法務部 105.1.22 1/22/2016 1
1. 前言 2. 個人資料判斷之相對性 3. 去識別化之意義與類型 4. 加工匿名後無從識別之判斷標準 5. 去識別化過程驗證機制之功能 6. 相關法律責任探討 1/22/2016 2
目前歐盟具有全球最先進之個人資料保護架構, 在歐盟規範架構下, 政府資訊涉及個人資料時, 其開放公眾利用仍須受個人資料保護指令之限制 若個人資料已 去識別化 達到無從識別個人資料當事人, 而為 匿名 (anonymous) 之狀態, 歐盟認為此時已非個人資料, 自無歐盟個人資料保護指令之適用, 原則上應屬政府資訊開放公眾利用之範圍, 惟去識別化的資料必須達到 以一切可能合理之方法 (all the means likely reasonably to be used) 無從再識別資料當事人之程度, 否則仍應受個人資料保護指令規範 如何界定 個人資料已去識別化, 在大數據時代有其困難性及不確定性, 即使依當時科技或專業水準被認為已去識別化的資料, 日後隨著資料的不斷累積 資訊技術的發展演進 資料儲存成本的下降, 仍可能透過與其他資料的對照 組合 連結而被重新識別 1/22/2016 3
2.1 英國墮胎統計資料公開案 Department of Health v. Information Commissioner, Case Ref EA/2008/0074 Department of Health v. Information Commissioner, [2011] EWHC 1430 (Admin) 2.2 我國個資法之規定 個資法施行細則第 3 條 : 所稱 得以間接方式識別, 指保有該資料之公務或非公務機關僅以該資料不能直接識別, 須與其他資料對照 組合 連結等, 始能識別該特定之個人 因得為比對組合之人及資料範圍具有 相對性, 故難有一致性 明確 性之認定標準, 欲判斷一份資料是否為個人資料, 對於不同蒐集者而言, 即可能會產生不同之判斷結果 ( 個資法施行細則第 3 條修正理由參照 ) 1/22/2016 4
3.1 去識別化資料類型 所謂 去識別化, 即指透過一定程序的加工處理, 使個人資料不再具有直接或間接識別性 依其去識別化之加工程度不同, 有以下 匿名化資料 及 擬匿名化資料 之類型 : 匿名化資料 (anonymised data): 對任何人而言, 均無法採取任何合理可能之方法識別特定個人, 亦即資料經加工後, 毫無保留連結之可能性 擬匿名化資料 (pseudonymised data): 擬匿名化資料乃是以編碼或別名取代識別符 ( 例如姓名 國民身分證統一編號等 ), 使研究或統計人員得以針對個體資訊進行分析而無須識別個體身分, 可再細分為 2 種態樣 : 不可逆 (non-retraceable/irreversible) 可逆 (retraceable/reversible): 多用於特定依法允許重新識別之領域, 例如 : 進行醫療實驗研究時, 為能適時回溯追蹤調整對受試病患之醫療處置 1/22/2016 5
3.2 國外法制實務 歐盟 A29WP 對於 匿名化資料 採取非常嚴格之門檻標準, 甚至於 WP216 中提到如果資料保有者在事件層次 (event-level) 並沒有刪除原始 ( 可識別 ) 資料 ( 例如 : 在移除或摘蓋可識別資料之後 ), 即提供資料集的一部份, 則所產生的資料集, 仍然是個人資料 依英國資訊保護官及英國法院之見解, 則對於 匿名化資料 之範圍界定相對較為寬鬆, 認為縱使係 可逆之擬匿名化資料, 只要原資料保有者並未將對照表或解密方法等連結工具提供給資料接收者, 並且採取適當安全措施, 使資料接收者無管道及機會重新識別資料當事人, 則該釋出的資料也屬 匿名化資料 之一種 ( 德國亦採此見解 ) 1/22/2016 6
3.3 本部見解 3.3.1 去識別化之行為定性 個人資料去識別化之行為應定性為個資法第 2 條第 4 款所稱之 處理, 而我國個資法之體系架構係將 蒐集 及 處理 行為規範於相同法定要件之下, 蓋個人資料之 蒐集 大多緊密伴隨著 處理 行為, 故個資法並未特別區隔兩者之行為要件, 且因去識別化資料須達到無從直接或間接識別特定人之程度, 故去識別化之加工處理並未增加對當事人權益之額外侵害, 因此, 如原先蒐集個人資料之行為符合個資法第 15 條及第 19 條第 1 項之規定, 應可認為去識別化之處理並未逾越原先蒐集之特定目的, 而得依據原先蒐集時之同一合法事由為之 1/22/2016 7
3.3 本部見解 3.3.2 去識別化後非個資法之適用範圍 本部 103 年 11 月 17 日法律字第 10303513040 號函 : 如將公務機關保有之個人資料, 運用各種技術予以去識別化, 而依其呈現方式已無從直接或間接識別該特定個人者, 即非屬個人資料, 自非個資法之適用範圍 本部上開函釋與德國 英國資訊保護官及英國法院見解相同, 固然公務機關仍然保有原始資料或對照表等工具得以直接或間接識別相關當事人, 故公務機關所保有的整體資料仍然屬於個人資料, 但其對外主動公開或被動提供去識別化後之資料並無違反個資法的問題, 因為當該資料對外公布釋出之時, 其已不再是個人資料 1/22/2016 8
3.3 本部見解 3.3.3 以風險影響評估及控制為去識別化基礎 公務機關應進行整體風險影響評估, 綜合考量個人資料類型 敏感性程 開放資料 (Open Data) 度 對外提供資料之方式 引發他人重新識別之意圖等因素, 並根據風 險評估之結果計算設定風險檻值, 進而判斷去識別化之技術類型或程度, 例如 : 因並未限制資料提供之對象 使用目的或方法, 而是以公開之方式提供, 因此風險檻值相對較高, 宜達 匿名化資料 或 不可逆之擬匿名化資料 之程度較為妥適 個別申請 (limited access) 因資料提供對象有所限縮除能對於資料接收者之身分 使用目的 其他可能取得資料之管道 安全管理措施等先為必要之審查外, 並得與資料使用者約定禁止重新識別資料之義務及其他資料利用之限制等, 較有利於風險的控管, 因此風險檻值相對較低, 去識別化之程度可相對放寬, 可提供含有個體性 敏感性 較為詳細之擬匿名化資料 1/22/2016 9
4.1 國外法制實務見解 日本 : 學者主張與實務見解並不一致 ( 判決實務上見解亦未見統一 ), 有採 一般人基準說, 另有採 特別基準說 英國 : 有心侵入者測試 (the motivated intruder test), 其對於所謂 其他資訊 之界定範圍近似於日本 一般人基準說 之見解 4.2 本部見解 : 採一般人基準說 ( 同英國見解 ) 有先前知識 (prior knowledge) 之人, 對於當事人所增加之隱私風險實際上很低, 因其原本就已經保有當事人原始的個人資料才有能力得以重新間接識別, 所以重點應不在這群人得否識別當事人, 而在於其能否透過釋出之資料而取得當事人的新個資 多數具有先前知識之醫師 律師等專業人員, 雖掌握大量敏感性個人資料 ( 病歷 犯罪前科等 ), 但多已依法令負有保密義務或須遵守職業倫理規範 1/22/2016 10
所謂 驗證 (Certification), 係指對特定產品 過程或服務能符合一定要求, 由中立之第三者出具書面證明之程序 根據 個人資料去識別化過程驗證要求及控制措施 PII 去識別化過程要求事項, 組織應訂定符合一定要求之 PII 去識別化步驟, 並依此進行去識別化 去識別化過程驗證機制之功能大致如下 : 協助證明機關並無違反個資法之主觀的故意或過失 協助證明機關已採行適當之安全維護措施 協助證明個人資料遭到違法蒐集或利用, 並非因機關違反個資法所致 機關最終是否要負損害賠償責任, 因為是由個案承審法院決定, 故不能完全保證通過驗證即必然可免除損害賠償責任 驗證機制是在協助機關事前檢視其作業管理措施及流程, 並保留相關紀錄資料, 以備個案發生時用以強化其舉證能力, 擁有較多的證據站在較有利的地位, 降低損害賠償責任之風險 1/22/2016 11
6.1 資料釋出者之法律責任及補救措施 ( 以公務機關為例 ) 6.1.1 ( 公務員 ) 刑事責任 : 過失行為之處罰, 以有法律特別規定者為限 ( 刑法第 12 條第 2 項 ), 而個資法並無處罰過失行為之刑事責任規定 如已依循經驗證之標準作業流程進行去識別化, 應可認為不具有違法利用個人資料之 故意 個資法修正條文 41 修正後 (104.12.30 總統公布 ), 刑事處罰之範圍已有所限縮, 須具有 為自己或第三人不法之利益或損害他人之利益 之意圖, 方該當該條之犯罪構成要件 6.1.2 ( 公務員 ) 行政責任 : 個資法無特別規範, 依人事相關法令處理, 視具體個案有無人員行政疏失情事, 再由該人員任職之機關進行後續懲處或懲戒 1/22/2016 12
6.1 資料釋出者之法律責任及補救措施 ( 以公務機關為例 ) 6.1.3 國家賠償責任 個資法 28Ⅰ: 公務機關違反本法規定, 致個人資料遭不法蒐集 處理 利用或其他侵害當事人權利者, 負損害賠償責任 但損害因天災 事變或其他不可抗力所致者, 不在此限 ( 無過失之損害賠償責任 ) 被害人僅須證明 公務機關違反個資法規定 及 損害之發生與公務機關之行為具有相當因果關係 為已足 若公務機關依循經驗證之標準作業流程對外釋出已去識別化之資料, 而該資料被重新識別之可能性已微乎其微, 即已非個人資料而無個資法之適用, 自無違反個資法規定之問題 倘嗣後卻遭有心人士運用非一般人得使用之特殊技術或知識重新識別而揭露個人資料, 進而造成當事人之權利侵害, 亦尚難謂其權利侵害與公務機關釋出已去識別化之資料間具有相當因果關係, 從而應得免負損害賠償責任 1/22/2016 13
6.1 資料釋出者之法律責任及補救措施 ( 以公務機關為例 ) 6.1.4 公務機關應停止提供或移除該資料, 並通知資料接收者應刪除 停止處理或利用該資料 倘若公開資料依一般人之基準, 已被證明易於被重新識別者, 公務機關應立即停止提供或自 政府資料開放平臺網站 移除該資料, 且必須盡一切合理的努力通知資料接收者應刪除 停止處理或利用該資料 考量在開放資料之情形, 或許召回資料 ( recall of compromised datasets) 通常已來不及避免損害的發生, 但仍是減輕對資料當事人產生之不利負面影響所必要的措施 倘符合個資法 28Ⅰ 所定國家賠償之要件, 公務機關自須對個案權益受損之當事人負損害賠償責任 1/22/2016 14
6.2 資料接收者之法律責任 倘資料接收者嗣後運用特殊罕見之技術或方法進行重新識別而取得 個人資料, 仍須符合個人資料蒐集 處理或利用之要件 依個資法 23 規定, 所謂 蒐集 是指以任何方式取得可直接或間接識別特定自然人之個人資料 若資料保有者所釋出之資料係經加工處理後, 資料被重新識別之風險已於合理可接受之範圍, 依其呈現方式已無法運用一切合理可能之方法識別特定個人, 此時所釋出之資料即非屬個人資料 ; 倘資料接收者嗣後卻運用特殊罕見之技術或方法進行重新識別, 進而取得個人資料, 應可認為亦屬個人資料之 蒐集 行為, 該資料接收者自仍須符合個資法有關蒐集 處理或利用之要件 以非公務機關為例, 其蒐集個人資料須符合個資法第 19 條第 1 項之規定, 如有違反者, 除行政罰之責任外, 若致生損害於他人, 則尚可能另構成刑事責任及民事損害賠償責任 1/22/2016 15
1/22/2016 16