跳到主要內容
-
有關為推動「政府巨量資料應用研究試辦計畫」,就行政機關保有之政府資料提供學界研究
,所詢個人資料保護法相關疑義乙案
發文機關:法務部
發文字號:法務部 104.07.02. 法律字第10403508020號
發文日期:民國104年7月2日
主旨:有關為推動「政府巨量資料應用研究試辦計畫」,就行政機關保有之政府資料提供學
界研究,所詢個人資料保護法相關疑義乙案,復如說明二至四,請查照參考。
說明:
一、復貴部 104年 5月 6日科部前字第1040031601號函。
二、查來函所詢疑義共計 9項,惟因各項問題間多具有關聯性,且尚須區分不同情境模式
分析,難以機械式切割分別逐項回應,爰歸納問題類型如下,並就相關問題項目綜整
回復:
(一)單純釐清個人資料保護法(下稱個資法)之條文文義或規範意旨者:即所詢項目
(二)、(三)、(五)、(九)。
(二)各資料主管機關依「政府巨量資料應用研究試辦計畫」,就其所保有之政府資料
提供學術研究機構進行分析研究,所涉及之個資法適用疑義者:即所詢項目(一
)、(四)、(六)、(七)、(八)。
三、單純釐清個資法之條文文義或規範意旨者(即所詢項目(二)、(三)、(五)、(
九)):
(一)有關所詢項目(二):按個資法第16條規定︰「公務機關對個人資料之利用,除
第 6條第 1項所規定資料外,應於執行法定職務必要範圍內為之,並與蒐集之特
定目的相符。但有下列情形之一者,得為特定目的外之利用:…」是以,如符合
該條但書所列各款情形之一,即得排除本文「應於執行法定職務必要範圍內為之
,並與蒐集之特定目的相符」之規定,而得將個人資料為特定目的外之利用。換
言之,該條但書所列各款情形乃是立法者衡酌人格權之保護及促進資料之合理利
用後所作出之價值判斷,允許公務機關得在符合所列各款情形之一時,就個人資
料為特定目的外之利用,且無須受限於其法定職務必要範圍內(例如:甲機關為
執行其法定職務所必要,向乙機關請求提供資料,如乙機關依「法律明文規定」
有配合提供資料之義務,此時乙機關配合提供資料雖係協助甲機關執行其法定職
務,而非執行乙機關自身之法定職務,仍可認其符合個資法第16條但書第 1款之
規定)。
(二)有關所詢項目(三)、(五):
1.按個資法第16條但書第 5款規定,係為促進資料合理利用,應得准許公務機關
(即提供者)依該款所定要件,於特定目的外利用個人資料,惟為避免寬濫,
爰限制公務機關或學術研究機構(即蒐集者)基於公共利益為統計或學術研究
而有必要,始得為之,另該用於統計或學術研究之個人資料,經提供者處理後
或蒐集者依其揭露方式,應無從再識別特定當事人,始足保障當事人之權益(
個資法第16條修正理由參照)。依上開規定,原保有之公務機關(即提供者)
可將得直接或間接識別之個人資料經過處理後,使其無從識別特定個人,再提
供予其他公務機關或學術研究機構(即「資料經過『提供者』處理後…無從識
別特定之當事人」);或由原保有之公務機關(即提供者)提供得直接或間接
識別之個人資料,交予其他公務機關或學術研究機構(即蒐集者)保有,由蒐
集者進行彙整、統計分析後,再以無從識別特定當事人之方式為研究成果之發
表(即「資料經過…『蒐集者』依其揭露方式無從識別特定之當事人」)(本
部 104年 5月 5日法律字第 10400065570號函意旨參照)。是以,依個資法第
16條但書第 5款之規範意旨,公務機關所保有之個人資料,並非一律均須達無
從以直接或間接方式識別該特定個人者後,方得提供予其他公務機關或學術研
究機構,重點在於統計或學術研究成果發表時,依其呈現或揭露方式必須已無
從識別特定之當事人。
2.復按個資法第16條但書第 5款所稱「公共利益」,依實務見解,係指為社會不
特定之多數人可以分享之利益而言(本部100 年 5月 4日法律字第1000004930
號函、 102年 1月14日法律字第 10203500050號函、 102年 7月 3日法律字第
10203507180 號函等參照);所稱「學術研究」,係指針對有系統而較專門之
學問中的特定主題,作深入且有系統的探討或研查,以發現事實,形成理論並
付諸應用(大辭典,三民書局編印,74年初版,第1158、3339頁)。因均屬抽
象之法律概念,故尚難遽定其範圍及認定標準,仍宜依具體個案分別認定之。
(三)有關所詢項目(九):按個資法第11條第 3項及第 4項規定,當事人得請求刪除
、停止處理或利用其個人資料之情形包含:「個人資料蒐集之特定目的消失或期
限屆滿」及「違反個資法規定蒐集、處理或利用個人資料」,並未包含依個資法
規定將個人資料為特定目的外利用之情形;復按個資法第16條但書所列各款得為
特定目的外利用之事由,除依第 7款「經當事人書面同意」應受當事人決定之限
制(亦即當事人如事後撤回其同意,自其撤回時起即不得再為特定目的外之利用
)外,如該案之個人資料係公務機關基於個資法第15條第 1款「執行法定職務必
要範圍內」之要件而蒐集,且符合個資法第16條但書第 1款至第 6款之特定目的
外利用事由(例如個資法第16條但書第5 款規定),則其利用之範圍則非當事人
所得限制,當事人並無請求退出(不參與)之權利。惟倘若公務機關經自行衡量
特定目的外利用之其他目的後,認為得參酌當事人表達退出(不參與)特定目的
外利用之意願,於不違反其他法律規定(例如:行政程序法第19條規定)之情形
下,而自行停止特定目的外之利用者,亦無違反個資法之規範意旨。
四、各資料主管機關依「政府巨量資料應用研究試辦計畫」,就其所保有之政府資料提供
學術研究機構進行分析研究,所涉及之個資法適用疑義者(即所詢項目(一)、(四
)、(六)、(七)、(八)):
(一)情境一:衛生福利部主辦之「毒藥品防制」及「健康照護」 2項議題:獲補助研
究計畫所需分析之資料,經資料主管機關同意提供後,由衛生福利部進行資料串
接,並放置於衛生福利部「健康資料加值應用協作中心」(下稱協作中心):
1.依來函附件資料所示,「健康照護」議題並無協辦機關,擬提供之資料原即均
存放於衛生福利部協作中心,故由衛生福利部自行審酌是否符合個資法第16條
但書第 5款之規定,據以提供學術研究機構即可。
2.按衛生福利部組織法第 2條第 8款規定:「本部掌理下列事項:八、心理健康
及精神疾病防治相關政策與物質成癮防治之政策規劃、管理及監督。」是以,
衛生福利部基於其法定職掌,為執行毒品危害防制工作,於其法定職務必要範
圍內而蒐集、處理個人資料,符合個資法第15條第 1款之規定;復按毒品危害
防制條例施行細則第 2條規定:「防制毒品危害,由行政院統合各相關機關,
辦理緝毒、防毒、拒毒及戒毒工作。」第 3條規定:「前條各相關機關應將防
制毒品危害列為年度重要工作,就業務職掌研訂相關因應措施,積極辦理。所
需經費,由各機關於年度預算內編列。」故各相關部會基於落實毒品危害防制
之特定目的,為有效共同規劃國家毒品防制政策所包含之防毒、拒毒、緝毒、
戒毒策略,進行相關資料之整合、統計、研究、策略推動等,均屬上開毒品危
害防制之法定職掌範疇,從而各相關部會提供毒品相關資料予衛生福利部進行
資料串接及整合,以利用該資料進行後續毒品防制政策或因應措施之研擬推動
,亦屬執行其法定職務必要範圍之資料利用,符合個資法第16條本文「公務機
關對個人資料之利用,…,應於執行法定職務必要範圍內為之,並與蒐集之特
定目的相符」之規定。
3.而主辦機關衛生福利部為解決「毒藥品防制」之施政課題,依獲補助研究計畫
所需分析之政府資料欄位,將跨機關串接之資料經去識別化處理後,提供予合
作之學術研究機構進行分析研究,以協助政府施政決策之用,應可認為符合個
資法第16條但書第 5款「…學術研究機構基於公共利益為統計或學術研究而有
必要,且資料經過提供者處理後…無從識別特定之當事人」之規定。
(二)情境二:未涉及跨機關資料串接者:由資料主管機關直接提供去識別化之資料予
學術研究機構,或由資料主管機關委託「財團法人國家實驗研究院之國家高速網
路與計算中心」(下稱國網中心)進行去識別化處理後,提供予學術研究機構:
1.倘資料主管機關先行將個人資料,運用各種技術予以去識別化,而依其呈現方
式已無從直接或間接識別該特定個人者,即非屬個人資料(本部 103年11月17
日法律字第10303513040 號函參照),此時將該資料交由國網中心導入其服務
平台,自無涉及委託國網中心處理及利用個人資料之問題,先予敘明。
2.倘資料主管機關委託國網中心處理及利用個人資料,依個資法第 4條規定,國
網中心於受委託之範圍內視同委託機關,依委託機關應適用之規定為之(個資
法施行細則第 8條第 1項)。從而,如資料主管機關經審認學術研究機構所提
研究計畫擬分析之政府資料欄位,符合個資法第16條但書第 5款所定特定目的
外利用之要件,自得將該資料提供予該學術研究機構。
(三)情境三:涉及跨機關資料串接者:獲補助研究計畫所需分析之資料,經資料主管
機關同意提供後,由資料主管機關委託國網中心進行跨機關資料串接並經去識別
化處理後,提供予學術研究機構:
1.情境三與情境二不同之處在於涉及跨機關資料串接,如前所述,依個資法第16
條但書第 5款之規範意旨,公務機關所保有之個人資料,並非一律均須達無從
以直接或間接方式識別該特定個人者後,方得提供予其他公務機關或學術研究
機構,重點在於統計或學術研究成果發表時,依其呈現或揭露方式必須已無從
識別特定之當事人,因此,學術研究機構所提研究計畫擬分析之資料,原可由
資料主管機關分別提供予學術研究機構,由該學術研究機構自行進行資料串接
。惟資料主管機關為降低個人資料遭不法利用之風險,在策略上擬選擇委託國
網中心先進行跨機關資料串接及去識別化之處理後,再提供予合作之學術研究
機構進行分析研究,應可認亦符合個資法第16條但書第 5款「…學術研究機構
基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後…無從識
別特定之當事人」之規定。
2.依個資法第 4條規定,國網中心於受委託之範圍內視同各委託機關,而依來函
資料所示,國網中心所串接之跨機關資料,原則上應僅提供該研究計畫利用,
又是否提供特定之政府資料欄位、對何人提供、提供之範圍、是否刪除或繼續
保存於國網中心…等,悉由各資料主管機關決定,國網中心僅得依資料主管機
關之指示辦理,因此,其委託之內容並未涉及公權力行為之權限移轉,國網中
心並無以自己名義獨立行使公權力行為,從而各資料主管機關(即主、協辦機
關)與國網中心間之委託關係並非行政程序法第16條所稱之行政委託,應屬單
純勞務之委任而為私法契約。又公務機關如欲蒐集其他機關委託國網中心所處
理或利用之個人資料(包含已完成串接之資料),其蒐集、處理及利用仍須符
合個資法第15條及第16條規定,且係由原資料主管機關審認判斷是否提供,自
屬當然。
3.依個資法施行細則第 8條第 1項規定,委託他人蒐集、處理或利用個人資料時
,委託機關應對受託者為適當之監督,其監督至少應包含同條第 2項所列各款
事項,委託機關應定期確認受託者執行之狀況,並將確認結果記錄之(個資法
施行細則第 8條第 3項)。又因國網中心可能將因而保有龐大個人資料庫,極
易成為有心人士惡意入侵攻擊之目標,故各委託機關須格外注意要求國網中心
辦理安全維護事項,以防止資料被竊取、竄改、毀損、滅失或洩漏之風險,在
資料傳輸串連之過程中,亦應採取必要資安技術以確保資料之安全性,併此敘
明。
正本:科技部
副本:本部資訊處(第 1類)、本部法律事務司( 4份)
:::
-
本月造訪人次
-
本月頁面瀏覽人次
-
總造訪人次(自93.07.26起)
-
頁面總瀏覽人次(自105.7.15起)
快速回到頁首按鈕