在台灣政府資料開放推動過程所面臨的難題中,如何「突破」個 資法的「桎梏」 ,一直是最棘手的問題之一。
40本小節將分別從抽象規 範與具體實務個案兩個面向,分析問題的所在。
37 例如:前行政院長張善政,在 2012 年進入政府服務前曾擔任 Google 亞洲硬體營運總監,負 責相關資料中心建設事宜,而其自 2012 年 2 月起,先後擔任行政院政務委員、科技部長、行政 院副院長,任內均將政府資料開放列為重點工作項目之一。
38 該項規定為:「稅捐稽徵機關對其他政府機關、學校與教研人員、學術研究機構與研究人 員、民意機關與民意代表等為統計、教學、研究與監督目的而供應資料,並不洩漏納稅義務人 之姓名或名稱,且符合政府資訊公開法規定者,不受前項[按:應絕對保守秘密]之限制。」而 本條修正理由明文表示:「稅捐稽徵機關擁有納稅義務人之相關資料,係珍貴的公共財,政府有 必要也有責任促使其做最充分的利用,發揮最大的效益,以符合 Big Data 的施政理念。」
39 勉強可以提供政府資料開放一定法律基礎的規定是,政資法第 6 條:「與人民權益攸關之施 政、措施及其他有關之政府資訊,以主動公開為原則,並應適時為之」。
40 郭芝榕,政府開放資料 5 大問題絆腳,數位時代,2014 年 5 月 27 日,
http://www.bnext.com.tw/article/view/id/32352 (最後瀏覽日期:2016 年 10 月 10 日)。
研討會論文初稿,請勿引用
21
(一)政府機關對個資法敬畏卻又輕忽的矛盾心態
個資法第 16 條本文規定: 「公務機關對個人資料之利用…應於執 行法定職務必要範圍內為之,並與蒐集之特定目的相符」。如公務機 關欲將保有的個人資料作「目的外」利用,則必須具備上述條文但書 七款情形之一。
41如前所述,政府機關蒐集個人資料多是為了執行法 定職務,因此嗣後將相關資料對公眾開放應用,一般均與原先蒐集目 的不符,而構成目的外利用。正因為個資法第 16 條對「目的外利用」
採取原則禁止、例外允許的規範,加上違法者必須負擔刑事與損害賠 償責任(個資法第 41 條
42及第 28 條參照) ,因此在推動政府資訊開放 之初,部分政府機關(公務員)對於涉及個人資料的政府資料開放,
一直有所疑慮,態度較為消極。
有鑒於此,如何在個資法既有規範下找出政府資料開放的空間,
就成為首要努力目標。在行政院協調下,個資法的法律主管機關—法 務 部 兩 度 作 出 函 釋 , 試 圖 釐 清 相 關 爭 議 。 首 先 , 在 法 律 字 第 10303513040 號函中,該部表示:
如將公務機關保有之個人資料,運用各種技術予以去識別化,
而依其呈現方式已無從直接或間接識別該特定個人者,即非 屬個人資料,自非個資法之適用範圍。此後…無須再擔心是 否符合個資法所規範之『特定目的內、外利用』的問題。
其次,為了解決政府(巨量)資料開放提供學界研究的適法性問 題,法務部於法律字第 10403508020 號函中,針對個資法第 16 條但 書第 5 款:「公務機關或學術研究機構基於公共利益為統計或學術研 究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從 識別特定之當事人」,作出詳細解釋。該部認為:
公務機關所保有之個人資料,並非一律均須達無從以直接或間
41 這七款規定分別為:一、法律明文規定。二、為維護國家安全或增進公共利益所必要。三、
為免除當事人之生命、身體、自由或財產上之危險。四、為防止他人權益之重大危害。五、公 務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或 經蒐集者依其揭露方式無從識別特定之當事人。六、有利於當事人權益。七、經當事人同意。
42 現行第 41 條規定於 2016 年 3 月方正式施行,本次修正主要新增「意圖為自己或第三不法之 利益或損害他人之利益」的構成要件,限縮刑事處罰的範圍。
研討會論文初稿,請勿引用
22
接方式識別該特定個人者後,方得提供予其他公務機關或學術 研究機構,重點在於統計或學術研究成果發表時,依其呈現或 揭露方式必須已無從識別特定之當事人。
上述兩則函釋的發布,對於政府資料開放的推動,發揮了一定的 催化效果。然其內容,卻有再檢討的空間。就前者而言,固然符合一 般對個資法的理解,但針對「如何做到真正的去識別化?做到什麼程 度才夠?」等棘手問題,該函並未回答;至於後者,則打開了公務機 關開放「未」去識別化個人資料給其他機關或研究機構的大門,即便 法務部強調在個案中必須符合「必要性」,此一見解對於個人資料的 保護,恐怕仍有欠周全。
值得注意者,政府機關雖然認識個資法對政府資料開放所可能造 成妨礙,力圖透過解釋的方式加以化解,但檢視整體政府資料開放的 程序,個人隱私侵害的風險其實並沒有得到應有的重視,也未內化成 為開放程序的環節,
43因此在相關作業程序的規範中,少見有關個人 資料保護機制的規定。
以前述「行政院及所屬各級機關政府資料開放作業原則」為例,
僅在第 13 點抽象規定: 「各機關辦理政府資料開放作業,應依據個人 資料保護法…,辦理個人資料保護…作業」 。但相關作業的內容為何?
應遵守的程序與實體標準為何?則均未規定。直到 2015 年底的「政 府資料開放進階行動方案」中才進一步要求凡涉個人資料者,應參照
「隱私權框架」及「部分匿名及部分去連結鑑別之要求事項」等國家 標準,經去識別化,並進行相關驗證後,方能開放或提供有限度的再 利用。
44應說明者,行政院力圖建立隱私保護、去識別化國家標準及相關 驗證機制,雖有助於解決個別機關在實務上操作去識別化的難題,增 進人民對於政府資料開放的信賴,但在以財政部財稅資料進行實際的
43 法務部曾在行政院對外徵詢意見的過程中提出應建立「隱私風險評估機制」的意見。參見法 務部,個資利用與去識別化議題,2015 年 4 月 24 日。
44 同樣的,在「臺北市政府及所屬各機關學校政府資料開放作業規範」中,雖訂有政府資料開 放的實施步驟,但相關程序並不包括個人資料保護的檢討。然在臺北市政府資料開放平台的常 見問題中卻有如下說明:「政府資料若含有個人資料,在去識別化之前應該避免開放,即使經過 去識別化後,若無明確的公益目的…,政府機關仍需審慎評估開放之必要性,以保障民眾個資 權益」。
研討會論文初稿,請勿引用
23
去識別驗證過程中卻發現,個別匿名方式有其侷限性,必須持續引進 新的去識別化技術,同時配合資料開放應用的情境,才能選擇最佳的 去識別化手段。
45由此可見,去識別化具有高度個案性,縱使是相同 資料,因開放應用情境不同,在去識別化的問題上,也可能有不同的 考量因素,無形中增加了處理的困難度。
(二)全民健保資料開放應用行政訴訟
政府資料開放與個人資料保護衝突與調和的難題,在台灣已非單 純學理探討,針對全民健康保險資料開放應用的爭議,目前已有實際 案件,在行政法院審理中。
46該案事實為被告中央健康保險署(下稱「健保署」)將健保就醫資 料去識別化後,
47開放予符合資格的政府機關及學術研究機構申請,
經審核通過後,於衛生福利資料科學中心專屬的使用區使用。原告則 為民間人權團體的成員,主張健保署開放應用健保資料,已逾越執行 法定職務的必要範圍,且違反「電腦處理個人資料保護法」(案件進 行中新修正的「個資法」正式施行)目的外利用的規定,
48並未確實 達成去識別化的要求,侵害原告資訊自主權,因此向健保署請求停止 相關利用行為,遭到駁回後,提起行政爭訟。
臺北高等行政法院於 2016 年 5 月 19 日作成 103 年度訴更一字第 120 號判決,駁回原告之訴。針對原告提出的三項主張,法院均認為 不可採。首先,關於健保署將健保資料去識別化後開放應用是否逾越 其法定職務的問題,法院認為上述資料開放應用可以促進全民健保相 關研究、提升醫療衛生發展,符合被告機關組織法中「醫療品質提升 業務之研擬、規劃及執行」及「其他有關全民健康保險業務事項」的
45 財政部財政資訊中心,個人資料去識別化驗證過程案例報告,2016 年 2 月 23 日,
http://webcache.googleusercontent.com/search?q=cache:s6M82A8SLX8J:www.slideshare.net/vtaiwan/
ss-57361304+&cd=1&hl=zh-TW&ct=clnk&gl=tw (last visited Oct. 12, 2016)。
46 關於本案的評析,可另參范姜真媺,個人醫療資料的保護與利用—以全民健康保險為中心,
法學叢刊,第 243 期,2016 年 7 月,頁 56-66。
47 所謂去識別化,依據「衛生福利部衛生福利資料應用管理要點」的規定,指:「對特定欄位 重新整編給碼加密,或重新模糊化,或予以增刪若干欄位,以無從辨識該特定個人。」
48 本案審理過程中,全盤修正的個資法正式施行,另衍生新、舊法究應如何適用的爭議。參見 最高行政法院 103 年判字第 600 號判決。有關本案的相關討論,另參范姜真媺,同前註 46,頁 57-59;李寧修,公務機關合理利用特種個人資料之法定要件/最高行 103 判 600 判決,台灣法 學,2015 年 4 月,第 269 期,頁 153-156。
研討會論文初稿,請勿引用
24
職掌。
其次,針對本案最為關鍵的去識別化問題,法院則認為所謂去識 別化,只要「釋出之資料無法透過…與『其他公眾可得』之資料對照、
組合、連結而識別出特定個人」,縱使被告仍保有解密工具而得還原 為可識別資料,仍屬無法直接、間接識別的資料,符合法定去識別化 的程度,得為目的外利用。就本案而言,法院認為被告在提供資料前 已進行相當嚴格的二次加密、去識別化處理,對於應用的申請也經過 嚴謹的審查,而實際應用作業過程則須在被告指定場所實施,符合個 資法去識別化及安全維護的要求。
最後,針對原告主張縱令被告利用行為完全合法,原告仍得基於 憲法保障的資訊自主權,請求停止利用部分。法院指出,資訊自主權 並非絕對,被告機關依法既得不經原告同意而蒐集、處理、利用相關 資料,原告事後的排除權即一併受到限制,並無任意的「事後退出權」 。
關於此一案件,原告已提出上訴,目前正由最高行政法院審理中。
然而,觀察臺北高等行政法院判決,恰恰凸顯了以下問題:政府資料 開放法律保留的要求程度?僅以組織法作為依據,是否足夠?又,如 果欲以「去識別化方式」調和政府資料開放與個人資料保護的緊張關 係,去識別化究應達到何種程度?又應如何或由誰判斷?以及針對特 殊敏感資料的再利用,人民是否應有選擇退出的權利?受限於篇幅,
本文無法逐一詳細探討上述問題,但將於下一節提出三項綜合性的處 理原則與建議,作為日後進一步討論的基礎。
肆、政府資料開放兼顧個人資料保護的嘗試
當政府資料開放與個人資料保護的衝突已經產生實際的行政爭 訟案例,如何妥善處理二者的緊張關係即變得刻不容緩。傳統上,去 識別化被認為是調和資料開放與資料保護的不二法門,藉由去除資料 與特定個人的連結,避免資料利用行為對人格權的可能侵害,同時解 決賦予所有資料當事人自主決定權在實務上面臨的困難。
49然而,個 人資料永久、澈底的去識別化日益困難,且在許多政府資料開放的情
49 Cf. Solon Barocas & Helen Nissenbaum, Big Data’s End Run around Anonymity and Consent, in PRIVACY,BIG DATA, AND THE PUBLIC GOOD:FRAMEWORK FOR ENGAGEMENT 49 (Julia Lane et al., eds 2014).
研討會論文初稿,請勿引用
25