范建得觀點:從英國 UK Biobank 資料外流事件談起
台灣未來健康資料治理應從「資料是否去識別」轉向「資料是否在可信任、可審計、可問責之環境中被使用」,並以安全資料環境、獨立監督、退出權與跨境傳輸審查作為制度核心。
健康資料之利用向來處於兩種價值之間:一方面,醫療、基因、影像、用藥、生活型態與保險申報資料,可以透過大規模統計與機器學習模型,促成疾病預測、藥物研發、醫療品質改善與公共衛生政策制定;另一方面,健康資料又直接觸及個人身體、疾病、家族史、遺傳風險、心理狀態與社會污名,若被錯誤揭露或與其他資料庫連結,可能造成就業、保險、社會關係及人格自主之重大損害。正因如此,各國法制多將健康資料列為敏感資料,並採取較一般個人資料更高為嚴格之管制。
令人困惑的「去識別化」或「匿名化」
近年資料利用政策常以「去識別化」或「匿名化」作為折衷方案,且傾向認為只要移除姓名、身分證字號、地址、電話等直接識別欄位,即可保留資料研究價值,同時降低隱私侵害風險。然而,英國UK Biobank事件提醒我們,健康資料治理的問題並不止於欄位是否含有姓名。依近期報導與專家評論,UK Biobank所持有之約50萬名參與者資料,包含基因、健康、生活型態、人口學與其他研究資料;本次事件中,去識別化資料被列於中國阿里巴巴平台出售,目前相關研究機構之存取權限已被撤銷,UK Biobank並暫停部分資料平台存取以進行安全強化。報導指出即便資料未含姓名或聯絡方式,但其內容仍屬高度敏感,且資料一旦脫離受控環境,即可能透過交叉比對、再散布或未經授權之再利用,造成不可逆風險。
台灣不能忽視的威脅!
此一事件著實值得台灣重視!台灣正在推動健康資料二次利用、智慧醫療、健保資料研究利用與醫療AI產業化,許多制度設計均以去識別化或匿名化作為合法化基礎。問題在於,若研究者或合作機構於取得去識別化健康資料後,將資料下載、上傳境外平台、轉供非原授權對象,或以資料商品化方式流通,台灣法制是否仍能將其視為「非個資」而不予規範? 又如果資料來源涉及病歷、健保申報、電子病歷或基因資料,非醫療機構是否得以「去識別」之名持有、交換或跨境傳輸? 這些問題,不能只從技術角度回答,而須回到個資法、醫療法與憲法資訊隱私權之整體架構。
UK Biobank事件對台灣的最大意義,應在其對「去識別化作為免責護身符」之論述已不足以支撐健康資料治理之揭示。對健康資料而言,去識別化僅能作為合法性判斷的一個要素,而非終局答案。真正的問題是: 資料是否仍有合理可識別性? 利用者是否具備法定主體資格? 利用目的是否限於醫療、衛生、統計或學術研究? 是否經倫理審查與主管機關審查核准?資料是否可被下載或離境? 是否有獨立監督、稽核、退出與事故通報機制?倘若答案是否定的,則即便資料表面上已去識別,仍可能構成個資法上特種個資之違法蒐集、處理、利用,或違反醫療資料專門規範。
UK Biobank是全球最重要之生醫資料庫之一,其研究價值來自資料規模、長期追蹤與多層次資料連結。此類資料庫通常會透過去識別、編碼、使用協議、研究者審查與平台控管等方式,以降低個人被識別之可能。然而,UK Biobank事件突顯出兩個問題:其一、去識別資料在外部平台被列售,雖不當然代表資料已被成功再識別,卻已足以構成資料治理失靈,因為資料控制者已喪失對使用目的、使用者與再流通路徑的掌握。其二、健康資料即使不含姓名,也可能因欄位高度細緻而具再識別風險;例如出生年月、性別、罕見疾病、檢驗日期、診療時序、影像與基因資訊,均可能在特定情境下成為準識別因子。
歐盟《一般資料保護規則》(GDPR)在前言26點採取了「合理可能識別(reasonably likely)之標準。其邏輯並非僅單純檢查資料是否已刪除姓名,而是要求綜合考量資料控制者或第三人,為達識別目的而「合理可能使用」之一切手段,此時必須納入成本、時間、可用技術與技術發展等之考量。因此,匿名化若要使資料完全免除個資法制之適用,便必須合乎在合理方法下不可識別之標準;若只是以代碼、雜湊、替代識別碼或移除直接識別欄位等處理,通常較接近假名化或去識別化,其法律效果仍可能停留在降低風險,而不能排除法律適用。
「匿名化」面臨破產風險
其實學理早已指出當前「匿名化破產」之風險。例如在2007 年,Narayanan與Shmatikov在Netflix Prize競賽中,以Netflix展示之影集證明看似匿名化的資料,仍可透過外部資料交叉比對而被重新識別,形成所謂「再識別風險」。其後,Ohm在2010年進一步將此問題提升為資料保護法之理論危機,認為匿名化並未如傳統假設般可靠,法律若過度依賴「個資」與「非個資」之二分,將低估匿名資料在資料連結環境中的風險。而2019年Rocher等人之研究亦指出,在高層級(dimension)資料環境中,少量人口學變數即可使相當比例之個體被重新識別,而把「再識別風險」變成可以計算的概率問題。健康資料正是高層級資料的典型,其價值來自細節與連結,但風險亦源自同樣的細節與連結。
UK Biobank事件不是單純的資安事件
因此,UK Biobank事件不應被理解為單純資安事件,而應被理解為「資料治理事件」。其真正問題不在於某一欄位是否足以識別姓名,而在於資料是否可被研究者下載並帶離受控環境、是否可被上傳至第三方平台、是否有自動化偵測與輸出審查、是否能追蹤責任歸屬,以及參與者是否能信任其資料不會被商品化。英國Science Media Centre引述專家意見指出,資料本身對創新與公共利益具有重大價值,但此種價值必須以可信任治理為前提。《The British Medical Journal》針對UK Biobank資料保護亦提醒,資料洩漏將削弱公眾分享健康資料之意願。
台灣《個人資料保護法》第2條第1款明定,個人資料包括姓名、出生年月日、身分證字號、病歷、醫療、基因、健康檢查等,以及其他得以直接或間接方式識別該個人之資料。此一規定明顯採取直接識別與間接識別並列之寬廣概念。換言之,健康資料是否屬個人資料,並非取決於是否保留姓名,而是取決於在具體環境下是否仍得以直接或間接方式識別特定自然人。
此一可識別性標準使「去識別化」在我國法上具有相對性。若資料已經處理至無從識別特定當事人,則在某些條文中可作為統計或學術研究利用之合法要件;但若資料仍可透過代碼、金鑰、資料連結或外部資料比對回推個人,仍可能屬於個資法上之個人資料。這種理解與憲法法庭111年憲判字第13號對健保資料庫案之說明相互呼應。該判決記載,健保署對外提供之健保資料「均已透過加密演算法以假名化處理」,而衛福部衛生福利資料科學中心亦將一級資料描述為具編號欄位且經處理使其無從識別特定個人之資料。然而,憲法法庭並未因此將相關資料完全排除於資訊隱私權之外;相反地,仍從資訊隱私權、法律保留、獨立監督與停止利用權角度審查制度是否足夠。
《個資法》第5條進一步要求,個人資料之蒐集、處理或利用,應尊重當事人權益,依誠實信用方法為之,不得逾越特定目的之必要範圍,並應與蒐集目的具有正當合理關聯。此一條文將「目的限制」置於個資法基本原則層次。對照UK Biobank事件,研究者原可基於核准研究目的取得資料,若其後將資料上傳外部平台、列售、或供未經審查者取得,即難謂仍與原核准研究目的具有正當合理關聯。即使資料已去識別,目的外流通本身仍破壞原先取得資料之信賴基礎。
《個資法》第6條則對病歷、醫療、基因、健康檢查等特種個資採原則禁止、例外允許之架構。其第1項但書第4款允許公務機關或學術研究機構,基於醫療、衛生等目的,為統計或學術研究有必要,且資料經提供者處理後或依揭露方式無從識別特定當事人時,得蒐集、處理或利用。此處有三個要件值得強調:其一,主體限於公務機關或學術研究機構,並非任何企業、資料平台、科技公司或境外研究者均可主張。其二,目的限於醫療、衛生之統計或學術研究,而非一般商業開發、模型訓練或資料交易。第三,資料須經處理至無從識別特定當事人;若只是降低識別風險,尚未達到無從識別,則不能當然適用該例外。
在台灣,這類事件不能被簡化為「去識別資料外流不違法」
因此,若UK Biobank事件之類型發生於台灣,法律評價不宜簡化為「去識別資料外流不違法」。若資料內容包含醫療、基因、健康檢查或病歷資料,且仍具有合理間接識別可能,則其蒐集、處理、利用,原則上仍受《個資法》第6條限制;若資料由原核准研究者再提供予未經審查之第三方,或上傳至公開平台,則可能同時違反《個資法》第5條目的限制、第6條特種個資要件、第20條非公務機關目的外利用規範,以及第20之1條或相關安全維護義務。《個資法》第21條並規定,「非公務機關為國際傳輸個人資料,而涉及國家重大利益、接受國保護不足或以迂迴方式規避本法時,主管機關得限制之」。健康資料若被傳輸至境外平台,尤其是資料保護標準、政府調取風險或再流通控制不足之地區,即可能進入《個資法》第21條之跨境傳輸管制範圍。
依台灣醫療法與電子病歷規範: 病歷資料不是一般研究素材
健康資料並非全然同質。有些資料來自穿戴式裝置、問卷調查、基因檢測或消費者健康APP;有些則來自醫療機構之病歷、健保申報或電子病歷。後者除受《個資法》保護外,亦同時受醫療法與醫療專業倫理所規範。例如《醫療法》第68條要求醫療機構督導所屬醫事人員親自記載病歷或製作紀錄,並就增刪、醫囑記載等事項設有要求。雖然該條主要規範病歷製作與真實性,但其背後反映病歷資料具有醫療專業、病人安全與法律證明功能,不能被視為一般可任意流通之資料素材。
電子病歷規範更明確呈現健康資料治理之方向。衛福部修正《醫療機構電子病歷製作及管理辦法》時,將病歷明示為特種個人資料,並強調須強化資通安全、傳輸加密、安全事故處理、受託機構管理與雲端服務規範。衛福部新聞稿指出,醫療機構委託建置、管理電子病歷資訊系統或運用雲端服務時,應以書面契約明定權利義務;雲端服務之資料儲存地點以設置境內為原則,但情況特殊且經中央主管機關核准者,始得設置於境外。此一規範對本文問題極具意義: 台灣法制對病歷資料跨境儲存與雲端委外並非採自由放任,而是以醫療機構作為責任中心,並以境內儲存、契約管理與主管機關核准為基本框架。
因此,若某一健康資料庫之來源實質上包括醫療機構病歷、電子病歷、醫學影像或健保申報資料,非醫療機構取得或持有該資料之合法性,即不能僅以「資料已去識別」作為理由。即使研究機構得依《個資法》第6條但書第4款,在特定條件下利用去識別資料,該利用仍須建立在合法提供、審查、契約、存取控制與輸出管理之上。若研究者將資料下載至個人電腦、上傳境外雲端、置於程式碼倉庫或列於交易平台,均可能脫離醫療資料原本的治理結構。
至於台灣是否禁止非醫療機構收集病歷資料? 嚴格言之,台灣現行法制並非以單一名為「病歷資料管理條例」之法律全面規範,而是透過《醫療法》、《個人資料保護法》、《人體研究法》、《醫療機構電子病歷製作及管理辦法》、《全民健康保險法》與各類資料應用管理要點等形成複合規範。但此種複合規範之效果,確實是將病歷資料之原始製作、保存、委外、交換與跨境儲存,置於醫療機構與主管機關監督之下。若非醫療機構,卻以資料庫、平台或AI訓練名義直接收集、保存或跨境移轉可回推病人之病歷資料,而欠缺醫療法、個資法或研究倫理審查所要求之基礎,即有高度違法風險。
台灣健康資料治理不能僅停留在個資法條文解釋,還須納入憲法保護資訊隱私權之脈絡。司法院釋字第603號係資訊隱私權發展的重要里程碑。該號解釋針對國家大規模蒐集與儲存指紋資料指出,「若國家基於特定重大公益目的有大規模蒐集、錄存人民指紋並建立資料庫之必要,應以法律明定蒐集目的,且蒐集須與重大公益目的之達成具有密切必要性與關聯性,並應明文禁止法定目的外使用;主管機關尤應配合科技發展,運用足以確保資訊正確與安全之方式,並對所蒐集之指紋檔案採取組織上與程序上必要防護措施…」。
釋字第603號雖非直接涉及健康資料案件,但其對大規模個資資料庫之法律保留、目的明確、目的外利用禁止與安全防護要求,直接構成後續健保資料庫案的基礎。相較於指紋資料,健康資料更涉及個人身體、疾病與家庭遺傳風險,其資料庫化與串連效應更強。因此,若國家或受其委託之機構大規模蒐集、保存、對外提供健康資料,至少應符合釋字第603號所揭示之要求,而不能僅以行政命令、內部作業要點或研究契約來取代法律明確規範。
而釋字第689號則從隱私權與比例原則角度補充另一層思考。該解釋涉及新聞採訪與跟追行為,雖非資料庫案件,但其理由肯認私人生活領域不受任意干涉之權利受憲法第22條保障,並承認國家負有提供法律保護以免個人私人生活領域遭不當干涉之積極義務。對健康資料治理而言,釋字第689號的意義在於: 隱私權不只是防禦國家侵害的消極權利,也要求國家在私部門、媒體、研究機構或平台可能侵害隱私時,提供適當法制保護。換言之,若非醫療機構、研究平台或境外機構取得健康資料後失控流通,國家不能僅以契約或事後賠償回應,而須有事前審查、事故通報、行政監督與停止利用等制度。
憲法法庭111年憲判字第13號健保資料庫案,則直接將上述脈絡適用於健康資料。該案中,聲請人爭執健保署將健保資料交由國衛院建置全民健康保險研究資料庫對外提供使用,以及將健保資料傳輸予衛福部衛生福利資料科學中心對外提供使用,係將健保資料中所包含之受憲法隱私權保障之個人健保資料用於健保業務以外之目的,為原始蒐集目的外之使用,有違法之情事。憲法法庭一方面肯認「《個資法》第6條第1項但書第4款作為特種個資統計或學術研究利用之規定,與法律明確性及比例原則尚屬無違」;另一方面也指出「由個資法或其他相關法律規定整體觀察,欠缺個人資料保護之獨立監督機制,對資訊隱私權保障不足而有違憲之虞」,並要求相關機關於三年內建立制度。
更重要的是,憲法法庭在主文第三項明確指出,「就個人健康保險資料由健保署以資料庫儲存、處理、對外傳輸與對外提供利用之主體、目的、要件、範圍、方式,以及組織上與程序上之監督防護機制等重要事項,現行全民健康保險法第79條、第80條及其他相關法律均欠缺明確規定,於此範圍內不符法律保留原則,違反憲法第22條保障人民資訊隱私權之意旨」。主文第四項並指出,「由相關法制整體觀察,欠缺當事人請求停止目的外利用之相關規定,於此範圍內,違反憲法第22條保障人民資訊隱私權之意旨。」。
憲法法庭並未否定健康資料之公共利益
此一解釋文對本文題旨至關重要。憲法法庭並未否定健康資料之公共利益,也未宣告去識別化研究利用本身之違憲;相反地,解釋文承認醫療、衛生之統計或學術研究目的可能具有特別重要公益。但解釋文同時要求,這種公益利用不能只靠去識別化與行政作業要點支撐,而須有法律層級明確規範、獨立監督、資料主體事後控制與停止利用權。換言之,健保資料庫案建立的是「公益利用加上治理條件」之模式,而非「去識別化即可自由利用」之模式。
若將UK Biobank事件類型移植至台灣,則會面臨三個層面的法律適用問題:
第一層是資料是否仍屬個人資料:若資料已達完全匿名,即無合理方法識別特定自然人,則《個資法》適用可能被排除。但健康資料通常包含年齡、性別、日期、疾病、檢驗、影像、基因或地理資訊,尤其若保留可連結縱貫資料之編碼或時間序列,則仍可能具有間接識別性。在此情況下,資料即使移除姓名,仍可能屬《個資法》第2條之個人資料。
第二層是資料是否屬特種個資:若資料包含病歷、醫療、基因或健康檢查,則落入《個資法》第6條。此時,研究利用之合法性須檢驗主體、目的、必要性與無從識別條件。若資料由學術研究機構基於醫療、衛生目的,為統計或學術研究必要,並於提供或揭露時使特定當事人無從識別,原則上可能符合《個資法》第6條但書第4款。反之,若取得者為一般企業、境外商業平台或非學術研究機構,或利用目的為資料轉售、商業模型訓練、廣告、保險風險評估,則很難落入該例外。
第三層是資料外洩或上傳行為之目的外利用評價:研究者取得資料時,其權限通常受申請文件、IRB審查、資料使用契約、平台規範與特定研究目的所限制。若研究者將資料上傳至公開程式碼平台、一般雲端硬碟或境外交易網站,即使其主觀上未意圖公開個資,也可能已超出原授權範圍。此時,對資料提供者而言,可能構成安全維護不足;對研究者而言,可能構成未經授權之處理、利用或再提供;對接收平台而言,若明知或可得而知其為敏感資料,亦可能引發共同侵害或行政責任問題。
第四層是病歷與電子病歷之專門限制:若資料源自醫療機構病歷或電子病歷,則醫療機構負有病歷製作、保存與委外管理責任。電子病歷雲端服務原則上要求資料儲存於境內,境外設置須經中央主管機關核准。若研究者將電子病歷資料或其可回推版本上傳境外平台,除《個資法》第21條問題外,亦可能違反醫療資料管理之特別規範。即便資料已去識別,若其仍可藉由金鑰、代碼或其他資料還原特定病人,仍不宜以一般研究資料對待。
第五層是憲法層次的制度不足:若類似事件發生於官方或半官方之健康資料庫,例如健保署或衛生福利資料科學中心對外提供之資料,被研究者下載後外流,則問題不僅是個別違規者責任,更是整體制度是否滿足憲法法庭111年憲判字第13號要求。資料庫之主體、目的、要件、範圍、方式、監督防護、退出權與事故處理若仍主要依內部作業要點或契約運作,恐難完全回應法律保留與資訊隱私權保障之要求。
綜上,類似UK Biobank之事件若發生於台灣,不能因資料已「去識別化」便認定合法。若資料仍具合理識別可能,並涉及醫療、基因、病歷或健康檢查資料,則外洩、列售或未授權跨境傳輸,便有構成個資法上特種個資之違法處理或利用之高度可能;若資料來源為醫療機構病歷或電子病歷,尚可能違反醫療法制與電子病歷境外儲存限制;若資料來自公部門大規模健康資料庫,更可能引發憲法資訊隱私權、法律保留與獨立監督不足之問題。
其一,台灣應明確區分匿名化、去識別化與假名化:完全匿名化應限於在合理技術、成本與可得資料下均不可識別之情形;假名化或編碼資料則仍應原則上納入個資法與健康資料治理。此種區分有助於避免政策文件以「去識別」泛稱所有處理技術,進而造成法律效果過度擴張。
其二,健康資料研究利用應導入安全資料環境:壹健保署在2022年8月已於新聞稿中表示,為確保資料利用的安全性與個資隱密,健保資料僅以提供促進學術研究及公共利益目的為限,並採取以下規定:(1)健保資料研究利用須通過研究倫理委員會(IRB)及主管機關審查、(2)在指定地點、獨立資料儲存及運算機台操作、(3)個人資料經去識別處理、(4)稀少個案資料不開放使用,且(5)僅可攜出統計結果,不得擅自攜出未經審查同意之資料。這些措施正是回應UK Biobank事件的關鍵: 重點不是讓研究者下載原始或個體層級資料,而是在受控環境中讓研究者執行分析,並對輸出結果進行審查。
其三,應以獨立監督與可問責機制作為健康資料治理核心:憲法法庭111年憲判字第13號已指出欠缺獨立監督機制之問題。未來個人資料保護委員會成立後,應與衛福部、健保署及醫療主管機關建立分工: 前者負責通用個資監督、跨境傳輸與重大事故調查;後者負責醫療專業、研究倫理、電子病歷與資料中心運作。)/,否則健康資料治理將落入「專業機關缺乏隱私獨立性」或「隱私機關缺乏醫療專業性」之兩難。
第四,跨境傳輸應採風險分級:對已完全匿名且無合理再識別可能之統計結果,可採較低度管制;對假名化個體層級健康資料、基因資料、罕見疾病資料或醫學影像,則應要求事前審查、接收方保護完善程度評估、契約拘束、禁止再提供、賦予稽核權、事故通報與回收或銷毀機制。若接收地區存在政府強制索取、資料交易市場活躍或法律救濟不足等風險,主管機關應可依《個資法》第21條限制傳輸。
第五,退出權與停止利用權應制度化。健保署已依憲法法庭判決意旨提供民眾申請停止健保資料目的外利用之機制。但在更廣泛的健康資料治理中,退出權不應只是健保資料庫個案的補救措施,而應成為大規模健康資料二次利用的基本配套。當然,退出權可能造成研究樣本偏差,因此制度可設例外,例如傳染病防治、重大公共衛生危機或高度必要之法定統計;但例外本身也應由法律明定,而非由資料控制者單方面決定。
第六,應強化研究者責任。UK Biobank事件顯示,資料外流常非外部駭客攻擊,而是經核准研究者之不當下載、分享或上傳所致。不論是台灣的健康資料中心或者辦理資料釋出的資料庫,如TWN Biobank卻都應考慮以契約、訓練、認證、稽核與違規公告建立研究者責任。違規者除撤銷存取權外,應可能面臨行政處分、民事賠償、研究倫理處分與補助或發表限制。資料治理若無責任追蹤,去識別化即容易淪為形式合規。
UK Biobank事件對台灣最重要的提醒是: 去識別化不是健康資料利用的終點,而只是治理鏈條中的一環。尤其在健康資料領域,資料價值來自長期、細緻、可連結與高層級,這些特性同時也是再識別風險與濫用風險的來源。若制度僅以移除姓名或替換代碼作為合法化依據,而允許資料被下載、複製、跨境傳輸或再提供,則一旦資料脫離受控環境,法律與技術均難以回復原狀。
台灣現行法制已提供相當重要的規範基礎。《個資法》第2條採間接識別標準,第5條建立目的限制,第6條將醫療、病歷、基因與健康檢查列為特種個資,第21條提供跨境傳輸限制依據;《醫療法》與《醫療機構電子病歷製作及管理辦法》則對病歷資料製作、保存、委外與境外儲存設有特別規範;司法院釋字第603號、釋字第689號與憲法法庭111年憲判字第13號,更共同形成資訊隱私權、目的明確、法律保留、獨立監督與停止利用權之憲法框架。
然而,台灣的挑戰在於將這些規範轉化為可操作的健康資料治理制度。未來若欲在AI醫療、健保資料研究、醫療資料產業化與跨境合作間取得平衡,應避免陷入「去識別即合法」的簡化思維,而應建立「可信資料治理」模式: 資料留在受控環境、研究者在安全平台分析、輸出受審查、跨境受限制、監督具獨立性、當事人有退出或停止利用權、違規者可被追責。唯有如此,健康資料利用才能同時維持公共利益、產業創新與人民資訊隱私權。
