國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
142
第七章 結論與建議
從本研究分析之健保資料庫訴訟案可發現,我國個資法體系目前存有去識別 化定義不夠明確、同意模式過於狹隘、缺乏足夠的合法運用事由等問題,目前的 個資事務,亦未有專門的主管機關統一處理。光是現況下之健保資料庫,即可能 具有非法侵害個資之疑慮,甚而運用全民健保資料之其他服務,例如:健康存摺、
電子病歷、臺灣健康雲等,可能也面臨相同問題。面對未來可能的人工智慧應用,
現行個資法更缺乏能涵蓋的專門條文予以規範。
綜合整理本文第二章至第六章之內容,本文認為我國個資法體系及相關主管 機關,可以嘗試以下方式進行調整:直接調整個資法內容之歐盟法模式(如同歐 盟頒部新法 GDPR)、以既有法律為基礎並透過改變解釋達成實質修法的英國法 模式(以 GDPR 為基礎,自行再以 DPA 2018 增加額外之法律要件)、設立特別 法之美國法模式(頒布 HIPAA、HITECH、Common Rule 規範特別之個資)。
建議修法內容則分述如下:
一、 設立專門之個資主管機關。
承本文第五章第五節所述,目前我國的個資主管機關,仍處於學者所稱 之「多頭馬車」狀態,業務分散於中央目的事業主管機關或直轄市、縣(市)
政府,此種組織架構,不僅難以期待各單位將心力貫注於個資業務,更使得 政府推動個資保護進步的目標面臨更大難關。對比英國早於 1984 年即設有 ICO 處理個資保護事宜,我國應急起直追,方得以在未來擁有一個具備權威 性、豐富執法經驗的個資專門主管機關,作為個資保護之後盾。
本文建議,應如同 2020 年 10 月 23 日由立法委員鄭麗文所提出之個資 法修正草案,當中之第二條條文,直接在個資法條文表明應設立專責之個資 主管機關,並透過訂立專責機關之組織法成立該機關,而非僅是指定現存之 部會或其轄下之機關辦理個資事宜,因若僅是指定既存之部會成為個資主管 機關,將使得個資事項仍僅為附屬業務,而無法被專門執行,故應新設立專 門之專責主管為妥,進而使我國個資保護業務不再是附屬業務,而能成為專 門事項,若有須進行同意權行使、裁罰或訴訟時,方有適合之行為主體為之。
此外,設立專門之個資主管機關,亦能產生與國際接軌之功效,因符合 GDPR 第 51 條之要求,於個資業務進行上,與歐盟、英國等國家,將有確 切之聯絡窗口以進行深入合作。
此部分之修法,屬於歐盟法模式,直接於個資法新增條文,指定專責主 管機關。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
143
二、修正個資法施行細則,或另立新法,重新定義去識別化。此外,針對再 識別之風險,設下但書規定。
目前我國個資法實務,未將資料是否屬於個資的可資識別,與個資進行 蒐集、處理、利用時是否有足夠安全保障的實證效用作明確區別。對此本文 認為應修改個資法施行細則第 3 條之內容,使個資法第 2 條第 1 項所提及之
「得以直接或間接方式識別」,得從現行之控制者標準轉為任何人標準854, 以擴大個資之保障範圍,將更多資料納入個資法保障。
在「資料所受之保護是否足夠」此方面的去識別化,則應採納具動機之 侵害者標準、統計標準、安全港方法任一者,就個資法施行細則第 17 條855內 容進行修改,將現行之「無從辨識該特定個人」重新定義,建立明確之標準,
以杜絕如同健保資料庫訴訟案「去識別化標準是浮動亦或是統一不變」之爭 執856,並且針對不同之去識別技術作出不同定義,同時與個資法第 2 條第 1 項的「得以直接或間接方式識別」定義進行區別,防止兩種概念遭混用。
對於現況下已存在,於未來人工智慧應用時代將可能更嚴重之再識別風 險,我國也應設法作出應對措施。本文認為,宜將美國法之見解明文化,為 去識別化設下但書規定,使符合去識別定義之個資,若發生再識別情事,能 再度被以未去識別個資作較嚴謹規範,防止損害發生。同時輔以學者見解,
時時監控個資之處理、利用,權衡利益與防止包括再識別風險於內的損害發 生。
至於應採歐盟法模式、美國法模式、英國法模式當中何者,本文認為可 一併進行。先比照歐盟法調整我國個資法之內容,作為如同歐盟 GDPR 般 的最根本規定;再以英國法模式,將個資法施行細則定位為 DPA 2018,為 個資法之內涵提供額外之解釋;若針對健康個資或人工智慧應用有額外需求,
則可比照美國,設立專門處理健康資料、人工智慧應用之特別法,作為如同 HIPAA、HITECH、Common Rule 的法源依據。
三、於個資法當中增加新的同意模式。
我國現行之個資法第 7 條,仍是採取告知後同意的模式,使得當事人同 意此一要件處於較難達成之高門檻。本文認為未來我國可考慮修改個資法第 7 條之內容,引入分層級同意與廣泛同意,讓當事人的同意權不再限於全有 全無,而能更具彈性。且亦可搭配專門之個資主管機關,行使廣泛同意所需 之 IRB 同意權,使得同意的行使具有彈性之餘,又能有專責單位設立明確 標準作為依據。
854 見本文第六章第一節。
855 同註 159。
856 同註 160。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
144
具體之修法模式則為歐盟法模式,因屬於直接修改個資法實質內容,而 非透過改變個資法施行細則對個資法名詞之細部定義,來達到所需效果。
四、新增合法利用事由。
現行我國個資法的合法目的外利用事由,比起 GDPR、HIPAA,可說是 缺少了許多明文例示或列舉的合法運用事由。對此,本文認為可比照 GDPR 第 89 條、HIPAA 的 45 CFR § 164.506 及 45 CFR § 164.512,設立無須當事 人同意即可合法利用的事由,以解決個資實務上無法或難以取得當事人同意,
進而使個資的公益用途遭到阻礙之問題。未來若有類似健保資料庫訴訟案的 事件,則健保署將可主張明確之法律依據,而無須再面臨訴訟紛爭。具體修 法方面,本文認為可視實際需求決定應採取歐盟法模式、英國法模式、美國 法模式。
若需規範全面之個資應用,則應如同歐盟頒布 GDPR 般,通盤修正我 國個資法;若僅需要對特定個資進行運用,則可考慮美國法模式,設立專門 之特別法處理。修法內容,則可考量在個資法或新設立之特別法中明文降低 所需的保護門檻,不一定要達到「去識別化(GDPR 所稱之匿名化)」門檻 方可進行運用,可比照 HIPAA 的資安規則,設立行政上、物理空間上及技 術上的安全標準,作為安全實證效用門檻。意即本文認為有關「識別」的標 準可分三層次:一、最高標準之「足以識別」,用於個資法第 2 條,認定資 料是否屬於個資;二、次高標準的「去識別化」,用於個資法施行細則第 17 條,認定個資於蒐集、處理、利用時是否受有足夠保護的認定;三、個資合 法蒐集、處理、利用事由的安全標準,以法律明文規定降低識別門檻,以作 為特定項目之實際運作所需,避免過度去識別化降低資料價值,例如以法律 明定類似於 GDPR 第 4 條第(5)款的假名化門檻857,或是如同美國 HIPAA 隱私規則所規範的有限資料集858。
對於學者所批評的「組織法尚不足作為『機關法定職務必要範圍內』的 依據,須作用法方允許」爭點859,則可考量英國法模式,透過修正個資法施 行細則第 10 條,解釋個資法之合法要件具體內涵,表明須有特別之作用法,
方得主張屬於法定職務必要範圍,而得合法利用個資。
五、新增有關人工智慧的規定。
目前我國健保資料庫,除了供一般學術研究外,已經推動「全民健康保 險資料人工智慧應用服務試辦」此一人工智慧應用,可知我國個資實務,實 已進入人工智慧應用時代,故本文認為應比照 GDPR、DPA 2018 設立能夠
857 同註 322。
858 Supra note 570, 571.
859 同註 58,頁 205-206。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
145
涵蓋人工智慧應用之專門條文,以作為應對。立法技術,可如同第五章第四 節第二項學者所述,不詳細規範技術細節,而只作出能夠涵蓋新科技運用的 法條,避免法規無法跟上科技發展之弊害。
條文內容,則應如同 GDPR、DPA 2018,對個資於人工智慧應用方面做 出較嚴厲之限制。例如不允許如同現行個資法第 16 條第 6 款概括的「有利 於當事人權利」此種設定,而須有具體法律授權。應比較 GDPR 第 22 條之 內容,除資料主體同意或有法律規定,不得以包括人工智慧在內的自動化程 序處理敏感個資860。並且應將 GDPR 前言第 71 段的解釋權納入個資法體系,
以實質解決演算法黑盒子問題。
具體立法模式,本文認為因能涵蓋人工智慧應用之條文,屬於現行個資 法尚無規範之新概念,故應設立新的專門章節處理之,應於現行個資法第 27 條與第 28 條間設立個資法第三章之一,作為能涵蓋人工智慧應用之專門 章節。此方法屬於直接更動個資法內容之歐盟法模式。
860 Supra note 356.
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
146
參考文獻
一、中文期刊論文
1.江耀國、黃子宴(2019),〈個人資料的概念與匿名化:一個認識論的觀點〉,《東 海大學法學研究》,58 期,頁 1-62。
2.吳全峰、許慧瑩(2018),〈健保資料目的外利用之法律爭議-從去識別化作業 工具談起〉,《月旦法學雜誌》,第 272 期,頁 45-62。
3.吳全峰、許慧瑩(2018),〈健保資料庫行政訴訟案:個資保護與健保資料之跨 機關流動即二次利用〉,《月旦醫事法報告》,19 期,頁 61-87。
4.宋皇志(2018),〈巨量資料交易之法律風險與管理意涵--以個人資料再識別化 為中心〉,《管理評論》,37 卷 4 期,頁 37-51。
5.李沛宸(2019),〈實施歐盟個人資料保護規章對人工智慧發展之影響〉,《財經
5.李沛宸(2019),〈實施歐盟個人資料保護規章對人工智慧發展之影響〉,《財經