2018.9.4
陳曉蓁 律師
法務部於民國107年9月4日以法律字第10703512280號函釋(下稱本號函釋)指出,公務機關將所收載醫療影像資料上之特種個人資料進行去識別化後,如可認非屬個人資料,則後續提供外界利用,自無個人資料保護法適用。
本號函釋乃針對衛生福利部中央健康保險署參與國家發展委員會推動之「亞洲.矽谷試驗場域計畫」,規劃執行健保醫療影像倉儲建置與人工智慧應用,未來擬開放去識別化之醫療影像資料供外界應用,其中涉及個人資料保護法之解釋適用疑義乙案,予以回覆說明。
按個人資料保護法(以下簡稱個資法)第2條第3款、第4款規定:「本法用詞,定義如下:…三、蒐集:指以任何方式取得個人資料。四、處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。」。
本號函釋先指出,個人資料去識別化之行為應定性為個資法第2條第4款所稱之「處理」,而我國個資法之體系架構係將「蒐集」及「處理」行為規範於相同法定要件之下,蓋個人資料之「蒐集」大多緊密伴隨著「處理」行為,故個資法並未特別區隔兩者之行為要件,且因去識別化資料須達到無從直接或間接識別特定人之程度,故去識別化之加工處理並未增加對當事人權益之額外侵害,因此,如原先蒐集個人資料之行為符合個資法第15條及第19條第1項之規定,應可認為去識別化之處理並未逾越原先蒐集之特定目的(並非與原特定目的不相容),而得依據原先蒐集時之同一合法事由為之。
本號函釋進一步指出,如公務機關或非公務機關保有之個人資料,運用各種技術予以去識別化,而依其呈現方式已無從直接或間接識別該特定個人者,即非屬個人資料,自無個資法之適用。故個資已去識別化後之資訊,提供資料開放使用,不用再得當事人書面同意(行政院秘書長104年9月17日院臺科字第1040144764號函檢送104年8月18日行政院研商「個人資料去識別化」驗證標準規範(草案)會議紀錄結論參照)。
本號函釋最後結論指出,有關就旨案研議將所收載之醫療影像資料上之特種個人資料進行去識別化處理,未來擬開放供外界應用乙節,如原先蒐集特種個人資料之行為符合個資法第6條第1項但書之規定,應可認為去識別化之「處理」並未逾越原先蒐集之特定目的,而得依據原先蒐集時之同一合法事由為之;又如保有之上開特種個人資料,倘經運用各種技術予以去識別化,而依其呈現方式已無從直接或間接識別該特定個人者,即非屬個人資料,則後續提供外界利用,自無個資法之適用。