政策與議題

個資隱私議題:【澄社評論】吳全峰:個資保護再思考

【澄社評論】吳全峰:個資保護再思考

在歐盟GDPR實施後,學者欣見政府重新檢視個資保護政策,但《個資法》既有架構矛盾、體例不一問題,仍待全面重新思考並調整。圖為臉書先前深陷個資外洩風波。資料照片

吳全峰/中央研究院法律學研究所副研究員

歐盟「一般個資保護規定」(General Data Protection Regulation, GDPR)正式施行後,政府似才警覺我國《個人資料保護法》(《個資法》)距GDPR合致性仍有落差,並對產業之歐盟業務推廣、學術研究之跨境合作,可能產生重大影響。

如美國生醫學界就GDPR對生物檢體或資料跨境傳輸衝擊與跨國研究合作障礙,早有評估;但我國對類似議題──如健保資料之蒐集、處理與利用──卻未見相關檢討,可能使廣泛運用健保資料庫且與歐盟研究機構建立合作關係之生醫研究(包括台灣人體生物資料庫),面臨違反GDPR之風險。

美國聯邦最高法院於日昨之Carpenter v. United States判決亦對大數據年代下隱私權保障採嚴格標準,認為數位資訊(digital data,如行動載具所貯存之定位資訊)可能洩露詳細個人私領域資訊,並對隱私權產生侵害,故數位資訊之使用需建置正當程序保障。而該判決是否將限制以行動載具蒐集個人生物資訊並提供產業或學術利用,亦有待觀察。

然相較美國法院之審慎態度,我國政府仍將個人數位資訊視為產業發展之「資源」而非個人應受保障之「權利」,如鼓勵產業(包括設計App)將個人「健康存摺」、健保或其他開放資料串接,並透過資料挖掘重組混搭等方式增加「產值」便屬一例;惟該等允許第三方取得個人數位資料政策之隱私衝擊,卻似非政府所關心。

在GDPR實施後,欣見政府重新檢視個資保護政策,但《個資法》既有架構矛盾、體例不一問題,仍待全面重新思考並調整。

個人認為問題之一在於,我國參考美歐個資保護立法例時,往往未思考其間差異,摻雜混用不同基本概念之結果便導致後續《個資法》適用出現扞格。

舉例而言,「無從識別特定個人」可分為兩類:無從「直接」識別或無從「間接」識別。美國之去識別化(de-identification)概念通常指前者(無從直接識別),亦即將與個人可識別因素(identifiers)排除即可,故假名化(pseudonymization,指處理後資料仍可透過與其他資料對照以識別特定個人,編碼即屬之)亦屬「去識別化」工具;但歐盟之匿名化(anonymization)概念卻兼採兩者(不得直接及間接識別),且因假名化資料仍可對照回推,故被認仍屬可識別個資(GDPR前言第26段)。

但我國《個資法》就「無從識別當事人」概念(資料須達「無從識別當事人」始不受《個資法》保護),在法條用語、法務部函釋、法院判決中卻無統一定義與內涵,甚至直接橫向移植並混用美歐法規用語(如假名、匿名、編碼、代碼、隱藏部分資料、去識別、去連結),未考慮概念差異,遂導致衝突不斷。

如《個資法》第2條第1款與《個資法》施行細則第3條規定得與其他資料對照連結後識別特定個人之資料仍屬(得間接識別)個資,似採歐盟「匿名化」概念;但同法第17條卻又認為代碼/編碼(仍可透過與其他資料對照連結後識別個人)非屬個人資料,似又採美國「去識別化」概念,兩者顯屬矛盾;而法務部函釋所創之「可逆之擬匿名」(指資料雖經代碼及雙向加密,但仍具個體性特徵,後為行政法院判決所採),更完全跳脫GDPR「匿名化」概念,僅是借殼上市。

而《個資法》本身即存在種種問題,更遑論要細緻處理《個資法》與其他法規範(如《人體研究法》、《人體生物資料庫管理條例》)就「無從識別特定當事人」在法律上之重大歧異。

原文出處

發表迴響