個人資料保護於雲端運算時代之法律爭議初探暨比較法分析:以健保資料為例
作者:何之行 助研究員
Release Date:2018/06/01
問題緣起
我國行政院於民國99年核定「雲端運算產業發展方案」後,便陸續推動政府各部門之雲端運算計畫。在預定建置之12種政府雲中,衛生福利部於民國104年提出「健康雲跨領域研究」計畫,期將現有全民健保資料與雲端運算技術結合,藉以做為我國未來醫療決策之科學依據。惟探究臺北高等行政法院判決後可知,健保署究竟能否將蒐集之全民健保資料釋出供第三人為原始蒐集目的以外之利用,恐將成為政府日後倘欲建置健康雲端資料庫時首要面臨之法律爭議。本文以為,此爭議除應遵循大法官於相關釋字所揭櫫憲法保障個人資訊自主權之精神外,亦應考量我國個人資料保護法之修法目的與評估雲端運算技術可能對現行個人資料保護法所造成之衝擊。據此,本文將由解析歐盟、英國與美國等立法例對「雲端運算」與「個人資料」之定義出發,進而評估雲端運算技術可能對個人資料以及隱私權所帶來之風險,並藉由各國立法例採取之應對措施反思我國現行個人資料保護法於未來擬建置雲端資料庫時,是否仍能同時兼顧公共利益與隱私權之保障。
個人資料於雲端運算時代之定位
於進一步探討將國人健保資料建置為健康雲端資料庫之前,首先應確認在雲端運算技術下儲存之個人資料,其法律地位與我國目前已建置之健保資料庫或資科中心是否不同?對於此一前提,本文認為或可從探討雲端運算之技術與傳統資訊科技之差異以及資料在雲端運算技術中之使用歷程,藉以確認雲端資料庫與個人資料保護法之關係及其可能面臨之法律爭議。
一、雲端運算之定義
歐盟個人資料保護工作小組(下簡稱歐盟工作小組)於2012年公布之「雲端運算意見書」中將雲端運算定義為「集中在『網路使用』及『傳遞IP應用』並且由處理功能性、儲存和記憶空間之科技與服務所構成」。英國資訊委員辦公室則直接將雲端運算主要的三個特色:「計算機資源」「基於需求」以及「透過網路」將之廣泛定義為「能透過網路近用符合需求之計算機資源」。美國國家技術標準局則將雲端運算定義為一種「普遍存在且能增加便利性,同時又能符合使用需求,在服務者提供最少管理或反應下,就能藉由更改設定持續供應與釋出分享之網路集合路徑」,從而將雲端運算歸納出五種特色,包括:「隨需應變自助服務」、「網路使用無所不在」、「共享資源池」、「快速重新佈署靈活度」以及「服務可計算」。由於雲端運算係一種將資訊散佈、處理以及儲存的技術,故亦有學者認為,雲端運算中用以取代電腦網路之虛擬軟體,就如同電腦之操作系統,只是該軟體取代了實際存在的硬體設備,因此雲端運算實為資訊科技中更能廣泛使用資料的一種子類別,換言之,單從技術層面而論,雲端運算尚未超出傳統資訊科技之本質。
二、資料在雲端運算中之歷程
雖然雲端運算於技術面仍屬資訊科技之範疇,但資料於此新資訊科技中之歷程究否與現有數位資料庫不同?倘進一步觀察資料在雲端運算技術之始終,則可發現資料亦如人類生老病死而有其生命週期,以目前雲端運算之技術而言,資料可分為下述七種不同階段,亦即:資料之發生、傳輸、使用、共享、儲存、列檔、與銷毀。
而若以資料的生命週期歸納個人資料於雲端運算可能面臨之風險,則可分為「雲端內部之資訊濫用」與「雲端外部之資訊破壞」。因此,如何透過雲端運算技術維持個人對資料之「自主性」,並以保全機制確保資料在系統中之「機密性」和「完整性」,同時亦能維持資料之「可利用性」,均係資料在雲端運算技術中需被正視之議題。
三、雲端資料庫與個人資料保護法
關於健康雲端資料庫能否直接適用我國個資法,本文認為可再透過雲端運算與個人資料保護法之關係進一步確認。歐盟工作小組於雲端運算建議書中表示,與資料保護相關之指令均應適用於個人資料被處理之「任何情況」;英國資訊委員辦公室則於雲端運算使用指南中具體指出,英國個人資料保護法廣泛地定義「處理」為對資料之取得、記錄、持有及進行任何有關組織、採納或變更;回復、參考或使用;透過傳輸、散佈或其他使資料可被觸及之揭露,以及組合、聯合、阻斷、刪除或銷毀等操作。因此該辦公室認為,英國個資法之適用範圍幾乎可包含所有雲端運算對資料之操作方式,甚至單純儲存資料亦屬之由此可知,歐盟工作小組以及英國資訊委員辦公室均未將雲端運算切割於既有個人資料保護之法律框架外。
據此,本文認為,國人之健保資料係屬新個資法第2條第1款定義之「個人資料」自屬無疑,而建置雲端資料庫之行為不論係定義為同條第4款之「處理」抑或第5款之「利用」,仍屬我國個人資料保護法所規範之範疇。國內亦有學者主張,雲端運算與傳統數位科技間之差異反映於個人資料保護之爭時,僅有程度上的差別而無本質之不同,本文亦採相同見解。
試論健康雲端資料庫於我國現行個資法之適用:以臺北高等行政法院103年訴更(一)字第120號判決為例
一、健保資料之蒐集
臺北高等行政法院103年訴更(一)字第120號判決依據最高行政法院103年判字第600號判決之意旨,將本案針對國人健保資料之蒐集處理與利用分別適用新個資法第6條第1項但書第4款、第15條及第16條等規定。臺北高等行政法院認為本案兩造並未爭執健保署蒐集國人健保資料係依照相關法令之規定,因此該署於職掌範圍內蒐集由相關機構上傳之國人就醫紀錄符合新個資法第15條第1款「執行法定職務必要範圍內」之規定。
二、健保資料之利用
此外,依臺北高等行政法院之見解,健保署將國人健保資料釋出供國衛院建置健保資料庫及衛福部建置資科中心之行為屬於新個資法中所稱之「利用」,因此依照新個資法之規定,健保署原則上須符合「應於執行法定職務必要範圍內為之」且「與蒐集之特定目的相符」方可釋出國人健保資料,倘需以超過蒐集特定目的外之方式利用,則需另符合法定例外事由。
(一)應於執行法定職務必要範圍內為之
根據國衛院設置條例之規定,該院成立之目的為從事醫療衛生研究,而衛福部組織法亦規定該部職掌一切與衛生福利有關之事項,且該部陳報行政院通過之「國民健康資訊建設計畫」亦為推動健康資料加值應用,故該號判決認為,健保署提供健保資料予國衛院建置資料庫及衛福部建置資科中心仍符合該署組織法之規範。
(二)目的外利用之法定例外事由:提供者處理或蒐集者以無從識別方式揭露
由於健保署係基於學術研究之目的而將國人健保資料另作加值服務之用,因此需符合新個資法基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人及基於公共利益為統計或學術研究而有必要之法定事由。
但將國人健保資料去識別化究竟係屬提供者(健保署)抑或係蒐集者(衛福部、國衛院)之責任。臺北高等行政法院認為,兩者只需其中一方完成即符合個資法之規定;至於個人資料是否已無從辨識特定個人,則應以資料「接收者」之角度判斷。換言之,該號判決認為,個人資料只要經處理後無法透過與其他公眾可得之資料對照、組合、連結而識別出特定個人,且對外釋出時不提供解密方式,則該釋出之資料即達法定之規範,不因資料持有者是否保留解密工具而有改變。
此外,臺北高等行政法院另指出,「去識別」亦可由「個人資料」於新個資法第2條第1款定義之反面解釋得知,係指「透過一定程序加工處理使個人資料不再具有直接或間接識別性」,並得以新個資法施行細則第17條作為判斷標準。不僅如此,公務機關倘於進行整體隱私風險影響評估後,另以申請方式及安全管理措施等使資料被再識別之風險降低時,則可將去識別化程度放寬,意即允許提供含有個體性、敏感性之擬匿名化資料。簡言之,臺北高等行政法院認為,縱使對外提供「可逆之擬匿名化資料」,仍能以有限制之申請與安全管理措施達到個資法對於資安保障之要求。
至於究否健保署釋出國人健保資料予健康資料庫和資科中心之資料,是否已達去識別化之程度,若依臺北高等行政法院之見解,因健保署提供予衛福部之健保資料已改為由衛福部派專人至健保署執行加密作業後再攜回,且健保署於提供健保資料庫前已去除姓名且將相關ID與代碼進行欄位變造等第一道加密,故可知健保署釋出之資料前已經過一定程序之加密。而衛福部與國衛院於取得健保署所釋出之資料後,均會於對外提供前再次進行加密,輔以健保資料庫及資科中心對申請之審核與系統之安全維護措施等,臺北高等法院認為已符合新個資法「資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人」之要件。
(三)資訊自主權與公共利益
該號判決指出,新個資法之立法目的除保護個人隱私權外,亦包括促進個人資料之合理利用,此外,大法官於釋字第603號中表示憲法對個人資訊隱私權之保護亦非絕對,倘國家基於公益之必要,仍得於不違反憲法第23條之範圍內,以法律明確規定強制取得必要之個人資訊。據此,臺北高等行政法院認為, 當個人權益與重大公共利益相衝突時,個人資訊之自主決定權得有所退讓,故倘醫(疫)學研究之公益利益顯大於國人對健保資料之自主權時,公務機關即得蒐集、處理或利用國人健保資料。
不僅如此,臺北高等行政法院進一步指出,國衛院受健保署之委託建置之健保資料庫業經國內研究人員利用並發表學術研究成果並刊載於國內外期刊,而衛福部成立之資科中心亦係以促進公共衛生決策品質、相關學術研究及醫療保健服務業等為目標,由此可知健保署釋出國人健保資料係為學術研究之目的,不但具有公共利益,且釋出資料後與公共利益目的之達成間具有「適當性」。據此,臺北高等行政法院認為健保署釋出國人健保資料欲追求之公益遠大於個人資料法所保護之私益,且有其必要性,故該當於比例原則。
另一方面,對於原告主張欲行使事後停止請求權,臺北高等行政法院參酌大法官釋字第603號解釋以及新個資法之立法目的後卻仍依法務部之見解認為,資訊自主權之事前同意與事後停止應屬一體兩面,否則縱使健保署可依法不經當事人同意而利用國人健保資料,當事人卻仍能於事後行使排除權,此時非但法律欲達到合理利用個人資料、增進公共利益之目的無以達成,更使得個人資訊自決權成為絕對權利。本文對此則採取保留態度,並擬從比較法角度於後述章節提供更為細緻之分析依據。
建置健康雲端資料庫之法律爭議與比較法分析
本文於探討我國建置健康雲端資料庫之法律爭議時,將以新個資法作為討論之依據。
一、健保資料之蒐集
臺北高等行政法院認為健保署係依照相關法令蒐集國人健保資料,故屬該署法令職務範圍內之必要行為,因此符合新個資法第15條第1款「執行法定職務必要範圍內」。然本文卻認為,縱使兩造對於健保署蒐集國人健保資料究否為該署之法定職掌範圍不為爭執,但臺北高等行政法院逕以新個資法中規範一般性個人資料之第15條認定健保署係以符合個資法之方式蒐集國人健保資料,顯然漏未考量新個資法已將個人資料區分為一般性與敏感性個人資料之立法架構。
有關公務機關蒐集個人資料之規定,雖然未區別敏感性與一般性個人資料之舊個資法第7條與規範一般性個人資料之新個資法第15條均規定,僅需具備特定之蒐集目的,並於符合該機關法令規定之職掌必要範圍內即可為之。但從規範敏感性資料之新個資法第6條可知,國人健保資料原則上不得蒐集,因此健保署需依照該條但書第2款之規定,除符合該署之法定職掌必要範圍外,另以具有事前或事後之適當安全維護措施方能為之。據此,本文則欲主張,新法針對敏感性個人資料之蒐集顯然已非謂只要符合法定職掌範圍,就必然能蒐集國人健保資料。故臺北高等行政法院之見解認為,只要有相關法令規範,健保署即可逕為蒐集國人健保資料之結論,於新個資法第6條施行後,顯已不能滿足蒐集敏感性個人資料之法定要件。
二、健保資料之處理或利用
我國個資法將個人資料之使用區分為「蒐集」、「處理」與「利用」三個階段。依照臺北高等行政法院於102年訴字第36號判決之見解,健保署依其法定職掌範圍所蒐集而來之個人健保資料,仍屬未達到利用階段的「處理」行為,必須到該署將所蒐集而來之個人健保資料委外(由國衛院或衛福部統計處)「建置健保資料庫」時,方屬於法律所定義之「利用」行為。因此,有關將國人健保資料建置為雲端資料庫之法律爭議,應視健保署係直接將國人健保資料以雲端運算方式建置為資料庫,抑或如同現有健保資料庫或資科中心係將資料釋出後方建置資料庫分別討論。
(一)健保資料之處理
倘健保署係將國人健保資料直接以雲端運算之方式儲存為資料庫,應屬於未達利用階段之「處理」,此時除規範敏感性個人資料之第6條外,健保署另需符合規範公務機關處理一般性個人資料之第15條所要求之「應有特定目的」與「執行法定職務必要範圍」。有關健保署建置雲端資料庫是否為該署執行法定職務之必要範圍,倘參照臺北高等行政法院之判決意旨,只要係為從事醫療衛生之研究進而推動健康資料之加值應用,均符合健保署法定職務之必要範圍,因此健保署能否將國人健保資料建置為雲端資料庫將視該「處理」是否具有「特定目的」而論。
雖然臺北高等行政法院認為,於促進國內全民健保之相關研究並以之提升國內醫療衛生發展,仍屬健保署法令職掌之必要範圍,但健保署取得國人健保資料係因辦理全國健康保險業務(如保險費稽核等行政目的)之緣故,因此建置資料庫並以之對外提供資料加值服務等研究目的,實已非屬健保署辦理國人健康保險業務之原始(特定)目的,故健保署將來若欲自行建置健保雲端資料庫之首要法律爭議。
本文認為,新個資法第15條之條文架構雖係將蒐集與處理整併為同一條文,但條文係以「蒐集『或』處理」之方式要求公務機關應具有特定目的,由此可推知,蒐集與處理雖然適用同一條文,但似非強制規定兩者之特定目的必須完全相同,否則立法者逕可如同第16條直接以條文明示「需與蒐集之特定目的相符」。然而,由於第15條並未明文限制對個人資料之處理需與蒐集之特定目的相同,故健保署尚需符合法務部依照新個資法第53條另訂之「個人資料保護法之特定目的及個人資料類別」其一之特定目的項目,始可將國人健保資料以雲端運算之方式建置資料庫。
(二)健保資料之利用
倘健保署欲將國人健保資料釋出,以雲端運算方式建置資料庫並對外提供加值服務時,參照臺北高等行政法院103年訴更(一)字第120號判決之意旨,已屬對個人資料之「利用」行為,故除規範敏感性個人資料之第6條外,健保署需另適用第16條規範公務機關利用一般性個人資料之規定。換言之,此時需另檢視健保署之利用行為是否係「執行法定職務必要範圍內」且「與蒐集特定目的相符」。倘不相符時,則尚須符合同條第5款「公務機關基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人」關於目的外利用之法定例外事由,方可滿足將國人健保資料釋出建置雲端資料庫之法律保留原則。
三、健保資料之蒐集特定目的外之利用
(一)、敏感性個人資料法定例外事由之一(第6條第1項但書第2款):公務機關執行法定職務必要範圍內,且事前或事後有適當安全維護措施
呈前所述,本文認為縱依臺北高等行政法院之見解肯認健保署對國人健保資料之蒐集、處理或利用均屬其法定職掌之必要範圍,仍難謂該署已完全符合新個資法第6條第1項但書第2款規定之方式,換言之,該署仍須採取適當安全維護措施,否則將和新個資法保障敏感性個人資料之規範齟齬不合。
然何謂「適當安全維護措施」?倘依照我國個資法施行細則第12條之規定,係指「公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏,而採取技術上及組織上之措施」。然而究竟我國個資法所規範之安全維護措施,能否確實提供對個人資料之保障?此疑義或可借鏡於外國立法例與針對個資安全隱私權保障相應之治理模式加以說明。
1.歐盟
歐盟工作小組於2012年發表第196號的意見書中特別提醒雲端運算將為當前資訊保護帶來諸多風險,其中又以「對個人資料欠缺控制」以及雲端運算技術「欠缺透明性」為隱私保護之兩大隱憂。
於此之際,歐洲雲端運算企業小組(下稱雲端企業小組)於隔年試圖草擬雲端服務提供者應如何保護資料的守則。這份守則認為身為資料處理者之雲端企業小組必須以確保資料在處理階段之「匿名性、「完整性」以及「可利用性」方能建置於技術及組織架構均恰當的資訊安全機制。除此之外,雲端服務提供者也需要說明刪除個人資料之政策,包括個人資料於刪除前將被保留的期間,以及如何刪除資料之處理機制、標準與方法等,並將所有相關安全機制之說明透明化。
這份守則於2015年1月被提交到歐盟工作小組以檢視能否符合歐盟個人資料保護指令(95/46/EC)之要求。工作小組於同年9月發表的意見書中提出11項改善方針。除此之外,雖然這份守則建議雲端服務提供者不應在雲端內進行識別個人資料的各種操作,但工作小組認為由於該守則中未對「匿名化」以及「假名化」資料提供具體處理措施。不僅如此,工作小組也建議此守則可依照資訊可能遭受之威脅、雲端服務提供者所提供之服務、設備和風險管理之可受責難等,區分出不同層級來強化安全風險評估以及資料保護影響評估,方能以評估之結果作為往後建構不同屬性個人資料所需之雲端運算安全系統。有鑒於此,工作小組雖肯認這份守則將協助雲端服務提供者建置更負責任之資料保護架構,但考量執行上之成本,實際上並未正式批准該守則。
2.英國
英國資訊委員辦公室認為,英國個人資料保護法中第7原則可做為規範個人資料之資訊安全準則。根據該原則,資訊安全之適當技術與組織應考量個人資料之本質,且能對抗未經授權或非法之處理,同時平衡因資料之意外滅失或毀損所造成之損害。雖然資料保護法並未定義何謂「適當」之安全技術與組織,但資訊委員辦公室認為,仍可透過評估個人資料本質及其經不恰當使用或意外滅失、損毀後可能造成之傷害,建置出符合第7原則所要求之資訊安全層級,包括:管理與組織措施、工作人員、實體保全以及電腦保全等。
3.美國
美國聯邦政府於 2009 年起透過「雲端運算啟動計畫(FCCI)」推動政府雲端採購平台「Apps.Gov」,並藉由該平台彙集各種雲端運算服務,使之成為各級政府機關採購雲端運算服務時的單一窗口。此外,美國亦於隔年推出25項聯邦IT轉型重點策略來改善美國政府機關之效能,在這25項重點策略中,「雲端第一」的訴求乃係要求聯邦政府各級機關找出必須轉移到雲端運算之服務項目,並於 1年半內完成所有資料的移轉。
為了輔助「雲端第一」此項政策並且強化美國政府對雲端運算技術之運用,聯邦政府在2011年2月發表了「聯邦雲端運算策略」並於同年12月由聯邦政府資訊長宣布成立「聯邦政府風險與授權管理計畫」(FedRAMP)」藉以建立聯邦政府針對雲端運算服務業者之風險評估、授權管理以及後續監控等作業之統一規範標準。
對此,由美國國會圖書館成立之「國會研究服務」於2015年1月提出關於聯邦政府推動雲端運算啟動計畫之研究結果報告,除檢討當前美國聯邦政府推動資訊雲端化之相關政策外,該研究結果報告同時指出政府倘欲普遍採用雲端運算技術時應考量的7項因素,包括:成本、效能、可利用性、靈敏度、安全性、可信賴性以及隱私。
其中關於安全性,研究報告認為雲端運算的安全性考量在某些情況下和傳統運算方式類似,比如說:均具有潛在被攻擊或盜取的可能,也都可能受到來自網路外部或自身內部的威脅,只是雲端運算的提供者能依據其經濟規模投資更有效的安全性措施。此外,在雲端運算的環境裡,由於資料的集中和分散與該技術提供之安全保護機制相關,故當雲端提供者採用較集中之安全保護機制時,隨之而來的安全性威脅將使該雲端容易成為潛在受攻擊的目標。換言之,當雲端運算擁有較多集中性的資料時,將因此更容易成為被攻擊的對象,連帶的亦提高該雲端在遭受攻擊後所需承受之衝擊。
除以上之安全性顧慮外,研究結果報告也指出其他與安全性相關的因素,比如說:雲端運算的法律保障可能因不同的技術平台而有不同;或當資料儲存地與使用者所屬不同國家時,可能導致法律上對隱私權之保障有顯著程度上之差異。不僅如此,即使是在美國境內,每個州的法律保障也不盡相同。至於可信賴性,研究報告指出單一雲端服務可能來自於分散的資料中心,此時對個別資料中心而言,如何促成彼此在信賴的基礎下使用資料就成為最重要的議題。當「信賴」成為雲端運算服務重要的構成條件時,諸如其定義、審酌方式以及相關保障則會因不同的服務類型而有所不同。因此,研究結果報告建議另外以下列四種項目來評估雲端服務者提供的信賴環境是否妥適,包括:(1)項目:正常運作時間、還原能力或可利用性;(2)相關資源:伺服器、高壓電流系統以及顧客支援;(3)時間長短:小時、天或年;(4)風險保障:反應時間及解決時間。
另一方面,為規範受保護健康資訊(PHI)的儲存與使用,美國亦另以「受保護電子健康資訊之安全標準」作為該類型資訊所需之合理且適當的安全維護措施準則。該標準包含了四項基本原則:1.於創立、接收、維持以及傳輸電子健康資訊時,應確保資訊之匿名化、整體性以及可利用性;2.能辨別出合理且可預期之威脅並提供資訊安全性與整體性之保護;3.對於資訊在合理且可預期之範圍內可能會遭受非經允許之使用或揭露提供保護;以及4.確保員工確實遵循。為具體落實這些原則,該標準另要求以「風險評估與管理」、「行政安全維護」、「實體安全維護措施」、「技術安全維護措施」等方式踐行系統安全維護措施。惟,因該安全準則適用之對象包含從一般提供者乃至跨州健康計畫,故實際上仍須視資料處理機構本身的規模來彈性調整所需踐行的具體安全維護措施。
(二)、敏感性個人資料法定例外事由之二(第6條第1項但書第4款):公務機關基於醫療、衛生之目的,為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人
關於健保署將國人健保資料釋出之目的外利用行為是否合法,臺北高等行政法院於102年訴字第36號判決中係以個人健保資料加密方式是否已達去識別之程度做為主要判斷依據,並於該號判決中表示,因國人健保資料業經健保署、國衛院及衛福部多重去個人化之處理,復加上各資料庫之使用申請與管理方式,實已達無從識別特定當事人之程度,據此認定健保署將個人健保資料提供建置健保資料庫之利用行為與法無違。而此一爭議於臺北高等行政法院103年訴更(一)字第120號判決中則著重於究否國人健保資料於對外提供加值服務時,該號判決復認為,依照新個資法施行細則第17條及法務部法律字第10503505760號函檢送之「公務機關利用去識別化資料之合理風險控制及法律責任」報告書後,個人資料得以「可逆之擬匿名化」方式達到去識別化。另值得一提的是,國衛院於兩號行政法院判決中均主張,該院建置之健保資料庫於取得健保署提供之資料時,業已完成去識別化之程序,而不屬於個資法定義下之個人資料,故無適用個資法規定之必要。
我國個資法將「個人資料檔案」與「個人資料」分別定義為:「指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合」與「指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料」。因此,單就條文文義而言,健康雲端資料庫及其所存錄之資料均仍屬個資法所定義之範疇應無疑義,惟若個人資料在雲端資料庫存錄時已經由去識別化(或加密)之方式處理,則該資料是否如國衛院主張之法務部函釋所示,因已達去識別化而不再屬於應受我國個資法保護之個人資料?
對此,本文欲藉由歐盟、英國以及美國之相關規範與建議觀察外國立法例如何調和「個資(隱私)保護」與「去識別化(匿名化)」間之界線,並以之作為探討個人資料去識別之責任及其去識別化之程度和方式與我國個人資料保護法間之關係。
1.歐盟
歐盟個人資料保護指令95/46/EC將個人資料定義為「能夠識別或足以識別自然人的任何資訊」,並將足以識別解釋為「以直接或間接,特別是引用包括身體、生理、精神、經濟、文化或社會身份等一項或多項特定因素之方式」。而歐盟工作小組於2007年以指令中對個人資料之定義為基礎,另外針對個人資料的概念發表意見書補充說明認為,雖然歐盟指令試圖以較廣義的概念來解釋個人資料之範疇,但有關個人資料於處理時之隱私權保障,無論係基於「基本權利」抑或「個人自由」,均無法將個人資料毫無限制地定義。換言之,與個人資料或隱私權有關之法律規定只在「當個人權利受有風險之可能而需要被保護」之情況下方為適用,此亦可由指令允許以彈性適用之方式定義個人資料之範圍得知,故保護個人資料之有關單位能以適當的衡平方式來適用相關規定。
此外,工作小組也進一步將指令所定義之個人資料區分為四個要件來探討,分別是「任何資訊」、「有關於」、「可識別或足以識別」以及「自然人」。除第四個要件「自然人」係以具有生命之個人為前提外,工作小組認為從「任何資訊」之定義可以清楚看出立法者試圖將個人資料以較廣義之概念來解釋的立場。因此,不論個人資料的本質、內容或其技術格式,只要是有關於個人之聲明,包括客觀(如血型)和主觀(如意見和評論)等資訊,亦不論是否為「真實」或「經證實為真實」,在不同的科技媒介下都很可能是屬於個人資料的範疇。故工作小組認為,「任何資訊」將使個人資料包含與個人隱私、家庭生活,甚或是個人進行的任何活動相關之資料,因此敏感性資料自應包含在個人資料之概念中。
第二項要件「有關於」則被工作小組認為係區分是否為個人資料之重要界線。一般而言,與個人有關之資訊需具備之前提係指與個人相關,但這樣的標準在判斷資料與新技術之間的關係時卻往往被忽略,因此工作小組另外提供三個判斷資料是否與個人有關之基準,分別是「內容」、「目的」與「結果」。「內容」即指一般社會通念下對「有關於」定義之認定,意即不論資料控制者或其他第三人使用資料之目的為何,也不論資料本身對資料主體有何種影響,只要該筆資料直指特定人時,即屬「有關」;其次,「目的」則是從事實的角度來判斷,換句話說,在衡量所有的情況後,倘某筆資料是用於(或可能用於)鑑定、治療或其他會影響一個人之狀態或行為時,則可認為該筆資料因其使用之目的而與個人資料相關;而「結果」則是指當資料本身之內容與使用之目的均不具備「有關於」該項要件時,倘綜觀所有狀態後仍認為對該筆資料之使用將造成個人權利或利益之衝擊時,則仍可將該資料認為與個人相關。
工作小組將判斷第三項要件「可識別或足以識別」之標準鎖定在資料控制者與其他人合理使用資料時,是否能夠識別出具體個人。工作小組認為,「可識別」係指當某一特定人能從一群人中被區隔出來時即屬之;而「足以識別」則是指雖然該特定人尚未從一群人中被區隔出來,但卻有被區隔的可能性時即屬之。整體而言,工作小組認為可識別即係指與特定當事人有密切關係的「識別碼」,亦為指令中所稱之包括身體、生理、精神、經濟、文化或社會身份等特定因素。
至於去識別化之責任歸屬,工作小組於2010年提出針對資料掌控者與處理者意見書中表示,根據95/46/EC指令之定義,資料掌控者係指決定個人資料使用之目的與方法的最終決定者,而資料處理者係扮演代替資料掌控者處理資料之角色。據此,由於資料掌控者最主要之任務係決定由「誰」來負責遵循資料保護相關法規,意即分配責任,故指令第17條規定資料掌控者必須踐行適當的技術與組織達到符合相關規定之義務,至於「匿名化」與「安全性」則由資料處理者於處理資料時負責確保符合相關法令之規定。
而在雲端運算技術中之責任歸屬,工作小組則表示仍須以傳統對資料掌控者及處理者所扮演之角色出發,一般而言,由於雲端客戶身為資料處理目的之最終決定者,故應屬資料掌控者且得指派雲端提供者選擇處理資料之方式以達遵守相關法令之義務,而提供雲端服務平台之雲端提供者可謂代表雲端客戶處理個人資料,故屬資料處理者。換言之,在雲端運算技術下,將由「雲端服務提供者」負責確保資料之匿名化。
2.英國
英國個人資料保護法(DPA 1998)則將個人資料定義為可識別特定當事人之資料,故無法辨識個人之資訊即非屬個人資料,自不受該法的管制(保護)。英國資訊委員辦公室於2012年公布之匿名操作規範中表示,「有效的匿名化」仍是可行的,惟為貫徹保護個人資料之義務,該操作規範將「匿名化」之定義限縮為「無法再識別任何個人,且亦無法透過與其他資料之結合而再識別」。除此之外,資訊委員辦公室進一步將「再識別」解釋為係指「將匿名化之資料透過資料對比或其他類似之技術回溯為個人資料」之過程。
不過,英國資訊委員辦公室亦坦承,由於「個人」仍能透過各種不同方式被識別,包括直接由某個資料庫中識別,抑或透過結合二至三種不同資料來源識別,不但導致無法明確定義「識別」與「匿名化」之差異,更使得「個人資料」之定義難以適用於實務。據此,往往仍須透過判斷個案之情況方能決定某筆資料究竟係屬個人資料抑或係已匿名之資料,故英國資訊委員辦公室另外提出三項標準做為判斷是否為個人資料之參考依據:
(1)該筆資料在合理的情況下,是否具有從其他資料中被識別出特定人之可能性?
(2)是否有其他可利用之資料(包括公開資料或是被其他組織持有的資料)存在?
(3)該筆資料是否,又如何與其他資料庫連結?
值得一提的是,英國資訊委員辦公室特別指出,「識別」並不以查找出當事人的姓名為限,實際上只要特定資料與可得而知的個人間達到「可信賴關連性」即足。然而,事實上並不可能單純透過再識別之風險評估,就能百分之百地確認某筆資料是否具有被再識別之風險。有鑒於此,英國資訊委員辦公室認為在難以判斷匿名資料是否具有可被識別的風險時,或可再透過下列四項審酌標準判斷資料是否已達匿名化之有效性:(1)該資料是否有被再識別的企圖性;(2)是否有成功被再識別之可能性;(3)匿名技術是否可行;(4)該筆資料於匿名化後的品質是否仍具有原本預期的可利用性。
據此,辦公室認為一旦進行資料串連後,將難以評估資料被再識別之風險,是以資料掌控者需意識到再識別風險會隨著時間而改變,進而須定期且持續地以「當代和可預見的威脅」為標準檢視資料釋出之政策以及用以匿名資料之技術。
不僅如此,英國資訊委員辦公室進一步建議另以「企圖入侵者測試」做為評估釋出之匿名資料是否具被再識別可能性的判斷標準。所謂的「企圖入侵者」係指毫無任何(再識別)知識,卻欲識別出匿名資料與特定當事人間關係之人,而此測試之目的即為評估此類不具有專業(再識別)技術之入侵者究否能成功識別出特定人。換言之,英國資訊委員辦公室認為,評估再識別風險的標準,得以高於「非專業相關人士」而低於「特殊專業人士」之折衷判斷基準較為實用。
綜上所述,儘管英國資訊委員辦公室之匿名操作規範並不具有強制性,但該辦公室認為「如何減輕資料被識別風險」仍為資料掌控者需具備之能力。而在雲端運算技術下,資訊委員辦公室則認為,由於不同之雲端運算間往往具有獨立性,故難以一體適用之標準決定其適法性,而應視不同之雲端服務類型而定。
3.美國
美國HIPAA將「健康資訊」定義為“任何資訊、包含遺傳資訊,不論是口頭或紀錄在任何形式或媒介的資訊,其:(1)是由健康照顧提供者、健康計畫、公共健康主管機關、雇主、壽險業者、學校或大學、或健康照顧中心所創造或收到的資訊:且該資訊(2)與個人過去、現在、未來的身(生)理或心理健康情況有關:對所提供的健康照顧有關;或與提供給個人之過去、現在、未來之健康照顧的帳單有關”,並將該法所保護之健康資訊(PHI)於原則上限定為可被識別之健康資訊。
惟當HIPAA法通過施行之際,美國國會亦曾自我規定應另於1999年8月21日通過資訊保護之相關法案,但在未能如期通過該新法案後,則改由該法之主管機關「健康人類服務部(HHS)」以行政命令之方式頒佈「可識別個人之健康資訊隱私標準」進一步落實HIPAA法案中關於隱私保護之規範。該隱私標準指出「專家審查」和「將資料中特定的項目移除」兩種可達到「去識別化」的效果。
四、資訊自主權
臺北高等行政法院於102年訴字第36號判決與103年訴更(一)字第120號判決均認為,新個資法之立法目除了保障個人隱私權外,同時亦欲促進個人資料的合理利用。故為達增進公共利益之目的,若將憲法所稱之個人資訊自主權解釋為「絕對的權利」,並非立法本意,亦非大法官之原意。據此,於回應本案中有關個人資訊自主權之爭議時,臺北高等行政法院進一步表示,若基於大法官於釋字第603號解釋中所云「憲法對資訊隱私權之保障並非絕對,國家得於符合憲法第23條規定意旨範圍內,以法律明確規定對之予以適當之限制」之精神,則應可採納健保署之見解認為事前同意權與事後停止請求權係屬於個人資訊自主權之一體兩面。是以該法院認為,當法律限制事前同意權之行使,而事後退出權亦於法無據時,則應解讀為法律已排除了個人對其資料行使事後停止請求權。
本文雖同意資訊自主權並非憲法保障之絕對權利,惟對於法院所表示「由於事前同意權與事後停止請求權屬於資訊自主權的一體兩面,故當現行個資法限縮當事人行使事前同意權時,除非法律明文授權當事人享有事後停止請求權,否則應認為法律同時限制」之結論則不敢苟同。蓋隱私權雖非我國憲法明文保障之基本權利,然而大法官已在釋字第585號的解釋理由中再度重申釋字第509號及第535號之意旨,認為憲法有保障「人性尊嚴」、「個人主體性」以及「人格權之完整發展」等核心價值。因此,個人對其資料的自主性屬於憲法保障之隱私權內涵,自已不待多言。
此外,大法官進一步於釋字第603號解釋文中表示,基於「維護人性尊嚴與尊重人格自由發展」,因此肯認非憲法明文列舉之隱私權亦屬國人不可或缺之基本權利,如此方能實踐自由民主憲政秩序之核心價值。而為了維護人性尊嚴與個人主體性及人格發展之完整,大法官亦肯定「個人自主控制個人資料之資訊隱私權」就是保障個人生活私密領域免於他人侵擾之方式。且其內涵包括「人民決定是否揭露其個人資料、及在何種範圍內、於何時、以何種方式、向何人揭露之決定權,並保障人民對其個人資料之使用有知悉與控制權及資料記載錯誤之更正權。」由此可知,大法官係先肯認上述基本權利之憲法依據及其具體內容後,方闡述由於隱私權之保障並非絕對,因此國家得於符合憲法第23條規定意旨之範圍內,以法律明確規定予以適當之限制。
故由大法官解釋之意旨可以推知,憲法係以「保障資訊自主權」為原則,而以「符合比例原則之限制」為例外。因此臺北高等行政法院所稱之「事前同意權與事後停止請求權屬於資訊自主權的一體兩面」,在大法官解釋之意旨下,應解讀為當「其一」無法給予人民保障時,應以「另一」做為該保障之補救措施,且倘利用行為確有違反個資法規範時,資料主體不受是否於蒐集時得行使同意權之限制,仍應享有行使停止利用請求權,否則「兩頭落空」勢必將無法達到憲法保障資訊自主權之原則。據此,對於臺北高等行政法院所採之見解,本文認為恐違背大法官於釋字第603號解釋中所欲保障國人個人隱私權之立場,且亦不符憲法保障基本人權之精神與架構,似有重新檢討之必要。
結 論
我國健保資料庫主要兩項法律爭議中,有關「個人資料適用範圍與資料之匿名化或去識別化」之討論,本文認為,歐盟與英國於認定資料是否適用法律規範的判斷標準上,實則著重資料之「處理方式」而非資料之「屬性定義」,意即不論資料係透過傳統之運算方式或是當代之雲端運算,甚或是未來可能發展出,目前尚未問世之技術處理時,該筆資料即應依其被處理之方式而適用於相對應的法律規範,如此方能使資料主體獲得法律應有之保障,也使得資料掌控者或是資料處理者應負擔之法律責任與義務更加明確。
至於有關「雲端運算與個人隱私權保障」之爭議,在歐盟已有企業主動擬定如何從雲端運算服務提供者的角度出發來保障個人資料主體之法律權利;英國亦欲提供「如何有效地匿名化」與「資料庫之安全管理機制」等更具實效性之建議,同時進一步釐清雲端運算技術(服務提供者、客戶以及使用者)與傳統運算技術(資料掌控者以及資料處理者)中不同角色之法律責任與義務;美國則由聯邦政府投注大量的行政資源,並配合國會的監督試圖完成政府雲端運算技術之整合。
反觀我國國內不論是實務運作抑或是司法對於相關議題之探討(包括再識別風險、當事人之同意以及資料安全管理等),認為只要資料庫之管理方提供一定程度的去識別化以及管理模式,在現行法律限制當事人之事前同意權亦無明文規範事後退出權之情況下,資料主體即對該資料失去自主控制權。
據此,本文認為僅以現行個資法之規範尚不足以支應雲端運算技術對個人資料保護可能帶來之衝擊,而鑑於考量對資料主體之隱私權保障,我國或可參考歐盟與美國國會研究結果報告之建議,輔以對個人資料之安全維護措施或另立關於健保資料釋出或以之建立雲端資料庫之專法或規範守則;並從雲端運算技術的特性、技術類型以及資料之本質出發,規範資料匿名化、雲端空間管理以及不同角色所應擔負之法律責任與義務,以達雲端運算下統一標準之目的,期使我國健保資料得以更為妥適地近用,進而確保國人之個人資料隱私暨資訊自主權之保障更臻完善。
(文章主要整理自作者:樓一琳、何之行* ,2017,〈個人資料保護於雲端運算時代之法律爭議初探暨比較法分析:以健保資料為例〉,《臺大法學論叢》,第46卷第2期,頁339-422 (TSSCI)。)