个人数据去识别化与验证标准规范(台湾)

2018.1.10
游淑君律师

为因应政府资料开放(open data)及政府数据大数据(big data)的发展,考虑政府预定开放或进行大数据分析的数据中涉及个人数据,将有侵害个人隐私权(注1)之疑虑,依据个人数据保护法与法务部民国(以下同)103年11月7日法律字第10303513040号函释见解(注2),「去识别化」成为降低侵害的解决方案之一,目前我国已确立有国家标准作为去识别化之验证标准规范。

民国(以下同)101年间曾经有民众对于全民健保资料的利用提出争议,认为卫生福利部中央健康保险署(以下简称「健保署」)将所建置之全民数据库之数据,不当提供给财团法人国家卫生研究院建置「全民健康保险研究数据库」使用,以及其上级机关卫生福利部建置「卫生福利资料科学中心」及分中心使用,经民众寄发存证信函向健保署表示拒绝将其搜集之个人资料转提供他机关使用遭到健保署拒绝,案经行政诉讼之更迭,直至今年(106年)1月由最高行政作成终局判决。法院认为,台湾全体国民之身体、健康、疾病及就医等宏观资料,对健康政策的拟定,与疾病之预防及治疗均有重大意义,此等数据之处理应属具有「重大公益目的」,从而,个人数据涉及个人信息隐私权,与建立数据库所形成之公共利益互相冲突,协调化解此等「公、私益冲突」现象最有效率之手段,即是个人资料之「去识别化」(注3)。由此可见,法院实务肯定去识别化得作为保护个人数据的适当方法。

然而,所称去识别化,是否端以个人资料隐私权之考虑,而应彻底排除特定主体的个人资料,致无从辨识特定主体之程度,论者认为,基于采样所得之样本必须能精准代表母体,才属于有效样本,因此,如果去识别化的手段过于严苛,仍有碍于公益目的之实践。

德国在处理隐私权验证机制方面,区分为透过第三方验证机制,以及透过机构内部稽核程序辅以公务机构的监督两个面向。第三方验证机制,在检测过程需有法律专业的专家共同评估,确保符合相关法令规定;此外,若各机构组织中有超过10个人负责处理或可以接触到个人数据,则依法应设置保护个人资料之专责人员,不过,如果该机构的主要业务为个人数据的流通,则不管人数多寡都必须配置数据保护专责人员,专责人员的任务范围,在于监督计算机与其程序的正确使用,确认有权限使用个人数据者只能在使用目的范围内处理个人数据,并确保数据所有人对其数据有咨询请求权,可要求修改、封锁或删除,同时负责培养员工有数据保护的意识,此等机制亦可以作为落实公司治理的面向之一,同时,在某些情形必须配合公务机关的监督查核,通过评鉴者得获颁验证证书。(注4)

 

为与国际保护个人数据隐私权之趋势接轨,我国分别于103年6月以及104年6月公布国家标准CNS29100「信息技术-安全技术-隐私权框架」、以及CNS29191「信息技术-安全技术-部分匿名及部份去连结鉴别之要求事项」,作为现阶段个人数据去识别化之验证标准,前者适用于政府机关open data、big data应用情境,包括情境为:政府机关提供个人可识别信息(personally identifiable information, “PII”,例如open data或big data涉及个人资料者)给第三方(政府机关作为「PII控制者」的角色),以及政府机关或政府委托机关提供个人可识别信息给第三方(政府机关作为「PII提供者」的角色);后者提供部分匿名及部分去连结鉴别之框架,并建立其要求事项。目前政府机关先带头试用,由财政部财政信息中心率先运用前开标准配合台湾电子检验中心(Electronics Testing Center, Taiwan)以「个人数据去识别化过程验证要求及控制措施」标准进行,该措施系要求组织应订定符合一定要求之去识别化步骤,包括:(一)隐私权政策、(二)PII隐私风险管理过程、(三)PII之隐私权原则、(四)PII去识别化过程、(五)重新识别 PII之要求等,财政信息中心于104年11月取得核发之验证证书,未来预计将推广并应用至产业界,例如金融业、科技业等持有巨量民众个人资料的产业。

从个人数据保护法第6条以及第16条所揭诸对于数据处理的规范认为:「资料经过提供者处理后或搜集者依其揭露方式无从识别特定之当事人」,到法务部公布的函释见解:「如公务机关将保有的个人数据运用技术去识别化而呈现方式已无从直接或间接识别特定个人,即非属个人资料」,经去识别化之个人资料将不受个人数据保护法约束。有鉴于社会大众个人数据能确实受到保障,日后或许可以参照德国作法,立法要求私人企业设置处理个人数据之专责人员,辅以公务机关的适时监督。然而,目前我国透过财团法人台湾电子检验中心执行验证,验证证书有效期间为3年,其设置之法源依据是否明确,日后经过此去识别化验证过程之机关处理个人数据,是否得径予援用作为免责事由,而可以完全免除司法实务之检验,例如纵使经过验证,政府机关在利用个人资料时仍因公务员之故意或过失而泄漏之(注5),应属后续值得观察并深入探讨的议题。

参考数据:

注1:司法院大法官第603号解释文(摘录): 「维护人性尊严与尊重人格自由发展,乃自由民主宪政秩序之核心价值。隐私权虽非宪法明文列举之权利,惟基于人性尊严与个人主体性之维护及人格发展之完整,并为保障个人生活私密领域免于他人侵扰及个人数据之自主控制,隐私权乃为不可或缺之基本权利,而受宪法第二十二条所保障(本院释字第五八五号解释参照)。其中就个人自主控制个人数据之信息隐私权而言,乃保障人民决定是否揭露其个人资料、及在何种范围内、于何时、以何种方式、向何人揭露之决定权,并保障人民对其个人数据之使用有知悉与控制权及数据记载错误之更正权。惟宪法对信息隐私权之保障并非绝对,国家得于符合宪法第二十三条规定意旨之范围内,以法律明确规定对之予以适当之限制。

注2:法务部民国103年11月7日法律字第10303513040号函释要旨:「个人数据保护法第 1、2、16、20 条规定参照,如将公务机关保有的个人数据运用技术去识别化而呈现方式已无从直接或间接识别特定个人,即非属个人资料公务机关主动公开或被动受理人民请求提供上述政府信息,除考虑有无特别法限制外,分别依档案法第 18 条或政府信息公开法第18  条相关规定决定是否公开或提供即可;又非可直接或间接识别的个人数据一律均须保密或禁止利用,公务机关及非公务机关对个人资料利用,原则上虽应于搜集特定目的必要范围内为之,惟如符合法律明文规定、为增进公共利益等法定事由,仍得为特定目的外利用。」

注3:最高行政法院106年度判字第54号判决。

注4:邓永基,《隐私权和个人数据保护的介绍与欧美发展趋势简介》,财金信息季刊第62期,2011/06/09。(https://www.fisc.com.tw/tc/knowledge/quarterly1.aspx?PKEY=ea685431-6453-468c-8f44-6fa25cdc9cd4,最后浏览日:2017/11/29)

注5:个人数据保护法第28条规定:「公务机关违反本法规定,致个人资料遭不法搜集、处理、利用或其它侵害当事人权利者,负损害赔偿责任。但损害因天灾、事变或其它不可抗力所致者,不在此限。(第一项)被害人虽非财产上之损害,亦得请求赔偿相当之金额;其名誉被侵害者,并得请求为回复名誉之适当处分。(第二项)依前二项情形,如被害人不易或不能证明其实际损害额时,得请求法院依侵害情节,以每人每一事件新台币五百元以上二万元以下计算。(第三项)对于同一原因事实造成多数当事人权利受侵害之事件,经当事人请求损害赔偿者,其合计最高总额以新台币二亿元为限。但因该原因事实所涉利益超过新台币二亿元者,以该所涉利益为限。(第四项)」;个人数据保护法第41条规定:「意图为自己或第三人不法之利益或损害他人之利益,而违反第六条第一项、第十五条、第十六条、第十九条、第二十条第一项规定,或中央目的事业主管机关依第二十一条限制国际传输之命令或处分,足生损害于他人者,处五年以下有期徒刑,得并科新台币一百万元以下罚金。」