观念平台－敏感个资保护与利用难两全？

本案背景是：依现行个资法及健保法，公务机关或学术研究机构在符合一定条件下，可以为了原本健保业务以外目的搜用经假名化处理之健保个资，而毋庸事前告知及同意，更不允许个资当事人事后退出这些搜用，以致如台湾人权促进会等民团抗议及争讼。然而，公务机关或学术研究机构为医疗、卫生目的，在统计或学术研究必要范围内搜用敏感性个资，确属公益，故本案核心为敏感性个资保护的「私益」，与医疗卫生学术研究对敏感个资利用的「公益」之间的衝突。

不仅止本案，随着科技发展、资料数位化，此类衝突已存在我们生活的各个角落。就法规而言，个资保护与利用实是一体两面，当明确规定个资受保护的范围，同时也提供了更清楚的利用指引。因此，个资保护与利用的界限何在？两者利益平衡的中线如何画定？实有探讨必要。

本案主要涉及以下三个利益平衡的问题：一、个人资料适用个资法保护，去识别化后非属个人资料者不再受限制，则「去识别化」之标准为何？

二、个人健保资料之敏感性个资得由健保署对外提供利用等相关事项，是否应以法律明定？

三、对于个人健保资料提供公务机关或学术研究机构于原始搜集目的外利用，当事人得否请求停止利用？

13号判决的见解

对于问题一：个人资料「去识别化」之标准为何？13号判决採取欧盟「一般资料保护规则」（GDPR）的严格标准，认为只要「客观上仍有还原该资料而间接识别当事人之可能时，无论还原识别之方法难易」，该资料仍属个资。13号判决并以此标准，认因个人健保资料包含高敏感特种个资，具高度个体差异，在客观上仍有以极端方式还原而间接识别特定当事人的可能性，故个人健保资料即便经过假名化处理，均必然仍属个资。

对于问题二，13号判决认为个人健保资料得由健保署以资料库储存、处理、对外传输及对外提供利用之相关重要事项，于相关法律欠缺明确规定，故要求相关机关在三年内修正健保法或其他相关法律，或制定专法。

对于问题三，13号判决也认为，就个人健保资料提供公务机关或学术研究机构于原始搜集目的外利用，目前法制欠缺当事人得请求停止利用的规定，故也要求三年内制定或修正相关法律，如果逾期未制定或修正，则当事人可直接请求停止目的外利用。

敏感个资保护与利用如何两全？

敏感个资确有必要赋予适当保护，但医疗卫生学术研究在必要范围搜用敏感个资亦属公益，在疫情时代更显重要，应如何兼顾个资的保护与利用？就13号判决的见解，本文谨提出以下观点：

首先，13号判决认个人健保资料具高度个体差异，在客观上有以极端方式还原而间接识别特定当事人之可能，故即便经过假名化处理必然仍属个资。依此标准，个人健保资料几不可能透过「去识别化」变成非个资而不再适用个资法，结果为除有个资法第6条规定之六种情形外，均不得搜用。

过去主管机关及法院对个资之去识别化并未以「客观上有以极端方式还原而间接识别特定当事人之可能性」为标准，较保有个案认定的空间。宪法法庭在本案对去识别化採取严格标准或因健保资料属高敏感特种个资使然，惟其就去识别化标准的论述似乎可一体适用于所有类型个资，如此是否过于严格，而导致实际上任何个资均无去识别化之可能？

实则，对于健保个资之去识别化标准，应可参考「人体研究法」中对于「去连结」的规范与做法。在比较法上亦可参考美国「健保可携性及责任法案」（HIPPA）规范若由具适当统计及科学知识经验者确认资料收受者识别资料主体的风险很小，并已做相关纪录，或若18种个资已被删除时，即已达去识别标准。欧盟GDPR亦更细致区分匿名化、假名化资料处理之做法。

其次，13号判决认健保个资得由健保署以资料库储存、处理、对外传输及对外提供利用之相关重要事项，应在健保法或其他法律修正或制定专法。本文赞同对于健保等敏感个资之搜用以健保法或专法规范更能切合产业的特性。然值得留意的是，现行个资法第16、20条关于目的外利用之规定适用上排除第6条之敏感个资，以致对于敏感个资并无目的外利用之规范；又现行个资法规范上区分公务机关及非公务机关，例如第27条要求非公务机关应採行适当安全措施甚至订定个资檔案安全维护计画，而第18条仅要求公务机关指定专人办理安全维护事项，如此规范密度差异，恐亦为13号判决指摘现行法规范不足的原因。

再者，13号判决肯认资讯隐私权包括请求删除、停止或限制利用的事后控制权，就健保个资提供公务机关或学术研究机构于原始搜集目的外利用，要求三年内制定或修正相关法律赋予当事人停止利用权。惟个资法对个资的搜用本非仅能以当事人同意为基础，即使是欧盟GDPR之拒绝权或删除权益亦仅能在符合特定条件下行使，如对学术研究目的之利用，亦要求在权衡个资保护与公益目的后方得行使，在未来修法上或可参酌。

健保个资保护与利用的争议在13号判决后暂时落幕，但相关机关在三年内须为幅度不小的立法与修正，在个资保护与利用益受重视之时代，期待未来的个资法制能更兼顾个资的保护与利用，实现利益平衡。