憲法法庭判健保資料庫違憲，相關機關須於3年內修法改善

憲法法庭今日（8/12）判決健保資料庫違憲，指出健保資料庫對個資保障不足，如欠缺個資保護的獨立監督機制，以及對於公務機關和學術研究目的外的資料運用，欠缺當事人得請求停止利用的相關規定，健保署等相關機關須於3年內修法改善。健保署當晚回應尊重憲法法庭判決，將修法或制定法制，包括健保資料利用法制與當事人健保資料停止利用權（即退出權）等。

憲法法庭：健保資料庫欠缺獨立監督機制，以及公務學術目的外的請求停止機制

憲法法庭審判長許宗力先是引述法源，指出個資法第6條第1項規定，有關病歷、醫療、基因、健康檢查之個人資料，不得蒐集、處理或利用。但有下列情形之一者，不在此限，如公務機關或學術研究機構，基於衛生醫療目的，為統計或學術研究而有必要，且資料經提供者處理後，或經蒐集者依其揭露方式無從識別特定之當事人。

而健保資料庫，並不違背法律明確性原則、比例原則，不牴觸憲法第22條，保障人民資訊隱私權之意旨。

不過，憲法法庭從個資法和其他法律整體觀察，認為健保資料庫欠缺個資保護的獨立監督機制，對個人資訊隱私保障不足，有違憲之餘。相關機關應於判決宣布3年內，制定或修正相關法律、建立相關法制，來補足憲法第22條對人民資訊隱私權的保障。

再來，在個人健保資料處理方面，憲法法庭點出，全民健康保險法第79條、第80條及其他相關法律中，並未明確規定以下事項：個人健保資料得由健保署以資料庫儲存、處理、對外傳輸及對外提供利用的主體、目的、要件、範圍和方式，及相關組織程序上的監督、防護等。

該部分不符合憲法第23條保留原則，且違反憲法第22條保障人民資訊隱私權之意旨，許宗力宣布，相關機關應於3年內修正全民健康保險法，或制定專法來改善。

另一方面，憲法法庭認為，資料健保署就個人健保資料，提供公務機關或學術研究機構原始蒐集目的外的利用時，欠缺讓當事人請求停止利用的相關規定，因此違反憲法第22條保障人民資訊隱私權之意旨。相關機關一樣得在3年內修法，或制定相關法律，明定請求停止和例外不許停止的主體、事由、程序、效果等事項。逾期未制定或修正相關法律，當事人可請求停止目的外利用。

許宗力也補充解釋判決理由，首先，根據個資法第6條第1項，健保法第79條和第80條的規定，構成對個人資訊隱私權限制，而憲法隱私權，保障民眾在資料被利用前具有控制權，也就是同意權，即便事前未經過當事人同意，或是經過當事人同意，事後，當事人依然具有同意權。因此，憲法法庭認為，就算當事人事前同意，或是法律規定資料收集不需經當事人同意，當事人事後應具有控制權，來要求刪除、停止利用或限制利用資料。

再來，個資法第6條第1項第4款指出，高敏感特種個資，即使經去識別化，還是有極端的可能被還原、間接識別出當事人，因此，當事人對這些資料的自主控制權，一樣受到憲法保障。

許宗力總結，依照判決，個人健保資料依然可以依法利用，但法制仍有不足之處，如欠缺獨立監督機制、缺乏第三方利用資料的法律規定，也欠缺當事人退出權，若相關機關未於3年內修法改善，當事人有權退出健保原目的外的資料利用。

健保署將修法或另立專法，保障民眾退出權

健保署12日晚間表示尊重憲法法庭判決，雖法庭宣告個資法第6條第1項但書第4款合憲，但有關健保資料利用法制，以及當事人健保資料停止利用權（退出權）等，判決健保法應於3年內修法或另立專法。對此，健保署將依判決，來研修相關規範。

健保署指出，健保資料庫對臺灣醫療發展非常重要，根據健保署民眾意願調查，在249,269人中有91%支持健保資料提供學術利用，因此健保署未來將持續與民眾溝通，對國人善盡健保資料二次利用的告知說明義務，並以病患最大利益為優先考量，有效管理健保資料庫。

最後，健保署也表示，健保資料開放利用，不僅僅只是個人資料保護議題，也攸關國家長遠發展和民眾健康維護。特別是在AI、大數據時代，需要大量資料才能發展精準應用，健保署也會持續努力，來確保健保資料庫的運用，能符合臺灣和國際趨勢以及憲法判決。