國外立法例

國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

（context）或環境（circumstances），而不是資料的內容（content）⁸⁶。德國的資 料保護法（Federal Data Protection Act and Länder data protection laws）採情境說⁸⁷， 雖然以上法律中已經貫徹個人資料保護指令之內容，以表列方式列出敏感性資料，

但在判斷使用的資料是否敏感時，德國採取較包容的方式判斷⁸⁸。也尌是說，在 處理資料時，若該些資料係屬表列於敏感性資料條文之類別，則必須考量資料揭 露當下的情境或環境，才能判斷是否將該些資料視為處理敏感性資料。

第二節 國外立法例

普通法系國家之立法目的，是以保護個人不欲為他人所知之資訊為主，僅於 特定行業有濫用個資或侵犯隱私之虞時，才訴諸立法手段，主要以隱私法方式保 護；大陸法系國家則將姓名、性別、出生年月日、家庭、職業、病歷等所有足以 識別個人之資訊，均視同立法所保護之個人資料範圍，因此多以個人資料法保護 概念為主⁸⁹。前者以美國為例，後者以歐盟為例，以下介紹兩種不同立法方式，

對於敏感性資料定義的方式與保護的主體、客體範圍。

一、歐盟

歐盟於 1995 年制定個人資料保護指令，保護個人資料（personal data），而 非廣泛的隱私概念。由於現今網路和物聯網應用環境與過去個人資料保護指令制 定時空環境已大相逕庭，時至今日，使用將近 20 年之個人資料保護指令已不足 以應付數位時代之需求。為促進單一數位市場推動與企業遵循法規簡化，並調和 過去三大資料保護指令（Directive）系統下各國規定不同的情況，歐盟將資料保

86 Spiros Simitis 在歐洲理事會的報告（Revisiting Sensitive Data, 1999）中針對情境說多有解釋，

但因未能取得文件，本段係參考過去文獻提及 Simitis 報告之內容，進行敘述，參見 Rebecca Wong, supra note 82, at 12; McCullagh, supra note 63, at 198-99; 蔡秉錡，前揭註 5，頁 55-57。

87 Rebecca Wong, supra note 82, at 12.

88 Id., at 12.

89 彭金隆、陳俞沛、孫群，巨量資料應用在台灣個資法架構下的法律風險，台大管理論叢，27

卷 2S 期，頁 99，2017 年 5 月。

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

38

護管制的層級提升為直接適用於各會員國之規則（Regulation）⁹⁰。作為取代於個 人資料保護指令之用途，歐盟一般資料保護規則在歷經四年的準備和辯論後，於 2016 年 4 月 14 日獲得歐盟議會（EU Parliament）批准，經過兩年過渡期，即將 在 2018 年 5 月 25 日開始實施。若在該規則執行期開始後，機構未依 GDPR 規 則修正其服務，將面臨重罰⁹¹。

GDPR 旨在保護所有歐盟公民免受隱私侵犯和資料洩漏的影響，以下將針對 新法與醫療健康資料有關之法律設計，及與過去法規不同之處進行說明。

（一）保護客體

1. 一般資料

GDPR 規範的客體包括全部或部分以自動化方式蒐集、處理或利用的個人資 料，而其所保護的個人資料（personal data）定義解釋為與識別或可識別之自然 人（資料主體）有關的任何資訊。可識別之自然人係為可以藉由諸如姓名、識別 碼、位置資料（location data）、網路識別（online identifier），或任何特定之生理、

遺傳、基因、心理、經濟、文化或社會身分等因素，直接或間接識別出之個人⁹²。 與個人資料保護指令相比，GDPR 擴大保護範圍，增加了可直接或間接識別 出自然人之資料類型，諸如位置資料及網路識別，網路識別指是指由裝置、應用 程式等提供之網路 IP 位址、網頁瀏覽器的 cookie、RFID 標籤。這些網路識別方 式會留下網路使用足跡，尤其當該些內容與其他資訊一起被伺服器接收時，經常 會被用於辨識出個人⁹³。

2. 特種個人資料

90 整合 Directive 95/46/EC、Directive 2002/58/EC 以及 Directive 2009/136/EC，「規則」與「指令」

效力不同，參見徐彪豪，物聯網時代的資料保護防線──以歐盟 GDPR 為中心，科技法律透析，

28 卷 10 期，頁 57，2016 年 10 月。

91 EUGDPR.org, GDPR Portal: Site Overview, https://www.eugdpr.org/ (last visited Dec. 13, 2017).

92 EU GDPR, § 4 (1).

93 REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016, Official Journal of the European Union L9 (2016.4.5); EU GDPR, Recital 30.

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

對於特種資料，GDPR 採列舉規定的立法方式。禁止處理（processing）會 揭露種族或民族、政治傾向、宗教或哲學信仰、工會會籍的個人資料，以及基因 資料（genetic data）、生物性資料（biometric data），或者是健康相關資料（data concerning health）或關於自然人性生活、性取向之資料。惟基因資料、生物性 資料此二種類型以單獨特定（uniquely identifying）某自然人為目的的處理為限

94。

相較於較個人資料保護指令⁹⁵，GDPR 擴大了特種個人資料（special categories of personal data）禁止處理的範圍，新法增列對基因資料、生物性資料和性傾向 為處理之禁止。所謂「處理」，包含對個人資料或一組個人資料的任何操作或一 系列的操作，包含蒐集、紀錄、組織、結構化、調整或更改、使用、因傳輸而揭 露、銷毀等，而不限於是否使用自動化手段處理⁹⁶。

（二）適用主體

GDPR 將其適用之地理區域範圍明確規範，該規則適用於不論該處理個資的 行為是否發生於歐盟境內，只要在歐盟境內的資料控制者（controller）或資料處 理者（processor），在其活動範圍內對於個人資料的處理，或，不管資料控制者 或資料處理者是否設立於歐盟境內，只要其處理的個人資料屬於歐盟境內之資料 主體⁹⁷，即受 GDPR 管轄。

與過去相比，GDPR 增加了地域適用範圍，擴張了其域外管轄權力。只要公 司提供商品、服務給歐盟人民，或監控民眾在歐盟內的行為，不論該商品或服務 是否需要付費，該公司仍為 GDPR 規範的對象。GDPR 實施後，對在歐盟境內從 事商業活動之外國公司而言影響重大，對提供歐盟居民產品或服務但不在歐盟境 內之跨國性公司或組織亦有相當之影響。

94 EU GDPR, § 9 (1).

95 Data Protection Directive 95/46/EC, § 8 (1) and (2).

96 EU GDPR, § 4 (2).

97 EU GDPR, § 3.

‧

過去個人資料保護指令並未對健康相關資料（data concerning health）清楚定 義。歐洲法院（European Court of Justice, ECJ）採寬廣解釋（wide interpretation），

認為提到某人在腳受傷並在尌醫途中，即構成個人資料保護指令的健康相關資料

99 EU GDPR, § 4 (15): “„data concerning health‟ means personal data related to the physical or mental health of a natural person, including the provision of health care services, which reveal information about his or her health status.”

100 EU GDPR, Recital 35; Brent Mittelstadt, supra note 37, at 2.

101 Brent Mittelstadt, supra note 37, at 2.

102 EU GDPR, Recital 26.

103 EU GDPR, § 4 (13).

104 EU GDPR, § 4 (14): “„biometric data‟ means personal data resulting from specific technical processing relating to the physical, physiological or behavioural characteristics of a natural person, which allow or confirm the unique identification of that natural person, such as facial images or

‧

料處於特定情境或使用時，始具備隱私（private）或敏感性（sensitive）¹⁰⁵的立 法方式。所以美國並未有統一的隱私法，而是依據不同資料性質，分別於特定領 域立法規範。典型的法案見本文欲介紹之 1996 年針對健康保險領域的健康保險 可攜式及責任法案（Health Insurance Portability and Accountability Act of 1996, HIPAA¹⁰⁶） 和 1999 年 針 對 金融 服 務 領域 的 金 融服 務 現 代化 法 案 （ Gramm Leach-Bliley Act, GLBA）。

美國國會於 1996 年 8 月 21 日頒布健康保險可攜式及責任法案，並立下時限，

其必須在三年內立法完成。其中 HIPAA 第 261 條至第 264 條要求美國健康人類 服務部（U.S. Department of Health and Human Services，以下簡稱「HHS」）宣傳 健康資訊的電子交換、隱私和資訊安全標準，若國會未在三年內立法，則由 HHS

dactyloscopic data.”.

105 蔡秉錡，前揭註 5，頁 19-20。

106 Health Insurance Portability and Accountability Act of 1996 (HIPAA), Public Law 104-191.

107 HHS, Summary of the HIPAA Privacy Rule,

https://www.hhs.gov/hipaa/for-professionals/privacy/laws-regulations/index.html; HHS, Summary of the HIPAA Security Rule,

https://www.hhs.gov/hipaa/for-professionals/security/laws-regulations/index.html (last visited Dec.7, 2017).

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

42

美國國會於 2009 年，又通過「美國恢復與再投資法」（American Recovery and Reinvestment Act of 2009），其中包含「經濟和臨床健康之健康資訊科技法」

（Health Information Technology for Economic and Clinical Health Act，以下簡稱

「HITECH」），HITECH 部分修正 1996 年的 HIPAA 法。HHS 於 2013 年 1 月 25 日公布 HIPAA 最新規定（以下合稱「HIPAA/HITECH」），其宣告實施 HITECH 的多項條款，以加強 HIPPA 下建立的健康資訊隱私及安全保護，最終規定於 2013 年 3 月 26 日生效¹⁰⁸。

（一）保護客體

健康資訊（health information）係包含基因資訊，並指任何以口頭或任何形 式紀錄，而由健康照護提供者、健康計畫、公共健康主管機關、雇主、人壽保險 公司、學校、大學或健康照護資訊交換中心創造或接收的任何資訊；或是與個人 過去、現在、未來身理與心理狀態相關、向個人提供健康照護服務，以及提供個 人過去、現在、未來帳單有關的任何資訊¹⁰⁹。

而被 HIPAA/HITECH 規範下所保護的受保護的健康資訊（protected health information, PHI）代表使用電子媒介傳播、使用電子媒介保存或以其他任何形式 或媒介傳播或保存之「可識別個人」的健康資訊（individually identifiable health information）。可識別個人之健康資訊包括可直接識別出該資料之個人，或有合 理理由相信這些健康資訊可以用來識別出個人之情形，姓名、地址、生日、社會 安全碼等一般識別資訊亦屬於可識別個人健康資訊之範圍，但排除被涵蓋機構之 雇主基於工作目的做成之記錄、過世 50 年以上個人等之資訊¹¹⁰。

然而健康資訊若依據隱私規則之去識別化標準處理，即被認為是不可單獨識 別個人之健康資訊（de-identified Health Information）¹¹¹，該些資訊即非為 HIPAA

108 78 FR 5565-5702, 2013-01073, January 25, 2013,

https://www.gpo.gov/fdsys/pkg/FR-2013-01-25/pdf/2013-01073.pdf (last visited Dec.7, 2017).

109 45 C.F.R. § 160.103 (Health information).

110 45 C.F.R. § 160.103 (Protected health information; Individually identifiable health information).

111 45 C.F.R. §§ 164.502(d)(2), 164.514(a) and (b).

‧

涵蓋的機構包含健康計畫（a health plan）、健康照護資訊交換中心（a health care clearinghouse）以及健康照護提供者（a health care provider），健康照護提供者係 指會以電子形式傳輸任何以該規則交易健康資訊的服務提供者¹¹³。

健康計畫指提供醫療照護或支付醫療照護成本的個別或團體計畫，包含私人 的健康、牙醫和處方藥保險計畫，和公營的 Medicare、Medicaid¹¹⁴保險計畫等。

另外超過 50 人參與，由雇主、政府或教會發起的團體健康計畫亦包含在內。但 排除主要目的為直接提供衛生保健，或主要目的非為提供或支付醫療費用的項目，

除非該保險可以清楚地將健康計畫的業務與其他部分劃出明確的分隔¹¹⁵。 而健康照護資訊交換中心為公共或私人的機構，其將從其他機構取得之（1）

非標準化形式的健康資訊或包含非標準健康資訊的資料，處理或使其易於處理成 標準化資料元素或標準化交易（a standard transaction）；或（2）標準化交易，處 理或使其易於處理成非標準化資料元素或非標準化資料內容，再交由收取機構¹¹⁶。

非標準化形式的健康資訊或包含非標準健康資訊的資料，處理或使其易於處理成 標準化資料元素或標準化交易（a standard transaction）；或（2）標準化交易，處 理或使其易於處理成非標準化資料元素或非標準化資料內容，再交由收取機構¹¹⁶。

在文檔中 健康資料之個人資料類別屬性研究──以IoT設備之蒐集、處理或利用為中心 - 政大學術集成 (頁 47-55)