資料主體同意權該如何行使

國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

131

Technology）提出之《Report to the President:Big Data and Privacy:A Technological Perspective》報告書⁷⁹³，可以得知學者對於大數據時代之個資保護，認為應將重 心移轉至後續之處理、利用，而非一開始之蒐集，應權衡個資處理、利用所產生 之利弊，作為認定合法與否之依據。

綜合以上所述，本文認為面對大數據、人工智慧時代之再識別風險，具體之 作法，應於去識別化定義中設下但書，表明若符合去識別化定義之個資發生再識 別情事，則例外不屬於去識別化個資。並且不論個資是否已經過去識別化處理，

處理、利用時皆須權衡利弊得失，並且將是否會識別特定個人列為重點評點項目，

以時時監控是否會發生再識別情事，並於再識別情事發生時，將使個資喪失原先 基於去識別化而獲得之合法蒐集、處理、利用地位，變成未去識別化之個資，而 須受較嚴格之合法性檢視。

第三節 資料主體同意權該如何行使

查閱我國個資法條文，可以發現「當事人同意」，實為個資能被合法運用的 要件之一，例如個資法第 6 條第 1 項第 6 款、第 7 條所定義之「同意」內涵。於 GDPR、DPA 2018、HIPAA，也可以發現「同意」被視為合法運用個資要件之一，

例如 GDPR 第 6 條第 1 項第（a）款⁷⁹⁴、GDPR 第 9 條第 2 項第（a）款⁷⁹⁵、GDPR 第 22 條第 1 項第（c）款⁷⁹⁶、HIPAA 隱私規則中的 45 CFR § 164.508 條文⁷⁹⁷。然 而究竟應如何取得當事人同意，則有諸多不同方式，以下分別論述之：

第一項 告知後同意

本文先前章節即已多次提及之告知後同意，其具體內涵，可以參照 GDPR 第 4 條第 11 款⁷⁹⁸以及前言第 32 段⁷⁹⁹，須為資料主體依其自由意志，

就其個人資料處理給予具體肯定且自由形成、明確、受充分告知及非模糊之 指示，方可稱作是「同意」；單純沉默、預設選項為同意、不為表示，皆不 構成同意。同意之行使方式則可包括口頭或書面之聲明，包括以電子方式為 之。瀏覽網頁時所點選之選項、為資訊社會服務所做之技術設定選擇或其他 聲明，或依其脈絡清楚顯示資料主體接受被提案之個人資料處理的行為，也 皆可作為「同意」的方式。

此外，復按 GDPR 第 7 條第 1 項，資料主體同意與否的舉證責任應在

793 Supra note 735, at 49-50.

794 Supra note 323.

795 Supra note 338.

796 Supra note 356.

797 Supra note 530-542.

798 GDPR Article 4 (11).

799 GDPR Recital (32).

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

132

資料控制者⁸⁰⁰。並且按 GDPR 第 7 條第 3 項，資料主體有權撤回同意，並 且撤回同意的方式，行使難度應等於行使同意權⁸⁰¹。

亦即告知後同意必須是積極行為，且須使資料主體明白一切權利義務後 方屬之。並且嗣後資料主體有權撤銷同意。此種同意模式，屬於較高門檻之 設計。國內亦有學者認為，尋求資料主體之告知後同意，不該被作為個資運 用主要之合法事由，而應優先探求有無其他合法事由，例如在醫療研究層面，

倘使資料主體有權撤回同意，將可能使研究中斷，故應以其他合法事由作為 優先選擇⁸⁰²。

第二項 空白同意與具體同意

空白同意(blanket consent)，意指在徵求資料主體同意時，即概括地將日 後所有之個資運用全部列入同意範圍⁸⁰³。與之相反的概念為具體同意 (specific consent)，即每次要進行不同的個資運用時，皆應一一尋求資料主體 同意⁸⁰⁴。

空白同意有著方便、效率之優點，但對個資的保障顯然不足。而與空白 同意相反的具體同意，雖對個資保障足夠，實際運作時則恐有窒礙難行之處，

而過度阻礙研究進行⁸⁰⁵。

第三項 選擇加入與選擇退出

選擇加入（opt-in）與選擇退出（opt-out），是調整告知後同意所產生的 模式。選擇加入是如同告知後同意一般，須當事人主動同意後，個資才會被 蒐集、處理、利用。選擇退出則是將個資預設為可被運用，資料主體若反對，

才將其個資退出被運用的行列⁸⁰⁶。

第四項 動態同意

動態同意(dynamic consent)，亦屬於對告知後同意的調整，是選擇退出 的進階運用⁸⁰⁷。其起初先取得資料主體的概括同意，而在後續進行新運用時，

800 GDPR Article 7(1).

801 GDPR Article 7(3).

802 張陳弘（2019），〈GDPR 關於蒐用一般個人資料之合法事由規範──臺灣個人資料保護法遺

漏的正當利益權衡條款〉，《月旦法學雜誌》，285 期，頁 178-179。

803 Mark A Rothstein., Bartha Maria Knoppers., Heather L Harrell, Comparative Approaches to Biobanks and Privacy, 44(1) The Journal of Law, Medicine & Ethics 166 (2016).

804 Id.

805 同註 58，頁 214-215。

806 同註 58，頁 215。

807 同註 58，頁 215。

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

133

須通知資料主體，使資料主體有權選擇退出，給予其隨時改變個資的運用狀 態⁸⁰⁸。

惟此種運作模式仍受到學者質疑，並未解決個資運用的兩難問題。因為 通知資料主體後，若將「未明示退出」推定為「選擇同意」，則對資料主體 的保障似有不足；但若將「未明示同意」推定為「選擇退出」，則又有害研 究發展⁸⁰⁹。

第五項 廣泛同意

廣泛同意之模式，其最初亦由資料主體進行一次概括性的同意，然而在 之後的進階運用，並非通知資料主體是否行使退出權，而是交由專門設立的 倫理審查委員會（Institutional Review Board，本文第三章第三節曾提及此類 組織，下續稱 IRB）決定是否同意運用⁸¹⁰。

然而，交由專業的 IRB 判斷，雖可讓一般人所不易明瞭的專業領域，

由 IRB 進行利害權衡，有助於公益發展；惟 IRB 的同意畢竟與資料主體的 同意不同，由 IRB 代為同意，除有代理合法性之問題，其對資料主體的資 訊自決權保障亦可能有所不足，致生侵犯個資保護的疑慮⁸¹¹。

第六項 分層級同意

分層級同意則是英國與美國的立法或實務見解，所採行之措施。

在本文的第五章第三節第二項第一款第三目所述之 HIPAA 合法利用受 規範資訊要件，即將個資分成「需特別授權⁸¹²」、「無須取得同意，但須給當 事人表示同意與否之機會⁸¹³」、「無須取得同意⁸¹⁴」三類別。三類別分別規範 在 45 CFR § 164.508、45 CFR § 164.510、45 CFR § 164.506 及 45 CFR § 164.512。

英國的分層級同意，則見於英國國家資訊保護官（National Data Guardian，

下稱 NDG）⁸¹⁵提出之見解。在 2016 年 6 月所提出的《健康與照護的國家資 訊保護官：資料安全、同意與選擇退出的審查》（National Data Guardian for

808 Supra note 530-542.

809 同註 58，頁 215-216。

810 Supra note 530-542.

811 同註 58，頁 216-217。

812 Supra note 530-542.

813 Supra note 520-528.

814 Supra note 503, 505-519.

815 英國國家資訊保護官的任務為：為醫療保健系統提供建議和挑戰，以幫助確保公民的機密資

料得到安全保護和正確使用。National Data Guardian 官方網站，

https://www.gov.uk/government/organisations/national-data-guardian （最後瀏覽日：07/05/2020）。

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

134

Health and Care Review of Data Security,Consent and Opt-Outs）此份報告書中，

NDG 建議不應採納全有或全無的同意模式，而應按照不同的健康個資用途，

給予相應的同意模式⁸¹⁶。此一報告書，將個資分為三種運用需求：一、直接 供個人的醫療或健康照護所需。二、用於營運國家健康或社會照護系統所需。

三、用於研究所需⁸¹⁷。並設計三種同意模式：一、標準設定（Standard Setting）， 允許個資在三種運用需求中皆可被採用。二、有限設定（Limited Setting），

限制個資不得被使用於研究用途。三、嚴格限制設定（Restricted Setting），

限制個資僅得於直接供予個人的醫療或健康照護時使用⁸¹⁸。此種同意模式跳 脫只有同意、拒絕兩種答案，給予當事人不同寬嚴程度的同意選擇。而不論 當事人選擇何種同意模式，事後皆得選擇退出⁸¹⁹，除非有重大公益考量、法 律明文限制或法院頒布禁制令，方例外不允許選擇退出⁸²⁰。

第七項 小結

雖然我國個資法於 2012 年個資法修正成現行個資法時，有透過推定同 意等模式，放寬同意要件⁸²¹，但從我國現行個資法第 7 條條文觀之，可知我 國目前主要仍採告知後同意模式，此種同意模式無疑造成了對個資蒐集、處 理、利用的阻礙，從健保資料庫訴訟案其中一個爭點也是在爭執「未有事前 同意⁸²²」可見一斑。我國若欲使健康個資能被進一步利用，宜調整個資法之 同意門檻，使得健康個資之蒐集、處理、利用更具有法源依據。

本文認為，我國可採行分層級同意與廣泛同意併行之做法。在將個資直 接運用於個人的醫療或健康照護時，採取如同美國 HIPAA 之做法，即無須 再取得同意；在營運國家健康或社會照護系統、研究使用方面，則應參照英 國，設立不同寬嚴的同意選項，使當事人得決定自己之個資將被運用於何處，

並得同時輔以廣泛同意制度，使當事人已同意被運用之個資，後續經由 IRB 專業審查、以設立第二層保障，更進一步確保個資使用得促進公益與兼顧個 人隱私保障。

至於資料主體之選擇退出權，即健保資料庫訴訟案所爭執之「事後排除 權」⁸²³，該如何設計？本文認為此項爭執，亦可在引入分層級同意、廣泛同 意後，一併獲得解決。因在分層級同意、廣泛同意的設計下，在給予「事前 同意權」時，也將一併給予「事後排除權」，亦即人民一開始即擁有撤回同

816 National Data Guardian, National Data Guardian for Health and Care Review of Data Security, Consent and Opt-Outs 6-8 (2016).

817 Id, at 26-27.

818 Supra note 816, at 40.

819 Supra note 816, at 39.

820 Supra note 816, at 33-34.

821 同註 46。

822 同註 58，頁 210、242。

823 同註 167、179。

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

135

意的權利，本來就得隨時主張「選擇退出」，此乃分層級同意、廣泛同意當 然的設計，而無須再為爭執，以保障當事人之資訊自決權。至於臺北高等行 政法院、最高行政法院所擔心之「廣大民眾行使事後排除權，導致資料庫資 料缺乏無法運作」之問題，本文認為則可比照英國之分層級同意，以法律明 定重大公益、法律別有規定等條款來限制撤回同意權⁸²⁴，或是比照歐盟法規 定，在面對基於公共利益建檔、科學研究目的、歷史研究目的、統計研究目 的時，對撤回同意權增設明文限制⁸²⁵。

在文檔中 健康資料於人工智慧應用下之個人資料保護議題 - 政大學術集成 (頁 141-145)