引入風險的概念並建立個人資料保護影響評估機制

傳統個人資料保護法制建立在「零和」的識別與不可識別資料二 分法上。然而，在政府資料開放與大數據時代，某項資料究竟是否足 以識別特定個人，抑或不可識別，其實難有絕對、永久不變的答案，

大多數情況只是「識別」或「再識別（re-identification）」可能性高低 的差異而已。若能認知此一現實，我們或可考慮將在其他行政領域（如：

環境保護、食品安全…）行之有年的「風險」概念引入個人資料保護 法制中，

⁵¹

並建立適當的風險評估機制，藉以衡量（政府）資料開放 利用對個人資料保護所可能產生的衝擊，並依此作成適當的決定。

應說明者，風險的概念在個人資料保護領域並非全新的概念。例 如資料管理者的個人資料安全維護義務，即涉及個人資料遭竊取、竄 改、毀損、滅失或洩漏等風險的評估（個資法施行細則第 12 條參照） 。 就本文所關注的政府資料開放個人資料保護問題而言，資料經去識別 化後「再識別的風險」 ，即應是決定資料是否開放的關鍵。

⁵²

換言之，

只有去識別化後的政府資料，在合理可能範圍內，已無法再識別特定 個人者，才能開放利用。

⁵³

其實，若從更宏觀的角度切入，有關再識別風險的評估，僅是「個 人資料保護影響評估（data protection impact assessment）」 （或稱為「隱

50 有關不同去識別化技術的檢討分析及其在個人資料保護法下的意義，see generally Article 29 Data Prot. Working Party, Opinion 05/2014 on Anonymisation Techniques, No. 0829/14/EN, WP 216 (Apr. 10, 2014), available at http://www.cnpd.public.lu/fr/publications/groupe-art29/wp216_en.pdf (last visited Oct. 10, 2016).

51 See e.g., Raphaël Gellert, Data Protection: A Risk Regulation? Between the Risk Management of Everything and the Precautionary Alternative, 5 INT’L DATA PRIVACY L. 3, 12 (2015).

52 See WP 207, supra note 7, at 14-18.

53 第 29 條工作小組認為，再識別風險的評估至少涉及以下因素：究竟有哪些可供對照、組合 或連結的資料存在；資料被嘗試再識別的可能性（某些種類的資料可能較易引發再識別的動 機）；再識別的成功機率。See WP 207, supra note 7, at 14.

研討會論文初稿，請勿引用

26

私影響評估（privacy impact assessment）」）的一環。在比較法上，美 國歐巴馬總統的開放資料政策（Open Data Policy）即要求各機關應將 隱私（影響）評估納入資訊生命週期（information life cycle）的各個 階段，特別是在決定是否對大眾開放特定資料之前。

⁵⁴

此外，歐盟新 近通過的一般性個人資料保護命令（下稱「歐盟個資命令」）中，對 可能造成個人自由權利高度風險的資料利用行為，也要求在事前進行 個人資料保護影響評估，而評估的事項除對資料當事人的風險及所採 取的保護措施外，也包括該資料利用行為的目的、必要性等規範性事 項。

⁵⁵

最後，需附帶說明者，風險概念的引入，代表「識別」或「不可 識別」的截然二分已經難以維持，而建立在此一基礎上全有、全無的 個人資料保護規範模式，也應該有所修正。詳言之，即便經評估後，

相關資料目前並無再識別風險或風險極低（傳統上可能被歸類為不可 識別的資料），並不能因此完全逸脫個人資料保護法制的控制，仍應 受到最基本的規範（如：基本安全維護義務、定期的再識別風險評估、

維持特定使用目的或方式…）。

⁵⁶

二、 個人資料保護正當程序的建構

在前述健保資料開放應用的案件中，最重要的爭議涉及健保署所 採取的去識別措施（二次加密）是否已控制再識別的風險，符合個資 法目的外利用的要求。雖然，高等行政法院支持健保署的主張，但回 顧整個過程，健保署在做成開放應用的決定前，究竟經過如何的程序？

57

又，有關再識別風險的評估，涉及科技、統計專業知識，行政法院

54 Office of Mgmt. & Budget, Open Data Policy--Managing Information as an Asset, Memorandum for the Heads of Executive Departments and Agencies (2013),

https://www.whitehouse.gov/sites/default/files/omb/memoranda/2013/m-13-13.pdf. (last visited Oct.

13, 2016).

55 REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection

Regulation), Art. 35, 2016 O.J. (L 119) 1, 53-54 , available at http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679&from=en (last visited Oct. 12, 2016). See also Frederik Zuiderveen Borgesius et al., supra note 1, at 2121-22.

56 See Ohm, supra note 20.

57 學者范姜真媺即質疑健保資料庫案中去識別化的程序、認定標準與監督。參見范姜真媺，同 前註 46，頁 64-65。

研討會論文初稿，請勿引用

27

是否是適合的決定機關？又有何可能的補強機制？

關於上述問題，追根究底其實涉及政府資料開放應該遵行的正當

（行政）程序要求。換言之，在行政機關作成可能影響資料當事人資 訊隱私、個人資料自主權的決定前，究竟應該經過如何的行政程序，

才能符合提升決定正確性與合理性、強化程序公開與透明、確保人民 對決策參與的正當（行政）程序要求。

⁵⁸

傳統上，正當行政程序的內涵至少包括以下三項： （1）受告知權；

（2）表達意見的機會及（3）公正中立的決定者及司法審查。針對政 府利用自動化設備作成行政決定應如何踐行傳統正當程序，學者早有 專文分析；

⁵⁹

後續更有論者在此一基礎上，發展出適用大數據分析的 資料正當程序（procedure data due process）概念。

⁶⁰

本文參考上述研 究，認為在政府資料開放的情形，凡欲開放的資料涉及個人資料者，

似應考慮於作成開放決定前，進行以下基本程序，以對資料當事人的 權益提供基本保障。

首先，機關應進行前述的個人資料保護影響評估（包括前述再識 別風險評估）；更重要的是，上述影響評估的完整說明，連同決定開 放的結論，應以適當方式對外告知（如：公告） 。其次，至少應允許人 民以書面對影響評估報告的內容及開放決定表示意見（當然，涉及敏 感性資料的開放時，或許應採行更為正式的表達意見程序，例如：聽 證

⁶¹

） 。應說明者，允許人民對機關影響評估的內容表示意見，可以形 成一完整正、反意見紀錄，作為日後司法審查的重要依據，補強行政 法院在專業上的不足。最後，有關公正、中立的決定者部分，在個人 資料保護領域，目前國際趨勢是設置專責（及獨立）的資料保護官（署） ， 如何在作成資料開放決定的程序中，引入資料保護官（署）的意見，

補強決定的公正與中立性，實值得思考。以歐盟個資命令為例，新增 的「事前協商（prior consultation）機制，應具有高度參考價值。

⁶²

58 Martin H. Redish & Lawrence C. Marshall, Adjudicatory Independence and the Values of Procedural Due Process, 95 YALE L.J. 455, 474 (1986).

59 Danielle K. Citron, Technological Due Process, 85 WASH. U. L. REV. 1249, 1256 (2008)

60 See Kate Crawford & Jason Schultz, Big Data and Due Process: Toward a Framework to Redress Predictive Privacy Harms, 55 B.C. L. Rev. 93, 121 (2014).

61 正當程序的實踐，本身即允許一定相當彈性，可以依據侵害權利的強度、各項程序成本等因 素加以調整（司法院大法官釋字第 639 號解釋參照）。因此，並非所有政府資料的開放決定均須 遵守相同程序。

62 General Data Protection Regulation, Art. 36, supra note 55, at 54-55.

研討會論文初稿，請勿引用

28

應附帶說明者，要求政府機關踐行上述程序的法律基礎何在？本 文認為，在修改個資法明文納入相關程序前，有關影響評估部分，或 可視為資料安全維護義務的一環而加以要求。至於其他公告、徵詢意 見等程序，若將政府資料開放決定定性為有關公物一般使用的行政處 分（行政程序法第 92 條第 2 項後段），或可依據行政程序法規定辦 理，否則恐無法強制機關採行；然有鑑於正當（行政）程序有其憲法 上依據，在相關法令修正前，行政機關不妨主動依職權為之。

三、 特殊敏感資料的開放應考慮單獨立法

如前所述，目前台灣政府資料開放的法律保留程度不高，政府機 關在符合個資法目的外利用規定的情形下，往往直接依據組織法上權 限或行政規則，即將所保有的資料開放應用。

以前述全民健保資料的再利用為例，雖然相關資料的再利用或有 助於醫學研究、具有相當的公益性，但如此高度敏感資料的開放，法 律依據只有健保署組織法中兩項極為抽象的執掌規定，是否符合司法 院大法官釋字第 603 號解釋，關於大規模蒐集人民敏感資料建立資料 庫時，應以法律明文規定的要求，實值得懷疑。

⁶³

又，由於相關應用 管理規範只具行政規則位階，因此在使用人違反相關作業規定（例如：

擅自攜出相關資料、攜帶儲存設備等違禁物品進入資料中心、意圖再 識別…）時，除該行為原本即構成刑事犯罪外，充其量僅能依據使用 契約的約定予以停權處理，

⁶⁴

對於人民資訊隱私的保障是否足夠，也 有疑義。

或有謂，個資法有關公務機關目的外利用的規定（尤其是第 6 條 第 1 項但書第 4 款及第 16 條但書第 5 款為學術研究目的而利用） ，應 可以作為再利用的法律依據。

⁶⁵

然姑暫不論敏感性資料與一般個人資

63 另參范姜真媺，同前註 46，頁 61；謝碩駿，全民健康保險研究資料庫：一個不可想像其不 存在的網羅/北高行 102 訴 36 判決，台灣法學，第 260 期，2016 年 1 月，頁 212-215（本文認 為健保署建議系爭資料庫，逾越其法定職務「必要」範圍）。

64 衛生福利部衛生福利資料科學中心衛生福利資料使用合約書第七點的約定。

65 特別是全民健康保險法第 79 條第 2 項規定：「保險人依前項規定所取得之資料，應盡善良管

理人之注意義務；『相關資料之保存、利用等事項，應依個人資料保護法之規定為之。』」（強調

部分為本文所加）。然而，本文認為上述規定其實反映立法者的怠惰心態，錯失建構健保資料再 利用整體規範的機會。

研討會論文初稿，請勿引用

29

料適用相同標準是否合理的問題，上述單純「解除利用目的限制」的 規定，也難以滿足規範後續再利用事項的需求。

應說明者，本文並非主張有關政府資料開放的規範密度應該全面 提升至法律位階。例如：在不涉及個人資料、甚至僅涉及一般性個人 資料的情形，以行政規則或概括授權的命令作為開放及再利用管理的 依據應可支持；然一旦政府資料的開放範圍涉及敏感性個人資料，

⁶⁶

透過民主思辯程序，由立法者直接作成是否開放的決定，並明定（或 授權行政機關訂定命令）開放應經過的程序、個人資料保護標準，再 利用條件、甚至是否允許人民有選擇退出的權利，恐怕才是符合憲法 要求，且最能平衡政府資料開放利益與個人資料保護的方式。

伍、結論

歐盟第 29 條工作小組在「資料開放與公部門資訊再利用」意見中 強調：「資料開放的焦點在於公部門的透明、課責，以及促進經濟的 發展，而不是個別人民的公開透明」 。

⁶⁷

本文認為唯有政府機關誠懇的 接受資料開放可能涉及個人隱私侵害的風險，嘗試建立、遵循正當的 資料開放決定程序，並在涉及特殊敏感資料的開放時，讓具有直接民 主正當性的立法者，作成開放與否的決定，才可能在追求政府資料開 放利益的同時，兼顧人民個人資料的保護。

66 此處敏感性資料，未必要與個資法第 6 條採取相同的解釋；例如財稅資料等法律明文規定原 則上應保守秘密的資料，均可視為敏感性資料。

67 原文為：“[T[he focus of open data is on transparency and accountability of pubic sector bodies, and economic growth, not on the transparency of individual citizens.” WP 207, supra note 7, at 3.

科技部補助計畫衍生研發成果推廣資料表

日期:2016/11/03

科技部補助計畫

計畫名稱: 物聯網時代的個人資料保護法制 計畫主持人: 劉定基

計畫編號: 104-2410-H-004-060- 學門領域: 行政法

無研發成果推廣資料

104年度專題研究計畫成果彙整表

品種權 0

其他 0

技術移轉 件數 0 件

收入 0 千元

參 與 計 畫 人 力

本國籍

大專生 0

人次

碩士生 3

博士生 0

博士後研究員 0

專任助理 0

非本國籍

大專生 0

碩士生 0

博士生 0

博士後研究員 0

專任助理 0

其他成果

（無法以量化表達之成果如辦理學術活動

、獲得獎項、重要國際合作、研究成果國 際影響力及其他協助產業技術發展之具體 效益事項等，請以文字敘述填列。）　　

科技部補助專題研究計畫成果自評表

請就研究內容與原計畫相符程度、達成預期目標情況、研究成果之學術或應用價 值（簡要敘述成果所代表之意義、價值、影響或進一步發展之可能性）、是否適 合在學術期刊發表或申請專利、主要發現（簡要敘述成果是否具有政策應用參考 價值及具影響公共利益之重大發現）或其他有關價值等，作一綜合評估。

1. 請就研究內容與原計畫相符程度、達成預期目標情況作一綜合評估

■達成目標

□未達成目標（請說明，以100字為限）

　　□實驗失敗 　　□因故實驗中斷 　　□其他原因 說明：

2. 研究成果在學術期刊發表或申請專利等情形（請於其他欄註明專利及技轉之證 號、合約、申請及洽談等詳細資訊）

論文：□已發表　■未發表之文稿　□撰寫中　□無 專利：□已獲得　□申請中　■無

技轉：□已技轉　□洽談中　■無 其他：（以200字為限）

3. 請依學術成就、技術創新、社會影響等方面，評估研究成果之學術或應用價值

（簡要敘述成果所代表之意義、價值、影響或進一步發展之可能性，以500字 為限）

本研究計畫透過比較法之研究，歸納整理歐盟、美國法制下因應物聯網所帶來 個人資料保護問題之方式。本研究發現不論是新資料保護原則下強調對「資料 使用」控制的模式，或是歐盟進一步強化告知、同意的模式，都對大數據與物 聯網時代的資料利用（尤其是歷史、科學研究），保留了一定的空間，希望突 破傳統個人資料自主模式的侷限。

展望未來，本文認為台灣應該釐清個人資料自主權的合理地位與功能，在個資 法中納入風險概念與隱私保護科技尋求更細緻的利益權衡，同時將關注焦點應 適度從資料「蒐集」轉向資料「使用」，並透過適當的共同決定機制作出困難 的價值選擇，才能兼顧個人資料的保護與物聯網時代資料蒐集、利用的需求。

4. 主要發現

本研究具有政策應用參考價值：□否　■是，建議提供機關法務部

（勾選「是」者，請列舉建議可提供施政參考之業務主管機關）

本研究具影響公共利益之重大發現：□否　■是　 說明：（以150字為限）

現行以告知、同意為基礎的個人資料自主模式在理論與實踐上都面臨困難。在

物聯網時代，諸多問題涉及根本規範路徑選擇（例如：重視資料「蒐集」或應

注意資料「使用」）或價值衝突（例如：目的外利用限制與大數據發展）。在

國際通盤檢討既有制度優劣的時候，台灣也必須從根本的規範取徑與價值取捨

加以檢討，才有可能有所突破。

在文檔中 物聯網時代的個人資料保護法制 (頁 27-0)