個人資料去識別化與告知義務
上週參加一場「假名化及匿名化之標準、認定(證)機制或相關配套措施」會議,這裡稍微整理自己在會中提到的概念跟想法。
個資法上「資料當事人請求權」的範圍其實很廣,我國個資法是規定在第3條,但在個資去識別化後,是否要給其資料刪除權或是退出權等等的問題,就當事人來說,可能討論前端關於,「『去識別化』應否特別告知?」甚至會回到更前端的「『去識別化』屬於蒐集、處理或利用的哪一個環節?」(去識別化包括匿名化與假名化,如果僅是假名化,則仍屬受個資法規範的個人資料,而法規本有之權利應可包括此處的要求匿名化或退出,故此處所稱之去識別化係單指匿名化,惟我國法並未對此加以區分,故仍沿用之。)
一、『去識別化』屬於蒐集、處理或利用的哪一個環節?
我國個資法第2條所提到的蒐集、處理或利用,其實是是區分為《蒐集、處理》與《利用》,而按法務部法律字第 10703512280 號函釋說明二:「⋯⋯次按個人資料去識別化之行為應定性為個資法第 2 條第 4 款 所稱之「處理」,而我國個資法之體系架構係將「蒐集」及「處理」行為規範於相同法定要件之下,蓋個人資料之「蒐集」大多緊密伴隨著「處理」行為,故個資法並未特別區隔兩者之行為要件,且因去識別化資料須達到無從直接或間接識別特定人之程度,故去識別化之加工處理並未增加對當事人權益之額外侵害,因此,如原先蒐集個人資料之行為符合個資法第 15 條及第 19 條第 1 項之規定,應可認為去識別化之處理並未逾越原先蒐集之特定目的(並非與原特定目的不相容),而得依據原先蒐集時之同一合法事由為之。如公務機關或非公務機關保有之個人資料,運用各種技術予以去識別化,而依其呈現方式已無從直接或間接識別該特定個人者,即非屬個人資料,自無個資法之適用(本部 103 年 11 月 17 日法律字第 10303513040 號函參照),故個資已去識別化後之資訊,提供資料開放使用,不用再得當事人書面同意(行政院秘書長 104 年 9 月 17 日院臺科字第 1040144764 號函檢送 104 年 8 月 18 日行政院研商「個人資料去識別化」驗證標準規範(草案)會議紀錄結論參照)。」
最高行政法院 106 年度判字第 54 號判決亦類似該見解,其表示「如果該資料內容已完成『去識別化』作業,『個人』屬性即已消失,不能再視之為新個資法所規範之『個人資料』,而該資料收受者對資料之後續處理及利用,亦不受新個資法之規範。」(此處之「類似」係在於法務部函釋明示「非屬個人資料」,不過最高行政法院僅表示「不能再視之為《新個資法》所規範之『個人資料」)
如此可知目前實務上認為幾件事情
1. 個資法並未特別區隔「蒐集」及「處理」。
2. 蒐集行為合法時,實務上認為可任意處理而不會逾越原先蒐集之特定目的。
3. 而去識別化後之資訊已非屬個資法所規範之個人資料,故無需遵守個資法上要求。
二、「去識別化」應否特別告知?
如果就上面的見解,因為個資法中的「蒐集」及「處理」行為規範於相同法定要件之下,因此並未特別區隔兩者。而被認為去識別化之加工處理並未增加對當事人權益之額外侵害,因此,如原先蒐集個人資料之行為符合個資法第 15 條及第 19 條第 1 項之規定,應可認為去識別化之處理並未逾越原先蒐集之特定目的,而得依據原先蒐集時之同一合法事由為之。就此邏輯,此時並沒有另行告知的必要。
然而,當資料當事人的資訊被去識別化後,對於資料當事人是否有其資訊自決的可能性則容有疑問。為解決這個問題,應該考慮針對「去識別化」特別告知,或是說,如果將「去識別化」的行為,歸屬於處理的一環,此時如認為資料當事人仍應有資訊自決權,則應該要另外拉出「告知」其權利之可能,亦即告知後續的要求匿名化或是退出的狀態的可能性。但,如認為「去識別化」的行為屬於利用的一環,則此時如資料持有者於蒐集個資時,並未告知資料當事人其資料將去識別化,則該去識別化行為屬目的外利用,即屬違法行為,是故其定性將影響的法規是否需另行規範之。
三、解決?
其實可以回到有關處理的定義來思考,什麼是處理?個資法第2條「四、處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。」目前實務上直接認為去識別化的行為屬於「處理」,不過並沒有直接指出是哪一種處理,僅表示是「加工處理」。參法務部法律字第 10703513050 號說明二「又所謂『去識別化』,係指透過一定程序的加工處理,使個人資料不再具有直接或間接識別性而言」。
事實上,此與個資法所稱之「處理」,於文義上是否相符仍有疑義。此處主要論據係因「利用」之定義,個資法之「利用」係指「指將蒐集之個人資料為處理以外之使用。」亦即不在「處理」範圍內者即屬「利用」。然而,「處理」之定義,並無所謂「加工」乙事,再考慮處理之目的係在於「建立或利用個人資料檔案所為」之行為,此時,如果我們認為該行為本身即屬「利用」又有何不可。事實上,如果直接屏棄掉「去識別化屬於處理」的概念時,則可更輕易的加以規範。
也就是「去識別化」的行為就是「利用」!而如屬於「利用」時則可直接認為應對當事人進行蒐集之告知或是目的外利用告知,則可使資料當事人更清楚自己的個資會被如何的去識別化,後續也才容易知悉要主張何種權利。
但,如果仍認為「去識別化」的行為屬於「處理」,那麼如果要「告知」,就必須要另行訂定要求。
四、小結
之所以討論這個議題,其實是我們到底怎麼看待「資料當事人」,如果我們認為資料的運用都應該要讓資料當事人知道的話,那告知應該是無可避免的,從正常有理智的人的角度來說,我想,告知應該是沒有反對的才是,只是要從哪個角度來看到,會影響到告知的設計,甚至更前端的隱私設計。
留言