個人資料去識別化與驗證標準規範(臺灣)

2018.1.10
游淑君律師

為因應政府資料開放(open data)及政府資料大資料(big data)的發展,考慮政府預定開放或進行大資料分析的資料中涉及個人資料,將有侵害個人隱私權(注1)之疑慮,依據個人資料保護法與法務部民國(以下同)103年11月7日法律字第10303513040號函釋見解(注2),「去識別化」成為降低侵害的解決方案之一,目前我國已確立有國家標準作為去識別化之驗證標準規範。

民國(以下同)101年間曾經有民眾對於全民健保資料的利用提出爭議,認為衛生福利部中央健康保險署(以下簡稱「健保署」)將所建置之全民資料庫之資料,不當提供給財團法人國家衛生研究院建置「全民健康保險研究資料庫」使用,以及其上級機關衛生福利部建置「衛生福利資料科學中心」及分中心使用,經民眾寄發存證信函向健保署表示拒絕將其搜集之個人資料轉提供他機關使用遭到健保署拒絕,案經行政訴訟之更迭,直至今年(106年)1月由最高行政作成終局判決。法院認為,臺灣全體國民之身體、健康、疾病及就醫等宏觀資料,對健康政策的擬定,與疾病之預防及治療均有重大意義,此等資料之處理應屬具有「重大公益目的」,從而,個人資料涉及個人資訊隱私權,與建立資料庫所形成之公共利益互相衝突,協調化解此等「公、私益衝突」現象最有效率之手段,即是個人資料之「去識別化」(注3)。由此可見,法院實務肯定去識別化得作為保護個人資料的適當方法。

然而,所稱去識別化,是否端以個人資料隱私權之考慮,而應徹底排除特定主體的個人資料,致無從辨識特定主體之程度,論者認為,基於採樣所得之樣本必須能精准代表母體,才屬於有效樣本,因此,如果去識別化的手段過於嚴苛,仍有礙於公益目的之實踐。

德國在處理隱私權驗證機制方面,區分為透過第三方驗證機制,以及透過機構內部稽核程式輔以公務機構的監督兩個面向。第三方驗證機制,在檢測過程需有法律專業的專家共同評估,確保符合相關法令規定;此外,若各機構組織中有超過10個人負責處理或可以接觸到個人資料,則依法應設置保護個人資料之專責人員,不過,如果該機構的主要業務為個人資料的流通,則不管人數多寡都必須配置資料保護專責人員,專責人員的任務範圍,在於監督電腦與其程式的正確使用,確認有許可權使用個人資料者只能在使用目的範圍內處理個人資料,並確保資料所有人對其資料有諮詢請求權,可要求修改、封鎖或刪除,同時負責培養員工有資料保護的意識,此等機制亦可以作為落實公司治理的面向之一,同時,在某些情形必須配合公務機關的監督查核,通過評鑒者得獲頒驗證證書。(注4)

為與國際保護個人資料隱私權之趨勢接軌,我國分別於103年6月以及104年6月公佈國家標準CNS29100「資訊技術-安全技術-隱私權框架」、以及CNS29191「資訊技術-安全技術-部分匿名及部份去連結鑒別之要求事項」,作為現階段個人資料去識別化之驗證標準,前者適用於政府機關open data、big data應用情境,包括情境為:政府機關提供個人可識別資訊(personally identifiable information, “PII”,例如open data或big data涉及個人資料者)給第三方(政府機關作為「PII控制者」的角色),以及政府機關或政府委託機關提供個人可識別資訊給第三方(政府機關作為「PII提供者」的角色);後者提供部分匿名及部分去連結鑒別之框架,並建立其要求事項。目前政府機關先帶頭試用,由財政部財政資訊中心率先運用前開標準配合臺灣電子檢驗中心(Electronics Testing Center, Taiwan)以「個人資料去識別化過程驗證要求及控制措施」標準進行,該措施系要求組織應訂定符合一定要求之去識別化步驟,包括:(一)隱私權政策、(二)PII隱私風險管理過程、(三)PII之隱私權原則、(四)PII去識別化過程、(五)重新識別 PII之要求等,財政資訊中心於104年11月取得核發之驗證證書,未來預計將推廣並應用至產業界,例如金融業、科技業等持有巨量民眾個人資料的產業。

從個人資料保護法第6條以及第16條所揭諸對於資料處理的規範認為:「資料經過提供者處理後或搜集者依其揭露方式無從識別特定之當事人」,到法務部公佈的函釋見解:「如公務機關將保有的個人資料運用技術去識別化而呈現方式已無從直接或間接識別特定個人,即非屬個人資料」,經去識別化之個人資料將不受個人資料保護法約束。有鑒於社會大眾個人資料能確實受到保障,日後或許可以參照德國作法,立法要求私人企業設置處理個人資料之專責人員,輔以公務機關的適時監督。然而,目前我國透過財團法人臺灣電子檢驗中心執行驗證,驗證證書有效期間為3年,其設置之法源依據是否明確,日後經過此去識別化驗證過程之機關處理個人資料,是否得徑予援用作為免責事由,而可以完全免除司法實務之檢驗,例如縱使經過驗證,政府機關在利用個人資料時仍因公務員之故意或過失而洩漏之(注5),應屬後續值得觀察並深入探討的議題。

參考資料:

注1:司法院大法官第603號解釋文(摘錄): 「維護人性尊嚴與尊重人格自由發展,乃自由民主憲政秩序之核心價值。隱私權雖非憲法明文列舉之權利,惟基於人性尊嚴與個人主體性之維護及人格發展之完整,並為保障個人生活私密領域免於他人侵擾及個人資料之自主控制,隱私權乃為不可或缺之基本權利,而受憲法第二十二條所保障(本院釋字第五八五號解釋參照)。其中就個人自主控制個人資料之資訊隱私權而言,乃保障人民決定是否揭露其個人資料、及在何種範圍內、於何時、以何種方式、向何人揭露之決定權,並保障人民對其個人資料之使用有知悉與控制權及資料記載錯誤之更正權。惟憲法對資訊隱私權之保障並非絕對,國家得於符合憲法第二十三條規定意旨之範圍內,以法律明確規定對之予以適當之限制。

注2:法務部民國103年11月7日法律字第10303513040號函釋要旨:「個人資料保護法第 1、2、16、20 條規定參照,如將公務機關保有的個人資料運用技術去識別化而呈現方式已無從直接或間接識別特定個人,即非屬個人資料公務機關主動公開或被動受理人民請求提供上述政府資訊,除考慮有無特別法限制外,分別依檔案法第 18 條或政府資訊公開法第18  條相關規定決定是否公開或提供即可;又非可直接或間接識別的個人資料一律均須保密或禁止利用,公務機關及非公務機關對個人資料利用,原則上雖應於搜集特定目的必要範圍內為之,惟如符合法律明文規定、為增進公共利益等法定事由,仍得為特定目的外利用。」

注3:最高行政法院106年度判字第54號判決。

注4:鄧永基,《隱私權和個人資料保護的介紹與歐美發展趨勢簡介》,財金資訊季刊第62期,2011/06/09。(https://www.fisc.com.tw/tc/knowledge/quarterly1.aspx?PKEY=ea685431-6453-468c-8f44-6fa25cdc9cd4,最後流覽日:2017/11/29)

注5:個人資料保護法第28條規定:「公務機關違反本法規定,致個人資料遭不法搜集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但損害因天災、事變或其他不可抗力所致者,不在此限。(第一項)被害人雖非財產上之損害,亦得請求賠償相當之金額;其名譽被侵害者,並得請求為回復名譽之適當處分。(第二項)依前二項情形,如被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件新臺幣五百元以上二萬元以下計算。(第三項)對於同一原因事實造成多數當事人權利受侵害之事件,經當事人請求損害賠償者,其合計最高總額以新臺幣二億元為限。但因該原因事實所涉利益超過新臺幣二億元者,以該所涉利益為限。(第四項)」;個人資料保護法第41條規定:「意圖為自己或第三人不法之利益或損害他人之利益,而違反第六條第一項、第十五條、第十六條、第十九條、第二十條第一項規定,或中央目的事業主管機關依第二十一條限制國際傳輸之命令或處分,足生損害於他人者,處五年以下有期徒刑,得並科新臺幣一百萬元以下罰金。」