二、資訊隱私權和資訊自主權
當談及健康與醫療資訊的加值使用時,大家最關切的問題便是,當醫師、研究人員她們在做研究時,藉由串連各種健康資料庫來獲得新知,此作法會不會侵害到我的隱私權呢?醫學進步為眾人所望,但誰也不想要將自己的資訊無所保留地、大剌剌地讓眾人觀賞,如何在這之間取得平衡,或是我們的隱私權應該受到何種保護,正是接下來我們所要探討的議題。
本文所談及的隱私權,為資訊隱私權,指的是自己對於到底有哪些機構擁有我的個人資料、內容是否正確等擁有知道、要求更正補充,甚至要求刪除的自主權利。像是我可以決定要不要在 Facebook 上公開我的生日、電話、性別,或是要不要貼上我的日記,而且我隨時可以更改這些資訊。又例如醫院將我的姓名及地址登記錯誤,我可以要求更正,當醫院將我的個人聯絡資料不當使用,甚至轉給其他第三者做廣告行銷之用,卻未經過當事人的同意,當事人也可以要求醫院不得將本人聯絡資訊轉給其他第三者使用。
資訊隱私權的重要性在於,個人對於自身資訊公開和掌握的權利,如若我不能掌握誰可以擁有我的資訊,或是我不能決定何時、何地釋出資訊,甚至是這些資訊的正確性,那我做為一個個人的獨特性又在哪呢?司法院大法官會議第 603 號解釋便提及對於民眾資訊隱私權的保護是實踐個人人格權的前提,因此政府應該予以保護之。不過,網路越發發達、科技越發進步,連我國軍事基地都會被 GPS 照到,如何確保我們的資訊隱私權受保障是一重大且需要被重視的問題。
在我們這幾天的議程提到政府建設協作中心的目的、健康或醫療資料庫串連對於醫學研究的貢獻,然而這些資訊在蒐集、儲存、使用、傳輸和跟另幾個資料庫串連使用時,會不會侵犯到我們的資訊自主權呢?研究人員在研究時,資訊當然是越完整越好,因此串連各類資料庫就變得相當重要,即便研究人員無法知道這是誰的資料,但是當他串連癌症檔、死因檔、地理資訊中心、處方籤等資訊後,雖然這類資訊不牽涉到個人資料的洩漏,但仍會對於群體造成影響。例如當若有研究指出年齡 50 歲以上、居住在南部的閩南婦女,最容易濫用醫療資源時,這就會對於特定族群造成影響,不僅可能造成特定族群被汙名化,也可以在實際上導致保險公司針對某些特定族群的保險費用往上調升的後果。
回到我們的議題上,在這些健康和醫療資訊在蒐集、彙整等過程中,雖然有去姓名、以編號代稱各筆資料所有人,但這樣是否就沒有侵犯我們的資訊自決權及隱私權?試想如果,今天有一個人偷拍了另一人的裸照,然後,將被拍攝者的頭部做模糊化後,到處將這張裸照寄送給其他人觀看、流傳、使用,當事人發現之後,是否也會覺得因為頭部已經被模糊化了,所以自己的隱私並沒有遭到侵犯呢?
又例如像愛滋病患者,這類容易被貼上標籤的群體,在資料庫串連後,即便原本資料已經做過加密,然而串連不同種類的資料,是否仍可以識別出某一類型的公民呢?或者,某一類疾病可能非常受到大家的重視,像是如果可以研發出治療罕見疾病的藥物,對於醫師是最大的殊榮,那這些罹患罕見疾病的患者的資訊隱私權是不是更容易受到侵害呢?假設有研究指出現行療法可能對於患者可能造成不孕,會不會間接使得患者失去結婚的可能,這些結果都是不確知的,但是我們了解到資訊隱私權對於各人的重要性,我們可能無法想像如果資訊隱私權真的受到侵害,會對於我們生活造成甚麼影響,本議程希望大家能夠合理想像侵害為何,並以此為基礎來衡量現行政府的政策和法規保護是否完善。
每一次的就診,不是只有醫師才曉得我們的就診資料,像是健保局、保險公司、安養中心都會需要我們的就診資料以做行政處理或是更好的照護。但是這些資料如果被轉手呢?目前的情況是,政府有許多資料庫都是強制登記的,像是死因檔、癌症檔、傳染病通報、健保資料庫,這些是因為行政需求而建置的資料庫,因此政府在蒐集資料的過程,不需要再經過民眾的同意。然而,現行情況,政府將這些資料庫開放給研究單位做使用;對於民眾而言,我們並不知道是哪些機構將獲得我們的資訊,她們是不是有做好安全措施來確保我們的資訊不會外洩?這類型的資訊,民眾似乎不再享有資訊自主權,因為資訊何時釋出、釋出給誰、釋出哪些資訊等等都不是由民眾所決定。再退一步而言,我們並沒有同意過政府可以將這些資料做目的外的使用,或是有相關法規授權政府可以這樣做。當缺乏法律規範上,資訊釋出的過程如果出現甚麼意外,或是資訊安全的問題,誰來保障之?
在健康和醫療資料加值上,又不僅僅只是健保資料,還有包括其他的資料,以協作中心為例,目前可釋出的檔案有癌症登記檔、原住民身分檔等,像是癌症登記檔,裡面記載著病患的身分證字號、診斷年齡、癌症部位、組織病理、診斷依據、治療情形,即便在釋出資料時,身分資訊會被加密、掩蓋,但現階段,每一次資訊的釋出並沒有另外徵詢病患個人的同意。
健康和醫療資訊比起其他資料來的特殊,美國於 HIPAA 法案上,便將病歷和健康相關的資料歸類為私人需要被保護的資料,或是敏感性資料。這些資料的釋出需要被另外規範。
進一步看其他的健康和醫療資訊,像是健保局資料庫中的開藥記錄,這些資料也都是全台人民就診資訊的集結。當健保局因為行政需求,而蒐集這些資料,之後呢?當健保局將這些資料建檔後再釋出,這是恰當的行為嗎?
臺灣人權促進會認為健保局將健保資料庫的資料釋出,並沒有尊重公民個人的資訊自主權。台權會認為健保資料庫將公民的健保資訊釋出給學術或非學術單位做使用,並沒有明確的法令授權,也沒有取得全國公民的同意,已經侵害到公民的資訊自主權。於此,健保局表示,根據電腦處理個資法,出於公益目的,健保資料可以提供研究使用,不一定要經當事人的許可。衛生署表示健保資料庫所釋出的資料皆是總體資料,並非個人資料,並不會像民間人權團體所言會暴露民眾重要資訊。總體資料,即是指我們可以從該資料庫得知 2003 年到開有多少止痛藥的數據,卻無法得知是誰拿了這些止痛藥。再者,身份欄已經進行二代加密,而且資料必須要無法辨識個人資訊才得以釋出,並未侵害到個人的資訊自主權。然而民間團體認為在法律尚未有明文規定健保資料庫可應用範圍,不管研究是否有牽涉到實際上的商業利益,每一筆資料在被使用之前,都應該要取得當事人的同意,或至少應該透過立法來做正式授權及規範管理。
現今網路社會,資訊流動越發快速,個人要完全的資訊自主權似乎有現實上的困難,以前個人只跟好朋友分享的資訊,現在透過 twitter、facebook 等社群網站,如果個人沒有對這些網站做限制,只是跟朋友的談話也會傳給其他人知曉。近年來,政府將自己的檔案文件電子化的情形越發頻繁,也逐步走向 e 政府的時代,然而就如同健保資料庫一般,原本只是作為行政之用的資料,會不會也跟著電子化,甚至未來的雲端化,到時個人對於資訊自主權的掌握又剩多少?
