第五章 過往與新興個資議題的可能解方
第一節 歐盟法之相關規範
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
54
第五章 過往與新興個資議題的可能解方
如同第二章與第三章所述,單就目前既存之個資法議題、健保資料庫訴訟案 來看,即可發現目前我國健保資料運用模式,現況下已產生諸如:是否合於法定 目的外利用要件、是否有達到去識別化標準、安全實證效用是否足夠等個資法方 面之爭執。若是再考量人工智慧運用,則將再產生:演算法黑盒子與解釋權、再 識別風險增加等額外疑慮。
然而,衡酌我國現行之個資法,在現況下即已遭到學者批評,在缺乏針對人 工智慧應用所設條文下,現行個資法能否完善保障人工智慧應用下之資訊自決權、
資訊隱私權,似屬於難以樂觀看待之事。對此,本文認為可從數個面向調整現行 個資法體系,例如:明確定義去識別化標準與實證效用門檻、設立法定合法運用 個資事由以減少目的外利用之爭執、對資料控制者(data controller,意指對個人 資料收集與處理的控制者)及其使用人設下規範增強個資安全性……等方式,皆 是可參考之做法。而比較法上,實存有多種值得作為我國借鏡之法律規範,本章 節將依序論述歐盟、英國、美國對於健康方面個資之法律規範,並從中汲取適合 我國個資實務之內容,以找尋適當方法解決既存問題,兼預先防範將來在人工智 慧應用可能會面臨之難題。
第一節 歐盟法之相關規範
有關歐盟之個資保護發展,近期最值得參考者,乃 1995 年頒布之「第 95/46/EC 號保護個人在數據處理和自動移動中權利的指令」(Directive 95/46/EC on the protection of individuals with regard to the processing of personal data and on the free movement of such data,下稱 1995 個資保護指令)287與 2016 年頒布、2018 年施行之一般資料保護規範(General Data Protection Regulation,下稱 GDPR)288。 本節將敘述 1995 個資保護指令與 GDPR 之內容,並將兩者內容做對照以掌握歐 盟之修法趨勢,以從中擷取可作為我國個資法參考之內容。
第一項 1995 個資保護指令
1995 年 10 月,歐洲議會(European Parliament)與歐盟高峰會(European Council)為增進個資保護與促進特定類型的個資流通,頒布 1995 個資保護指
287 Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data.
288 Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation).
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
55
令289。按當中之第 2 條第(a)款,個資被定義為「與已識別或可被識別之 自然人有關之任何資訊。可被識別之人係指可以被直接或間接識別之人,特 別是通過參考身分證字號或一個或多個特定於其身體、生理、心理、經濟、
文化或社會身份的因素來識別之人290。」當中之第 6 條(Article 6),則是我 國 2012 年版個資法修法理由所參考者291 292。至於「可被識別」之定義,則 可參見 1995 個資保護指令之前言第 26 段,「為了確定一個人是否可識別,
應考慮控制者或任何人所有可能使用的合理手段293」。意即應考量包含具有 特別知識者在內的所有人,當中是否有人得識別出該特定個人。
第一款 一般資料處理
按照歐盟 1995 個資保護指令第 6 條第 1 項第(b)款(Article 6/1./(b)),「會員國應確保個人資料是在特定、明確、合法之目的而被 蒐集,且未經與這些目的不符的方式進一步處理。然為了歷史、統計 或科學目的而對數據的進一步處理,只要成員國有提供適當的保障,
則不應視為不符規定294。」然而按照 1995 個資保護指令第 29 條所設 立之工作小組(下稱第 29 條工作小組)295所提出之意見書,1995 個 資保護指令第 6 條第 1 項第(b)款並非全然的豁免條款,其仍然需 要考量各種情況下之個資保護,並符合 1995 個資保護指令第 7 條
(Article 7)下各種合法基礎296 297。
1995 個資保護指令第 7 條(Article 7)所規範之合法事由,則可 細分為:「第(a)款,資料主體(data subject,指個資所涉及之當事 人,意思等同於我國個資法中的「當事人」)已明確表示同意;第(b)
款,係為了履行資料主體所屬一方的契約,或者為了在資料主體簽訂 契約之前根據資料主體的要求所採取之步驟,所進行之必要處理;第
(c)款,屬於資料控制者依法所需進行之義務;第(d)款,為了保 障資料主體之重大利益所需之必要程序;第(e)款,屬於基於公共 利益或基於執行官方或有權要求揭露資料之第三方之任務而有所必 要者;第(f)款,基於控制者、有權揭露資料者及第三方,在追求合 法利益下所需之必要程序,除非這些合法利益被資料主體在第 1 條第
289 Supra note 287.
290 Directive 95/46/EC Article 2 (a).
291 同註 16。
292 同註 19,頁 15。
293 Directive 95/46/EC Recital (26).
294 Directive 95/46/EC Article 6.
295 同註 208。
296 Article 29 Data Protection Working Party (2013), Opinion 03/2013 on purpose limitation, 28.
297 同註 19,頁 16。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
56
1 款受保護之基本權利和自由利益所凌駕298。」第 29 條工作小組也表 示,合法利益的範圍涵蓋研究利益299。因此,按照第 7 條第(f)款,
若是進行之研究未取得資料主體之同意,仍得以在有足夠保障機制下,
使用個資進行目的外蒐集處理利用300。至於何謂「足夠之保障機制」, 第 29 條工作小組則表示「完全或部份的去識別、假名化、資料聚集、
隱私強化科技等皆屬之301」。
第二款 敏感性個資
1995 個資保護指令的敏感性資料,則規範在第 8 條(Article 8)302。 第 8 條第 1 項主要係列舉敏感資料的範疇,包含:種族、族裔血統、
政治立場、宗教、哲學信仰、工會會籍、健康、性生活303。得蒐集處 理利用敏感性個資之例外規定,則規範在第 8 條第 4 項,允許會員國 在有適當保障下,得基於實質公益理由,以法律或主管機關之命令創 設法定例外304。因此對於敏感性個資,基於研究目的之蒐集處理利用,
亦得在有法律依據下,合法進行之305。
簡言之,在 1995 個資保護指令規範下,敏感性個資並不允許如同 一般個資一樣,只以概括的合法利益(1995 個資保護指令第 7 條第(f)
款)即得進行蒐集處理利用,而是需要具體法律規範,方屬合法。
第三款 通知義務與事後排除權
至於在依照第 6 條、第 7 條、第 8 條進行合法個資蒐集處理利用 後,是否須通知資料主體,1995 個資保護指令則規範在第 11 條(Article 11)306。按第 11 條第 1 項,如果所蒐集處理利用之資料並非從資料 主體所取得,則在進行第一次利用時,應告知該資料主體307。第 11 條第 2 項則屬於對第 1 項的例外規定,表示若基於統計、歷史研究、
科學研究之目的而利用資料,且告知資料主體為不可能之狀況或將耗 費不合比例之成本,或違反法律要求之紀錄或揭露,則可免除第 11
298 Directive 95/46/EC Article 7.
299 Article 29 Data Protection Working Party (2014), Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC,24.
300 同註 19,頁 16。
301 Supra note 296,at 13.
302 Directive 95/46/EC Article 8.
303 Id.
304 Supra note 302.
305 同註 19,頁 18。
306 Directive 95/46/EC Article 11.
307 Id.
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
57
條第 1 項之通知義務,但會員國應制訂適當之保障機制308。
前述最高行政法院 106 年度判字第 54 號判決主要爭執點之一的 事後排除權309,1995 個資保護指令也有規範,其規範在第 12 條(Article 12)及第 14 條(Article 14)。按第 12 條第(b)款,當資料處理不符 1995 個資保護指令時,資料主體有權要求更正、刪除或封鎖該資料,
特別是在資料內容不完整或不正確時310。第 14 條第(a)款授予資料 主體得基於個人重大理由反對源自第 7 條所授權之處理利用,此時除 法律另有規定外,資料控制者不得再處理利用該資料311。第 14 條第
(b)款則要求當行使反對權的對象為利用個資於行銷用途之資料控 制者時,應予資料主體免費行使反對權之權利312。就此觀之,只要資 料主體已提出重大理由行使反對權,資料控制者除有法律依據,否則 就必須停止處理利用個資,縱繼續處理利用個資有更大效益亦同313。
第四款 涉及人工智慧的條文
1995 個資保護指令對自動化處理個資的規範,可說是能涵蓋人工 智慧應用的條文,其規範在第 15 條314。
1995 個資保護指令第 15 條第 1 項指出:若個資之處理僅基於自 動化,且目的為評估與資料主體有關的個人面向,例如工作表現、信 譽、可靠性等,且會對資料主體產生法律效力或重大影響,各成員國 應賦予該資料主體主張不受制於該自動化處理之權利315。然同條第 2 項則表示,若是基於履行契約所必要或具有法律授權,則不適用第 1 項之規定316。
由上可知,針對人工智慧的特色─以演算法高效率、自動化處理 個人資料取代過往的人工作業,1995 個資保護指令當中的自動化處理 個資規範,實可作為相關法源依據。雖然自動化處理個資,屬於較上 位的概念,將一切自動化處理流程都納入範疇,而非針對人工智慧應 用所設,然而衡量其規範內容,用作規範以演算法自動化處理個資之 人工智慧,尚無悖於條文規範目的。
綜上所述,1995 個資保護指令第 15 條第 1 項,屬於賦予資料主
308 Supra note 306.
309 同註 178。
310 Directive 95/46/EC Article 12.
311 Directive 95/46/EC Article 14.
312 Id.
313 同註 19,頁 19。
314 Directive 95/46/EC Article 15.
315 Id.
316 Supra note 314.
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
58
體排除個資被自動化處理之明文規範,在人工智慧時代由人工智慧自 動化處理個資的應用下,此條文似可作為行使自動化決策反對權之依 據,以保障資料主體之權利。
第二項 GDPR
2016 年,距離 1995 個資保護指令施行近 20 年後,歐盟通過 GDPR,
決定以其來取代 1995 個資保護指令317。與 1995 個資保護指令不同的是,
GDPR 為「規範(Regulation)」,具有直接拘束各成員國的效力,而非如同 1995 個資保護指令一般,屬於須再經由各成員國國內立法轉換的「指令
(Directive)」318。
第一款 一般資料處理
第一目 去識別化與假名化之差別
GDPR 首先規範了受保護個資的範疇。按第 4 條(Article 4)
第(1)款,GDPR 所稱之「個人資料」為「任何可連接到已被識 別或可被識別的自然人(資料主體)之資訊」;可被識別之自然人,
意指可被以直接或間接方式識別出之人,特別是參考諸如姓名、
身分證號、地址、線上識別資訊,或者可以參考特定於身體、生 理、遺傳、心理、經濟、文化或社會特徵319。完全的去識別化資 訊(anonymous information,照 GDPR 原文應稱作「匿名化資訊」,
惟為方便與我國個資法用詞作對照,本文以下統一使用我國個資 法之用詞「去識別化」稱呼此一概念),則是規範在前言之第 26 段最後端,「個資保護原則不適用於去識別資訊,意即不能連結到
惟為方便與我國個資法用詞作對照,本文以下統一使用我國個資 法之用詞「去識別化」稱呼此一概念),則是規範在前言之第 26 段最後端,「個資保護原則不適用於去識別資訊,意即不能連結到