有保護人民個人資料的義務。針對個資運用，應建立獨立的監督機制。

其次，大法官既認定目前健保資料的使用，欠缺足夠法律作為依據，無法確實保護人民個資──由此可以推論，政府在推動任何重大的數位政策時，對於個資保護也應採取相同要求，要提供相對應的程序保障，降低侵害人民隱私的風險。因此，內政部未來發行eID時，就應制定專法作為依據，並詳細規劃相關組織與運作程序。此要求，是政府憲法上的義務，而不只是政府政治上的施捨。

再者，本次判決也明確指出，為了充分保障資訊隱私，當事人原則上有事後控制權。不因其曾表示同意或先前符合強制蒐用要件，當事人即事後喪失請求刪除、停止利用或限制利用個資的權利。

從資料自主控制的角度來看，事後控制（選擇退出）的重要性，並不亞於事前控制。也就是說，不能因事前同意，就從此排除人民不再繼續揭露個人資料之可能。透過事前、事後的選擇權，才能說人民擁有完整的資訊「自主控制」，而不是一旦選擇加入，即失去所有的改變可能。

因此未來政府推動的數位政策，也應參考本號裁判，使人民得以擁有「退出權」，以讓人民可以擁有完整的「資訊自主權」。舉例而言：未來內政部在制定eID專法時，不得忽視此部分，應給予人民自由選擇要使用紙本身分證或採用eID的權利。

然而，於本判決中，大法官認定健保資料庫的去識別化技術還未達到無法容忍的程度，尚且符合比例原則的程度。

所謂比例原則，是要求政府對於人民權利的限制手段，須要有特定目的；此限制手段不僅要達到這個目的，還要剛剛好，是最小的侵害手段；最後，相關的損害更不能造成如「大砲打小鳥」般的利害失衡。

依照此一標準，大法官認為健保資料庫是為了公益目的，雖然資料去識別化後還是有以極端方式還原特定當事人的可能性。但此手段已已大幅降低蒐用個人健保資料的隱私風險，而得通過比例原則的審查。

但從本文前述的數位足跡、再識別化風險可知，隨著科技進展，去識別化並沒有辦法完全阻斷對於資訊自主的侵害，透過相關手段的發展，未來還是有可能造成數位剖繪、數位監控，乃至於侵蝕對個人、社會資訊自主權之保障。依照大法官歷來之見解（含本次判決），對於隱私的保障應配合當代科技發展，因此大法官針對再識別化風險的見解，也應隨著科技進展有所演變，才不會讓與時俱進變成一句空話。　　　

本文核稿：網站主編王鼎棫

註：針對健保病資，可否用在申報健保給付之目的外，這裡會用到個資法第6條第1項但書第4款：「有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料，不得蒐集、處理或利用。但有下列情形之一者，不在此限：四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的，為統計或學術研究而有必要，且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。」大法官指出，前述規定並沒有不清楚或太超過的地方，認定符合法律明確性原則及比例原則，與憲法第22條資訊隱私權並無牴觸。

註二：此處主要會涉及個資法第6條第1項以及個資法第16條第1項。

個資法第6條第1項規定：「有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料，不得蒐集、處理或利用。但有下列情形之一者，不在此限：一、法律明文規定。二、公務機關執行法定職務或非公務機關履行法定義務必要範圍內，且事前或事後有適當安全維護措施。三、當事人自行公開或其他已合法公開之個人資料。四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的，為統計或學術研究而有必要，且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。五、為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內，且事前或事後有適當安全維護措施。六、經當事人書面同意。但逾越特定目的之必要範圍或其他法律另有限制不得僅依當事人書面同意蒐集、處理或利用，或其同意違反其意願者，不在此限。」

同法第16條第1項則規定：「公務機關對個人資料之利用，除第六條第一項所規定資料外，應於執行法定職務必要範圍內為之，並與蒐集之特定目的相符。但有下列情形之一者，得為特定目的外之利用：一、法律明文規定。二、為維護國家安全或增進公共利益所必要。三、為免除當事人之生命、身體、自由或財產上之危險。四、為防止他人權益之重大危害。五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要，且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。六、有利於當事人權益。七、經當事人同意。」

註三：參王柏堯，T-Road 與個人隱私保障，中研院法律所，數位時代下的國民身分證與身分識別政策建議書，頁103。

註四：Rocher, Luc, Julien M. Hendrickx, and Yves-Alexandre De Montjoye. “Estimating the success of re-identifications in incomplete datasets using generative models.” Nature communications 10.1 (2019): 1-9.  https://www.nature.com/articles/s41467-019-10933-3/

註五：參劉靜怡，Road to Digital Totalitarianism，中研院法律所。數位時代下的國民身分證與身分識別政策建議書，頁89。

註六：參Daniel Solove, A Taxonomy of Privacy，頁490。