壹、原因案件背景事實及聲請意旨等【1】
一、原因案件背景事實【2】
我國自中華民國84年起實施全民健康保險制度,全體國民合於法定加保要件者,均一律參加全民健康保險。全民健康保險對象接受特約醫事服務機構之醫療照護服務,並由醫事服務機構依全民健康保險法(下稱健保法)第80條規定,向保險人即衛生福利部中央健康保險署(下稱健保署)提供相關資料(含保險對象之相關病歷與藥歷資料、處方箋、診療紀錄等),以申報醫療費用。因之,健保署為辦理全民健康保險業務(下稱健保業務),多年來已蒐集累積數量與種類均極其可觀之全民健康保險資料(下稱健保資料),其中包含個人健康保險資料(下稱個人健保資料)。【3】
健保署所蒐集之健保資料內容包括:健保醫療服務申報類總表、明細、醫令檔案;健保承保類檔案;健保卡上傳類檔案;檢驗檢查上傳類檔案(包含醫學影像資料);VPN(虛擬私人網路)上傳類檔案;特約醫事機構類檔案;健保給付項目及支付標準類檔案等。健保署前曾將健保資料委託財團法人國家衛生研究院(下稱國衛院)建置全民健康保險研究資料庫,並自89年起對外提供使用,此一全民健康保險研究資料庫委託建置利用關係,已於105年6月28日終止且不再由國衛院對外提供,國衛院並已將原始資料及光碟資料檔等交予健保署。健保署現設有全民健康保險保險人資訊整合應用服務中心,依其自訂之全民健康保險保險人資訊整合應用服務中心作業要點、全民健康保險保險人資訊整合應用服務申請案件審核作業原則等規定,對外提供前開健保資料,該對外提供之健保資料均已透過加密演算法以假名化處理。政府機關因公務需求或學術研究及其他專業機構因研究需求而需使用該中心之資料者,得檢具相關文件(包含倫理審查委員會證明),向健保署提出申請,由健保署審查;如健保署無法辨識或產生疑義之申請案,則由外部專家辦理複審;如有申請醫學影像,則另由全民健康保險影像資料應用審議會審議。【4】
此外,健保署並將健保資料中之健保醫療服務申報類總表、明細、醫令檔案以及健保承保類檔案,以金鑰加密後,提供予衛生福利部(下稱衛福部)所建置之衛生福利資料科學中心(前稱為健康資料加值應用協作中心)。該中心除健保資料外,尚包含其他衛生福利資料(包括出生通報檔、死亡通報檔、身心障礙者檔、國民健康訪問調查等),自100年開始對外提供使用。依其99年5月12日訂定發布之行政院衛生署健康資料加值應用協作中心使用資料作業要點第6點,請求提供資料供使用者,應檢具文件向該署統計室申請。該中心更名為衛生福利資料科學中心後,則設置衛福部衛生福利資料統計應用管理審議會,並訂有衛福部衛生福利資料應用管理要點、衛福部衛生福利資料申請案件審核作業原則等。該中心所蒐集之一級資料(具編號欄位且經處理使其無從識別特定個人之資料),僅有政府部門、學研單位或取得當事人書面同意使用衛生福利資料之衛生福利相關產業得申請使用,申請時應檢附之文件包含倫理審查委員會證明;申請案由衛福部就程序進行初審後,再由外部專家就內容進行複審。【5】
聲請人認健保署將健保資料交由國衛院建置全民健康保險研究資料庫對外提供使用,以及將健保資料傳輸予衛福部衛生福利資料科學中心對外提供使用,係將健保資料中所包含之受憲法隱私權保障之個人健保資料用於健保業務以外之目的,為原始蒐集目的外之使用,有違法之情事,於101年5月至6月間,分別以存證信函向健保署表示,拒絕健保署將聲請人之個人健保資料釋出給第三人,用於健保相關業務以外之目的。健保署於同年6月至7月間函復聲請人,拒絕其主張,其理由略以:健保署辦理健保業務,而擁有全國民眾之納保及就醫資料,為促進健保相關研究,以提升醫療衛生發展,對外提供資料時,均依行為時即84年制定公布之電腦處理個人資料保護法規定辦理;且其資料之提供,已有嚴格之資料管理措施,足資保障研究資料之合理使用等語。聲請人不服,提起訴願,遭駁回。【6】
聲請人遂以健保署為被告,向臺北高等行政法院起訴,請求撤銷原處分及訴願決定,並命健保署准予聲請人所請,停止將聲請人之個人健保資料,提供予國衛院之全民健康保險研究資料庫及衛生福利資料科學中心作學術或商業利用。臺北高等行政法院以102年度訴字第36號判決駁回聲請人之訴,聲請人上訴後經最高行政法院103年度判字第600號判決廢棄原判決,發回臺北高等行政法院更審;嗣臺北高等行政法院作成103年度訴更一字第120號判決仍駁回聲請人之訴,聲請人上訴後,末經最高行政法院106年度判字第54號判決(下稱確定終局判決),以無理由駁回聲請人之上訴。【7】
聲請人認確定終局判決所適用之個人資料保護法(下稱個資法)第6條第1項但書第4款等規定,有違憲疑義,於106年12月5日依司法院大法官審理案件法(下稱大審法)第5條第1項第2款規定聲請解釋憲法,請求宣告法規範違憲。【8】
二、聲請意旨【9】
聲請人主張略謂:1、個資法第6條第1項但書第2款及第5款、第15條第1款、第16條但書第5款,及有重要關聯性之同法第11條第3項但書、健保法第79條與第80條,允許國家僅依公務機關之組織法,即可強制蒐集、處理或利用人民之一般或私密敏感性個人資料(下稱個資),或大規模強制蒐集、處理或利用個資,或於原始蒐集目的外強制留存個資,違反法律保留原則;2、個資法第6條第1項但書第2款、第4款及第5款,第15條第1款、第16條但書第2款、第5款,未區別大規模、建立資料庫與小規模、個別性之個資蒐集、處理或原始蒐集目的外之利用行為,分別訂定不同之合法要件,與比例原則不符,侵害資訊隱私權;3、個資法第6條第1項但書第4款、第16條但書第5款,及有重要關聯性之個資法施行細則第17條,允許公務機關未經個資當事人同意,即一律得對仍具有間接識別可能性之個資,為強制蒐集、處理或進行原始蒐集目的外利用,違反比例原則,侵害資訊隱私權;4、具重要關聯性之個資法第11條第2項、第3項及第4項,因立法規範不足導致國家於正確性有爭議、特定目的消失或期限屆滿、違反個資法以外之情形,均得恣意禁止當事人對其個資進行事後控制之權能,侵害資訊隱私權;5、司法院釋字第603號解釋應予補充等語。【10】
三、本件主要爭議【11】
聲請人於原因案件訴訟中,並未對健保署因辦理健保業務,而蒐集、處理、自行利用個人健保資料之合法性有所爭執。其主要爭執係針對健保署將健保資料含個人健保資料,交予國衛院建置資料庫(現已停止,而由健保署設置全民健康保險保險人資訊整合應用服務中心),以及交予衛福部之衛生福利資料科學中心設置資料庫,並對外提供學術研究此一超越原始蒐集健保資料目的(辦理健保業務)之行為。【12】
貳、受理依據、審查範圍及審理程序【13】
一、受理依據【14】
(一)受理部分及審查範圍【15】
按人民、法人或政黨聲請解釋憲法,須於其憲法上所保障之權利,遭受不法侵害,經依法定程序提起訴訟,對於確定終局裁判所適用之法律或命令,發生有牴觸憲法之疑義者,始得為之,大審法第5條第1項第2款定有明文。又依司法院大法官第948次會議決議,當事人對於確定終局裁判所適用之司法院解釋,發生疑義,聲請解釋時,仍依大審法有關規定視個案情形審查決定之。【16】
查聲請意旨所主張之個資法第6條第1項但書第4款規定:「有關病歷、醫療、基因……健康檢查……之個人資料,不得蒐集、處理或利用。但有下列情形之一者,不在此限:……四、公務機關或學術研究機構基於醫療、衛生……之目的,為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。」(下稱系爭規定一)為確定終局判決所適用,且聲請人就此部分之聲請符合大審法第5條第1項第2款規定之要件,經司法院大法官於110年間決議受理。【17】
至聲請人主張個資法第6條第1項但書第4款其餘規定違憲部分,本庭認為本件判決應僅以該款規定中與本件原因案件主要相關部分(即系爭規定一)為審查核心範圍。是個資法第6條第1項但書第4款所規範之個資原包括病歷、醫療、基因、性生活、健康檢查及犯罪前科,且其得蒐集、處理、利用之法定目的包括基於醫療、衛生或犯罪預防,但本件原因案件所爭議之個人健保資料不包含性生活及犯罪前科資料,且其利用之目的也不及於犯罪預防,故本件審查範圍就個資部分僅以病歷、醫療、基因及健康檢查資料為限,而目的部分僅以法定之醫療、衛生目的相關者為限。【18】
又人民聲請憲法解釋之制度,除為保障當事人之基本權利外,亦有闡明憲法真義以維護憲政秩序之目的,故其解釋範圍自得及於該具體事件相關聯且必要之法條內容,而不以確定終局裁判所適用者為限。如非將聲請解釋以外之其他規定納入審查,無法整體評價聲請意旨者,自應認該其他規定為相關聯且必要,而得將其納為解釋客體(司法院釋字第445號及第737號解釋參照)。查聲請人主張應以重要關聯性,將健保法第79條及第80條規定納入審查範圍。健保法第79條規定:「保險人為辦理本保險業務所需之必要資料,得請求相關機關提供之;各該機關不得拒絕。保險人依前項規定所取得之資料,應盡善良管理人之注意義務;相關資料之保存、利用等事項,應依個人資料保護法之規定為之。」及第80條規定:「主管機關為審議保險爭議事項或保險人為辦理各項保險業務,得請保險對象、投保單位、扣費義務人及保險醫事服務機構提供所需之帳冊、簿據、病歷、診療紀錄、醫療費用成本等文件或有關資料,或對其訪查、查詢。保險對象、投保單位、扣費義務人及保險醫事服務機構不得規避、拒絕、妨礙或作虛偽之證明、報告或陳述。前項相關資料之範圍、調閱程序與訪查、查詢等相關事項之辦法,由主管機關定之。」(下併稱系爭規定二)雖然未經確定終局判決所適用,惟系爭規定二為健保法第9章「相關資料及文件之蒐集、查閱」之全部內容,用以規範保險人即健保署就健保資料及相關資料之蒐集、保存及利用行為,是針對原始蒐集目的外,個人健保資料之合理蒐集、處理及利用爭議言,系爭規定二與系爭規定一具密切關聯,如不將其納入審查,尚難為整體適當評價,本庭爰將系爭規定二納入審查範圍。【19】
另憲法訴訟法已於111年1月4日起施行,爰依該法第90條規定,由本庭適用該法規定繼續審理。【20】
(二)不受理部分【21】
至聲請人主張個資法第6條第1項但書第2款及第5款、第11條第2項至第4項、第15條第1款、第16條但書第2款及個資法施行細則第17條規定違憲部分,前開規定均非確定終局判決作成裁判之核心基礎;聲請人主張個資法第16條但書第5款部分違憲部分,並未經確定終局判決直接適用,且與本件核心爭議之高敏感特種個資無涉;聲請人主張補充司法院釋字第603號解釋部分,除本件爭議與該解釋之爭議無直接關聯外,另查該解釋意旨及內容闡釋甚為明確,並無文字晦澀或論證不周之情形,難謂有聲請補充解釋之正當理由,核無補充解釋之必要。是以上部分之聲請,均不符大審法第5條第1項第2款規定之要件,均應不受理。【22】
二、言詞辯論程序【23】
本庭於111年4月26日上午9時行言詞辯論,除通知聲請人及關係機關健保署、衛福部及國家發展委員會外,另邀請監察院國家人權委員會及專家學者到庭陳述。聲請人及關係機關於言詞辯論之陳述要旨如下:【24】
(一)聲請人略謂:1、依司法院釋字第603號解釋,大規模之資料蒐用,應至少採中度審查標準。本件涉及大規模資料之強制蒐用,且健保資料有更為深遠之串連效應,故應採嚴格審查。2、依司法院釋字第603號解釋,涉及資料庫或大規模蒐用資料時,應有行為法之具體規定。系爭規定一允許公務機關得以執行法定職務為名,以組織法為蒐用個資之依據,違反法律保留原則。3、依有權機關之解釋,透過代碼連結比對而得間接識別特定當事人之情形,仍符合系爭規定一關於無從識別特定當事人之要件;聲請人無意摧毀健保資料庫之完整性,但依系爭規定一,為學術研究之目的即一律得就尚有間接識別可能性之個資為目的外利用,未區分不同公益重要性,與比例原則仍有未符。4、系爭規定一欠缺對於目的外利用之審議程序,允許機關單方面認定是否滿足目的外利用要件,不符正當法律程序原則。5、個資法未規範包含退出權之一般性事後控制權能,係對事後控制權之過度限制,違反憲法對資訊隱私權之保障等語。【25】
(二)關係機關健保署略謂:1、系爭規定一已規定高敏感特種個資須經去識別化始得為蒐用,無違比例原則。2、就健保資料之目的外利用,健保署已訂有全民健康保險保險人資訊整合應用服務中心作業要點,作為目的外利用及相關管理之依據;並訂有全民健康保險保險人資訊整合應用服務申請案件審核作業原則,就申請案是否符合公益、隱私保障等為審查,已足資保護個人之資訊隱私權,如若仍有不足之處,並願與時俱進持續改善等語。【26】
(三)關係機關衛福部略謂:1、系爭規定一於健保資料供學術研究時仍符合比例原則:(1)健保資料之目的外利用,係為追求重大公益;(2)系爭規定一已有「無從識別當事人」之規定,即採取匿名、代碼、隱藏部分資料等方式處理後,方提供給研究者利用,或研究者直接取得個資,但發表時應確保揭露方式無從識別特定之當事人,已符合最小侵害原則;(3)如允許當事人請求刪除健保資料或退出健保資料庫,恐造成取樣偏差,故系爭規定一限制個人之刪除或退出權,尚無明顯法益失衡之情形。2、個資法之規範密度,縱因時代演進而有不足,仍不應因認高敏感特種個資在學術研究利用應另有法律明文規範,而逕認系爭規定一違反法律保留原則。3、就健保資料之目的外利用,衛福部已訂有衛福部衛生福利資料應用管理要點作為目的外利用及相關管理之依據;並訂有衛福部衛生福利資料申請案件審核作業原則,就申請案是否符合公益、隱私保障等為審查,已足資保護個人之資訊隱私權等語。【27】
(四)關係機關國家發展委員會略謂:1、司法院釋字第603號解釋之原因案件涉及指紋個資,其蒐集目的在識別特定當事人;而本件健保資料並非用於識別特定當事人,故本件聲請與司法院釋字第603號解釋有本質差異,無適用或補充該解釋之必要。2、司法院釋字第603號解釋涉及戶籍法專法,而本件所涉之系爭規定一為個資利用之一般性規範,就審查標準而言,自不應採取較該號解釋更為嚴格之審查標準。3、系爭規定一原則禁止蒐集、處理、利用高敏感特種個資,僅例外於符合主體、公益及利用目的與方式,且滿足必要性之嚴格控制之情形,始得為蒐用,故系爭規定一無違憲法對資訊隱私權之保障。4、就事後控制權部分,個資法第3條第5款已賦予請求刪除權、第5條規範利用個資之一般原則、第11條課予蒐集利用個資者主動停止處理或利用個資之義務,當事人亦得依同條第3項、第4項請求刪除、停止處理或利用個資,故個資法實已賦予事後控制權等語【28】
參、形成判決主文第1項至第4項之法律上意見【29】
一、據以審查之憲法權利【30】
隱私權雖非憲法明文列舉之權利,惟基於人性尊嚴與個人主體性之維護及人格發展之完整,並為保障個人生活私密領域免於國家與他人侵擾及個資之自主控制,隱私權乃為不可或缺之基本權利,而受憲法第22條所保障。其中就個人自主控制個資之資訊隱私權而言,乃保障人民決定是否揭露其個資、及在何種範圍內、於何時、以何種方式、向何人揭露之決定權,並保障人民對其個資之使用有知悉與控制權及資料記載錯誤之更正權(司法院釋字第603號解釋參照)。【31】
進一步而言,資訊隱私權保障當事人原則上就其個資,於受利用之前,有同意利用與否之事前控制權,以及受利用中、後之事後控制權。除當事人就獲其同意或符合特定要件而允許未獲當事人同意而經蒐集、處理及利用之個資,仍具事後控制權外,事後控制權之內涵並應包括請求刪除、停止利用或限制利用個資之權利。【32】
二、系爭規定一及二構成對個人資訊隱私權之限制【33】
系爭規定一係就原則上禁止蒐集、處理或利用之高敏感特種個資,例外容許公務機關或學術研究機構基於醫療、衛生法定目的之統計或學術研究必要,且擬蒐集、處理或利用之資料經一定程序處理後或揭露時,無從識別特定當事人之前提下,得未經當事人同意予以強制蒐集、處理或利用之規定。其屬對個人資訊隱私權中當事人(個資主體)於事前以同意方式控制其個資權利之限制。【34】
其次,個資若經處理,依其資料型態與資料本質,客觀上仍有還原而間接識別當事人之可能時,無論還原識別之方法難易,若以特定方法還原而可間接識別該個人者,其仍屬個資。當事人就此類資料之自主控制權,仍受憲法資訊隱私權之保障。反之,經處理之資料於客觀上無還原識別個人之可能時,即已喪失個資之本質,當事人就該資訊自不再受憲法第22條個人資訊隱私權之保障。個資法第2條第1款以「得直接或間接識別該個人」為是否屬個資之標準,即在表彰上開憲法對個人資訊隱私權保障界限之意旨。【35】
查個人健保資料包含系爭規定一之高敏感特種個資,具有高度個體差異,於客觀上非無以極端方式還原而間接識別特定當事人之可能性,此為科學上之事實。因此,個人健保資料無論為原始型態或經處理,均必然仍屬「得直接或間接識別該個人」之資料,當事人對於此類資料之自主控制權,受憲法保障。【36】
綜上所述,系爭規定一容許公務機關或學術研究機構基於醫療、衛生之統計或學術研究目的,而得於一定條件下強制蒐集、處理或利用個人健保資料,包括自行蒐集、處理與原始利用,以及就他人蒐集、處理、提供之資料之延伸利用,均毋須有當事人之同意;於此範圍內,當事人已大幅喪失對其個人健保資料之自主控制權,是系爭規定一已構成對當事人受憲法第22條保障之資訊隱私權之限制,應受法律明確性原則與比例原則之審查。又系爭規定二明定健保署就健保資料之蒐集、查閱,暨其保存、利用,應依個資法規定辦理,是系爭規定二聯結系爭規定一後,亦構成對資訊隱私權之限制。【37】
三、判決主文第1段法律明確性原則部分【38】
法律明確性之要求,非謂法律文義應具體詳盡而無解釋之空間或必要。立法者制定法律時,自得衡酌法律所規範生活事實之複雜性及適用於個案之妥當性,選擇適當之法律概念與用語。如其意義,自立法目的與法體系整體關聯性觀點觀察非難以理解,且個案事實是否屬於法律所欲規範之對象,為一般受規範者所得預見,並可經由法院審查認定及判斷者,即無違反法律明確性原則(司法院釋字第432號、第799號、第803號及第804號等解釋參照)。【39】
系爭規定一中「公務機關或學術研究機構」、「醫療、衛生目的」、「為統計或學術研究之必要」均屬客觀上非難以理解之用語。而系爭規定一以「無從識別特定之當事人」為利用病歷、醫療、基因、健康檢查等個人健保資料之條件,「無從識別特定之當事人」之文義,首可明確排除「可直接識別該個人」之資料型態;又與個資法第2條第1款規定之個資定義合併觀察,亦可排除「完全匿名且無還原可能性,因此不在個資法保護範圍內」之資料型態。準此,系爭規定一所採「無從識別特定之當事人」文義,尚非難以理解,且應已足使一般受規範者得預見,並可經由司法審查加以認定及判斷:系爭規定一之意旨,係指基於醫療或衛生法定目的,為統計或學術研究必要而蒐集、處理及利用個人健保資料之際,應採取去識別化之措施,使資料不含可直接識別特定當事人之資訊,但其資料仍屬可能間接識別特定當事人之資訊之情形。【40】
是系爭規定一容許公務機關或學術研究機構為醫療或衛生之法定目的,於統計或學術研究之必要時蒐集、處理及利用個人健保資料,並規定相關要件,其意義尚非難以理解、受規範者所不能預見,或無從經由司法審查加以認定及判斷,與法律明確性原則尚無違背。【41】
四、判決主文第1項比例原則部分【42】
(一)審查標準【43】
資訊隱私權之保障核心既在於保護個人對資料之自主控制權,則個資之蒐集、處理及利用,即應以取得當事人同意為原則。於未取得當事人同意,而允許基於其他事由強制蒐集、處理及利用個資之情形,本庭於審查時,應視所蒐用之個資屬性及其對隱私之重要性,而採不同寬嚴之審查標準,以定其是否合於比例原則。司法院釋字第603號解釋就指紋個資之蒐集,因指紋屬具備高度人別辨識功能之個資,且居於開啟完整個人檔案鎖鑰之地位,而採取中度審查(其目的應為重大公益,且手段應為與目的間具備密切關聯之侵害較小手段;司法院釋字第603號解釋參照)。【44】
查系爭規定一所規範之個人健保資料,此等個資承載大量個人資訊,藉由個人健保資料內所含之年齡、就醫機構,可能描繪個人生活區域、行動軌跡,由病歷、醫療及健康檢查資料內所含之傷病與醫療處遇史,諸如職業傷病、家暴傷害或性犯罪傷害、罹病與投藥紀錄、手術與診療影像紀錄、家族高危險疾病因子、生育紀錄、疫苗接種紀錄,亦可能描繪個人曾經歷之職業環境、社會生活事件、家庭與經濟環境、個人決策模式等極私密敏感事項。亦即,個人健保資料乃屬得深入解讀並預測資料當事人人格與身心狀況,進而模擬建構其人格圖像之重要個資,其具有私密敏感與潛在延伸影響資料當事人之社會、經濟生活(例如保險或就業)之特質。此等個人健保資料如受侵害,其所致生危害結果之嚴重性,尤甚於指紋。本庭爰認就系爭規定一是否合於比例原則,應採較指紋個資蒐集更高之嚴格標準予以審查。即其目的應係為追求特別重要之公益,其所採取手段應有助於目的之達成,且為最小侵害手段,所犧牲之私益與所追求之公益間應具相稱性,始與比例原則相符(司法院釋字第690號、第799號及第812號解釋參照)。【45】
(二)目的審查【46】
個資法第6條第1項但書第4款規定之立法目的係以:基於統計或學術研究之目的,經常會蒐集、處理或利用個資法第6條第1項所定之個資;基於資料之合理利用,促進學術研究發展,故應允許學術研究機構基於醫療、衛生等目的,為統計或學術研究之必要,得蒐集、處理、利用個資法第6條第1項所定之個資;而公務機關依法執行職務時需蒐集敏感資料進行統計,亦有相同之需要(立法院公報,第97卷第48期,院會紀錄,第131頁至第132頁;立法院公報,第99卷第26期,院會紀錄,第68頁至第69頁參照)。【47】
申言之,系爭規定一已明定蒐集、處理及利用之目的限於醫療與衛生,其立法目的係容許公務機關及學術研究機構得蒐集、處理及利用個人健保資料,以透過統計或學術研究方式,而促成法定目的即醫療、衛生之發展。按憲法第157條規定:「國家為增進民族健康,應普遍推行衛生保健事業及公醫制度。」憲法增修條文第10條第5項規定:「國家應……促進現代和傳統醫藥之研究發展。」第8項規定:「國家應重視……醫療保健等社會福利工作……。」即憲法已明示國家有促進衛生與醫療之責任,系爭規定一寓有透過統計或學術研究累積科學知識技術等公共財,諸如發現或確認辨識疾病有效治療方法,以提升醫療與公共衛生之目的,是系爭規定一所稱基於醫療、衛生之統計及學術研究目的,基本上尚難即謂不符特別重要公益目的之標準。惟實際操作上應由一定之獨立監督機制,依申請個案之相關情狀作嚴格之審查。【48】
(三)手段審查【49】
1、手段有助於目的之達成【50】
系爭規定一所採取之手段,係強制人民於公務機關或學術研究機構基於系爭規定一所定醫療或衛生目的,於統計或學術研究有必要且符合一定條件下時,有義務容忍其個人健保資料供統計或學術研究利用。公務機關或學術研究機構基於醫療、衛生之法定目的,為統計或學術研究而有必要利用個人健保資料,並非罕見。例如公務機關為制定符合國情與科學事實之醫療照護、社會保險、人口、傳染病防治政策,而須統計或學術研究者;或例如學術研究機構為學術研究之必要,利用已合法蒐集之病歷、醫療、基因及健康檢查等個資,有助於降低蒐集研究樣本成本、開展具有可行性之學術研究主題,進而達於制定有效醫療與衛生政策、累積醫學知識技術之目的者均屬之。是系爭規定一採取強制人民容忍其個人健保資料,供此類為特別重要公益之醫療、衛生法定目的之統計或學術研究而蒐用,其手段應有助於其目的之達成。【51】
2、手段為最小侵害手段且符合相稱性【52】
系爭規定一以「經過提供者處理後或揭露時無從識別特定之當事人」為利用個人健保資料之合法要件,亦即為醫療、衛生法定目的,蒐用個人健保資料,其提供者至遲於揭露時須為已經採取去識別化措施處理,使該個資成為非可直接識別當事人之資料。【53】
系爭規定一課予採取去識別化措施之義務,使一般人採取當時存在技術與合理成本,在不使用額外資訊時,不能識別特定當事人。雖個人健保資料於客觀上非無以極端方式還原而間接識別特定當事人之可能性,惟系爭規定一所採之去識別化手段已足大幅降低蒐用個人健保資料所生之個人資訊隱私權所生之侵害。【54】
而且系爭規定一除已明定目的限於醫療、衛生(排除其他目的),暨蒐用主體以公務機關及學術研究機構為限(排除其他人)外,並明定以統計或學術研究且必要為另一要件,亦已排除非為統計或學術研究者,暨非必要之統計及學術研究,是系爭規定一應與個人資訊隱私權之最小蒐用原則尚屬相符。【55】
或有主張將個人健保資料處理成為完全不具還原識別可能性之匿名資料再予利用,同樣能達成系爭規定一之法定目的等語。惟完全不具還原識別可能性之匿名資料,已非受憲法第22條資訊隱私權保障之個資;而且匿名資料固非全然不具學術研究價值,但已喪失病歷、醫療、基因及健康檢查資料作為學術研究樣本時可擇定變因交互比對、建立相關性之特性者,將無從達成系爭規定一所欲追求之特別重要公益目的。是系爭規定一以去識別化及公務機關及學術研究機構為醫療、衛生之統計或學術研究目的必要為合法蒐用要件,屬最小侵害手段。【56】
再者,系爭規定一所犧牲之個人敏感資訊隱私權固屬特別重要法益,但公務機關、學術研究機構基於醫療、衛生法定目的之統計或學術研究,係為救治或預防疾病,事涉公眾之健康,與社會集體安全之維護必要相關,更是特別重要公益。兩者相權,應認為系爭規定一之手段原則上尚符合相稱性要求。【57】
(四)小結【58】
綜上所述,系爭規定一與比例原則尚屬無違,不牴觸憲法第22條保障人民資訊隱私權之意旨。【59】
五、判決主文第2項部分【60】
就資訊隱私權之保障而言,除應以法律明確訂定蒐用個資之目的及要件外,應配合當代科技發展,運用足以確保資訊正確及安全之方式,並對所蒐集之個資採取組織上與程序上必要之防護措施,以符憲法保障人民資訊隱私權之本旨(司法院釋字第603號解釋參照)。前述組織上與程序上必要之防護措施中,個資保護之獨立監督機制為重要之關鍵制度。此一獨立監督機制之目的,在於確保個資蒐用者對於個資之蒐用,均符合相關法令之規定,以增強個資蒐用之合法性與可信度,尤其個人健保資料業已逸脫個人控制範圍,如何避免其不受濫用或不當洩漏,更有賴獨立機制之監督。又其審酌事項尤應包括特予注意個案利用之申請,其具體情狀是否合於比例原則,比如:依系爭規定一為高敏感特種個資之原始蒐集目的外利用者,因醫療、衛生之範圍甚廣,於具體個案中是否合於系爭規定一所欲達成之特別重要公益目的,可能因統計或學術研究之內涵而有差異,是就為醫療、衛生目的之統計或學術研究原始蒐集目的外利用之申請者,其是否確實符合特別重要公益標準,以使所犧牲之法益與所欲保護之法益不致輕重不相稱而失衡,暨是否確有強制蒐用必要等事項之審酌即屬之。至於監督機制如何設置,例如設置一個統籌性之獨立監管機制,或於各相關法律設置依各該專業領域設計之獨立監督機制,屬立法形成自由(註)。【61】
惟由個資法暨其他相關法律規定整體觀察,均欠缺個資保護之獨立監督機制,對個人資訊隱私權之保障自有不足,而有違憲之虞。相關機關應自本判決宣示之日起3年內,制定或修正相關法律,建立相關法制,以完足憲法第22條對人民資訊隱私權之保障。【62】
六、判決主文第3項部分【63】
根據憲法第23條之法律保留原則,國家限制人民受憲法保障之基本權利,應依其規範對象、內容或法益本身及其所受限制之嚴重程度,或直接根據法律,或經法律明確授權之命令,始得為之(司法院釋字第443號解釋參照)。又特定基本權利就其性質或保障內容,需仰賴國家積極提供適當組織與程序規定,始能獲得具體實踐者,國家亦應以法律或法律明確授權之命令為之,始符合法治國家法律保留原則之要求。【64】
基於個人健保資料所涉資訊隱私權之重要性,國家蒐集個人健保資料,構成對個人資訊隱私權之限制,即應有法律保留原則之適用;另就國家將強制蒐集之個人健保資料進一步儲存、處理,建立成資料庫,甚至對外傳輸,作原始蒐集目的外之利用而言,因已完全脫離個別資訊主體控制範圍,是如何確保該業已逸脫個人控制範圍之個人健保資料,不受濫用或不當洩漏,而導致資訊隱私權之侵害繼續擴大,國家亦有義務以法律積極建置適當之組織與程序性防護機制,以符法律保留原則之意旨(本庭111年憲判字第1號判決參照)。【65】
查系爭規定二係健保法第9章健保相關資料、文件之蒐集、查閱之全部內容,惟其只直接規定健保署本身就健保資料及相關資料之蒐集等,至健保署就所蒐集資料包括個人健保資料應如何為保存、利用,其應遵循之法定要件與正當程序,暨應如何避免該等資訊不受濫用與不當洩漏之適當防護機制等重要事項,系爭規定二僅規範應依個資法規定為之,而個資法係框架性規範,並非關於個人健保資料蒐用之專法,其規定不及於對外傳輸、處理或利用個人健保資料相關法定組織上與程序上要求之重要事項。【66】
綜上,由系爭規定二及其他相關法律規定整體觀察,關於涉及個人資訊隱私權限制,應受法律保留原則拘束之健保署就個人健保資料之對外傳輸或提供利用相關行為,其所應遵循之法定要件與正當程序,包括上開資料以資料庫儲存、處理、對外傳輸及對外提供利用之主體、目的、要件、範圍及方式,暨相關組織上及程序上之監督防護機制等重要事項,均未見相關法律有所規定,而充其量僅有若干非法律位階、尚不完足之衛福部與健保署自訂之行政規則規定,即均仍欠缺法律位階之明確規定,於此範圍內,不符憲法第23條法律保留原則之要求,違反憲法第22條保障人民資訊隱私權之意旨。相關機關應自本判決宣示之日起3年內,修正健保法或其他相關法律,或制定專法明定之。【67】
七、判決主文第4項部分【68】
憲法第22條個人資訊隱私權保障當事人原則上應有事後控制權,且當事人就獲其同意或符合特定要件而允許未獲當事人同意而經蒐集、處理及利用之個資,仍具事後控制權,不因其曾表示同意或因符合強制蒐用要件,當事人即喪失請求刪除、停止利用或限制利用個資之權利。系爭規定一係對個人資訊隱私權中當事人於事前以同意方式控制其個資權利之限制,其合憲性固經本庭肯認,惟此應不妨礙當事人對仍受憲法保障之個人健保資料事後控制權之行使。【69】
查由系爭規定一、二及相關法律整體觀察:個資法第3條規定係以當事人同意為基礎,而系爭規定一非以當事人同意為前提,故系爭規定一應為個資法第3條之特別規定,應優先適用。此外,僅有個資法第11條第2項規範個資正確性有爭議時,應主動或依當事人之請求停止處理或利用;第3項規範蒐集之特定目的消失或限期屆滿時,應主動或依當事人之請求,刪除、停止處理或利用該個資;第4項規範違反個資規定蒐集、處理或利用個資者,應主動或依當事人之請求,刪除、停止蒐集、處理或利用該個資。惟個資法第11條第2項至第4項規定,並未涵蓋所有利用個資之情形,比如合法蒐集、處理或利用正確之個資,其特定目的尚未消失、限期尚未屆滿之情形,如本件爭議者,即不在其適用範圍,故尚難以有個資法第11條第2項至第4項規定,即認全部蒐用個資之行為,均符合憲法保障個資事後控制權之要求。【70】
次查依前述對事後控制權之說明,就健保署因辦理健保業務而合法蒐集健保資料中個人健保資料,並提供公務機關或學術研究機構原始蒐集目的外利用此一限制個人資訊隱私權之行為,當事人之停止利用權應仍受憲法第22條規定保障。但由相關法制整體觀察,卻未見立法者依所保護個人資訊隱私權與利用目的間法益輕重及手段之必要性,而為適當權衡及區分,一律未許當事人得請求停止利用,停止利用應遵循之相關程序亦無規定,亦即欠缺當事人得請求停止利用之相關規定,顯然於個人資訊隱私權之保護有所不足;於此範圍內,違反憲法第22條保障人民資訊隱私權之意旨。相關機關應自本判決宣示之日起3年內制定或修正相關法律,明定請求停止利用及例外不許停止利用之主體、事由、程序、效果等事項。逾期未制定或修正相關法律者,當事人得請求停止上開目的外利用。【71】
註:例如歐盟一般資料保護規則(General Data Protection Regulation,下稱GDPR)即規定各會員國應設置至少一獨立監管機關(supervisory authority),職司個人資訊隱私權之保障;該監管機關應依照GDPR規定獨立行使職權(GDPR第51條及第52條參照)。各國依上開規定,多於聯邦或國家層級設置個資監管機關,例如法國Commission Nationale de l'Informatique et des Libertés–CNIL、芬蘭Office of the Data Protection Ombudsman、德國Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit,以及愛爾蘭Data Protection Commission等。各國監管機關之名單請見歐盟資料保護委員會(European Data Protection Board)網站https://edpb.europa.eu/about-edpb/about-edpb/members_en (最後瀏覽日為111年8月12日)。【72】