諮詢預約 我國個資法第2條第1款定義須受本法規範之「個人資料」為「得以直接或間接方式識別該個人之資料」。透過本條文義之反面推論可以得知,透過一定程度之加工或技術處理,使個人資料喪失直接或間接識別之可能,破壞資料之個人屬性後,該資料即非為個資法所保護之客體。雖我國個資法並未將「去識別化」記載於條文中,然學說實務皆肯認本條為「去識別化(de-identification)」之規定,以資料是否去識別化界定個資法保障客體之範圍。
去識別化依資料加工程度之高低,又可區分為匿名化(anonymization)及假名化(pseudonymization)兩種類型。我國個資法上並未就匿名化及假名化予以解釋或規範,或可借鑑外國立法例掌握其內涵。所謂匿名化資料,據歐盟第29條資料保護工作小組所言,必須達到不論是資料控制者(data controller)或是第三方(third party)皆無法採取可能合理之手段識別出特定資料主體之程度,換言之,資料經加工後與特定資料主體之連結徹底斷絕,毫無重新識別之可能。歐盟一般資料保護規則(General Data Protection Regulation, GDPR)前言第26點亦有提及,已不可再識別當事人之匿名化資料,即非為GDPR所規範之客體。
另一方面,GDPR第4條中則就假名化予以定義。其指出,經假名化之個人資料,係指非透過其他資訊之對照,不能再識別出特定資料主體。同時其他資訊應與假名化之資料分開存放,並採取其他技術上或組織上之保護措施,確保無法透過該個人資料連結至特定資料主體或可識別之資料主體。GDPR前言第26點對於假名化資料亦有闡述,其指出,若可透過額外資訊之使用而識別出假名化個資之資料主體,則該資料應視為可得識別之當事人的資料。換言之,假名化之資料仍屬個人資料而應受GDPR所規範。
觀察歐盟立法上有關匿名化及假名化之闡述,可以推知匿名化資料因已喪失資料之個人屬性,無侵害資料主體隱私權利之疑慮,故不受GDPR所規範;然而,即使假名化資料仍可能透過與其他資料對照而識別出資料主體,GDPR仍肯認假名化屬於資料處理之適當保護措施,於本法第25條、第32條、第89條等條文中提及資料保護措施及安全性時,均將假名化列入適當保護措施之一種,透過假名化降低資料主體可能面臨之風險。
回歸我國個資法條文進行觀察,則我國個資法關於去識別化之定義內涵於體系上頗有不協調之處,對於當事人資料權利之保護似有未周。個資法第2條第1款規範無從直接或間接識別該個人之資料,則非屬本法所保護之個人資料。我國個資法施行細則第3條規定並進一步闡述「間接識別」之概念,本條指出,所謂間接識別,係指保有該資料之公務或非公務機關僅以該資料不能直接識別,須與其他資料對照、組合、連結等,始能識別該特定之個人。透過個資法第2條第1款與個資法施行細則第3條規定可以得知,依上揭規定排除於我國個資法規範外之資料,應屬於歐盟定義下之「匿名化資料」。
然而,個資法中其他條文之「無從識別當事人」概念,顯然不能皆以匿名化之定義理解其內涵。舉例而言,個資法第6條第1項但書第4款規定,「公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。」本條所稱之「無從識別特定當事人」,依照個資法施行細則第17條規定,係指「個人資料以代碼、匿名、隱藏部分資料或其他方式,無從辨識該特定個人者」。個資法施行細則第17條將「匿名」與「代碼、隱藏部分資料」並列於例示之去識別化方法而未就處理資料之效果予以區隔,訂定不同之規範效力,固已容易產生混淆,而本條所定義之「無從識別」又顯與個資法第2條第1款之定義有所區別,似認定此類方法之採用係保護當事人資料權利及隱私之措施,而更接近歐盟定義下之「假名化」內涵。
我國個資法上關於去識別化、假名化、匿名化之概念未臻明確,導致法律框架之不協調,亦衍生出實務適用法律及解釋之困難。本文以歐盟之去識別化概念定義為例,透過國際個資法律之規範內涵省思我國個資法規範現況。於未來個資法修正時,應可考慮進一步就去識別化之標準為更細緻之規範,尤其應補充各去識別化作業方式及具體保護措施等,俾使法規框架整體趨於協調,並提供當事人更完整之隱私權利保障。
參考資料:
1. 個人資料保護法
2. 個人資料保護法施行細則
3. General Data Protection Regulation
4. 吳全峰,許慧瑩,「健保資料庫行政訴訟案:個資保護與健保資料之跨機關流動即二次利用」(2018) 月旦醫事法報告,19期,頁61-87。