公共性與AI論壇（六）
2021年4月29日（星期四）

主持人：李建良（中研院法律學研究所特聘研究員兼所長）
主講人：卓均彥（永進國際法律事務所學習律師）

◎ 整理：黃毓庭
◎ 定稿：李建良

我國健保雲端資料庫簡介

從1995年3月起，由行政院衛生署下轄的「全民健康保險局」負責推動，實施全民健康保險，目前臺灣的健保納保率達99%以上，累積豐富的資料，可做為相關研究第一手資料的來源。而自1998年起，中央健保局即委託國家衛生研究院進行「全民健康保險資料庫」的建置，其原始目的為「醫療費用的申報」。自92年起，依據醫療機構向健保局申報資料，每年年底發行前一年的健保申報資料當時的行政院衛生署就有建置一個健保資料庫。這個健保資料庫相當完整，並且覆蓋率很高，理由是，若從罰則的角度切入來看，假設院所不上傳規定必須上傳的相關資料，全民健康保險醫事服務機構特約及管理辦法第35條可以要求限期改善，若醫療院所不改善就會被違約記點（第36條），記滿3點就會停約一個月（第37條），停約一個月後，再被違約記點，且再停約的話，就五年不予特約，且該地址五年內皆不得開設健保醫療院所，如此的罰則基本上是滿嚴重的。

我國健保雲端資料庫檔案類型

健保雲端資料庫的類型共有三個，分別為醫令檔、費用檔與基本資料檔。醫令檔就是醫生幫病患所做的包含檢查、處置及診療程序牽涉的每一項醫令記錄，都會含括在裡面；費用檔就是針對每一個醫令去對應他費用申報的部分，比如說就診相關人（病患與醫師）、事（就診病患與醫師）、時（就診時間）、地（就診院所）以及就診費用等等的資訊；最後則是基本資料檔，指的是健保資料庫另行針對健保承保記錄、醫師以及醫療院所的基本資訊。以上為健保雲端資料庫的三個類型。

問題與討論（敬稱省略）

李建良：

可不可以說明一下這個雲端資料庫的建置部分？

卓均彥：

基本上，醫療院所將資料上傳到健保署後，健保署中央有一個儲存的地方，儲存後會進行第一次加密，加密後會將檔案傳送到衛福部的檔案中心，檔案中心會再進行二次加密。假設有需要，例如其他公務機關需要運用時，就會再進行第三次加密後送出去。

李建良：

所以這個「雲端資料庫」，是您給它的名稱，不是它本來叫做雲端資料庫？

卓均彥：

對，沒錯，一般都稱其為雲端資料庫。

吳全峰：

可否先釐清一下，這邊所指的「雲端資料庫」是什麼？因為健保署本身也有一個資訊中心，而衛福部也有一個健康科學資料庫，您指的資料庫是健保署自己內部的資料庫嗎？

卓均彥：

是健保署自己內部的資料庫。

邱文聰：

那就不會有後面二次加密的問題。還是請您分階段講一下，您現在介紹的是健保署為了全民健保的目的而蒐集的資料庫，後面為了其他目的，將資料傳送至衛福部或其他相關機關，則是第二階段之後的問題。

【續上報告】

健保資料庫之應用限制

健保署因為健保業務之需要而進行個人資料的蒐集，這些個人資料的應用是否存在限制，以及應用上存在哪些困難？首先最大的框架就是個資法第6條，基本上所蒐集到的資料主要是特種個資，對於特種個資，原則不得蒐集、處理或利用，基本上例外只有個資法規定的六款事由。但由於目前許多民間公司，擁有例如協助辨別疾病，或協助進行疾病醫療的一些應用程式，而這些 AI程式需要一些大型的資料庫去跑。因此是否有可能利用健保署的資料庫進行AI程式的創建，如此應該如何才能合法的進行資料利用，就成為重要的議題。

首先，這六款的例外中，第一個是法律明文規定，由於目前並未有個人資料提供產業運用的法律明文規定，因此這個部分有困難。第2款「公務機關執行法定職務」，若回到健保署的組織法，所謂法定職務應該是指，基於辦理全民健康保險有必要的部分，才可以去利用管理這些個資，而開放產業運用應該無法解釋為執行法定職務。第3款「當事人自行公開或已合法公開的個人資料」，若當事人願意自行公開，那自然最好，但現實是大部分人並未公開，因此第3款亦存在困難。第4款「公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的，為統計或學術研究而有必要，且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人」，由於第四款的主體為公務機關與學術研究機構，並不包含產業應用，因此第四款亦存在困難。第5款「為協助公務機關執行法定職務或非公務機關履行法定義務」，這亦不太可能。最後第六款是目前大家覺得最有可能的解方，也就是經當事人書面同意，但問題是書面同意並非寬泛型的同意，而是經當事人具體明確的就特定資料進行同意，且須為書面，因此要全台灣兩千三百多萬人進行書面同意，不僅緩不濟急，亦不太可能，這是目前所遇到的困境。

突破困境的方法——去識別化

法務部2014年11月17號法律字第10303513040號函釋認為，由於基本上個人資料保護法所保障的客體是個人資料，因此只要進行去識別化，並達到無從直接或間接識別特定個人的程度，就不是個人資料，原則上如此就不會受到個人資料保護法第6條的規範。

實務上之嘗試——全民健康保險資料人工智慧應用服務試辦要點

於2019年6月4日至2010年6月30日，健保署有推行「全民健康保險資料人工智慧應用服務試辦要點」，這個要點基本上就是將經過去識別化的電腦斷層（CT）與核磁共振（MRI）影像檔案進行開放運用，而開放運用的對象包含上述的公務機關、學術機關，以及產業應用。雖然產業應用不包含在個資法第6條的例外範圍，但是否可以援引法務部上述的函釋，在去識別化後認定此資料並非個資，此即為爭執所在。個人初步認為，只要去識別化夠為徹底，而不具有直接或間接的連結性，基本上此資料即非個資法所保護的個人資料，因此得以開放產業應用。

對於去識別化的定義，是指對特定欄位重新整編給碼加密，或重新模糊化，或予以增刪若干欄位，或將醫療影像之個人資料予以遮蔽、標註，以無從辨識該特定個人。所謂影像的部分，是指 CT與MRI的資料，但影像資料並非唯一的開放標的，其他輔助性的資料，例如就醫記錄明細表，或申報費用的資料檔，亦有一併進行開放。而在資料開放前，就每一個欄位中能夠識別當事人的部分都會進行處理，只是處理多少就是重點，若處理太多，例如將年齡等資料都改掉，那這筆資料可能就沒有用處。

問題與討論（敬稱省略）

吳全峰：

可否就檢驗檢查報告的上傳部分，再進一步的解釋說明？

卓均彥：

依我的印象，檢驗檢查報告基本上是由院所上傳，但此並非強制上傳，而是透過獎勵的方式鼓勵上傳檢驗報告、檢查報告，或照片影像檔等資料，而這些資料也同樣是上傳至健保署的雲端資料庫中。

吳全峰：

若照您所說，檢驗資料庫是鼓勵上傳，而非強制上傳，那這有沒有經過當事人同意？因為雲端資料庫建置的原始目的是為了，病人先到A醫院看病，再到B醫院看病的時候，B醫院可以很方便的拿到病人的相關資料。因此我想要確認，是不是實際上，這已經不是僅僅使 A醫院到B醫院使用而已，而變成可能另外一個讓商業利用的資料庫？

卓均彥：

目前以我自己的理解，商業利用另有它的限制條件存在。

吳全峰：

另外一個問題是，因為原本以公衛來講的話，本來我們就可以申請資料，也就是從國衛院資料庫來的資料，這個部分本來就可以進行使用。不過就這個部分，並沒有開放檢驗檢查的資料庫，所以檢驗檢查資料只單給AI這塊使用。所以，比較沒有爭議的是學術利用這塊，並沒有開放檢驗檢查的資料，反而在較有爭議的是產業應用這塊，開放檢驗檢查的資料。

邱文聰：

或者，其實可能已經兩邊都有開放資料了，只是還沒有更新而已。不過，很清楚的是，不同於全民健康保險法規定要將保險給付的資料上傳，這是有法律規定的，檢驗檢查報告上傳到健保署，乃至於再上傳到衛福部，既然是鼓勵性質的話，那這裡應該是沒有法律依據的。如此一來就會牽涉到誰才有決定資料是否釋出的權利。您剛才說目前鼓勵的對象並非病人，而是鼓勵醫院，等於是把資料的所有權主體，當成只有醫院，而跟病人沒有關係。

卓均彥：

健保署應該都會跟醫療院所說應該要跟當事人進行告知。實際上情形如何，需要再確認，但應該會跟病人告知。

吳全峰：

這牽涉到我剛剛的疑問，也就是告知的內容是跟病人說，之後到另外一家醫院時，可以透過雲端很輕易的拿到這一份檢驗資料跟影像報告？還是跟病人說，這份資料同時會拿去做人工智慧的商業利用呢？

劉靜怡：

我記得我之前看到的告知同意書，並沒有包含後面這部分，但不確定最新的版本如何。

邱文聰：

因為這是一個公共的資料庫，所以應該要交代它的合法性基礎是什麼，宣稱已經請醫療院所跟當事人取得同意，才放到健保署、衛福部，這樣的合法性基礎是需要被公開檢驗的。

劉靜怡：

對，理論上，這些問題在健保署的網站應該就可以查得到。

何之行：

我問一下其他的問題。前面提到的這個特定欄位，在實務操作上是否一定的標準？比如說依循美國的HIPPA？還是依個案不同，有不同的特定欄位刪除方式？

卓均彥：

據我所知，這個部分是參照歐盟的GDPR以及美國的HIPPA，後來決定還是針對個案去做不同的判斷，比如罕見疾病。

李建良：

我問一個問題，之前的全民健康保險資料人工智慧應用服務試辦要點，它的施行日期好像已經過了。

卓均彥：

沒錯，簡報檔上的這個施行日期是第一期試辦，並且有開放產業運用，但前幾天剛出來的第二期試辦，也就是今年度的，它目前是刪除掉產業運用，除此之外其他的內容基本上差不多。

何之行：

把產業應用拿掉後，那還可以做產學合作嗎？

卓均彥：

今年110年度到年底的，我記得已經把含產學合作的那個括號直接刪除了。所以今年度的爭議性相對來說就會小非常多，只剩下公務單位跟學術研究。

劉靜怡：

我的疑問是，這個試辦的授權依據是什麼？因為這是涉及個資、涉及人民權利義務關係的問題，即使是沙盒的性質，因為沙盒這個概念在個資相關法律裡面沒有，所以還是必須知道是誰授權可以進行沙盒的。

卓均彥：

這部分我也不清楚。

【續上報告】

實務上之嘗試——全民健康保險資料人工智慧應用服務試辦要點

在申請程序的部分，除了政府機關外，不論是學術研究機構，或是產學應用的部分，健保署原則上都會要求檢附IRB證明，並且資料應用期間原則上是六個月，最長可以再延長六個月，所以大概最多到109年6月30號。

另外，這個試辦要點也有規範作業方式，健保署允許申請者帶應用程式（如輔助疾病判別）進去，然後到七樓的專區進行作業，在這個專區基本上會有一個專人在看，也會有監視器。申請人不能帶手機、攝影機、筆記型電腦，或是行動處理裝置，而紙筆的部分，除非申請者有特殊需求，否則也不允許帶進去。申請者全程都須佩戴識別證，健保署也會有專門的人員確認是否有冒名頂替。申請者於使用期間內要攜出的檔案，也會經過健保署審查，並確認沒問題後才能攜出。原則上審查會有兩關，一關是行政審查，一關是實質審查，實質審查的部分會由健保署內部的審議會進行審查。

接下來要講的一個部分是有關於成果回饋，原則上在利用這些去識別化資料後所得出的研究成果，於發表時首先均應載明資料來源為「全民健康保險資料人工智慧應用服務中心」。再者，於當時所簽定的合約中，會有得約定、勾選智慧財產權歸屬的部分，例如約定智慧財產權完全歸屬於健保署，或完全歸屬於廠商，這個約定的過程就是類似契約的磋商，通常結果會是健保署與廠商各一半，最後這個部分的效益基本上也會回到健保基金中。此外，健保署也可以請申請者分享其於此服務應用產生的資料檔、處理程序、使用經驗及意見回饋，並提交報告，提供健保署及後續申請案參考應用。希望可以透過以上的方式，確保健保署仍舊可以取得一些研究成果，或針對這些研究成果進行管制及介入等。

問題與討論（敬稱省略）

陳陽升：

我想要請問一下，如果我沒有理解錯的話，這是一個所謂的沙盒實驗，那請問它的目的為何，是為了將來要設計一套規範管制模式，還是說這一個讓產業界來應用這些健保的資料，本身有什麼需要實驗的地方？

卓均彥：

由於健保資料庫是個覆蓋率很大、很完整的資料庫，基本上，國外不太可能有類似我們這樣的資料庫，不過因為受限於個資法，因此這個資料庫得運用的可能性將會較有侷限。因此當時在規劃的想法是，有沒有可能在不牴觸個資法，或是在被保險人個資不會有外洩危險的情況下，開放讓大家使用這個資料庫。接下來可能在兩期試辦，甚至三期試辦後，假設有討論出比較折衷的方法，或是待未來規範齊備後，可能會再推行正式的版本。

邱文聰：

不過，沙盒實驗的背景是現有的規定不足，或是不好用，因此有需要去調整的空間，若如您所說開放這個資料庫的使用符合現在的個資法，那為何還需要進行沙盒？也就是究竟這個沙盒實驗是在測試什麼？

卓均彥：

首先可能可以分成兩個部分，第一部分是法規面，也就是可能可以針對法規上其他得以更精進的地方進行檢討；第二部分則是實務面，也就是在這樣的限制下對於產業應用是否有實際上的幫助，例如訓練出來的模型是否真的能夠使用，並且是否有所意義，以及報名的狀況是否踴躍等等，來判斷究竟有無開放產業應用的價值。

陳陽升：

但理論上沙盒設計只能取向於一方，不是為了判斷對於產業界來說是否實用，就是為了設計規範，但按照您的說法看起來是兩者都包含。

李建良：

其實，這個問題有一個悖論或弔詭，就是兩者其實不能同時存立，不是個資法本來就容許在框架裡面開放，但其實這樣就不需要透過試辦。不然，相反的就是，要試辦的原因是因為與現行的個資法不相容。因此，看起來這個沙盒是在創設一個如何規避個資法的模式，如果成功的話，未來可能就有「後門」或是「例外狀態」可以運行。

邱文聰：

請問針對這個委員會所做的准否決定，在定性上是屬於行政處分嗎？

卓均彥：

我個人看法是認為屬於行政處分，但其也有可能被定性為契約的意思表示，進而以契約爭訟方式進行救濟。

【續上報告】

嘗試遇到之瓶頸

接下來，針對實務上的嘗試所遇到的瓶頸，可能存在以下幾點：首先是何謂「無從直接或間接識別特定個人」，其實在個資法及相關法規的全文，都缺乏更細緻的定義，我國亦無如歐盟GDPR規範設有專責之個資保護機構可對該定義進行界定，而全民健康保險資料人工智慧應用服務試辦要點雖有較進一步關於去識別化之定義，惟於規範位階上似乎仍略顯不足，因此或許可以朝在個資法中訂明這個概念的方向努力。次者，針對去識別化的個人資料不受個資法限制的見解，因為這其實是當事人滿重要的個人資料，且是特種個資，因此僅以一個法務部的函釋去解釋其不受個資法第6條的限制，然後再以一個行政規則（或法規命令），訂定要點並開放使用，或許可能存在規範位階不足的問題，如果可以將相關規範的層次拉到法律層次進行規範，應該會是更兩全其美的作法。

未來發展及建議

在結論的部分，我建議可以修正個資法第6條之規定，或者將醫療個資運用單獨訂立專法。此外，針對開放使用的部分也可以於本條訂明，並將「無從直接或間接識別特定個人」進行清楚定義，以及針對老師們前述所提到的問題，例如與其它資料庫串接的可能疑慮進行規範，上述問題如能於法律位階進行規範必能杜絕許多爭議。不過當然，這部分的修法可能在實務上相當困難，所以或許大家可以一起集思廣益，因為確實開放使用這些醫療個資對於未來民眾的健康權及受醫療權利大有實益。

最後，針對是否在規範設計上，可以讓民眾有一個「退出權」（opt out）這個問題。就當事人的書面同意而言，可否是一個大範圍的事前推定同意，但仍保留給民眾隨時可以退出的權利，也就是只要民眾申請，就可以刪除掉原先在資料庫中的個人資料。然而這個做法在現行規定應該是不可行的，因為個資法第6條第6款的規範中，該當事人同意，必須是個別清楚的書面同意，而非事前廣泛的同意，然上開制度可以於個資法修正時一併進行研議是否有納入之可能性。

問題與討論（敬稱省略）

吳全峰：

您提到的問題，實際上在醫療器材上也有遇到，例如apple watch在蒐集健康資訊時，可能同樣會面臨當事人書面同意的問題，而當時廠商在爭的並不是民眾可不可以不同意拿來使用，而是可以直接以電子簽章進行處理。因此若廠商都能夠以這種方式取得同意，為什麼健保署在討論這一塊的時候，一定要執著於紙張的書面程序？

卓均彥：

但廠商所進行的同意程序，可能是透過一個條款，讓締約對象進行勾選是否同意使用，當時也有在討論是否可能複製這樣的模式，只是有想到說全民健康保險是強制納保，那這樣的話可以透過什麼形式，讓民眾可以簽訂這個條款。

邱文聰：

在報稅這個時間點，已經有建立起一套蒐集全民報稅資訊的機制，那既然已經有這樣的資訊系統，為何不能用來蒐集相關健保資料使用的授權？

吳全峰：

另外一個問題是，當廠商透過電子智慧儀器在蒐集健康資料時，他們曾問過衛福部，這些例如心跳等資料，是否屬於第6條所規定的醫療資料，衛福部認為並不算，只有拿去給醫生看了之後，才會在定性上轉換成為醫療資料，在還沒給醫生看之前，並不算是第6條所規範的資料，而須回到一般個資。因此儘管如您所主張，將醫療資料單獨以第6之1條進行規範，可能仍會有相同的問題出現，重點仍是必須將特種個資的範圍定性清楚。

邱文聰：

對，衛福部對於個資法的解釋，是認為說所謂的第6條敏感個資，並非從資料的屬性進行定性，而是由是誰來蒐集加以定性。因此同樣的血壓資料，或是三高資料，只有醫療院所蒐集的，才是第6條規範的敏感個資，其他人蒐集的並不受第6條的規範，但當民眾拿這些資料給醫生看的時候，這些資料又突然會變成醫療資料了。可是不論是GDPR或是歐盟指令，都並非如此定義敏感個資，因為重點並不是誰蒐集這些資料，而是這些資料本身就是屬於敏感個資。

吳全峰：

當初衛福部做出這個函釋的原因，是因為廠商想要蒐集民眾的醫療資料，但由於廠商並不想透過個資法第6條第6款的同意程序，因此衛福部才想出這個方法，限縮對於醫療資料的定義。可是後來在衛福部限縮之後，廠商發現這樣的方法並不太好用，因此衛福部才再發另一個函釋，讓廠商在當事人同意程序中，可以使用電子簽章的方式。只是不從最根本去解決問題，而是一直要從旁邊繞的窘境，就是前面限縮醫療資料定義的洞仍舊還在。

卓均彥：

是，就像剛才講到的試辦沙盒，有部分人士可能會認為儘管這個試辦沙盒有問題，但資料已經給出去，並且廠商也握有資料，所以傷害可能已經造成了，但我本人對於直接將該試辦沙盒定性成”傷害”這個概念並不認同。

吳全峰：

這個試辦要點的規範位階並不足，不僅不是法律位階，可能因為欠缺法律授權，因此連法規命令的位階也稱不上。況且，這個試辦要點亦沒有遵照個資法的程序，按照最高行政法院的判決，若未經當事人同意，則得使用的範圍僅限於在公共利益上面進行研究。問題是這個試辦要點開放產業利用後，實際上其實已經允許進行純粹商業利用（pure commercial use），並且在這一年之中也實際釋出了這些個人資料，所以問題就是我有沒有權利主張這樣是違法釋出。

邱文聰：

除非醫療院所確實有取得當事人同意，且當事人同意的範圍包含做產業利用的AI training。但當然是否真的有做，我們目前並不知道。

邱文聰：

另外一個問題想要請教一下，您剛才說退出權在規範底下不可行，請問是為什麼？

卓均彥：如果單純是退出權的話，在法規上應該不會有太大的困難，但有認為，若允許這樣的退出權，並且使之成為常態，那資料庫可能本身會失真。

劉靜怡：

基本上蒐集資料的目的是為了健保行政，那失真本身既然不是健保法的原意，為什麼它會是一個立法目的呢？

吳全峰：

我講一下失真的問題，全民健康保險的資料有2300萬人，但平常釋出的檔案只有隨機抽樣的200萬人檔，也就是他將2100萬人的資料都拿掉後，只給學術界使用200萬的名單，可是在這種情況下卻不擔心失真，反而擔心2300萬人，可能少了100萬人之後會失真。所以大家一直在討論失真的問題時，必須討論的是，到底少到什麼程度時，那個資料會失真，而這個實際上透過統計是算的出來的。

何之行：

重點並不是數量的少，而是代表數。

邱文聰：

另一個思考這個問題的方向是，如果退出並不是隨機的退出，而是有某個特定群體想要退出的話，那應該要反過來問說，第一，為什麼這個群體如此不信任這個資料庫；第二，如果法律上因為失真問題，而強制要徵收這個群體的資料進行研究，那正當性何在。以罕病來說，假設要做罕病的藥，但罕病的資料都退出了，那當然就做不了，但有什麼正當性可以強迫罕病的群體必須提供資料？反過來如果他們覺得說，因為我是罕病，我很需要做研究，那這個群體的人就不會退出，反而會繼續拜託來做研究。所以假設會失真的背後，其實是沒有考慮到說，在這個動態關係裡，強制特定某一群人必須提供資料的正當性是否足夠。

何之行：

其實英國有做過實證研究，結果是最需要醫療的人，他們的意願最高。所以後來的作法是，他們盡可能的鼓勵你留下來，因為留下來本身對你自己也是好的。

劉靜怡：

對，所以並不能強迫，而是用鼓勵的。

邱文聰：

我們做過一個實際的測試，就是讓大家可以退出，那退出的比例大概是1%，比例其實很低，對於這種所謂大數據的研究而言，1%仍在允許範圍。

吳全峰：

另外一方面，實際上是有些統計方法，可以將這個問題校正回來的，除非是像剛剛提到的，假設是一個罕見疾病，而資料全部退出的話，那無法進行校正，但如果只是一些小小的數據可能出現差距時，這個在統計方法上是有可能校正的。所以真正的問題是，您剛剛講的失真，它是什麼意義下的失真？

邱文聰：

其實就是一個單純的恐懼，就是我要一個都不能少。

劉靜怡：

那這其實就是違反比例原則了。

李建良：

上次那個全民健保資料庫的案子，它本身就是退出的問題，而且最高行政法院有表示過見解。

邱文聰：

最高行政法院的見解就是認為這一個都不能少，因為會有失真的問題，並且資料蒐集很寶貴，所以要拿來進行研究。但最高行政法院並沒有去論述說，這符合比例原則。

李建良：

所以這個部分已經不是單純衛福部的見解，而是法院有承認過的，並且雖然現在有聲請大法官解釋，但那是規範審查，所以這個部分可能需透過裁判憲法審查才有辦法處理。

何之行：

我想請問另一個問題，就是現在的健康存摺，應該是採取opt in的方式，也就是說健保署跟許多健康管理的app簽約，如果有人opt in的話，他們就可以使用這些資料。所以想要請問一下，這些健康管理app的會需要IRB嗎？

卓均彥：

健康存摺的機制是，公司會拿著他們的保險對象，或他們客戶的同意書，來健保署申請這些人的資料，那健保署就是以個人為單位，將申請的資料交給這些公司，所以這個機制其實滿單純的。

吳全峰：

IRB的部分，如果廠商是透過SDK向健保署申請資料的時候，健保署再將資料傳過去，那這一個動作必須要IRB，但若是健保署給予這些資料，是因為當事人同意時，由於廠商合法擁有這些資料，所以假設是要做研究的時候，才需要透過IRB。

吳全峰：

健康存摺是一個軟體，點進去之後，它會要求先認證你的身分，接著它會問很多問題，包含你同不同意讓廠商可以使用這個健康存摺，若你同意的話，那健保署那邊就會進行認證，並把資料傳輸至智慧型手機，而智慧型手機的資料會再反load到廠商的資料庫去。

何之行：

它問的是同不同意廠商可以使用健康存摺內的資料，但並沒有說是用來做什麼部分的吧？

吳全峰：

有，那是另外一個協議。在下載這個app的時候，它一樣會讓你勾選你同不同意廠商做這些事情。

卓均彥：

對，使用目的這些都有交代。

吳全峰：

但健保署那邊不管使用目的，只管是否有經過當事人授權，也就是那個使用目的是介於廠商與當事人之間。

卓均彥：

健康存摺這個程式其實滿好用的，例如當登入看就醫紀錄時，有時候會發現明明那天沒有去看病，但卻突然有一筆就醫紀錄，許多健保詐欺案件來源，都是從健康存摺過來的。而健康存摺的實用性，其實是建立在資料庫上，不過目前提供的資料只有三年內的就醫資料而已。

吳全峰：

健康存摺的資料其實涵蓋的範圍比健保資料庫還要多，包含您簡報裡提到的檢驗資料，以及很多的檢查結果報告，這些資料都有在健康存摺裡面。

邱文聰：

也就是健康存摺的資料，在時序上面比較短，但範圍比較大。

何之行：

如果說健康存摺可以完成當事人同意程序的話，那其實可以解決掉健康資料庫的問題，因為它可以是很大的一筆資料。

卓均彥：

不過，健康存摺比較麻煩的點是它要綁手機使用者，如果剛好手機不是你的名字的話，就還必須使用健保卡、讀卡機，並用電腦進行登錄取得認證碼，在手續上面會比較麻煩。

吳全峰：

你說的這個是直接綁智慧型手機，但其實也能以紙本申請後，將光碟申請出來。

卓均彥：

只不過以紙本申請的方式，可能跟原先健保署推行的目的不太相同，因此健康存摺後來有推出監護的功能，能夠選擇幫小孩與爸媽申請。可是這就衍伸出另外一個爭議，也就是小孩能不能主張健保署不得將其個人醫療資料提供予爸媽。後來健保署是以審核的方式檢視是否有任何實質上的利害衝突等問題。

吳全峰：

未成年人的部分原則上可以透過法定代理人的機制去處理，最大的爭議應該是老年父母的部分，因為健保署允許照護者可以勾選看父母的就醫資料。

卓均彥：

老年父母的部分確實爭議也滿大的，不過當時主要處理的是未成年人，實務上的案例可能是一個國小的兒童，因為跟爸媽鬧翻，因此向健保署主張不得提供其資料給父母。當時爭議的部分是在法定代理的範圍，是否有包含觀看健康存摺的相關醫療紀錄，後來處理的方式就是如果未成年人真的有正當理由的話，那就同意不提供資料。

吳全峰：

這樣其實有點奇怪，因為法定代理的規定，應該是未成年人做了某些法律決定需要經過法定代理人同意，也就是有效意思的問題，但並不代表法定代理人可以查看未成年人所有的東西。尤其當醫療法或是病人自主權利法草案都往必須要同時取得未成年本人加法定代理人同意，才能夠進行醫療決定的方向修正時，如果健康存摺在資料取得上面，只需要法定代理人同意，而不需要個人同意，那不是很怪嗎？因此制度上應該改成原則上不行，除非例外得到未成年人的同意才對。

卓均彥：

健保署針對這個問題有提法律諮詢小組會議討論，但意見仍有分歧。

【續上報告】

申請流程、契約書與作業須知

接下來讓各位瞭解一下申請流程與契約書的部分。首先申請流程中，有一個行政審查程序，與一個實質審查程序，在行政審查的部分，當廠商遞交申請時，會請廠商附上IRB，並且確認是否相關文件有所缺漏，若有缺漏即進行補件，若無缺漏則會進入審議會審查。審查結果若為錄取，就會通知廠商，並且請廠商繳費，以及寄回契約書，之後會再通知廠商可以進行操作的日期。操作當天會先發給廠商識別證，等操作完畢，會對廠商要帶出去的資料進行形式審查。形式審查通過後，會再送審議會審查一次，而若形式審查認為沒有相關個資需要進一步由審議會審查，則會在此階段即通過。在資料帶出去後，流程基本上就結束了，而後健保署會將每個廠商進來時所分配的帳號密碼，與廠商使用的檔案進行刪除。

就契約書的部分，甲方是健保署，乙方是廠商。契約會載明有效期限與計畫屬性，也會請廠商將名稱、主持人、使用申請人等進行載明。契約中有一個重點就是甲方健保署要提供什麼資料檔，以及提供硬體設備等，這些也會註明。再來是會有一個統計結果審查，也就是如果有被竊取、竄改、毀滅的風險者，甲方可以不同意攜出，而這個不同意攜出，就會由前述提到的行政審查跟審議會審查來做把關。另外，就乙方資料使用權責部分，健保署會課予其保密義務，若違反此保密義務，相關民刑事責任需由乙方自行負責，此外若有因契約導致第三人或甲方損害者，亦須負賠償責任。就智慧財產權的約定部分，契約書中會有幾個欄位得以勾選，如同前述所提及的，可以選擇共有、無償授權，或者歸甲方或乙方所有等，共有5種類型可以勾選，這就是屬於締約磋商的部分，當然勾選的類型也可能會影響審查的部分結果。最後則是契約的終止條款與附件，契約的部分大概是這樣。

接著要讓各位看一下作業須知，這部分主要就是規範申請需要哪些東西，首先需要填軟體申請書，並且需要IRB證明文件，跟其他相關的證明文件。此外，最主要的還會有一份保密切結書，和一份聲明書，這兩份文件的目的是讓申請人知悉相關的法律責任，並進行切結。當時第一期試辦的結果聽說還不錯，因為廠商們的反應良好，認為這對他們的模型訓練相當有幫助，也希望之後可以繼續試辦。而今年度的計畫（從110年1月1號至12月31號）除了將管理單位變更為醫管組外，並且如同前述，刪除了「含產業應用」這幾個字。目前看來應該無法再進行產業應用，而之後會再如何調整，尚待觀察。

最後，針對智慧財產權的歸屬有制定相關要點。其中，針對國家將人民的個人資料給出去後，再向使用這些資料的人收錢這部分，有一些批評意見存在。不過大多見解是認為，運用國家資源做研究，本來就必須負擔相關的規費，或是相關的研究成果，本來就應該要讓國家能夠使用收益，藉此促進資料庫的完善保存。因此，於要點中有針對這部分進行規範，也就是商業利用利益，會由健保署收取，最後放進全民健保基金，並依法公開。另外一個重點是，若對造不給，應該怎麼辦？對此健保署有研擬相關作法，也就是依照這個契約進行請求履約的相關訴訟，不過目前尚無任何實例可供參考。

最後的最後，分享一個關於全民健康保險基金的小小題外話。大家應該有聽過法定必須有1.5個月的安全準備金，問題是安全準備金的定性為何？有地檢署檢察官認為安全準備金算是國庫，因此就詐領保險費的醫事服務機構院長，得適用刑事訴訟法第253條之2，給予緩起訴處分的同時，命其向公庫支付一定金額，也就是返還所詐領的保險費。基本上只要院所願意返還其不當申報之金額，健保署多會同意檢方作成緩起訴處分，但若院所不願意返還，就會比較麻煩。因此當時有討論過是否可以運用檢方的力量，將這一筆錢要回健保的口袋，對此，有些檢察官認為不行，有些老師也認為不行，認為就國庫的狹義定義，應只有財政部管轄運用者才屬之，因此不論是安全準備基金，或是健保署的愛心專戶，皆非由財政部所管轄運用，故應不屬國庫，但我認為應該採另一派檢察官的見解將渠等費用追回健保安全準備金內，達成取之於斯，就應回歸於斯的目的，也才能充實日益枯竭的健保財源。

問題與討論（敬稱省略）

陳陽升：

回到今天這一場演講的主題，也就是全民健保個人資料開放產業應用的適法性爭議的話，針對今天討論的沙盒，其實台灣目前對於沙盒有兩部法規，一部是針對無人載具，另一部是針對金融科技。針對無人載具的部分，是針對機器本身的實驗，比如說要給它一個特定的場域等，這並不牽涉到未來修法的問題；針對金融科技的部分，《金融科技發展與創新實驗條例》第17條有規定，實驗屆滿後三個月內，若主管機關認為有修法必要的話，應提交相關金融法律之修正條文草案。就我今天聽下來的理解，全民健保這個似乎比較接近說，若管制上有需要的話，主管機關可以提出一個修法草案。只是我不太明白的是，對於產業界來說，讓產業界利用這些健保資料，可能他們覺得很好，因為可以得到他們想要的數據；但到底對主管機關來說，主管機關可以從這個實驗當中，看到有什麼法規需要修改嗎，因為主管機關認為受到限制的來源就是個人資料保護法。

卓均彥：

我的見解是，這個資料庫這樣閒置其實很可惜，因為這個資料庫可以用來做很多有利於全民福祉的事情，但因為法規的關係，所以可能利用上有過多限制，但因此全然不開放雖然對隱私權的保障程度最高，卻也未必是民眾的福祉。

陳陽升：

所以就是直接開一個門讓產業界用，之後再將這個門關上。不過我的意思是，其實根本不需要這個沙盒實驗，甚至根本沒有沙盒實驗的規範依據。再來，其實可以直接考慮調整目前的法律，讓這個資料庫可以被應用，而不需要沙盒實驗。

卓均彥：

是，當然我也認為重點是修正個人資料保護法相關規定，但在相關規範修正前同時應該也不排斥藉由這個沙盒來實驗看看實務上各方面的執行狀況及反應。

陳陽升：

我的問題就在於說，這個沙盒對於未來管制的配套，或是法規的修正是否有所幫助？

邱文聰：

就是引蛇出洞，看有沒有相關抱怨或問題等等。

劉靜怡：

既然引蛇出洞了，就應該將引出來的問題解決，但目前看來並沒有想要解決問題。所以他的意思是說，為什麼不要回到原點，如果想要使用這些資料，就將法律條文進行修正變動，這樣就可以使用了。

卓均彥：

我自己的個人認知是個人資料保護法的條文可能真的需要作出修正。不過當時可能是因為想要看一下各界的反應，並且蒐集一下實際可能發生的問題，以及針對這些問題應該如何解決等，進行相關的改善。因此，當初其實是希望可以透過這個試辦計畫，讓相關爭議能獲得進一步的解決及改善，這是當時試辦的目的。

陳陽升：

就今天這個問題的核心應該是，如何兼顧產業利用，並使其發揮最大化效用，以及個人隱私保障。可是剛剛看流程表，並沒有針對這樣的爭議，進行相關設計，所以個人資料廠商用了就用了。

劉靜怡：

所以其實當時跟廠商講的，不應該是分潤或回饋的問題，做這個沙盒最重要的，是廠商要將使用者經驗完整、徹底的提供給健保署，不過，這部分不確定是否真的有進行。

卓均彥：

針對第一期試辦計畫所做的使用經驗及回饋蒐集之詳細內容與細節，得再行確認，不過，如同前述，第二期已經刪除產業應用的可能性了。

劉靜怡：

所以，也有可能健保署其實有蒐集使用者經驗，結果發現使用者經驗很差，或是使用者認為沒有幫助，因此就不用做第二期。因為第二期不再進行產業應用，可能給大眾的聯想會是如此，畢竟健保署並不會自己承認，不做第二期產業應用的原因其實是因為法律依據有問題、有違法疑慮。

邱文聰：

如果已經不開放產業應用了，那為什麼還要繼續做第二期？當健保署開放健保資料給大家時，會審核申請者的計畫，包含研究目的、假設，或是方法等。但當健保署自己在辦理這個沙盒實驗時，卻沒有計畫，並且看不出來這個沙盒的研究假設是什麼，以及要測試的東西為何。因此我們也無從瞭解說，這個沙盒實驗最後的結果是成功或失敗，因為當初根本沒有一個計劃定義何謂成功、何謂失敗。

吳全峰：

我覺得我需要釐清一點，因為健保署只是將純粹的商業利用（pure commercial use）拿掉，但一直以來產學合作並未被排除，因此廠商仍舊可以找學術機構合作，所以並未完全排除掉商業應用，只是這就是回到原來的規範裡面，而不需要多出這一個試辦要點，因為真正要沙盒實驗的也就是爭議最大的純粹商業利用這部分。

何之行：

我們現在直接將試辦要點等同沙盒，其實也不完全正確，因為沙盒本身就是要有法律授權，但試辦要點並不適合作為沙盒的法律授權依據。當初健保署其實是認為個資法限制太過嚴格，因此希望能夠試著從繞點的方式突破個資法，不過後來發現這個解套，在規範上仍舊不夠清楚，所以健保署目前也比較往後面退，這是我的看法。

李建良：

有關沙盒的部分，目前有的是自駕車以及理財機器人，其共同的特性就是皆存在科技發展上很高的不確定性。由於法規無法完全規範不確定性，因此必須要有一定實驗的階段，最後再反饋回來進行規範。但在這個案子之中並不存在這些不確定性的東西。再者，上述這些案例都有牽涉個人資料的問題，有些個人資料已經在國家手上。因此若將這些要素提點出來，就不應該被稱作沙盒。此外，最後的結論是歸結到去識別化的問題，並且希望最好能訂定專法。姑且不論衛福部是否會這樣做，但這裡有一個比較全面性的法秩序思考，就是去識別化的問題，好像有所謂「醫療個資」與「非醫療個資」去識別化的區分，然而，就去識別化部分進行規範的話，理論上應該會是一體性的適用。比如說，法務部對去識別化的解釋若是錯誤的話，那應該不僅在醫療個資這個部分是錯誤的，其他部分也同樣會是錯誤的。以上討論是醫療個資的問題，但就去識別化本身，應該是所有個資的問題。所以最後可以反思的是，依照個資的特性建立「不同套」去識別化的對待是否真的可行？上述的這些討論是否只侷限在醫療個資上，或是其實也可以適用到其他個資的層面？最後提出以上整體性的思考，相信大家可以繼續討論下去。