設定要替換的判決書內文
臺北高等行政法院判決
103年度訴更一字第120號
105年4月21日辯論終結
原 告 蔡季勳
邱伊翎
施逸翔
上二人共同
訴訟代理人 涂予尹 律師
原 告 陳瑞榆
訴訟代理人 蘇錦霞 律師
原 告 滕西華
訴訟代理人 劉繼蔚 律師
原 告 黃淑英
劉怡顯
洪芳婷
上八人共同
訴訟代理人 翁國彥 律師
被 告 衛生福利部中央健康保險署
代 表 人 黃三桂(署長)住同上
訴訟代理人 蔡順雄 律師
陳怡妃 律師
鄭凱威 律師
輔助參加人 財團法人國家衛生研究院
代 表 人 余幸司(院長)住同上
訴訟代理人 蔡順雄 律師
鄭凱威 律師
陳怡妃 律師
輔助參加人 衛生福利部
代 表 人 蔣丙煌(部長)住同上
訴訟代理人 蕭維德 律師
黃金洙 律師
上列當事人間個人資料保護法事件,原告不服本院中華民國103年5 月14日102 年度訴字第36號判決,提起上訴,經最高行政法院103 年度判字第600 號判決廢棄發回更審,本院更為判決如下:
主 文
原告之訴駁回。
第一審及發回前上訴審訴訟費用由原告負擔。
事實及理由
一、程序事項:輔助參加人財團法人國家衛生研究院(下稱參加人國衛院)代表人原為龔行健,於本件訴訟進行中變更為余幸司,茲據參加人國衛院現任代表人依法具狀向本院聲明承受訴訟(見本院卷二第716至718頁),核無不合,應予准許。
二、事實概要:原告分別於民國101年5月9日(3件)、101年5月22日(1件)、101年6月26日(4件),以存證信函向被告表示,拒絕被告將其所蒐集之原告個人全民健康保險資料(下稱「健保資料」)釋出給第三者,用於健保相關業務以外之目的等語。
經被告分別以101年6月14日健保企字第0000000000C號函、101年6月14日健保企字第0000000000D號函、101年6月14日健保企字第0000000000G號函、101年6月14日健保企字第0000000000M號函、101年7月9日健保企字第1010030867號函(同文號4件,下合稱「系爭函文」,即本件原處分)回復原告等略以,被告因辦理全民健康保險(下稱「全民健保」)業務,而擁有全國民眾之納保與就醫資料,為促進國內全民健保相關研究,以提升醫療衛生發展,對外提供利用時,均依行為時電腦處理個人資料保護法(下稱「舊個資法」)之規定辦理,並有嚴格之資料管理措施,以保障研究資料被合法合理使用等語。
原告不服,提起訴願,均遭駁回(訴願決定:改制前行政院衛生署101年11月7日衛署訴字第1010019044號;
101年11月6日衛署訴字第0000000000、0000000000、0000000000、0000000000、0000000000、0000000000、0000000000號),提起行政訴訟,經本院以102年度訴字第36號判決(下稱「前審判決」)駁回,上訴人猶不服,提起上訴,復經最高行政法院103年度判字第600號判決(下稱「最高行政法院廢棄判決」)廢棄,發回本院更為審理。
三、本件原告主張:㈠依104年12月30日修正之個人資料保護法(下稱新個資法)第6條規定,「有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料」為一般所稱「敏感性個人資料」,除非有本條所列情形之一者外,原則上「不得蒐集、處理或利用」。
本案所涉及之原告健保資料,至少屬於原告之病歷與醫療個人資料,其蒐集、處理或利用應適用本條規定。
然公務機關「蒐集或處理」敏感性個資時,除應符合本條規定外,仍應符合新個資法第15條「應有特定目的」之規範;
「利用」敏感性個資時,除應符合新個資法第6條規定外,亦應受新個資法第16條「應於執行法定職務必要範圍內為之,並與蒐集之特定目的相符」之限制。
換言之,敏感性個資之蒐集、處理,應同時滿足新個資法第6條與第15條之規定;
敏感性個資之利用,亦必須同時符合新個資法第6條與第16條之要求。
因此,敏感性個資的「目的外利用」,必須符合新個資法第16條對目的外利用的所有限制。
依據最高行政法院廢棄判決意旨,「特定目的外之利用……並應注意其手段有助於目的之達成,選擇對人民權益損害最少之方式,對人民權益造成之損害不得與欲達成目的之利益顯失衡平,且其利用不得逾越特定目的之必要範圍,應與蒐集之目的具有正當合理之關聯。」
可知敏感性個資之目的外利用,除應符合新個資法第6條與第16條但書各款之一外,仍應同時受到比例原則以及正當合理關聯性之限制。
㈡新個資法第16條但書各款所排除者,僅為公務機關對個人資料之利用,應「與蒐集之特定目的相符」之限制,並未排除公務機關對個人資料之利用,仍應「於執行法定職務必要範圍內為之」之要求。
若不作此解釋,無異於允許公務機關得任意從事「非法定職務」之行為,將背離法治國原則之基本精神。
本件被告於蒐集之特定目的外,將未經加密而可直接識別之全民健保個資提供予輔助參加人衛生福利部(下稱參加人衛福部)之行為,若係基於參與「國民健康資訊建設計畫」之目的,顯然並非執行被告之法定職務。
再者,研究者發表研究成果刊登在學術期刊上,本無法直接等同於實現公共利益,若被告所指「學術研究」,係指將資料庫內之全民健保資訊用於改善臨床醫療技術、探究疾病原因或新藥開發,然被告迄今亦未說明自87年起建置「全民健康保險研究資料庫」迄今,實際應用在醫療學術或全民健保制度改革上,究竟有何具體研究價值或成果,難謂已證明被告將全民個人健保資料釋出予參加人,確實適合且有助於公共利益之實現。
故被告將原告個人健保資料提供予參加人衛福部及國衛院之目的外利用行為,不符合新個資法第16條第5款「基於公共利益」之要件。
㈢依最高行政法院廢棄判決之意旨,公務機關於「特定目的外」利用個人資料時,縱令假設其已符合新個資法第16條但書各款所列得不經當事人「事前」同意而為利用之情形,其採行之手段對個人受憲法保障之基本權利所造成之限制,仍應符合憲法比例原則及各個子原則之要求。
換言之,新個資法第16條但書第5款規定,雖可作為限制當事人「事前同意」之法律基礎,卻不是可以作為直接限制「事後停止請求權」之依據。
原判決雖然認為就權利本質而言,資訊自主權之事前與事後控制權屬一體之兩面,法律既已限制事前同意權,亦應同時限制事後排除權云云,惟此一「法律上判斷」既然經最高行政法院廢棄判決所駁斥在案,本院即應受到拘束。
準此,本案被告若主張基於學術研究之一般目的而利用健保個資,並在限制當事人之「事前同意」外,復欲進一步限制當事人之「事後停止請求權」,則不僅應說明所追求之目的何以較一般學術研究具有更重大與迫切之利益,更負有舉證義務,證明採行全面限制自主權之手段,確係為追求該等更重大與迫切利益所必要,方符合憲法比例原則要求,而非謂其目的外利用符合新個資法第16條但書第5款規定即為已足。
故被告以「不允許原告事後退出」之手段,將原告個人之健保資料提供予參加人衛福部,進行目的外利用,並非達成一般學術研究之必要手段,已牴觸比例原則下之「最小侵害原則」,違反憲法比例原則與正當合理關聯性之限制。
㈣對於個人資料之目的外利用,原應由個人資料的「原始蒐集者」負擔確保目的外利用為合法之義務,是新舊個資法第16條但書第5款,既然均以「資料無從識別特定當事人」作為無須取得當事人同意即可為目的外利用之要件,自應由「原始蒐集者」負責確保提供予「第二次利用」之資料,已無從識別特定個人。
故無論是新舊個資法第6條但書第5款規定之解釋,均應將重點置於「依『其』揭露方式無從識別特定之當事人」中的「其」,而將之解釋為「原始蒐集者(即第二次利用之提供者)」。
本件被告將未加密之健保資料提供予參加人衛福部,使之與其他行政機關建立之資料庫進行串連比對之目的外利用行為,不符新個資法第16條但書第5款與第6條第1項第4款,應由被告負擔「資料去識別化」義務之規定。
此外,被告及參加人衛福部均已於訴訟中自承,被告提供予參加人衛福部之健保資料係原始未加密之可識別資料,再由參加人衛福部以其程式自行加密,並保留解密之金鑰。
因此,被告將未加密之健保資料提供予參加人衛福部,使之與其他行政機關建立之資料庫進行串連比對之目的外利用行為,顯然不符合新個資法第16條但書第5款與第6條第1項第4款應由被告負擔「資料去識別化」義務之規定,應無疑義。
㈤參加人衛福部所稱之「加密」,充其量僅為以一組特定之亂碼取代個人身分證字號的「假名化」處理(pseudonymization),而非真正「無從識別特定當事人」之「去識別化」(anonymization)。
蓋判斷資料是否「無從識別特定當事人」,至少應從三個面向為之:標定可能性(singling out)、連結性(linkability)、推論性(inference)。
倘特定個人之資料可以從資料庫眾多資料中被標定,或者可將同屬一特定個人之資料在相同或不同之資料庫間相互連結,或者足以提供作為推論與該特定個人有關之新資訊,則該等資料仍屬「可識別之資料」。
反之,只有在資料已欠缺標定性、無連結性、亦不具有推論性時,方得謂該等資料已經屬於「無從識別特定當事人」。
參加人衛福部所為之加密處理,不僅仍允許健保資料內之串連,也允許與其他資料庫之資料進行串接比對,進而推論出與特定個人有關之新資訊,皆不符合前述「無從識別特定個人」之標準。
故參加人衛福部於取得可識別之全民健保個資後所為之加密處理,並未達到「去識別化」程度,其處理與利用該等敏感性個資之行為,不符合新個資法第6條第1項第4款與第16條但書第5款「無從識別特定當事人」之要件。
另依新個資法第11條第4項規定,原告對於被告本身之違法利用或參加人衛福部之違法處理利用行為,均得請求被告停止利用等情。
並聲明:㈠訴願決定及原處分均撤銷。
㈡被告應依原告之申請,作成准予停止將原告之個人健保資料提供予參加人國衛院建置「全民健康保險研究資料庫」及參加人衛福部建置「衛生福利資料科學中心」及分中心作為學術或商業利用之行政處分。
四、被告則以:㈠原告提起本件課予義務訴訟所憑請求權基礎為新個資法第3條第4款之規定,及司法院釋字第603號解釋所揭櫫「停止利用請求權」,然據以提起課予義務訴訟之請求權基礎應具有「請求權結構之法規範」始得為之,即指該法規範有構成要件、法律效果之規定於其中,而觀諸新個資法第3條之規定,細繹其規範之內容僅在闡明所列舉之權利不得預先拋棄或以特約限制之,但該等權利應如何具體實現、其實現之構成要件暨所生之法律效果為何則付之闕如,即該規定尚未見人民有何申請權,或得申請行政機關對其作成一定之行政處分之意旨於其中,顯見其非所謂「具請求權結構之法規範」。
又司法院釋字第603號解釋亦僅闡明「個人自主控制個人資料之資訊隱私權」之存在,然其具體內涵為何,其應如何具體實現、其實現之構成要件暨所生之法律效果為何仍付之闕如,仍有待立法者以具體法律之個別條文(如新個資法之規定)抑或行政機關以法規命令等予以規範、補充及落實,原告再依各該法律抑或法規命令等為權利上之主張,應非得逕依司法院釋字第603號解釋所揭櫫之基本權上位概念作為其向被告申請作成一定行政處分之依據。
故本件原告等依新個資法第3條之規定及司法院釋字第603號解釋為本件課予義務訴訟提起之依據,實與行政訴訟法第5條之要件不符。
㈡有關法務部101年7月30日法律字第10103106010號函(下稱法務部101年7月30日函)雖係針對舊個資法第16條之規定所為,然新個資法第6條第1項但書第4款同樣有「且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。」
等語之規定,故法務部101年7月30日函於新個資法第6條之適用上亦有參考之價值。
是以,參加人國衛院建置之「全民健康保險研究資料庫」中之健保資料,均已無足資辨識該特定當事人,則依法務部101年7月30日函意旨,各該資料既已無從以直接或間接方式識別之,其應已無新個資法之適用。
又依新個資法第6條第1項但書第2款、被告組織法第2條第5款及第8款規定可知,被告之執掌除有全民健保事項外,另就國內醫療品質提升之研擬、規劃及執行乃至於一切與全民健康有關之事項等亦皆屬被告之職掌範圍,是國內全民健康保險相關研究之促進、醫療衛生發展之提升等自屬被告之職掌無疑。
從而,被告將所掌之健保資料經過個人身分證字號加密程序、刪除個人出生日(僅有出生年月)且無個人姓名資料後,委託參加人國衛院建置「全民健康保險研究資料庫」對外提供學術研究利用,其目的既係基於提升國內醫療品質、促進國內醫療研究等公益目的,而國內醫藥衛生研究人員亦確實多運用該資料庫資料,發表大量學術研究成果並刊載於國內外期刊,確有助於國內醫療衛生及全民健保之發展,自屬被告於法定職務範圍內所為之行為。
又被告將所掌之健保資料提供予參加人國衛院建置「全民健康保險研究資料庫」前,業已經過二次加密,而參加人國衛院將「全民健康保險研究資料庫」之資料對外提供服務時,乃再另為加密,顯見業已該當事前或事後有適當安全維護措施之要件。
㈢被告為促進國內全民健保相關研究,以提升醫療衛生發展而達增進公共利益之目的,乃依新個資法第6條第1項但書第4款「基於醫療、衛生之目的為學術研究而有必要」之規定,將被告所蒐集之健保資料經過匿名、加密等處理後,委託參加人國衛院建置「全民健康保險研究資料庫」,就此一目的原告亦未否認,則本件應符合新個資法第6條第1項但書第4款之要件。
又依新個資法施行細則第17條規定,被告所為之「加密」程序實已符合新個資法對於個人資料保護之要求,而該當於新個資法第6條第1項但書第4款所規定「資料經過處理後或依其揭露方式無從識別特定當事人」之要件。
被告委託參加人國衛院建置「全民健康保險研究資料庫」提供予學術單位為資料加值服務之申請,其即應屬個人資料「提供者」,則承前所述,被告既已於提供申請前為3次之「加密」程序,即已達提供者處理後無從識別特定之當事人之要求;
而學術單位申請取得經加密之「全民健康保險研究資料」後,即屬個人資料「蒐集者」,一般而言學術單位依所申請資料而發表之論文等研究,均僅係相關個人資料分析研究後所得之最終結果,而不會有任何個人資料之揭露,應可認亦已達依其揭露方式無從識別特定之當事人之要求。
㈣被告所為利用行為確實已促成諸多學術研究成果並刊載於國內外期刊,顯見其確有助於國內醫療衛生及全民健保發展此一行政目的之達成,就此應有該當於所謂「適當性原則」;
而被告就所掌「健保資料」為利用前均已經層層加密程序而使該資料無從識別特定之當事人,對於當事人之隱私已有相當保障,故被告業已依侵害最小之手段達成行政目的,就此應有該當於所謂「必要性原則」;
再者,前開國內醫療衛生及全民健保發展之成果乃全民所得共享,此參「財訊」週刊所刊載斗大「兩千三百萬人健保資料找到肝癌解藥」之標題即明,而所為利用行為又業經層層加密程序而無侵害隱私之虞,顯見所欲追求之公益遠大於受損之私益,自符比例原則。
另基於學術、醫療研究之目的,本需有全民健保之實際統計資料,以便解讀該等統計數字所呈現之科學上意義。
凡此均足見被告之利用行為具有必要性亦符合比例原則。
至於原告主張除非有顯不能徵得當事人同意的情況,原則上需將當事人同意權作為前提條件,否則即侵犯渠等憲法所保障之個人資料自決權云云,顯係將所謂個人資料之「自主控制權」解釋為絕對之權利,此已明顯違反司法院釋字第603號解釋所揭櫫之意旨,洵不足採。
從而,所謂資訊自主權既非絕對之權利,而建置「全民健康保險研究資料庫」提供予學術單位為資料加值服務所達成之公益亦遠大於原告等所犧牲之利益,足見此應已通過比例原則之檢視。
且為了增進公共利益之必要時,得以法律為適當之限制,則原告所謂事前同意權或事後排除權,於增進公共利益之必要時本得予以限制。
㈤我國全民健保對象人數眾多,而每一年度門診件數更係驚人,如以新個資法第6條第1項但書第6款「書面同意」作為利用依據,所需耗費之社會成本實屬龐大,乃有以新個資法第6條第1項但書第2款及第4款規定,為被告將所掌健保資料委託參加人國衛院建立「全民健康保險研究資料庫」提供予學術單位為資料加值服務申請此一利用依據之必要。
又依被告與參加人國衛院簽訂之「全民健康保險研究資料庫建置及管理契約」第2條可知,被告所委託參加人國衛院之標的為「進行資料加值服務,負責健保研究資料庫之建置、對外提供、開放使用等相關事務與勞務」,亦即此一採購案為單純之勞務採購,是被告與參加人國衛院間針對「全民健康保險研究資料庫」之建置,僅為依政府採購法及其子法所為之私經濟行政,其間並不涉及行政機關行使公權力之行為,而無行政程序法第15條及第16條規定之適用,自無須有該法規所規定授權之依據或公告程序。
㈥依新個資法第8條第2項第2款、第9條第2項第1款及第6條第1項但書第2款之規定,參加人衛福部基於全民健保主管機關之身分(全民健康保險法第4條及第7條規定參照),本得因執行法定職務之必要,而依新個資法第6條第1項第2款規定向被告間接蒐集健保資料,且依參加人衛福部表示其間接蒐集健保資料之法源依據乃統計法第3條所規定,及衛福部組織法第2條所規定等語,而此一間接蒐集個人資料行為尚免為事前告知之義務,是可知被告將所掌之健保資料提供予參加人衛福部,洵係依法規所為。
又被告將所掌「健保資料」提供予參加人衛福部既係依法律之規定所為,應有該當於新個資法第6條第1項第1款規定,且新個資法第6條第1項第1款之「法律明文規定」等語,其並未如同條第4款規定「且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人」等語之要求,則縱被告將所掌「健保資料」提供予參加人衛福部時未先予「加密」,亦無任何違法之情事。
至原告雖稱該等加密資料得經由其他管道而有機會可找出特定個人之資料云云,然僅見空言指摘或推測,而未見提出實質證據以實其說,原告之主張自不足採等語,資為抗辯。
並聲明:原告之訴駁回。
五、參加人衛福部則以:㈠參加人衛福部所設置「健康資料加值應用協作中心」已於104年5月5日更名為「衛生福利資料統計應用中心」,嗣再於104年8月12日更名為「衛生福利資料科學中心」,並彙整原先作業規範重新制定「衛福部衛生福利資料應用管理要點」,資為作業依據。
有關參加人衛福部建置「衛生福利資料科學中心」係依據國民健康資訊建設計畫而來,主要目的係為將所蒐集之健康資料,於去識別化後,提供一平台與政府機關及學術單位予以加值利用以產生具應用價值之集體資訊,用以促進公共衛生決策品質、相關學術研究及醫療保健服務業等相關產業研發創新之參據,用以增進公共利益與全民福祉。
而「衛生福利資料科學中心」資料庫之使用及管理規定如下:⒈限制資料申請資格以政府機關之業務需求及學術研究及其他專業機構之研究用途需求。
⒉參加人衛福部就所提供之資料進行以下去識別化及資訊安全保護措施,確保個人資料不致外洩而損及當事人權益:將所提供之個人資料進行雙重加密,使資料庫所提供之資料無從直接或間接識別個人資訊;
申請人於申請時須提出IRB證明,證明申請案無違反醫學倫理或侵害特定人或少數人個資之疑慮;
資料欄位經篩選,以最小提供為原則,審查是否符合申請目的,且僅提供部分欄位資料檔而非全欄位資料檔;
於實體隔離之獨立作業區域進行資料加值分析;
使用資料庫人員需簽署使用合約書、保密切結書及聲明書;
僅允許攜出不具識別性之統計結果,個案資料不許攜出。
㈡按新個資法第6條規定,被告提供健保資料與參加人衛福部建置「衛生福利資料科學中心」之目的係為提供健康資料作統計分析以促進公共衛生決策品質、相關學術研究及醫療保健服務業等相關產業研發創新之用,符合新個資法第6條第1項但書第4款「基於醫療、衛生之目的,為統計或學術研究而有必要」之要件。
而依法務部105年4月8日法律字第10503505760號函檢送「公務機關利用去識別化資料之合理風險控制及法律責任」之研析報告,可採取「可匿之擬匿名化資料」方式進行去識別化,復依新個資法施行細則第17條規定,可證明參加人衛福部所採取之以代碼等方式雙重加密之方式即符合法律規定。
參酌上述參加人衛福部就資料之加密及申請利用所採取之各項資訊安全管控措施,即令參加人衛福部仍保有解密之工具,但資料經層層加密及管控後顯然已非一般無先前資訊之申請人可直接或輕易透過公開資料而間接識別,符合法律所定「資料經過蒐集者依其揭露方式無從識別特定之當事人」之要件。
㈢參加人衛福部前此一再說明依衛福部組織法第2條第1款及第12款,其職掌包含:「衛生福利政策、法令、資源之規劃、管理、監督與相關事務之調查研究、管制考核、科技發展及其他有關衛生福利事項」等,建置「衛生福利資料科學中心」目的既在促進公共衛生決策品質、相關學術研究及醫療保健服務業等相關產業研發創新,亦屬參加人衛福部之法定職掌,被告提供健保資料供參加人衛福部建置「衛生福利資料科學中心」即係協助衛福部執行法定職務,有其必要性,且現行加密作業方式已改為由參加人衛福部派專人至被告執行加密作業,再攜回加密之資料,原始資料自始均未曾離開被告,加密後之資料並由參加人衛福部依衛福部衛生福利資料應用管理要點進行控管,事前事後均已採取適當之安全維護措施,亦符合新個資法第6條第1項但書第5款「為協助公務機關執行法定職務之必要範圍內,且事前或事後有適當之安全維護措施」之規定等語,資為抗辯。
並聲明:原告之訴駁回。
六、參加人國衛院則以:㈠被告為促進國內全民健保相關研究,以提升醫療衛生發展,藉以達增進公共利益之目的,依新個資法第16條第2款、第5款之規定,將被告所蒐集之健保資料經過匿名等去個人化處理後,委託建置「全民健康保險研究資料庫」對外提供學術研究利用,而目前經國內優秀醫藥衛生研究人員運用該資料庫資料,發表大量優質學術研究成果並刊載於世界頂尖期刊,實有助於國內醫療衛生及全民健保之發展及提升,就此「財訊」週刊亦以斗大「兩千三百萬人健保資料找到肝癌解藥」之標題讚揚運用該資料庫所得到之寶貴成果,足見該資料庫資料之運用確有利於公共利益或學術研究而有必要。
除此之外,參加人國衛院更定期舉辦相關研討會及教育推廣活動,而致力於「全民健康保險研究資料庫」正確使用觀念含個人隱私維護之推廣及優良研究成果之發表,此確足提昇我國之醫療品質,亦足見參加人國衛院對於「全民健康保險研究資料庫」對外提供使用乙事之用心。
綜上,縱認被告將所掌健保資料提供予參加人國衛院建置「全民健康保險研究資料庫」屬目的外利用,然此亦符合新個資法第16條但書第2款及第5款規定之要件,而無任何之違法情事。
㈡蓋無論舊個資法第8條第4款、第7款抑或新個資法第16條第2款、第5款均有規定於該當「為增進公共利益者」及「為學術研究而有必要者」之要件下,得就所蒐集之個人資料為目的外利用,故新、舊法就此目的外利用之要件並無差異。
雖前審判決認本件應適用舊個資法第8條第7款之規定,然於判斷系爭函文是否合法時,其仍有參酌司法院釋字第603號解釋、新個資法第16條之規範意旨等,從嚴審酌被告就所蒐集「健保資料」為目的外利用乙節是否合法,而經審酌後尚認為所為目的外利用有該當於新個資法第16條之例外規定。
最高行政法院廢棄判決雖有指摘前審判決有關於新舊法之適用有所不當,然針對前審判決之其餘理由,即被告就所蒐集「健保資料」為目的外利用乙節符合司法院釋字第603號解釋、新個資法第16條之規範意旨等情,並未見指摘其有違背法令之情事,故前審判決此部分之認定尚無任何不當或違法之處等語,資為抗辯。
並聲明:原告之訴駁回。
七、上開事實概要欄所述之事實經過為兩造所不爭執,並有原告蔡季勳101年6月26日存證信函(原處分卷第1頁)、原告邱伊翎101年6月26日存證信函(原處分卷第4頁)、原告施逸翔101年6月26日存證信函(原處分卷第7頁)、原告陳瑞榆101年6月26日存證信函(原處分卷第10頁)、原告滕西華101年5月22日存證信函(原處分卷第13頁)、原告黃淑英101年5月9日存證信函(原處分卷第16頁)、原告劉怡顯101年5月9日存證信函(原處分卷第19頁)、原告洪芳婷101年5月9日存證信函(原處分卷第22頁)、系爭函文(原處分卷第2至3頁、第5至6頁、第8至9頁、第11至12頁、第14至15頁、第17至18頁、第20至21頁、第23至24頁)、訴願決定(前審卷一第35至123頁)、前審判決(前審卷二第338至354頁)、最高行政法院廢棄判決(本院卷一第7至15頁)等影本在卷可稽,自堪認為真正。
八、按受發回或發交之高等行政法院,應以最高行政法院所為廢棄理由之法律上判斷為其判決基礎,行政訴訟法第260條第3項定有明文。
本件為經最高行政法院發回更審之案件,本院在此個案中,自應受最高行政法院廢棄判決所表示個案法律意見之拘束,並依其提示之法律意見,據以為解釋法律之指針。
本院判斷如下:㈠按關於課予義務訴訟事件,行政法院係針對「法院裁判時原告之請求權是否成立、行政機關有無行為義務」之爭議,作成法律上判斷,故其判斷基準時點,非僅以作成處分時之事實及法律狀態為準,事實審法院言詞辯論程序終結前之事實狀態的變更,法律審法院裁判前之法律狀態的變更,均應加以考量(最高行政法院100年度判字第1924號、98年度判字第1211號、92年度判字第1331號、89年度判字第1659號等判決參照)。
本件原告訴請被告就其等之申請,應作成准予停止將原告之個人健保資料提供予參加人國衛院建置「全民健康保險研究資料庫」及參加人衛福部建置「衛生福利資料科學中心」及分中心作為學術或商業利用之行政處分,係屬課予義務訴訟,有關法律修正之適用問題,應以行政法院事實審言詞辯論終結時為基準時。
查原告等人先後於101年5月9日、5月22日、6月26日,以存證信函向被告表示拒絕將其個人健保資料用於原目的外使用,經被告分別於101年6月14日、同年7月9日,以系爭函文回復原告,當時有效法律仍為舊個資法;
迨原告提起訴願後,舊個資法始修正為新個資法,揆諸上開說明,本件原則上應適用新個資法。
㈡次按104年12月30日修正,於105年3月15日施行之新個資法第1條規定:「為規範個人資料之蒐集、處理及利用,以避免人格權受侵害,並促進個人資料之合理利用,特制定本法。」
第2條規定:「本法用詞,定義如下:一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。
二、個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。
三、蒐集:指以任何方式取得個人資料。
四、處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。
五、利用:指將蒐集之個人資料為處理以外之使用。
……」第3條規定:「當事人就其個人資料依本法規定行使之下列權利,不得預先拋棄或以特約限制之:一、查詢或請求閱覽。
二、請求製給複製本。
三、請求補充或更正。
四、請求停止蒐集、處理或利用。
五、請求刪除。」
第5條規定:「個人資料之蒐集、處理或利用,應尊重當事人之權益,依誠實及信用方法為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。」
第6條規定:「(第1項)有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料,不得蒐集、處理或利用。
但有下列情形之一者,不在此限:一、法律明文規定。
二、公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。
三、當事人自行公開或其他已合法公開之個人資料。
四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
五、為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。
六、經當事人書面同意。
但逾越特定目的之必要範圍或其他法律另有限制不得僅依當事人書面同意蒐集、處理或利用,或其同意違反其意願者,不在此限。
(第2項)依前項規定蒐集、處理或利用個人資料,準用第八條、第九條規定;
其中前項第六款之書面同意,準用第七條第一項、第二項及第四項規定,並以書面為之。」
第11條規定:「(第1項)公務機關或非公務機關應維護個人資料之正確,並應主動或依當事人之請求更正或補充之。
(第2項)個人資料正確性有爭議者,應主動或依當事人之請求停止處理或利用。
但因執行職務或業務所必須,或經當事人書面同意,並經註明其爭議者,不在此限。
(第3項)個人資料蒐集之特定目的消失或期限屆滿時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。
但因執行職務或業務所必須或經當事人書面同意者,不在此限。
(第4項)違反本法規定蒐集、處理或利用個人資料者,應主動或依當事人之請求,刪除、停止蒐集、處理或利用該個人資料。
(第5項)因可歸責於公務機關或非公務機關之事由,未為更正或補充之個人資料,應於更正或補充後,通知曾提供利用之對象。」
第13條規定:「(第1項)公務機關或非公務機關受理當事人依第十條規定之請求,應於十五日內,為准駁之決定;
必要時,得予延長,延長之期間不得逾十五日,並應將其原因以書面通知請求人。
(第2項)公務機關或非公務機關受理當事人依第十一條規定之請求,應於三十日內,為准駁之決定;
必要時,得予延長,延長之期間不得逾三十日,並應將其原因以書面通知請求人。」
第15條規定:「公務機關對個人資料之蒐集或處理,除第六條第一項所規定資料外,應有特定目的,並符合下列情形之一者:一、執行法定職務必要範圍內。
二、經當事人同意。
三、對當事人權益無侵害。」
第16條規定:「公務機關對個人資料之利用,除第六條第一項所規定資料外,應於執行法定職務必要範圍內為之,並與蒐集之特定目的相符。
但有下列情形之一者,得為特定目的外之利用:一、法律明文規定。
二、為維護國家安全或增進公共利益所必要。
三、為免除當事人之生命、身體、自由或財產上之危險。
四、為防止他人權益之重大危害。
五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
六、有利於當事人權益。
七、經當事人同意。」
該法施行細則第10條規定:「本法第六條第一項但書第二款及第五款、第八條第二項第二款及第三款、第十條但書第二款、第十五條第一款、第十六條所稱法定職務,指於下列法規中所定公務機關之職務:一、法律、法律授權之命令。
二、自治條例。
三、法律或自治條例授權之自治規則。
四、法律或中央法規授權之委辦規則。」
準此,公務機關如係執行該細則第10條所列法規所規定之職務,而有蒐集或處理個人資料之必要者,須符合新個資法第15條之規定。
另依新個資法第16條規定,公務機關對於個人資料之利用,原則應於執行法定職務必要範圍內為之,並與蒐集之特定目的相符,否則,應符合新個資法第16條但書各款所列情形之一,始得為特定目的外之利用;
並應注意其手段有助於目的之達成,選擇對人民權益損害最少之方式,對人民權益造成之損害不得與欲達成目的之利益顯失衡平,且其利用不得逾越特定目的之必要範圍,應與蒐集之目的具有正當合理之關聯。
㈢又按「維護人性尊嚴與尊重人格自由發展,乃自由民主憲政秩序之核心價值。
隱私權雖非憲法明文列舉之權利,惟基於人性尊嚴與個人主體性之維護及人格發展之完整,並為保障個人生活私密領域免於他人侵擾及個人資料之自主控制,隱私權乃為不可或缺之基本權利,而受憲法第22條所保障(本院釋字第585號解釋參照),其中包含個人自主控制其個人資訊之資訊隱私權,保障人民決定是否揭露其個人資料、及在何種範圍內、於何時、以何種方式、向何人揭露之決定權,並保障人民對其個人資料之使用有知悉與控制權及資料記載錯誤之更正權。
隱私權雖係基於維護人性尊嚴與尊重人格自由發展而形成,惟其限制並非當然侵犯人性尊嚴。
憲法對個人資訊隱私權之保護亦非絕對,國家基於公益之必要,自得於不違反憲法第23條之範圍內,以法律明確規定強制取得所必要之個人資訊。
至該法律是否符合憲法第23條之規定,則應就國家蒐集、利用、揭露個人資訊所能獲得之公益與對資訊隱私之主體所構成之侵害,通盤衡酌考量。
並就所蒐集個人資訊之性質是否涉及私密敏感事項、或雖非私密敏感但易與其他資料結合為詳細之個人檔案,於具體個案中,採取不同密度之審查。
而為確保個人主體性及人格發展之完整,保障人民之資訊隱私權,國家就其正當取得之個人資料,亦應確保其合於目的之正當使用及維護資訊安全,故國家蒐集資訊之目的,尤須明確以法律制定之。
蓋惟有如此,方能使人民事先知悉其個人資料所以被蒐集之目的,及國家將如何使用所得資訊,並進而確認主管機關係以合乎法定蒐集目的之方式,正當使用人民之個人資訊。」
(司法院釋字第603號解釋參照)。
㈣系爭函文性質上屬行政處分,自得為行政訴訟之訟爭對象:按新個資法第3條規定:「當事人就其個人資料依本法規定行使之下列權利,不得預先拋棄或以特約限制之:一、查詢或請求閱覽。
二、請求製給複製本。
三、請求補充或更正。
四、請求停止蒐集、處理或利用。
五、請求刪除。」
可知為保障並強化當事人就其個人資料擁有自決權,新個資法賦予當事人重要之「武器」,除法律另有特別規定外,原則上當事人對於蒐集或持有個人資料者,無論是公務或非公務機關,皆有該條所規定之權利,且該等規定不得預先拋棄或以特約限制之。
又同法第11條第4項規定:「違反本法規定蒐集、處理或利用個人資料者,應主動或依當事人之請求,刪除、停止蒐集、處理或利用該個人資料。」
第13條第2項規定:「公務機關或非公務機關受理當事人依第十一條規定之請求,應於三十日內,為准駁之決定;
必要時,得予延長,延長之期間不得逾三十日,並應將其原因以書面通知請求人。
」另參酌新個資法第13條之立法理由:「……當事人向公務機關或非公務機關請求查詢、閱覽、製給複製本,或請求更正、補充、刪除、停止蒐集、處理或利用其個人資料,遭駁回拒絕或未於規定期間內決定時,得依相關法律提起訴願或訴訟,自不待言。」
可知新個資法在於規範資料蒐集者對其所蒐集之個人資料,有維護其正確性之義務;
且其蒐集須基於特定目的,當事人如發現資料蒐集者違反該法所定蒐集、處理或利用個人資料之相關規定,均有請求資料蒐集者更正、補充,或刪除、停止蒐集、處理或利用該個人資料之權利。
且依前述規定,當事人向行政機關提出上開請求,行政機關應依據相關規定為審查,於期限內為准駁之決定,並通知當事人。
換言之,人民依據新個資法向行政機關請求停止蒐集、處理或利用,性質上係請求行政機關作成一准予停止蒐集、處理或利用之行政處分,而非僅請求行政機關作成一單純提供之事實行為,故於行政機關否准當事人之請求所為之決定,乃係機關就公法上具體事件所為之決定而對外直接發生法律效果之單方行政行為,其性質為行政處分,是以,行政機關於否准其請求時,人民自得對之循序提起訴願、課予義務訴訟,以資救濟。
㈤被告將原告之個人健保資料提供予參加人國衛院建置「全民健康保險研究資料庫」及參加人衛福部建置「衛生福利資料科學中心」及分中心,屬於公務機關對於個人資料之利用:1.新個資法之立法目的在於規範個人資料之蒐集、處理及利用(新個資法第1條參照)。
所稱「蒐集」,指為建立個人資料檔案取得個人資料而言,以任何方式取得個人資料均屬之(同法第2條第3款參照),故不論是直接由當事人交付提供所取得之直接蒐集,或由第三人處取得之間接蒐集,均為蒐集;
另「處理」係指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送(同法第2條第4款參照),蓋資料經蒐集取得後,須建立成檔案才能利用以發揮其功效,在建立檔案或準備利用之過程中,所為上述記錄、輸入等行為,因未達於利用之階段,屬於本法所稱之「處理」。
至於「利用」,指將蒐集之個人資料為處理以外之使用(同法第2條第5款參照),蓋資料蒐集取得建立檔案後,其最終目的就是利用,以發揮工作之效率;
但何謂利用,實難用文字明確定義,因此新個資法將其定義為「將蒐集之個人資料為處理以外之使用」,以避免疏漏。
2.本件被告所蒐集之個人健保資料,主要係依全民健康保險法、全民健康保險醫療辦法、全民健康保險醫療費用申報與核付及醫療服務機構審查辦法(原名稱:全民健康保險醫事服務機構醫療服務審查辦法)等相關法令規定,在其職掌範圍內,由保險醫事服務機構申報醫療費用及上傳健保IC卡之就醫紀錄而來,符合新個資法第15條第1款「執行法定職務必要範圍內」之規定,兩造對此並無爭執。
兩造所爭執者,在於被告將原告之個人健保資料提供予參加人國衛院建置「全民健康保險研究資料庫」及參加人衛福部建置「衛生福利資料科學中心」及分中心,是否合法,其性質應屬公務機關對於個人資料之「利用」行為。
因此本件審究之重點,在於被告對原告個人健保資料之利用,是否合法有據乙節。
查被告依全民健保法第7條規定,為全民健保之保險人,為執行全民健康保險法所定全民健保業務之法定職務,基於全民健保之特定目的,即得蒐集相關個人資料,並得於上開蒐集之特定目的內利用之。
本件個人健保資料雖屬新個資法第6條所稱「有關醫療或健康檢查」之個人資料,惟其蒐集、處理及利用,仍應依新個資法第6條第1項但書第4款、第15條、第16條規定辦理。
前揭規定,乃規範公務機關蒐集處理個人資料後,合法利用該個人資料之要件。
準此,公務機關利用前揭個人資料,須「應於執行法定職務必要範圍內為之」、「與蒐集之特定目的相符」;
且資料蒐集者原則上應於「特定目的內」使用,僅例外在某些狀況下才能作「特定目的外」之利用。
㈥被告將原告之個人健保資料提供予參加人國衛院建置「全民健康保險研究資料庫」及參加人衛福部建置「衛生福利資料科學中心」及分中心,尚在被告執行法定職務必要範圍內為之:1.按被告組織法第1條規定:「衛生福利部為辦理全民健康保險業務,特設中央健康保險署。」
第2條規定:「本署掌理下列事項:一、全民健康保險承保業務之研擬、規劃及執行。
二、全民健康保險財務業務之研擬、規劃及執行。
三、全民健康保險醫療給付業務、醫療費用支付業務及醫務管理業務之研擬、規劃及執行。
四、全民健康保險藥品特材業務之研擬、規劃及執行。
五、全民健康保險醫療服務審查業務與醫療品質提升業務之研擬、規劃及執行。
六、全民健康保險制度執行業務之綜合規劃。
七、全民健康保險資訊業務之研擬、規劃及執行。
八、其他有關全民健康保險業務事項。」
2.次按財團法人國家衛生研究院設置條例第1條規定:「為加強醫藥衛生之研究,以增進國人之健康福祉,特設財團法人國家衛生研究院,並制定本條例。」
第3條規定:「本院之主管機關為行政院衛生署。」
第4條規定:「本院創立基金為新台幣20億元,由中央政府分年編列預算捐助之。」
第5條規定:「本院經費來源如下:一、創立基金之孳息。
二、政府補助專案研究計畫經費。
三、國內外公、私立機構、團體或個人之捐贈。
四、受託研究及提供服務之收入。」
可知參加人國衛院之成立目的在於從事醫藥衛生之研究,以增進國人之健康福祉。
而被告於87年間委託該院建置「全民健康保險研究資料庫」,於同年2月3日依勞務採購之方式與參加人國衛院簽有「全民健康保險學術研究資料庫建立及管理契約」(見前審卷一第337至345頁、前審卷二第250至255頁);
嗣於89年起正式對外提供學術研究利用。
由上開契約第2條第1項規定可知,被告所委託參加人國衛院之標的為「……進行資料加值服務,負責健保研究資料庫之建置、對外提供、開放使用等相關事務與勞務」(見前審卷一第338頁)。
3.又查參加人衛福部於96年1月31日陳報行政院通過「國民健康資訊建設計畫」,為推動健康資料加值應用,以加強統計支援決策功能,並增進學術研究能量,而於98年3月1日成立「健康資料加值應用協作中心」(該中心於104年5月5日、同年8月12日依序更名為「衛生福利資料統計應用中心」、「衛生福利資料科學中心」,見本院卷二第728至729頁),並於100年2月1日開始對外營運。
其建置目標主要係為將所蒐集之健康資料,於去識別化後,提供一平台與政府機關及學術單位予以加值利用,以產生具應用價值之集體資訊,用以促進公共衛生決策品質及相關學術研究之統計應用,進而增進公共利益與全民福祉等情,有更名前「健康資料加值應用協作中心」之網頁資料可稽(見前審卷二第110頁)。
4.依前述被告組織法第2條第5款及第8款規定,可知全民健康保險醫療服務審查業務與醫療品質提升業務之研擬、規劃及執行,與其他有關全民健康保險業務事項,均屬被告之掌理事項,是國內全民健保相關研究之促進、醫療衛生發展之提升等自屬被告之職掌,故被告將原告之個人健保資料提供予參加人國衛院建置「全民健康保險研究資料庫」及參加人衛福部建置「衛生福利資料科學中心」及分中心,尚在被告執行法定職務必要範圍內為之。
㈦被告將原告之個人健保資料提供予參加人國衛院建置「全民健康保險研究資料庫」及參加人衛福部建置「衛生福利資料科學中心」及分中心,符合新個資法第6條第1項但書第4款及第16條但書第5款之特定目的外之利用:1.按個人資料中有部分資料性質較為特殊或具敏感性,如任意蒐集、處理或利用,恐會造成社會不安或對當事人造成難以彌補之傷害。
是以,1995年歐盟資料保護指令(95/46/EC)、德國聯邦個人資料保護法第13條及奧地利聯邦個人資料保護法等外國立法例,均有特種(敏感)資料不得任意蒐集、處理或利用之規定。
我國個資法第6條於99年5月26日修正時,經審酌我國國情與民眾之認知,爰規定有關醫療、基因、性生活、健康檢查及犯罪前科等五類個人資料,其蒐集、處理或利用應較一般個人資料更為嚴格,須符合所列要件,始得為之,以加強保護個人之隱私權益。
新個資法第6條第1項但書第4款於104年12月30日修正時更明定例外得蒐集、處理或利用之要件,亦即公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究必要,經常會蒐集、處理或利用有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料,如依其統計或研究計畫,當事人資料經過匿名化處理,或其公布揭露方式無從再識別特定當事人者,應無侵害個人隱私權益之虞,基於資料之合理利用,促進學術研究發展,自得允許之。
另新個資法為促進資料合理利用,以統計或學術研究為目的,應得准許特定目的外利用個人資料,惟為避免寬濫,爰限制公務機關或學術研究機構基於公共利益且有必要,始得為之。
另該用於統計或學術研究之個人資料,經提供者處理後或蒐集者依其揭露方式,應無從再識別特定當事人,始足保障當事人之權益,因此新個資法第16條第5款亦明定前開情形得為特定目的外之利用。
再依新個資法第1條規定:「為規範個人資料之蒐集、處理及利用,以避免人格權受侵害,並促進個人資料之合理利用,特制定本法。」
開宗明義地揭櫫新個資法係規範民眾個人資料之蒐集、處理及利用行為,其立法目的有二,其一為個人隱私權之保護,避免人格權受侵害,另一促進個人資料之合理利用。
個人對自身資訊固應有處理與利用之自主權利,但基於個人資料的有用性,個人資料之合理利用,同係個資法的立法目的之一,是以個人資料的自主權利或資訊自決權,自不免存在著他人合理利用範圍,所以新個資法立法目的在於個人資料的「保護」,而非個人資料的「保密」,當個人權益與重大公共利益相衝突時,個人資訊的自主決定權應須有所退讓。
因此,如何確保個人資料之保護,又能合理利用個人資料,促進社會進步,使兩者保持平衡,始符合新個資法之立法宗旨。
準此個人對自身醫療或健康資料之自主權,非不得因醫(疫)學研究之公益目的需要而受合理之限制,據此本件被告之利用行為是否適法,非單一法益之考量,而須進行前述利益衡量,當公共利益顯大於個人資料之保護而有必要時,公務機關即得蒐集、處理或利用個人資料。
2.經查,被告有鑑於我國目前全民健保納保率達到99%以上,使得健保資料成為醫藥衛生相關領域研究中具有代表性的實證資料,其研究成果可作為醫藥衛生政策的參考,為重要的研究資源;
故自87年起,委託參加人國衛院推動「全民健康保險研究資料庫」之建置,經過兩年籌備,自89年起提供學界健保資料庫加值服務,以利相關研究。
其對學術界提供「一般申請」與「特殊需求」兩類服務,「一般申請」係提供4種制式光碟片加值資料檔,包括基本資料檔、系統抽樣檔、特定主題分檔、承保抽樣歸人檔等;
「特殊需求」則由研究人員依研究計畫提出擷取條件,其工作人員自加值資料庫擷取特定資料後提供。
又參加人衛福部依國民健康資訊建設計畫(National Health Informatics Project,NHIP)」,成立「衛生福利資料科學中心」,其建置目標係將個別健康資料予以加值,產生具應用價值之集體資訊,以促進公共衛生決策品質、相關學術研究及醫療保健服務業等相關產業研發創新之參據,用以增進全民福祉等情,有相關網頁資料附卷可稽(見前審卷一第232至249頁、前審卷二第175至190頁)。
可知被告將原告之個人健保資料提供予參加人國衛院建置「全民健康保險研究資料庫」及參加人衛福部建置「衛生福利資料科學中心」,係為學術研究之目的,且具公共利益,至為明確。
且被告將所掌之全民健保資料,委託參加人國衛院建置「全民健康保險研究資料庫」對外提供學術研究利用,其目的既係基於提升國內醫療品質、促進國內醫療研究等公益目的,而國內醫藥衛生研究人員亦確實多運用該資料庫資料,發表大量學術研究成果並刊載於國內外期刊(見前審卷一第291至308頁、本院卷一第288至291頁),學界申請研究踴躍,激盪研究能量,以103年向「衛生福利資料科學中心」所申請之最新資料(見本院卷一第292至298頁)觀之,被告所為利用行為確實已促成諸多學術研究成果並刊載於國內外期刊。
此外,前開國內醫療衛生及全民健保發展之成果乃全民所得共享,此參「財訊」週刊所刊載「兩千三百萬人健保資料找到肝癌解藥」之標題(見前審卷一第311至313頁),亦足見其確有助於國內醫療衛生及全民健保發展此一行政目的之達成,就此應有該當於所謂「適當性原則」。
被告就所掌「健保資料」為利用前均已經層層加密程序而使該資料無從識別特定之當事人(詳如後述),對於當事人之隱私已有相當保障,故被告業已依侵害最小之手段達成行政目的,就此應有該當於所謂「必要性原則」,所欲追求之公益遠大於個資之保護私益而有必要,就此應有該當於比例原則。
次按依參加人衛福部組織法第2條規定:「本部(衛生福利部)掌理下列事項:一、衛生福利政策、法令、資源之規劃、管理、監督與相關事務之調查研究、管制考核、政策宣導、科技發展及國際合作。
……。
十二、其他有關衛生福利事項。」
可知參加人衛福部之法定職掌並非如原告所言限於「全民健保財務之政策規劃、管理及監督」一端,舉凡與衛生福利政策、法令、資源之規劃、管理、監督與相關事務之調查研究或其他一切與衛生福利有關之事項,而有辦理統計之必要時,均為統計法第3條所稱參加人衛福部應辦理之統計,而屬參加人衛福部法定職掌。
從而,為辦理衛生福利相關事項之統計,參加人衛福部即可本於法定職掌請求被告提供健保資料,無需如原告所主張須限於「全民健保財務之政策規劃、管理及監督」之範圍。
而參加人衛福部所建置「衛生福利資料科學中心」係依據「國民健康資訊建設計畫」而來,主要目的係為將所蒐集之健康資料,於去識別化後,提供一平台與政府機關及學術單位予以加值利用以產生具應用價值之集體資訊,用以促進公共衛生決策品質、相關學術研究及醫療保健服務業等相關產業研發創新之參據,用以增進公共利益與全民福祉。
足見,參加人衛福部基於學術、醫療研究之目的,本需有全民健保之實際統計資料,以便解讀該等統計數字所呈現之科學上意義,凡此均足見被告之利用行為具有必要性亦符合比例原則,自符合新個資法第6條第1項但書第4款及第16條但書第5款之要件。
原告雖主張參加人國衛院於網站上有區分提供學術單位及非學術單位利用,即係有提供商業利用云云,經查,前開類別僅為申請人類別之區分,無論係何種申請類別,其所申請資料均仍應用於學術研究之目的,原告逕將「非學術研究類」與「商業利用」劃上等號,尚非可採。
3.被告提供參加人國衛院所建置「全民健康保險研究資料庫」及參加人衛福部所建置「衛生福利資料科學中心」及分中心,經過處理後其揭露方式已符合新個資法施行細則第17條之規定而無從識別特定之當事人:⑴按依新個資法施行細則第17條規定:「本法第六條第一項但書第四款、第九條第二項第四款、第十六條但書第五款、第十九條第一項第四款及第二十條第一項但書第五款所稱無從識別特定當事人,指個人資料以代碼、匿名、隱藏部分資料或其他方式,無從辨識該特定個人者。」
而依新個資法第2條第1款有關個人資料之定義反面解釋可知,所謂「去識別化」,即指透過一定程序的加工處理,使個人資料不再具有直接或間接識別性。
公務機關控管去識別化程度,應進行整體風險影響評估,綜合考量個人資料類型、敏感性程度、對外提供資料之方式、引發他人重新識別之意圖等因素,判斷去識別化之技術類型或程度,若係供公務機關或學術研究機構個別申請使用之資料,因資料提供對象有所限縮,除能對資料接收者之身分、使用目的、其他可能取得資料之管道、安全管理措施等先為必要之審查外,並得與資料使用者約定禁止重新識別資料之義務及其他資料利用之限制等,較有利於風險之控管,風險檻值相對較低,其資料去識別化之程度可相對放寬,可提供含有個體性、敏感性之擬匿名化資料,亦即可採取「可匿之擬匿名化資料」方式進行去識別化(即以專屬代碼、雙向加密或其他技術處理,使處理後之編碼資料無從識別特定個人,惟原資料保有者保留代碼與原始識別資料對照表或解密工具〈鑰匙〉之方式),是就資料揭露者於資料釋出過程所採取之各項安全維護及風險控管之措施,均係判別資料於揭露過程是否已達去識別化程度之依據。
個人資料經去識別化處理後,是否無從辨識該特定個人,應以資料接收者之角度判別揭露之資料是否具有直接或間接識別之可能。
即資料經過編碼方式加密處理後,處理後之編碼資料已無從直接或間接識別特定之個人,雖然資料保有者仍保有代碼、原始識別資料對照表或解密工具而得還原為識別資料,但只要原資料保有者並未將對照表或解密方法等連結工具提供給資料使用者,其釋出之資料無法透過該資料與其他公眾可得之資料對照、組合、連結而識別出特定個人時,該釋出之資料即屬無法直接或間接識別之資料而達法律規定去識別化之程度。
⑵經查,依被告委託參加人國衛院建置「全民健康保險研究資料庫」,並與其簽有「全民健康保險研究資料庫建置及管理契約」在卷(見前審卷一第337至345頁),依該契約第2條規定可知,被告所委託參加人國衛院之標的為「進行資料加值服務,負責健保研究資料庫之建置、對外提供、開放使用等相關事務與勞務」。
而各醫療院所申報醫療資料予被告後,即為被告所蒐集之原始資料(明碼),該資料先經被告去除個人資料中之姓名,並將個人資料中之病患ID、醫師ID、藥師ID、醫事機構代碼等欄位資料為第一次加密(加密即指以加密程式將特定欄位作變造)而進入被告之「倉儲資料庫」,嗣委託參加人國衛院建置「全民健康保險研究資料庫」時,所提供之資料乃再將前開病患ID、醫師ID、藥師ID、醫事機構代碼等欄位資料經過第二次加密,而成為參加人國衛院「全民健康保險研究資料庫」之原始資料。
嗣參加人國衛院將「全民健康保險研究資料庫」之資料對外提供服務時,乃再另為加密,原始資料之ID長度亦從原來之10碼變為32碼(見前審卷一第166至240頁、流程圖詳見前審卷一第314頁、本院卷一第301至302頁)。
再查,參加人國衛院就前開委託事項,業將「加值服務申請原則」公開於參加人國衛院網頁,以供申請者公開瀏覽之。
而申請者通常會依據參加人國衛院網頁所載之聯絡電話,先洽詢相關問題,以瞭解申請細節與應遵循之規則,後續才提出服務申請案(或不申請)。
又服務申請表單並已e化,採線上填寫,惟「全民健康保險研究資料庫資料加值服務使用同意書」需提供蓋章簽名正本,另併同研究計畫書及該計畫書經任一合格之「倫理審查委員會(IRB)」審查通過證明文件影本,郵寄予參加人國衛院。
待參加人國衛院收到該申請案後,行政人員會先檢視各項資料填寫完整性,後續再將申請案送交專家學者(按通常為二名),請其提供諮詢意見(專家學者為參加人國衛院所聘之委員,委員會之組成為參加人國衛院依契約附件「加值服務申請原則」之「五、監督管理」規定執行),有全民健康保險研究資料庫加值服務申請原則及申請流程等影本在卷為憑(見本院卷一第466至468頁)。
且參加人國衛院就資料為對外供學術研究之提供,依全民健康保險研究資料庫加值服務申請原則第5點(三)之規定,申請人所申請資料應符合研究所需,並遵循最少資料原則及抽樣原則,以保護個人隱私。
最少資料原則係指每件申請案以僅提供其研究所需最少資料為原則。
申請案之資料採分年計畫,每年所申請之資料以不超過該年資料總量10%為原則,凡超過10%上限者,參加人國衛院將請申請人以抽樣或限縮擷取條件等方式減量後提供(見本院卷一第466頁),可知被告原始蒐集之個人健保資料,經被告及參加人國衛院進行層層加密措施,且建構防止資料外流之處理程序,已無從識別特定當事人,自合於新個資法第6條第1項但書第4款及第16條但書第5款之去識別化要件。
原告雖提出原證2(見本院卷一第159至164頁)之投影片資料主張被告所為之「加密」程序未達「無從識別特定當事人」之程度云云。
惟查,該原證2除第1頁之第2張投影片屬參加人國衛院網站所得資料外,其餘投影片內容均為原告所自行製作,其中第1頁之第1張投影片之內容,被告並否認其真實,是原告前開主張真實性,已有所疑。
原告雖主張原證2第3頁(本院卷一第161頁)以下所檢附之承保資料檔、門診處方治療明細檔等資料可得出特定當事人云云,然姑不論該等資料是否為真,依原告所檢附之資料觀之,其身分證字號欄位均屬亂碼資料,無從得以識別特定個別當事人之情事或可能。
況縱如原告所稱仍得識別特定當事人云云,乃因其係先掌握特定個人之完整個資,再據該個資比對申請所得之資料,藉以確認比對出之結果為該特定個人,此與一般社會大眾在未事先知悉特定人身分之情況下,經由其揭露方式無從識別出特定個人身分之隱私暴露情形有異。
原告據此主張被告之「加密」程序未達「無從識別特定當事人」之程度云云,洵不足採。
⑶次查,參加人衛福部建置「衛生福利資料科學中心」之目的係為提供健康資料加值處理以供政府機關作為決策參考或供學術機構作次級資料分析及相關加值應用,並訂有「衛生福利部健康資料加值應用協作中心健康資料庫建置及使用作業規範」作為資料庫使用及管理之依據 (見前審卷二第113至115頁),依上開資料庫建置及使用作業規範第6點即限制得申請使用資料庫之資格及目的限於政府機關為業務需求之公益目的或各學術單位或相關醫事機構之研究用途需求為限。
其次,參加人衛福部就所提供之資料及申請流程進行以下去識別化及資訊安全保護措施,確保個人資料不致外洩而損及當事人權益:1.將所提供之個人資料進行雙重加密,使資料庫所提供之資料無從直接或間接識別個人資訊(前揭資料庫建置及使用作業規範第12點參照)。
2.資料欄位經篩選,以審查是否符合申請目的,且僅提供部分欄位資料檔而非全欄位資料檔(前揭資料庫建置及使用作業規範第5點、第8點參照)。
3.於實體隔離之獨立作業區域進行資料加值分析:就此,參加人衛福部訂有「衛生福利部健康資料加值應用協作中心獨立作業區作業規範」及「獨立作業區使用人員注意事項」(見前審卷二第116至118頁),採用實體隔離之獨立作業區域提供分析人員使用,為設有門禁管制並裝設監視設備之獨立空間、出入需配戴識別證、為單一出入口、僅可於指定電腦作業、無對外網路、不可攜入實體參考文件、手機、攝(錄)影機、筆記型電腦、個人數位處理器(PDA)、隨身碟及各類可攜式儲存攝錄設備,如需紙筆須向值班人員申請並須於離場前繳回專用紙筆,且全天候進行監控錄影(見前審卷二第116至118頁)。
以確保使用者無從自行攜入其他資料,藉以進行加密資料比對破解。
4.使用資料庫人員需簽署保密切結書及資料使用聲明書(前揭資料庫建置及使用作業規範第9點參照)。
5.僅允許攜出不具識別性之統計結果,個案資料不許攜出(前揭資料庫建置及使用作業規範第12點〈五〉〈六〉〈七〉之規定參照)。
由以上資料申請及處理過程,可知參加人衛福部就被告所提供之健保資料已進行相當嚴格之去識別化之加密處理,無從識別特定個人之資訊,並於資料提供之審查及作業過程設有相當嚴謹之管控及作業規範,以確保個人資料不致外洩,足證資料提供利用之處理程序,已無從識別特定當事人,自合於新個資法第6條第1項但書第4款及第16條但書第5款之去識別化要件。
原告主張參加人衛福部所為之加密處理,並未達到「去識別化」程度云云,尚非可採。
⑷原告雖主張被告及參加人衛福部均已自承,被告提供予參加人衛福部之健保資料係原始未加密之可識別資料,再由參加人衛福部以其程式自行加密,並保留解密之金鑰。
因此,被告將未加密之健保資料提供予參加人衛福部,使之與其他行政機關建立之資料庫進行串連比對之目的外利用行為,顯然不符合新個資法第16條但書第5款及第6條第1項但書第4款應由被告負擔「資料去識別化」義務之規定云云。
然按新個資法第16條但書第5款及第6條第1項但書第4款所規定「資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人」等語,乃指「提供者處理後」或「蒐集者依其揭露方式」二者「擇一」達到無從識別特定之當事人即可,而非指需「併同」達到無從識別特定之當事人,此參新個資法第6條第1項但書第4款及第16條但書第5款乃規定「或」而非「及」即明。
經查,參加人衛福部依其組織法之職掌本即包含:「衛生福利政策、法令、資源之規劃、管理、監督與相關事務之調查研究、管制考核、科技發展及其他有關衛生福利事項」等,其建置「衛生福利資料科學中心」目的既在促進公共衛生決策品質、相關學術研究及醫療保健服務業等相關產業研發創新,亦屬參加人衛福部之法定職掌,被告提供健保資料供參加人衛福部建置「衛生福利資料科學中心」及分中心即係協助參加人衛福部執行法定職務,為統計或學術有其必要性,且現行加密作業方式已改為由參加人衛福部派專人至被告執行加密作業,再攜回加密之資料,原始資料自始均未曾離開被告機關,加密後之資料並由參加人衛福部依前述作業及管理規定進行控管,事前事後均已採取適當之安全維護措施,自符合新個資法第16條但書第5款及第6條第1項但書第4款所規定「資料經過蒐集者依其揭露方式無從識別特定之當事人」之要件,原告前揭主張,自無足採。
⑸原告雖主張參加人國衛院所建置「全民健康保險研究資料庫」及參加人衛福部所建置「衛生福利資料科學中心」及分中心,仍有間接識別特定個人之可能,並聲請至前揭資料庫及中心調查證據。
惟查原告所聲請調查證據之方式,係請求至前揭處所,針對健康資料檔之資料進行搜尋及測試,其方法為原告提供特定個人可公開取得之部分承保與就醫資訊,藉由連接資料之搜尋,得出資料檔中該特定個人的醫療資料。
亦即,原告係在已知悉特定個人之身分之前提下,經輸入業已得知之資料以進行確認之程序,與一般社會大眾在未事先知悉特定人身分之情況下,經由揭露方式無從識別出特定個人隱私暴露之情形有異,以此方式調查證據,並主張參加人所建置資料庫及資料科學中心仍得間接識別特定個人之可能云云,自無足採。
況且,原告聲請調查證據之方式亦與現行參加人之作業及管理方式不符,以此調查證據,並不可採。
蓋依參加人衛福部「衛生福利資料科學中心」使用資料注意事項所示(見前審卷二第175頁),申請者申請至該中心使用資料庫檔案進行加值應用,需事先填具申請單(見前審卷二第176至181頁),載明申請者資料、實際處理資料人員清冊、研究計畫摘要、預計使用資料檔清單,尤其需敘明勾選之資料檔欄位,不允許全欄位申請,且限制最多可勾選之欄位數(每一資料檔允許勾選之最多欄位均不相同),供該中心事先審核申請者所申請勾選之欄位需求與所申請之研究目的是否相符,並進行二次加密後,始通知申請者至指定處所進行加值應用,且進行資料處理時不允許申請者攜入任何紙筆、隨身碟等任何資料儲存媒介、連接外部網路等等,只能使用中心提供之電腦在全程錄影下作業(業如前述)。
故該中心之作業方式原則上所申請之檔案欄位均應事先審核是否與申請目的相符並加密,事實上亦不允許申請者以特定個人之部分身分資料檔案進行檔案間之搜尋連結,是原告以實際作業上所不可能提供特定個人之部分資料方式進行檔案之搜尋為其調查證據方式,自難採取,本院認無調查之必要,原告主張被告及參加人構成行政訴訟法第135條訴訟上不當之證據妨礙行為云云,亦無足採。
㈧原告另主張縱令被告之利用行為合法,然其基於資訊自主權,仍可事後請求停止原蒐集目的外之利用云云。
惟按,個人資訊隱私權為憲法保障之基本權利,人民固有自由決定是否揭露其個人資料、及在何種範圍內、於何時、以何種方式、向何人揭露之決定權,並有對其個人資料之使用有知悉與控制權及資料記載錯誤之更正權;
惟憲法對資訊隱私權之保障並非絕對,國家得於符合憲法第23條規定意旨之範圍內,以法律明確規定對之予以適當之限制,為司法院釋字第603號解釋闡述明確。
再參酌新個資法第1條之規定,可知新個資法之立法目的有二,其一為個人隱私權之保護,避免人格權受侵害,另一是促進個人資料之合理利用。
其中保護個人隱私權之立法目的,為一般人較易認知之概念,後者有關個人資料合理利用之立法目的,則易受到忽略,然各類個人資枓經蒐集處理成檔案後,如能妥善利用,不論在政府行政、經濟發展、學術研究等各方面,均能發揮莫大功能,有效達成公益目的。
因此,基於個人資訊隱私權並非絕對權利,立法者自得在保障個人資料之隱私,以及合理利用個人資料之平衡考量下,限制個人資訊隱私權。
因此,原告雖主張資訊自主權有事前與事後控制權,然就權利本質而言,兩者應屬一體之兩面,法律既已限制事前同意權,亦應同時限制事後排除權,否則被告得不經個人同意利用其資料,個人卻能任意行使排除權,則法律所欲達到合理利用個人資料、增進公共利益之目的顯無以達成,如此一來,個人資訊自決權反成絕對權利,當非立法本旨,是原告主張其有不受限制之「事後退出權」乙節,尚無依據。
又原告另主張其等8人行使事後排除權,就相對於被告所提供全國民眾健保資料之數量比例而言,微不足道,不影響學術研究,故應允許其等行使事後排除權云云。
然個人得否行使事後排除權,其理由已如上述,應非以數量比例或影響力強弱等事由,作為判斷依據,其主張自無足採。
九、綜上所述,本件原告之主張委無足採,原處分據以駁回原告之申請,並無違誤,訴願決定予以維持,亦無不合。
原告訴請撤銷訴願決定及原處分,並請求被告應作成如其聲明所示之行政處分,為無理由,應予駁回。
十、本件事證已臻明確,兩造其餘攻擊防禦方法均與本件判決結果不生影響,故不逐一論述,併此敘明。
十一、據上論結,本件原告之訴為無理由,爰依行政訴訟法第98條第1項前段、第104條、民事訴訟法第85條第1項前段,判決如主文。
中 華 民 國 105 年 5 月 19 日
臺北高等行政法院第五庭
審判長法 官 曹 瑞 卿
法 官 林 惠 瑜
法 官 王 俊 雄
一、上為正本係照原本作成。
二、如不服本判決,應於送達後20日內,向本院提出上訴狀並表明上訴理由,如於本判決宣示後送達前提起上訴者,應於判決送達後20日內補提上訴理由書(須按他造人數附繕本)。
三、上訴時應委任律師為訴訟代理人,並提出委任書。
(行政訴訟法第241條之1第1項前段)
四、但符合下列情形者,得例外不委任律師為訴訟代理人。
(同條第1項但書、第2項)
┌─────────┬────────────────┐
│得不委任律師為訴訟│ 所 需 要 件 │
│代理人之情形 │ │
├─────────┼────────────────┤
│㈠符合右列情形之一│1.上訴人或其法定代理人具備律師資│
│ 者,得不委任律師│ 格或為教育部審定合格之大學或獨│
│ 為訴訟代理人 │ 立學院公法學教授、副教授者。 │
│ │2.稅務行政事件,上訴人或其法定代│
│ │ 理人具備會計師資格者。 │
│ │3.專利行政事件,上訴人或其法定代│
│ │ 理人具備專利師資格或依法得為專│
│ │ 利代理人者。 │
├─────────┼────────────────┤
│㈡非律師具有右列情│1.上訴人之配偶、三親等內之血親、│
│ 形之一,經最高行│ 二親等內之姻親具備律師資格者。│
│ 政法院認為適當者│2.稅務行政事件,具備會計師資格者│
│ ,亦得為上訴審訴│ 。 │
│ 訟代理人 │3.專利行政事件,具備專利師資格或│
│ │ 依法得為專利代理人者。 │
│ │4.上訴人為公法人、中央或地方機關│
│ │ 、公法上之非法人團體時,其所屬│
│ │ 專任人員辦理法制、法務、訴願業│
│ │ 務或與訴訟事件相關業務者。 │
├─────────┴────────────────┤
│是否符合㈠、㈡之情形,而得為強制律師代理之例外,上訴│
│人應於提起上訴或委任時釋明之,並提出㈡所示關係之釋明│
│文書影本及委任書。 │
└──────────────────────────┘
中 華 民 國 105 年 5 月 19 日
書記官 鄭 聚 恩
還沒人留言.. 成為第一個留言者