讀「檢視行政機關蒐集利用個資之問題及展望」

# 讀「檢視行政機關蒐集利用個資之問題及展望」 ## 文章 Metadata 作者：范姜真媺 - 日本東海大學法學博士，東海大學法學院教授文章出版：法學叢刊第 63 卷第 2 期 (2018.04) p.29 ~ p.60 主題脈絡：探討日本與台灣「目的外利用個資」之規範 ## 緣由        因應資訊科技技術進步、電腦網路普及、大數據運算，如何活用各機關保有之個資，開發其第二次利用價值，成為各國振興經濟，提昇國際競爭力，改善社會生活環境之必要手段。        其中日本在行政機關個資法修法加入「非識別加工資料之提供」原則，擴大個資利用，突破個資法「利用目的限制原則」，使得資料能有合法的目的外利用，創造價值。 ## 特定利用目的（原有職權） - 意義、規範及實踐 ### 意義        [OECD](https://zh.wikipedia.org/zh-tw/%E7%BB%8F%E6%B5%8E%E5%90%88%E4%BD%9C%E4%B8%8E%E5%8F%91%E5%B1%95%E7%BB%84%E7%BB%87) 個資保護八大原則為個資保護法規中最重要的參考指標，當中又以「目的明確化原則（Purpose Specification）」「利用限制原則（Use Limitation Principle）」落實當事人個資自主權 ### 規範        近年來個資法的修改一方面鼓勵創造新的價值，一方面也希望避免被用來監視特定人民形成監視社會（Dataveillance Society） ### 實踐 #### 日本 1. **行政機關個資法**        行政機關「保有」（包含做成、取得、維持及管理者）限於法令規定所掌事務（依據組織法）而必要者，利用目的應盡可能特定之；原則上禁止「特定目的外」利用或提供，其中利用是指「機關內目的外利用」，提供是指「機關外之提供」 3. **個人編號法**        日本過去並未定立身分證（IC卡）及統一身分證字號制度，造成政府無法切確掌握人口動向，直到 2016 年才開始實施編號法（番號法），由於個人編號法讓個資得以比對組合，形成一元化管理，對個資自主權有極大威脅，立法時學界、律師等社會大眾對此立法有諸多疑慮。為了處理這層擔憂，立法採「法定列舉主義」及「正面列表方式」（Positive List）力求明確、嚴格界定範圍 - **利用、提供方法限制**        執行個人編號法定事務的行政機關、實施個人編號業務者（如醫院、健保機構、證卷交易所），當特定人資料的提供、比對、存取及查問時，必須在特定的網路平台上執行（建置需通過總務大臣及「特定個人情報保護委員」同意），並且在請求提供時需通知總務大臣，即時掌握各機關查問比對資料的狀況。 - **當事人監督機制（My Portal）**        增設可攜性（Dataportability）資料查詢機制，民眾可以在任何電腦終端機上查詢自己被各機關提供或查問的紀錄。 #### 台灣 [個資法第 5 條](https://law.moj.gov.tw/LawClass/LawSingle.aspx?Pcode=I0050021&FLNO=5)明白揭示 OECD 的兩大原則；除第 6 條第 1 項所規定外，應有特定目的，並符合 1. **為執行法定職務必要範圍**        如何界定「執行法定職務」個資法實行細則第 10 條第 1 項說明：於法律、法律授權的法令中所定公務機關的職務，所以應該依行政機關的組織法及作用法所訂定。        組織法是抽象性、概括性宣示的權限規定，而作用法是對外具體行使職權的依據；依法律保留原則須有具體法令為授權依據，劃定職權行使範圍。行政機關不能只依組織法內有關抽象權限的規定，在無作用法依據下對人民採取干預其權利、義務的措施（[2015年司法院釋字第 535 號解釋](https://www.judicial.gov.tw/constitutionalcourt/p03_01.asp?expno=535)）。 3. **經當事人同意**        在資力不對等（或可以稱資訊不對稱？）的情形下，如何保障人民真的是出於自由意願同意？是適用本款的疑慮。 5. **對當事人權益無侵害**        此款為最容易引起爭議的要件，「對當事人權益無侵害」是依誰的觀點來判斷？是當事人？還是蒐集者行政機關？還是社會一般人的立場？蒐集者不是當事人，如何正確判斷？被濫用的可能性極高。 #### 行政機關利用個資的基本原則        行政機關內部各單位保有的個資，提供同一單位機關內的其他單位，或提供給其他行政機關利用，往往不是原本蒐集個資當下時的特定目的，性質上應該屬於目的外利用。所以最一開始蒐集的機關，需符合 - 特定目的 - 執行法定職務必要範圍內當該個資要提供給機關內部或是其他機關時，接收資料的機關需符合 - 特定目的 - 屬執行法定職務內 - 當事人同意 - 對當事人權益無侵害        以上都符合，這樣的資料交換才能算是稱作合法。但同時如果貫徹前述的規範，各機關很可能會重複蒐集所需的個資，造成行政效率不彰，也增加人民的負擔。        台灣個資法跟日本行政機關個資法第 1 條都把「促進個資的合理利用」或「謀求行政之適當且圓滑的營運」，列為立法目的，所以在原本的「目的拘束原則」下，預留有「目的外利用」的空間。基於「例外」應從嚴的原則，相關規定要件應明確且作嚴格的解釋，以避免過度浮濫引用，破壞個資法重要立法原則。 ## 行政機關目的外利用個資之規範 ### 日本行政機關個資法 — 規範中央行政機關的法律縣市政府機關（地方自治團體）— 各定有個資保護條例兩者差異不大，但後者有比較特別的要件，尤其在認定合法目的外利用的程序上，有比較特別的制度 #### (一)行政機關個資法第 8 條第 1 項規定 1. **原則** 原則上不得將保有個資用於目的外之利用、或提供他人『個資』：即使單筆散存資料也包含在內『提供』：包含一定期間、一次性、持續性的提供 2. **例外** - **基於法令之目的外利用**        其他法令基於自身的立法目的，被認為有利用、提供保有個資的合理性符合目的外利用的事由，行政機關沒有被課予此類的義務，實際上仍必須依法令的宗旨做認定。 - **依行政機關裁量認定之目的外利用**        行政機關認定有下列事由時，可以將保有的個資用於特定目的外，或提供他人，但前提是不得違反「本人、第三人力意保護」義務 1. **當事人同意、或提供給當事人** 當事人對因此自己可能負擔之風險，應有所遇見且願意承擔，但行政機關與當事人間的資訊不對稱，使得當事人是否出於自由意願以及同意的範圍如何接定？留下可爭議的疑慮。 2. **行政機關內部之目的外利用**        法令所定職務之必要範圍內，在行政機關內部且該個資之利用是有相當理由者，適用本款。當事人可以依個資法第 36 條請求停止利用。行政機關應該在事先訂出具體審查基準，並公告。 **「行政機關內部」**：特定行政機關內依法設置之單位。 **「相當之理由」**：第一次判斷由行政機關進行，再者相當之理由應該是在社會通念上、客觀看來具有合理性，並非行政機關恣意判斷。 3. **提供給其他行政機關、行政法人**        法令所定職務之必要範圍內，且該個資之利用是有相當理由者（判斷同上），適用本款。例如為防止恐怖分子入境，外務省將簽證、護照資料提供給法務省的入國管理局；防止對幼兒的性犯罪，法務省將性犯罪人服刑期滿出獄的資料提供給警察廳。 4. **對行政機關以外之人，為統計之作成、或為學術研究之目的而提供個資；或對本人以外之人提供，明顯係為本人之利益；或是關於期提供有特別理由者** **「對第三人之提供，明顯為本人之利益」**：例如發生災害、事故時，將罹難當事人訊息通知其家族。 **「特別之理由」**：與前面所談的「相當之理由」不同具體而言須符合下述條件： - 與對行政機關之提供者，具有同等程度之公益性 - 受資料提供之一方，自己蒐集該個資有顯著困難，或是有事務上緊急迫切性 - 如果沒有資料的提供，受提供的一方，達成其事務目的有困難者例如因為犯罪搜查、或恐怖攻擊事件之防止，對國外政府或國際機構提供個資。 3. **特色** - 依目的外利用者、提供對象不同，分別立定寬嚴程度不同的要件 - 除了基於法令為目的外利用之外，對是否提供，行政機關具有裁量權 - 本人或第三人權益保護為最優先 - 因行政機關事務龐雜、各領域類型性質亦不同，不德不在要件中設置「相當理由」、「特別理由」與「明顯的」等不確定法律概念，給予機關有裁量空間，可能有被拿來恣意濫用的空間。 #### （二）個人編號法之規定        考量個人編號容易連結其他個資進行比對，造成當事人資料自主權受侵害，對其目的外利用的設置言個的限制，第 39 條規定： 1. 為保護當事人性命、身體或財產有必要者，且得到當事人同意，或得到當事人同意有困難時。 2. 發生重大災害時，依法對受災者進行特別救助，可以為目的外利用或提供。 #### （三）地方自治團體個資保護條例之觀察        與前者行政機關法差異不大，但項目較為詳細，例如為了達用防犯罪之目的，算是在目的外利用或提供的事由之一，其中大阪府跟東京都的個資保護條例，將出版、報導的目的外之利用、提供保有個資列為例外的事由之一。        除法令有規定外，第一次判斷權屬行政機關，如有濫用當事人得請求損害賠償，這僅僅是事後追懲機制，但個資有一但被利用或提供就無法回復原狀的特性，因此大阪府、北海道、京都府、熊本縣的個資保護條例在例外事由中特別寫進「公益上有必要」「有其相當理由」，並且在聽取該地方自治團體所設立的第三人監督機關 **「個人情報保護審查會」** 的意見後，才得以行使目的外之利用或提供。 #### （四）地方自治團體個資保護條例之觀察 1. 東京都教育委員會將某公立中學教室的「服務事故報告書」與「研修狀況報告書」提供給議會的三個議員，因而被提告違法侵害隱私權，東京高等法院判決違法。此事件屬行政機關裁量權的濫用。 2. NHK 依例外事由「災害發生時不得不提供」為由申請調閱水災受災戶的個資，以免除受災戶的收視費，但被個人情報保護審查會認為資料提供已在災後，目的也不是緊急避難，認定不符合條件。 :::info 其實 NHK 常以家中有電視或住戶有手機可以看 NHK 為由，經常濫收視費，這件事還引起訴訟一路告到最高法院，在 [**2017 年底最高法院認定並無違法**](https://www.japantimes.co.jp/news/2017/12/06/national/crime-legal/tv-owners-legally-obliged-pay-nhk-fee-top-court/#.W05ZEtIzbIV)，引起輿論一陣譁然，民眾紛紛嘲諷 NHK 是日本家裏蹲協會（Nihon Hikikomori Kyōkai） ::: 3. 東京都內私立中學，依學校教育法實行規則，須記載三年全體學生姓名跟成績評定簿，送交東基督教育委員會，但法院認定不屬法定義務，認定不符合目的外提供的要件。 ### 我國之目的外利用事由之檢討 - 個資之利用要件為（[第 16 條](https://law.moj.gov.tw/LawClass/LawSingle.aspx?Pcode=I0050021&FLNO=16)） 1. 屬執行法定職務必要範圍內 2. 與蒐集之特定目的相符雖然台灣沒有區分機關內利用/機關外提供，但[第 2 條](https://law.moj.gov.tw/LawClass/LawSingle.aspx?Pcode=I0050021&FLNO=2)第 4 款規定「處理」個資的前提是「為建立或利用個人資料檔案，所為之資料之紀錄、儲存、輸出、或內部傳用」，所以提供內部其他單位利用，會與定義的「處理」不符。 - 第 16 條的六項但書 1. **法律有明文規定** 依「法律」並非「法令」，防止行政機關濫用行政命令，造成個資法限制原則被架空。 2. **為維護國家安全或增進公共利益所必要** 其中「國家安全」、「公共利益」屬不確定法律概念，判斷時重點應放在「必要性」，須依「比例原則」進行判斷，將當事人權益的損害降到最小，與達到的公共利益相權衡。 :::info        交通部高公局希望利用 e-tag 蒐集的車輛通行資料，依郵寄方式通知與提醒駕駛人之一事，法務部[**函釋**](https://mojlaw.moj.gov.tw/LawContentExShow.aspx?id=I00100%2C%E6%B3%95%E5%BE%8B%2C10503519090%2C20161221&type=E)「是否具有正當合理關聯及符合比例原則？宜審慎考慮。」 ::: 3. **為免除當事人之生命、身體、自由或財產上之危險** 例如當事人須緊急輸血或急難救助時，將其個資告知醫生或支援救助的人。 4. **為防止他人權益之重大危害** 例如某公立學校向教育部通報不適任教師名單等。此處「重大」也是不確定法律概念，仰賴行政機關的判斷。 5. **公務機關或學術研究機構基於公共利益為統計或學術研究而有必要，且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人** 限於「公共利益」、「統計」、「學術研究」三者都須滿足。「經提供者處理或經蒐集者依其揭露方式無從識別特定之當事人」：法務部函釋說明 - 將個人資料處理後使其無從辨識特定個人 - 或原保有的公務機關提供具識別性的個資交給其他公務機關（蒐集者），由蒐集者進行彙整、統計分析後，再以無從識別特定個人的方式將研究成果發表 #### 檢討 1. 原保有個資的公務機關得將可識別的個資提供給其他公務機關或研究機構，只要最後統計跟研究產出無從識別當事人即可，並依[個資法第 9 條](https://law.moj.gov.tw/LawClass/LawSingle.aspx?Pcode=I0050021&FLNO=9)第 2 項第 4 款無須告知當事人。使得當事人不知情，人民的個資又在公務機關、研究機構間串聯，是一大擔憂，理想的做法是建立法制，同時禁止提供者、利用者兩端回復個人識別性的行為。 2. 去識別化的標準為何？至今個資法仍無此部分的規範，自然為讓人民產生不安及不信任感。 :::info        有民眾向健保署提起訴訟，認為將利用健保卡蒐集建置的資料庫經再利用，加密加值後提供給研究機構，當中過程違反個資法，纏訟多年，最高行政法院的判決中指明「本案去識別化作業模式，實不足達到完全切斷資料內容與特定主體間之連結線所知程度」，其中主要原因是衛服部有「還原」所提供之資料的能力。參見： **103年訴更一第120號判決** 、 **106年度判字第54號判決** ::: 3. 有利當事人權益部分，不應由行政機關主觀認定，至少應該是一般社會通念上認為有利當事人權益的目的外利用 4. 依第 7 條第 2 項規定，須蒐集者已明確告知特定目的外之其他利用目的、範圍及同意對其權益影響後單獨所為。其同意因資訊不對稱仍有疑慮。 #### 小結 1. 日本以「特別目的」、「執行法定必要範圍內」兩要件形成雙重門檻原則，並以當事人同意作為安全閥，但在台灣當事人同意在第 16 條但書中僅為選項之一。 2. 台灣身分證與日本個人編號法有同樣功能，在推動建置電子化政府的目標下，利用身分證字號在政府機關的網路串連藏匿，對人民資料自主權威脅極大。然而台灣至今政府與人民似乎均未意識到廣泛利用身分證字號背後所潛藏的危機。 ## 介紹日本「非識別加工資料之提供」制度 ### 定義個資具備三要件，（一）自然人的資料（二）生存自然人的資料（三）具有特定個人識別性個資又分為兩種類型： 1. **記述型個資** 姓名、生年月日及其他記述，或使用聲音、動作及其他記述（使用聲音、動作及其他方法所表示之一切事項）而得以識別特定個人者（包含與其他資料容易比對組合而識別） 2. **個人識別符號** - 一部分身體特徵 - 勞務或購買之商品 ### 要件並非所有行政機關保有的個資都可以加工為非識別加工資料，可以加工的個資須為： 1. 構成個資檔案而得以目錄索引查閱、檢索（得以讓民眾查閱個資被使用的情形）；未納入特定個資檔案中之散存資料不可以做為非識別加工的對象。 2. 可以被加工去識別化的個資檔案還要符合以下要件 - 不是屬於行政機關個資法規定不得公開的部分，如國家安全、外交秘密等。 - 當事人曾依政府資訊公開法提出請求，而行政機關決定公開個資全部或一部分者。 3. 如果非識別加工過程需耗費大量竟費人力，或非識別加工過程須停止該行政機關資訊系統的運作，導致行政事務無法正常運作者，則不得進行非識別化加工。 ### 流程分以下四個階段進行。 #### 第一階段選出可以被非識別化加工的個資檔案，並將下列事項記載於個資檔案名簿上 - 被選定為募集提案的個資檔案意旨 - 接受提案的組織名稱及所在地 - 如個資檔案涉及第三人的權益，依法給予提出意見的機會。 #### 第二階段民間事業等募集提案，如果行政機關沒辦法掌握民間事業的需求，即便將特定個資檔案加工為非識別化也是枉然，所以採取民間事業提案的模式。提案者需以書面紀載情報保護委員會規則所定的事項 #### 第三階段進行下列提案審查 - **適格性審查**：提案是業者是否接受破產宣告為恢復公權？是否有受有期徒刑？是否曾經違反個資法？ - **依法定基準審查**： - 個資檔案當事人須為 1000 人以上 - 加工方法符合法定基準 - 加工資料檔案的利用有助益產業創新、活化社會經濟、豐富國民生活 - 使用的期間，符合情報保護委員會所定之時間內 - 資料有採取妥善安全的管理措施 - **第三人提出反對意見書時須刪除** - **審查結果通知** #### 第四階段非識別加工資料之作成及提供，其中提案事業不得包括國家機關、獨立行政法人、地方自治團體、地方獨立行政法人。 ### 加工基準 1. 刪除包含餘個資中得識別特定個人之敘述或一部分刪除姓名、刪除住所；或替換為○○縣△△市、生年月日替換為年代 2. 刪除個資中個人識別符號的全部（包含不具規則性方法讓個人識別符號得以復原者） 3. 刪除原個資跟加工後資料之間的連結符號 4. 刪除特殊記述，例如刪除極為罕見的事實記述 5. 依資料檔案性質，採取適當加工措施，例如在特定商店購買限定商品的購買履歷，須將品項顏色替換為一般商品之品項 ## 結語 - 日本跟我國都依「目的明確原則」「利用限制原則」在個資法中設立雙重門檻，為保護資料自主權都須符合「特定目的」、「執行法定職務必要範圍內之利用」 - 日本對提供給行政機關外之其他人，訂出較嚴之要件，即便賦予行政機關裁量權，仍有一定裁量基準，更限制在須「對本人或第三人全利、利益為造成不當傷害之虞。」 - 我國在第 16 條的例外事由過多，大量使用不確定法律概念，造成適用法律者的困擾，被濫用的可能性較高。 - 比例原則之適用個資法 16 條中「必要範圍內」之判斷須依比例原則檢驗 1. 該個資的利用有助於法令職務的遂行 2. 利用時對當事人權益損害最小者 3. 對當事人的損害跟行政上的利益是否有明顯失衡？