【鼎昊說法】個人資料保護法(十)
【鼎昊說法】處理個人資料
個人資料保護法第 2 條第4款「本法用詞,定義如下:…四、處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。」。亦即上開為建立或利用個人資料檔案所為資料之相關行為,均屬於處理一環。
再觀之與處理個人資料之相關條文,均與蒐集相連,因此可以發現,目前函示針對處理的看法係可蒐集時,其處理原則上並不會產生違法疑慮。
法務部民國 107 年 09 月 04 日法律字第 10703512280 號函
說明二: 按個人資料保護法(以下簡稱個資法)第2條第3款、第4款規定:「本法用詞,定義如下:…三、蒐集:指以任何方式取得個人資料。四、處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。」次按個人資料去識別化之行為應定性為個資法第2條第4款所稱之「處理」,而我國個資法之體系架構係將「蒐集」及「處理」行為規範於相同法定要件之下,蓋個人資料之「蒐集」大多緊密伴隨著「處理」行為,故個資法並未特別區隔兩者之行為要件,且因去識別化資料須達到無從直接或間接識別特定人之程度,故去識別化之加工處理並未增加對當事人權益之額外侵害,因此,如原先蒐集個人資料之行為符合個資法第15條及第19條第1項之規定,應可認為去識別化之處理並未逾越原先蒐集之特定目的(並非與原特定目的不相容),而得依據原先蒐集時之同一合法事由為之。如公務機關或非公務機關保有之個人資料,運用各種技術予以去識別化,而依其呈現方式已無從直接或間接識別該特定個人者,即非屬個人資料,自無個資法之適用(本部103年11月17日法律字第10303513040號函參照),故個資已去識別化後之資訊,提供資料開放使用,不用再得當事人書面同意(行政院秘書長104年9月17日院臺科字第1040144764號函檢送104年8月18日行政院研商「個人資料去識別化」驗證標準規範(草案)會議紀錄結論參照)。 |
由上開函示可以知悉數個重點
1.個資法並未特別區隔「蒐集」及「處理」。
2.蒐集行為合法時,應可認為處理並未逾越原先蒐集之特定目的。
3.而去識別化後之資訊已非屬個人資料,故不需當事人同意即可自行利用。
而最高行政法院 106 年度判字第 54 號判決亦同該見解,其表示「如果該資料內容已完成『去識別化』作業,『個人』屬性即已消失,不能再視之為新個資法所規範之『個人資料』,而該資料收受者對資料之後續處理及利用,亦不受新個資法之規範。」
至於何謂去識別化,按個人資料保護法施行細則第17條:「本法第六條第一項但書第四款、第九條第二項第四款、第十六條但書第五款、第十九條第一項第四款及第二十條第一項但書第五款所稱無從識別特定當事人,指個人資料以代碼、匿名、隱藏部分資料或其他方式,無從辨識該特定個人者。」
而究竟該得否識別係由何者角度加以判斷,臺北高等行政法院則做出應以資料接收者之角度判別之見解。
臺北高等行政法院 103 年度訴更一字第 120 號判決
個人資料經去識別化處理後,是否無從辨識該特定個人,應以資料接收者之角度判別揭露之資料是否具有直接或間接識別之可能。即資料經過編碼方式加密處理後,處理後之編碼資料已無從直接或間接識別特定之個人,雖然資料保有者仍保有代碼、原始識別資料對照表或解密工具而得還原為識別資料,但只要原資料保有者並未將對照表或解密方法等連結工具提供給資料使用者,其釋出之資料無法透過該資料與其他公眾可得之資料對照、組合、連結而識別出特定個人時,該釋出之資料即屬無法直接或間接識別之資料而達法律規定去識別化之程度。 |
惟此判決之重點應在於資料接收者無從識別特定個人,與資料保有者有無將對照表或解密方法等連結工具提供給資料使用者無關,此應注意之。
作者 蕭崴仁律師