國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
163
查,故仍具有較過去「抽樣」調查方式精確的優點),亦能兼顧對於使用者的隱 私保障。但應特別注意的是,所謂「匿名化」的去識別處理,必須確保處理後 的資料,無法再識別特定個人,此時必須將轉化後個別使用者的收視行為紀錄 等原始個人資料銷毀,始能確保該經轉化後的累積性統計資料已「非」個人資 料,而可完全排除使用者隱私被揭露的風險。
雖然在現行法下,視訊內容服務提供者已得依循相關規定,於一定範圍 內,蒐集、處理及利用收視行為紀錄。然而,從以上分析可以發現,現行個資 法對於個人資料的利用仍然有諸多限制,是否可以滿足大數據時代下,相關收 視行為紀錄的利用需求,不無疑義。因此,為兼顧大數據時代下的個人資料保 護與個人資料合理利用,下節將嘗試就現行個資法提出若干的修法建議方向,
作為本論文的最後結語。
第二節 修法建議方向
從收視行為紀錄調查出發,可以注意到在資料以數位方式被大量儲存、分 析的大數據時代,個人資料保護機制雖不至完全難以適用,但仍面臨相當嚴峻 的挑戰。具體而言,現行個資法至少有「個人資料界定不明」、「欠缺平衡利益 衝突的權衡規定」,「過濾罩效應與自動化處理程序不透明」,以及「個別行業告 知事項仍有不明」等問題需要改善,始能透過個資法更妥適地平衡大數據時代 的各方利益。
第一項 加強個人資料的界定
第一款 強化「間接識別個人資料」定義的明確性
大數據資料分析的特性是以應用數學、統計學及科學原理,詮釋極大量的 數據,以「預測」人類生活各個層面的現象,進而發揮其應用價值,因此在實 際深入分析之前,我們往往難以估計其潛藏的「利益」何在;相對地,個人放
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
164
棄智慧隱私的後果也許不會在提供資料的當下即立刻顯現,但卻可能導致「遠 弊」在未來發生,例如像Bork 法官一樣,租借錄影帶的紀錄在日後因為大法官 提名而被揭露在世人面前;又,我們雖難以預料今日收視的內容,在未來某個 場合會對我們有什麼樣的影響,但對於收視行為紀錄可能被濫用的恐懼,卻可 能在現在就使我們產生寒蟬效應。
再加上隱私具有一經披露,即難以事後補救的特性,因此要事先以特定資 料在大數據分析上有「較高」利益、個人隱私利益「較低」為由,否定特定資 料屬於個人資料,而完全排除個資法的適用,有一定困難;況如此一來,即使 資料有誤,當事人也難以透過救濟加以矯正,恐怕無法適當保障資料當事人的 權益。
因此,建議在「個人資料」的判斷上應盡可能採取寬認的標準,並單純從
「技術上可行性」(包含識別所需耗費的勞力、時間、費用是否不符比例)的角 度考量,以確保可能連結至特定個人的資料,都能受到個資法的保障;對於隱 私利益明顯較低,至與資料利用利益間可能的失衡現象,則應交由利益權衡機 制處理,不宜於「個人資料」判斷的階段即貿然排除。
從而在加強個人資料的範圍界定時,建議可參採歐盟的標準(包括GDPR 及歐盟法院有關動態IP 位置的判決),亦即對於「間接識別個人資料」的定 義,宜明確指出,決定是否有可資比對以供識別特定個人的資料(方法)存在 時,「應將資料蒐集者及『任何他人』為識別該特定個人所有可能、合理的方法 都納入考量」。
第二款 明文規範「去識別化」的內涵及其法律效果
如前所述,現行個資法對於「去識別化」未有明確規範,因而造成實務判 決在解釋上有矛盾、混淆的情形,實有必要盡速釐清其內涵。「去識別化」內涵 大致可以區分為兩種類型:「可回復」與「不可回復」的去識別化,而國際上目
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
165
前已依照上述兩種「去識別化」內涵,以法律明定其效果者,主要有歐盟 GDPR 增訂的「假名化(pseudonymisation)」資料規定;7及日本於2015 年 9 月 修正通過的個資法,增設關於「匿名加工資料」的規定。8
歐盟GDPR 定義「假名化」(即「可回復」的去識別化)為:「採取技術或 組織上的方式將資料分別保存,使個人資料轉化為在沒有運用其他資料的情形 下,即無法連結至特定資料當事人的個人資料處理方式」;並認為假名化為一種 能降低資料主體風險,及幫助資料控制者與處理者履行其資料保護義務的適當 安全措施,但與無論如何不能再與特定已識別或可識別自然人連結的「匿名 化」去識別處理不同。依據GDPR 立法理由的說明,經「假名化」處理後的資 料,仍屬個人資料,受到GDPR 的完整規範;反之,如資料已達到匿名化的程 度,則不再受到規範。
相對於歐盟明確依據去識別化後的資料是否「可能復原」與特定個人連 結,以決定該資料是否仍有GDPR 的適用,日本對於「去識別化」資料則採取 了相當獨特的規範架構。
日本新修正的個資法第2 條第 9 項對應同法第 2 條第 1 款「記述型個資」
及第2 款「個人識別符號」,分別訂定「匿名加工」的原則性規定;相關個人資 料一旦經過法定措施加工後,所得的資料即被認定為無法識別特定個人的「匿 名加工資料」。在法律效果上,新個資法明文規定匿名加工資料為原蒐集特定目 的「外」的二次利用或提供第三人時,不須得到當事人同意(但非完全排除個 資法的適用)。9然應該注意的是,日本「匿名加工資料」所稱無法回復特定個 人識別性,並未要求至嘗試任何手法均不可能復原的程度,因此仍可能屬於
7 GDPR (2016/679) recital 26.
8 參見范姜真媺主持,劉定基與李寧修協同主持,「歐盟及日本個人資料保護立法最新發展之分 析報告」委託研究案期末報告,法務部,105 年 12 月 30 日,頁 80-83。
9 同上註,頁 82。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
166
「可回復」的去識別化方式。10。相較於歐盟,日本似乎在立法模式上選擇折 衷的作法。
此外,日本新個資法配合上述「匿名加工」的原則性規定,也為實務設計 了完整的具體去識別化方法:先有個人情報委員會針對各產業實務上的操作方 法,訂定最低限度加工方法的基準,並由民間認定個人情報保護團體,再依據 各該產業特性,導入多方利害關係人的參與,於業者及消費者協議後,在「個 人情報保護方針」中訂定更具體的「匿名加工資料作成方法」。11
觀察目前我國實務判決,仍未能言明採取去識別化標準內涵(即技術面要 求達到的程度)究竟為何。自最高行政法院關於健保資料行政訴訟判決觀察,
可以發現有採取類似「不可回復去識別化程度」的要求,例如:認為健保局的 去識別化作業模式未能達到「完全切斷資料內容與特定主體間之連結線索」;也 有認為「應由資料控制者單方掌握『還原』能力」,而採取「可回復去識別化程 度」的立場。誠如上一章所述,本文認為兩種立場並無絕對的優劣之分,立法 模式也可彈性選擇;然而,在大數據時代下,「去識別化」確實是平衡個人資料 保護與個人資料合理利用的關鍵工具,此從歐盟及日本兩大先進經濟體/國 家,都在最新修正的個資法中特別明定去識別化的內涵及其法律效果,即可得 知。因此,就我國法而言,最重要的是應儘速釐清去識別化的內涵,並明文確 立相應的法律效果。即便是採取「可回復去識別化」的標準即原則允許目的外 利用,亦無不妥,但應參考日本作法,注意配合建立完善的配套措施,嚴謹地 訂定具體去識別化的方法,始能真正落實相關資料當事人權益的保障。
第二項 增訂利益權衡條款及相關彈性措施
第一款 增訂利益權衡條款
10 同上註。
11 同註 8,頁 82-83。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
167
現行個資法第1 條即揭櫫保障資料當事人權益與促進資料合理利用應並予 兼顧的意旨,然由於欠缺利益權衡機制的設計,造成許多具體個案適用上顯現 不合理的情形,更間接導致「個人資料」判斷的混淆,因此於個資法中增訂利 益權衡條款實屬必要。
例如在第四章曾經提到的例子,視訊內容服務提供者分析蒐集而來的收視 行為紀錄,並依據分析結果產製內容以後,再向包含當事人在內的潛在消費者 行銷;由於此一行為行銷模式無法為收視服務契約所涵蓋,故必須另外得到當 事人同意。然而,除了服務提供者在取得同意上可能有一定困難,如此行為行 銷確實可能為我們社會帶來正面的助益,例如藉由收視行為紀錄的調查與分 析,可以幫助國內的內容產製業者更精準的掌握消費者喜好,使其獲得一定收 益,有助於我國內容產業的提升。同時,透過利益權衡條款作適當的調控也可 以避免實務必須要透過擴張解釋契約的必要範圍,才能容許非必要性的利用
(行銷)行為。
當然,不可諱言,由於上述利用行為欠缺必要性,因此仍然可能有侵害當 事人智慧隱私的疑慮。此時,若視訊內容服務提供者可以透過適相關當措施降 低個人隱私被揭露的風險,例如將個人資料轉換為累積性統計資料後再為利 用,由於產製內容不需要精準呈現當事人的身分,透過統計資料即可掌握市場 多數消費者的喜好,如此一來便能促進相關資料的合理利用,同時兼顧個人智 慧隱私的保障。
另外,經常被錯誤援引作為「個人資料」判斷標準的「合理隱私期待」準 則,也可被運用在此利益權衡機制當中,用以決定特定個人資料所具有的隱私 利益高低,並得進一步與個人資料利用能帶來的利益相權衡,以適當平衡二者
另外,經常被錯誤援引作為「個人資料」判斷標準的「合理隱私期待」準 則,也可被運用在此利益權衡機制當中,用以決定特定個人資料所具有的隱私 利益高低,並得進一步與個人資料利用能帶來的利益相權衡,以適當平衡二者