竊個資最高罰5千萬！政府能保你我不被賣掉？

健保署前主祕涉嫌盜用個資風波未歇，多家醫院受到駭客入侵，涉及成千上萬人醫療健康的機敏資料。憲法法庭要求衛福部今年8月前立法保障人民資訊隱私，這份草案足以讓我們重新相信政府會好好保護你我的個資嗎？

健保署前主祕葉逢明及2名承保組基層公務員，涉嫌多次濫用職務權限查詢，並外洩大量個資，嚴重打擊民眾對政府個資監管能力的信任。幸好，在憲法法庭2022年憲判字第13號判決的要求下，政府必須在今年8月前，建立個資保護獨立監督機構，立法保障人民資訊隱私權。

但在衛福部資料管理條例草案公聽會上，多位專家卻認為草案從內容查核、罰則和必要審查都不夠完善，缺乏符合國際潮流的課責和回饋機制。「台灣立法速度很慢，」台北醫學大學人文暨社會科學院院長李崇僖表示，但今年就是資料治理的關鍵年，需要提出完整策略。

行政院現正籌備「個人資料保護委員會」，衛福部也於2024年預告「衛生福利資料管理條例草案（註1）」，規劃民眾行使退出權的機制，有權不同意衛福部將自己的去識別化健康資料提供給申請單位，竊取個資罰則最高可處7年以下有期徒刑、5千萬以下罰金。

眼看草案就快交由立法院審查，法學專家、人權及病團代表在立委王正旭舉辦的公聽會，表達對健康資料的運用可歸納出資訊透明、積極溝通、明確回饋、有效課責、嚴管資安等5項重點，希望納入考量，以強化社會信任。

社會缺乏信任，溝通更要透明

政治大學創新國際學院兼任助理教授劉汗曦表示，2022年健保資料釋憲案當時，大家就擔心「我的個資變成你的龐大商機」，後來又爆出健保署前主祕洩密案，相關單位至今仍未給社會大眾一個交代，以上種種都讓社會持續瀰漫不信任。

從公平、問責、溝通、透明這4個面向檢視台灣及國際的做法，劉汗曦認為，台灣還有很多努力空間。

以溝通和透明為例，健保署曾公布2024年申請健保資料的案件列表，有編號、申請資料，申請人、委託單位、人體研究倫理審查委員會（IRB）通過資訊。反觀英國，公告內容更詳盡，還包括各案的法源基礎、使用哪些料庫、資料處理流程為何、使用什麼防火牆，以及資料是否離開英國等，更重要的是，連每一案資料利用的預期成果與利益，都寫得很清楚。

病團：退出權規劃太消極、收益回饋要講清楚

健保署針對退出權的規劃，是要民眾主動提起申請（而且以紙本優先），次月才會生效，將退出者的資料從擷取範圍排除。罕見基金會執行長陳冠如、癌症希望基金會執行長嚴必文都認為，這種做法太被動消極，大部分民眾都不會知道有此權益。

「我們沒有排斥商業利用，要的只是充分被尊重、被告知，清楚知道有退出權，」嚴必文表示，病人也很在乎回饋機制，當他們願意貢獻自己給商業利用，利用單位就要把收益講清楚，具體回饋給病人，而不是包裝成學術研究，讓病人感覺是貢獻給國家。

劉汗曦也說，政府及業界常強調「善用健康大數據是國際趨勢」，卻未見提出符合國際潮流的課責與回饋機制。

濫用個資罰天價，台灣做得到？

反觀歐美各國，均有一套相對完整機制。亞馬遜（Amazon）公司在未獲得用戶明確同意的情況下，使用個人資料進行個人化廣告投放，違反《一般資料保護規則（GDPR）》，2021年被比利時國家資料保護委員會處以7.46億歐元（約台幣275.5億元）罰款，這是GDPR實施以來最大的一筆罰款。

「這相當於罰它1年20%的營業額，我們台灣做得到嗎？」長庚大學健康資料研究服務中心主任張啟仁說。政府希望保護人民，也讓資料庫促進台灣醫藥環境蓬勃發展，因此容許學術單位、製藥公司、保險公司透過某種機制取得健康數據，這並沒有不對。但政府必須有能因應未來趨勢的管理方法，也要提出足以遏止資料被洩漏或濫用的處置和罰則。

中國醫藥大學附醫大數據中心副院長郭錦輯表示，中國附醫與美國頂尖智慧醫院「梅約醫學中心（Mayo Clinic）」合作，梅約使用Google雲端平台，遵守美國健康保險可攜與責任法（HIPAA）的規定，上傳了1千多萬人的去識別資料，「每一筆資料都要有10個人是相似的，就算醫師去看，也辨識不出這10個人裡面哪一個是自己的病人。」

中國附醫與梅約共享數據時，必須遵守許多協議。首先，是保密與資安規範，資料僅限於授權範圍使用、使用合法授權的軟體、落實資安事件的通報、絕對不能外流或與第3方共享、絕不允許再識別。郭錦輯解釋，將某一人的住院軌跡放入健保資料庫比對，能找出他是誰，這就是明文禁止的再識別。此外，資料使用有時段限制，每次都被紀錄，梅約會監控、審查、稽核、擷取，使用過程也會被截圖。

查核、罰則、必要審查都有缺

新加坡雖是比較集權的國家，仍非常重視病人授權，以及資安事件的即時回報與調查。郭錦輯指出，新加坡國立大學用Amazon的雲端運算服務（AWS），資料去識別化、禁止再識別，病人可授權特定醫師才能看他的資料；如未經授權就存取他人數據，衛生部門會啟動調查。資安事件2小時內必須通報，14天內要提出詳細報告。

郭錦輯表示，國際經驗顯示，Google、AWS這類商業雲的資安保障嚴密，已經受到許多政府部門及一流醫療機構的認可，值得台灣參考。

國立陽明交通大學科技法律學院院長陳誌雄表示，以實現人民健康權作為目標，健康數據不能只用於學術研究，還必須將對健康有益的商業成果落地，才算完整。利用健康數據的前提，是要透過法律，建立人民信任的制度，包括查核、罰則、必要性審查，在美國、日本、歐盟的實務做法及法規中，都看得到這些要素，衛福部草案卻有所缺乏，這也是人民非常在意的問題。

台灣公共衛生學會前理事長、台大環境與職業健康科學研究所特聘教授陳保中建議，健保資料利用的法規完善後，應建立專責監督機關與國家級資料中心，才能完善資料治理體系，解決資料串接、個人權益管理、遠端使用、商業使用等問題。

註1：衛福部2024年3月1日預告「衛生福利資料管理條例草案」，同年12月24日將其名稱改為「全民健康保險資料管理條例草案」。