文/台灣人權促進會
在台灣,每個有健保的人,長期被剝奪資料自主權。敏感的健康資料,無需當事人同意,更不准任何人退出二次利用,國家恣意解釋個資法,提供台灣人的資料供學術研究利用(甚至曾包含產業利用)。大數據與AI演算法的發展中,頻繁與大規模的個資串聯,帶來更高的識別風險。當各國加強資料倫理與個資法規,試圖建構尊重基本權的資料利用環境,台灣還在延續甚至複製威權政體的作法,強制全民參與研究,樣本一個都不能少。
今天憲法法庭判決(111年憲判字第13號),我們終於能見到終結資料剝削的一絲曙光。台灣人權促進會、台灣女人連線、民間監督健保聯盟2012年發現健保資料目的外利用,並發起寄發存證信函給健保局,要求退出健保資料被未經同意二次利用。我們面臨國家的拒絕,與在行政訴訟上的失敗,經過十年,終於等來大法官明確指出,《個人資料保護法》作為限制人民資訊隱私的規範是不足的,現行毫無監督、不許退出地限制人民資訊隱私權利的做法是違憲的。
退出權是人民抵抗政府違憲侵害的最後武器
我們特別肯定憲法法庭指出個資法本身不能當作健保個資強制目的外利用的法律依據,也對健保資料目的外利用欠缺退出的規定作出違憲的宣判。健保資料目的外利用與退出權規定,須在三年內修法。為避免修法期間對人民資訊隱私的持續侵害,以及預防健保資料在此三年內遭大肆利用,我們嚴正呼籲健保署與衛福部,從此刻開始,就應停止違憲作為,同意個人請求停止目的外利用,或暫停目的外利用行為。
個資法合憲,資訊隱私持續曝險
個資法輕易允許大規模目的外利用,在未修法的情況下,下一個大規模強制資料利用的事件也會持續發生。相關規定被認定合憲,給國家公權力和有力私部門的啟示,將是「先做再說」,只要個資法允許具有公共利益且有安全規範,就可以便宜行事強制利用。即使「無從識別」的規範與國際脫節,缺乏審議公共利益、必要性的程序都無所謂。即使未來可能像健保資料庫案被宣判違憲,需要另行立法或修法,然而,有力的機構已經拿到全民超過20年以上的敏感個資了。很遺憾,大法官沒能抓住這個保障資訊自主權,因應資訊時代隱私權衝擊與資料倫理實踐的契機。
欠缺獨立監督機構無法有效保障人民個資
憲法法庭重申了111年憲判字第1號判決的意旨,認定國家負有以法律積極建置適當組織與程序性防護機制的義務,以符法律保留原則。多位大法官亦在意見書中補充說明,本判決所稱之獨立監督機制,幾乎已經是重視個資保障各國之基本法制要求,且是在我國憲法正當法律程序原則下,不可或缺的事前與事中程序性控制的保障。
宣判不是終點,而是資訊自主權運動的起點,讓個資保護的討論再次成為國家的責任,並走進研究機構,走進產業。判決之後,我們期待立法者站在保障人民資訊自主權的立場,修正《個人資料保護法》,而非任令公務或非公務機關恣意解釋有欠明確的「目的外利用」要件。即便具從事大規模目的外利用敏感性個資的重要公共利益,也應跟上法治先進國家腳步,先行做個資保護衝擊評估,確認對隱私權造成的風險以及如何降低傷害,更要另立專法,規範如同意權、退出權等權利踐行的方式,以及審議公共利益的程序。台權會在後續的修法工作上,也絕不會缺席。
