竊個資最高罰5千萬!政府能保你我不被賣掉?
健保署前主祕涉嫌盜用個資風波未歇,多家醫院受到駭客入侵,涉及成千上萬人醫療健康的機敏資料。憲法法庭要求衛福部今年8月前立法保障人民資訊隱私,這份草案足以讓我們重新相信政府會好好保護你我的個資嗎?
健保署前主祕葉逢明及2名承保組基層公務員,涉嫌多次濫用職務權限查詢,並外洩大量個資,嚴重打擊民眾對政府個資監管能力的信任。幸好,在憲法法庭2022年憲判字第13號判決的要求下,政府必須在今年8月前,建立個資保護獨立監督機構,立法保障人民資訊隱私權。
但在衛福部資料管理條例草案公聽會上,多位專家卻認為草案從內容查核、罰則和必要審查都不夠完善,缺乏符合國際潮流的課責和回饋機制。「台灣立法速度很慢,」台北醫學大學人文暨社會科學院院長李崇僖表示,但今年就是資料治理的關鍵年,需要提出完整策略。
行政院現正籌備「個人資料保護委員會」,衛福部也於2024年預告「衛生福利資料管理條例草案(註1)」,規劃民眾行使退出權的機制,有權不同意衛福部將自己的去識別化健康資料提供給申請單位,竊取個資罰則最高可處7年以下有期徒刑、5千萬以下罰金。
眼看草案就快交由立法院審查,法學專家、人權及病團代表在立委王正旭舉辦的公聽會,表達對健康資料的運用可歸納出資訊透明、積極溝通、明確回饋、有效課責、嚴管資安等5項重點,希望納入考量,以強化社會信任。
社會缺乏信任,溝通更要透明
政治大學創新國際學院兼任助理教授劉汗曦表示,2022年健保資料釋憲案當時,大家就擔心「我的個資變成你的龐大商機」,後來又爆出健保署前主祕洩密案,相關單位至今仍未給社會大眾一個交代,以上種種都讓社會持續瀰漫不信任。
從公平、問責、溝通、透明這4個面向檢視台灣及國際的做法,劉汗曦認為,台灣還有很多努力空間。
以溝通和透明為例,健保署曾公布2024年申請健保資料的案件列表,有編號、申請資料,申請人、委託單位、人體研究倫理審查委員會(IRB)通過資訊。反觀英國,公告內容更詳盡,還包括各案的法源基礎、使用哪些料庫、資料處理流程為何、使用什麼防火牆,以及資料是否離開英國等,更重要的是,連每一案資料利用的預期成果與利益,都寫得很清楚。
病團:退出權規劃太消極、收益回饋要講清楚
健保署針對退出權的規劃,是要民眾主動提起申請(而且以紙本優先),次月才會生效,將退出者的資料從擷取範圍排除。罕見基金會執行長陳冠如、癌症希望基金會執行長嚴必文都認為,這種做法太被動消極,大部分民眾都不會知道有此權益。
「我們沒有排斥商業利用,要的只是充分被尊重、被告知,清楚知道有退出權,」嚴必文表示,病人也很在乎回饋機制,當他們願意貢獻自己給商業利用,利用單位就要把收益講清楚,具體回饋給病人,而不是包裝成學術研究,讓病人感覺是貢獻給國家。
劉汗曦也說,政府及業界常強調「善用健康大數據是國際趨勢」,卻未見提出符合國際潮流的課責與回饋機制。
濫用個資罰天價,台灣做得到?
反觀歐美各國,均有一套相對完整機制。亞馬遜(Amazon)公司在未獲得用戶明確同意的情況下,使用個人資料進行個人化廣告投放,違反《一般資料保護規則(GDPR)》,2021年被比利時國家資料保護委員會處以7.46億歐元(約台幣275.5億元)罰款,這是GDPR實施以來最大的一筆罰款。
「這相當於罰它1年20%的營業額,我們台灣做得到嗎?」長庚大學健康資料研究服務中心主任張啟仁說。政府希望保護人民,也讓資料庫促進台灣醫藥環境蓬勃發展,因此容許學術單位、製藥公司、保險公司透過某種機制取得健康數據,這並沒有不對。但政府必須有能因應未來趨勢的管理方法,也要提出足以遏止資料被洩漏或濫用的處置和罰則。
中國醫藥大學附醫大數據中心副院長郭錦輯表示,中國附醫與美國頂尖智慧醫院「梅約醫學中心(Mayo Clinic)」合作,梅約使用Google雲端平台,遵守美國健康保險可攜與責任法(HIPAA)的規定,上傳了1千多萬人的去識別資料,「每一筆資料都要有10個人是相似的,就算醫師去看,也辨識不出這10個人裡面哪一個是自己的病人。」
中國附醫與梅約共享數據時,必須遵守許多協議。首先,是保密與資安規範,資料僅限於授權範圍使用、使用合法授權的軟體、落實資安事件的通報、絕對不能外流或與第3方共享、絕不允許再識別。郭錦輯解釋,將某一人的住院軌跡放入健保資料庫比對,能找出他是誰,這就是明文禁止的再識別。此外,資料使用有時段限制,每次都被紀錄,梅約會監控、審查、稽核、擷取,使用過程也會被截圖。
查核、罰則、必要審查都有缺
新加坡雖是比較集權的國家,仍非常重視病人授權,以及資安事件的即時回報與調查。郭錦輯指出,新加坡國立大學用Amazon的雲端運算服務(AWS),資料去識別化、禁止再識別,病人可授權特定醫師才能看他的資料;如未經授權就存取他人數據,衛生部門會啟動調查。資安事件2小時內必須通報,14天內要提出詳細報告。
郭錦輯表示,國際經驗顯示,Google、AWS這類商業雲的資安保障嚴密,已經受到許多政府部門及一流醫療機構的認可,值得台灣參考。
國立陽明交通大學科技法律學院院長陳誌雄表示,以實現人民健康權作為目標,健康數據不能只用於學術研究,還必須將對健康有益的商業成果落地,才算完整。利用健康數據的前提,是要透過法律,建立人民信任的制度,包括查核、罰則、必要性審查,在美國、日本、歐盟的實務做法及法規中,都看得到這些要素,衛福部草案卻有所缺乏,這也是人民非常在意的問題。
台灣公共衛生學會前理事長、台大環境與職業健康科學研究所特聘教授陳保中建議,健保資料利用的法規完善後,應建立專責監督機關與國家級資料中心,才能完善資料治理體系,解決資料串接、個人權益管理、遠端使用、商業使用等問題。
註1:衛福部2024年3月1日預告「衛生福利資料管理條例草案」,同年12月24日將其名稱改為「全民健康保險資料管理條例草案」。