調整識別之定義

國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

123

第六章 我國於人工智慧時代可採行之個資保護措施

綜合本文第二章所提及之我國個資保護既存問題、第三章所述之健保資料庫 訴訟案爭點、第四章健康資料於人工智慧應用可能引起之疑慮、第五章之比較法 個資規範與學者見解，本文認為我國個資法及相關實務，得採行諸多方法，以解 決既存及未來可能面對之個資疑慮，俾利於未來人工智慧之應用，能擁有完善之 法制度規範。本文之第六章，將整合前面各章節之內容，分別論述本文認為我國 得採行之各項解決方案。

第一節 調整識別之定義

如同本文第三章第四節第二項第四款所述，我國健保資料庫訴訟案其中一個 爭點即在於「個資是否已去識別化」。而學者批評，會出現此一爭點，乃在於我 國國內見解混淆去識別化在「資料是否仍屬個資法定義之個資」以及「資料所受 之保護是否足夠」此兩問題的適用⁷⁵¹。本節將詳述比較法上不同「去識別化」之 定義，並以提出適合我國個資法採行之方案作結。

第一項 個資之根本定義─足以識別

參照我國個資法第 2 條第 1 款⁷⁵²、GDPR 第 4 條⁷⁵³、DPA 2018 第 3 條 第 2 項⁷⁵⁴、HIPAA 隱私規則⁷⁵⁵，可知目前我國法及比較法，皆傾向認為須

「足以識別特定個人」，方可被視為「個資」；否則即屬於一般資訊而不受個 資相關之法律規範。然何謂「足以識別特定個人」，實有不同基準，以下分 述之。

第一款 一般人標準

如同本文第二章第四節第一項第二款第一目所述，我國學者所提 出之「一般人標準」，其內涵應為─「不具特殊知識，然得合理期待其 搜尋出無須經特殊調查或耗費高成本即可取得之一般性資料，並交相 比對組合之人，是否得以識別出特定個人」。若答案為肯定，則該資訊

751 同註 58，頁 227。

752 同註 204。

753 Supra note 319.

754 Supra note 411.

755 Supra note 484.

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

124

應視為個資，反之則否⁷⁵⁶。

於健保資料庫訴訟案中，臺北高等行政法院、最高行政法院亦採 取一般人標準，認為資料接收者應定為「未事先知悉特定人身分之一 般社會大眾」，而非有額外背景知識之人⁷⁵⁷。惟對於我國實務所採取之 一般人標準，正如本文第二章第四節第二項第一款第一目所述，我國 有學者主張，此一標準並非作為認定一份資料是否屬於個資，而是認 定資料所受之保護是否足夠、即認定資料是否已達去識別化之標準⁷⁵⁸， 於此併予述明不同見解。

第二款 資料控制者標準

如同本文第二章第四節第一項第二款第二目所述，資料控制者標 準，為我國實務所提出之另個見解，認為只要從擁有額外資訊之資料 控制者角度，得以識別出特定個人，即屬於個資⁷⁵⁹。並獲得部分學者 贊同，認為此標準更有助於資料控制者做好安全措施，以有效管理個 資，亦符合損益同歸法理⁷⁶⁰。

亦如同對於一般人標準的批評，對於資料控制者標準，亦有學者 表明應將之歸類於判斷去識別化程度之標準，而非用作判斷資料是否 屬於個資⁷⁶¹。相關內容可參見本文第二章第四節第二項第一款第二 目。

第三款 實質增益資料控制者標準

如同本文第二章第四節第一項第二款第三目所述，我國有學者在控 制者標準之基礎上，另提出「實質增益資料控制者標準」，認為應以資 料控制者之角度來認定是否可以識別特定個人，並須再輔以「該資訊 可以助益資料控制者識別特定個人」之條件，方可認為該資訊屬於個 資。⁷⁶²。

756 同註 51。

757 同註 201、202。

758 同註 58，頁 227、228。

759 同註 49、54。

760 同註 55。

761 同註 58，頁 227、228。

762 同註 56。

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

125

第四款 任何人標準

此說源自於歐盟 1995 個資保護指令第 29 條工作小組於 2007 年所 提出之意見書（下稱 2007 意見書）⁷⁶³。在 2007 意見書中，第 29 條工 作小組將 1995 個資保護指令第 2 條第（a）款對於個資之定義⁷⁶⁴拆成「任 何資料（any information）」、「有關（relating to）」、「已被識別或可被識 別（identified or identifiable）」、「自然人（natural person）」四個子類別 做說明⁷⁶⁵。

就當中的「已被識別或可被識別（identified or identifiable）」此項 目，第 29 條工作小組表示「已被識別（identified）」是指該自然人可在 群體中與其他人區分出來；「可被識別（identifiable）」是指該自然人雖 尚未被從人群中區分出來，但有被識別出來的可能性⁷⁶⁶。再按 1995 個 資保護指令之前言第 26 段，「為了確定一個人是否可識別，應考慮控 制者或任何人所有可能使用的合理手段⁷⁶⁷」。意即應考量包含具有特別 知識者在內的所有人，當中是否有人得識別出該特定個人。

就前述之任何人當中是否有人得識別出該特定個人，第 29 條工作 小組於 2007 意見書中舉出例子作為說明。例如：一位女士的 X 光片與 其不常見的名字，被一齊刊登在科學期刊上，則熟知該女士之親朋好 友，將得以從該疾病與名字聯想到該女士，故此份資料應屬於個資⁷⁶⁸， 並不因一般人無法識別該女士，而使該 X 光片被排除於個資範圍外。

一般人無從識別特定個人之 IP 位址，也會因為網路服務提供者得識別 出特定個人，而被認為屬於個資⁷⁶⁹。

而此任何人標準，尚可以再細分成絕對主義（Absolute Approach）

與相對主義（Relative Approach）^{770 771}。前者認為只要世界上有任何一 人可以用可能存在之方法識別該特定個人，即屬可被識別⁷⁷²；後者則 認為要以實際上可能接觸資料者，且識別方法應限縮於實際可行之方 法⁷⁷³。參考歐盟法院在 Patrick Breyer v Bundesrepublik Deutschland 案之

763 Article 29 Data Protection Working Party, Opinion 04/2007 on the concept of personal data (2007).

764 Supra note 290.

765 Supra note 763, at 6.

766 Supra note 763, at 12.

767 Directive 95/46/EC Recital (26).

768 Supra note 763, at 15.

769 Supra note 763, at 16.

770 Gerald Spindler., Philipp Schmechel, Personal Data and Encryption in the European General Data Protection Regulation, 7 Journal of Intellectual Property, Information Technology and E-Commerce Law 163, 165 (2016).

771 同註 57，頁 8-9。

772 Supra note 770, at 165.

773 Supra note 770, at 165-166.

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

126

見解，基於網路服務提供者是可能經由 IP 位址而識別特定個人，從而 認定 IP 位址屬於個資⁷⁷⁴。可知歐盟法院實務似採相對主義之觀點。

第二項 不同之去識別化標準

參酌我國健保資料庫訴訟案，其中一個爭點在於「個資是否已被去識別 化」。我國現行個資法第 6 條第 1 項第 4 款、第 9 條第 2 項第 4 款、第 16 條第 5 款、第 19 條第 1 項第 4 款、第 20 條第 1 項第 5 款，亦將「已經去識 別化處理」作為個資合法運用事由之一。可知在認定某一資訊為個資後，該 個資應被處理到何種程度才會被認為是「去識別化」，亦屬於有關「識別」

的問題，以下分述不同認定標準。

第一款 具動機之侵害者標準

具動機之侵害者標準，源自於英國 ICO 於 2012 年提出之「匿名化：

資訊保護風險之管理實務守則（Anonymisation: Managing Data

Protection Risk Code of Practice）」。此基準之內涵，是將「具動機之侵 害者」定義為「並無任何特殊知識，但希望從已被去識別化之個資再 識別出特定個人⁷⁷⁵」；而具動機之侵害者標準，則是用來評定該具動機 之侵害者是否會成功。倘無法成功再識別特定個人，則該資料即符合 去識別化要求⁷⁷⁶。而此一虛擬之「具動機之侵害者」，其設定雖無任何 特殊知識，惟仍被預設具有合理之搜尋能力，得近用相關資料庫（例 如：網路、圖書館、公共文件），以及採用合理方法（例如：詢問他人、

廣告徵求資訊）⁷⁷⁷。意即在認定有無再識別可能時，須考量在交相比 對公眾可取得之其他資料下，該資訊能否連結至特定自然人，而非僅 看單獨資料。

至於資料控制者於釋出去識別化資料後，仍保留原始資料，是否 會影響到資料之去識別化？此問題經英國司法實務給出否定之答案。

按蘇格蘭終審法院於 2008 年作成之 Common Services Agency v Scottish Information Commissioner 判決，若將一筆資料與其他資料交相比對，

仍無法識別特定個人，則該資料即為去識別化之資料；而若一筆資料 配上其他足已識別出特定個人之資料後，並未對識別出特定之個人提 供助益，則可識別者僅為其他資料，該筆資料仍屬於去識別化之資料⁷⁷⁸。

774 Patrick Breyer v Bundesrepublik Deutschland (C-582/14) EU:C:2016:779 (19 October 2016)

775 Information Commissioner Office (ICO), Anonymisation:managing data protection risk code of practice 22 (2012).

776 Id, at 22.

777 Supra note 775, at 22-23.

778 Common Services Agency v Scottish Information Commissioner [2008] UKHL 47, at para.22.

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

127

簡言之，資料是否達到去識別化之要求，須視其能否助益潛在侵害者 識別出特定個人，若無法提供潛在侵害者任何助益，則屬於已去識別 化。而縱與其他足以識別出特定個人之資料交相比對後，能識別出特 定個人，亦不會改變該資料已去識別化之本質。因為得以識別出特定 個人者，全然是其他未去識別化資料所造成之影響，與已去識別化之 資料無關。故資料控制者保留原始未識別化之資料，不影響釋出之去 識別化資料，並不會使已去識別化之資料被認定為未去識別化。

第二款 統計標準

統計標準，即第五章所提及之 HIPAA 隱私規則所主張之標準其中 之一，其認為若具有統計學與科學知識與經驗的專家認定「單獨透過 該資訊，或透過該資訊與其他能經由合理方法取得的資訊之結合成果，

只有非常小的風險，可以識別出該資訊所屬之特定個人」，且該專家已 提供他的書面分析作為證明」，則該資訊屬於去識別化資訊⁷⁷⁹。

第三款 安全港方法

安全港方法，則為第五章 HIPAA 隱私規則所採行之另一種標準，

硬性規定資料處理須踐行至何種具體程度，方可稱作已去識別化、進 入「安全港」。而 HIPAA 隱私規則，則列舉出關鍵之 18 項資訊，表明 只要去除所列資訊，資料即屬去識別化⁷⁸⁰。

第三項 小結

如同第三章中，學者對於健保資料庫訴訟案法院見解之評述，認為法院 實務乃混淆了「資料是否屬於個資法定義之個資」以及「資料所受之保護是 否足夠」此兩個有關「去識別化」的問題⁷⁸¹，這將導致判斷個資運用是否合 法方面產生矛盾。例如，臺北高等行政法院就曾認為「去識別化」的標準並 非維持不變，而係可以隨狀況調整⁷⁸²。若按照此一見解進行操作，將會出現

「既已被認定去識別化而非屬個資，為何還需考量遵守個資法？」、「去識別 化基準可調整，是否會使得同份資料有時是個資，有時卻非屬個資？」等問 題。對此，本文認為應將「資料是否屬於個資法定義之個資」以及「資料所 受之保護是否足夠」所提及之「識別」分開論述，並可分成兩層面來進行處

「既已被認定去識別化而非屬個資，為何還需考量遵守個資法？」、「去識別 化基準可調整，是否會使得同份資料有時是個資，有時卻非屬個資？」等問 題。對此，本文認為應將「資料是否屬於個資法定義之個資」以及「資料所 受之保護是否足夠」所提及之「識別」分開論述，並可分成兩層面來進行處

在文檔中 健康資料於人工智慧應用下之個人資料保護議題 - 政大學術集成 (頁 133-140)