發文字號:
國家發展委員會 108.03.08 發法字第1080081030號
發文日期:
民國 108 年 03 月 08 日
要 旨:
通過「個人資料去識別化過程驗證要求及控制措施」之資料是否有個人資 料保護法之適用,仍應視該個人資料去識別化後,是否已達無從直接或間 接識別特定個人而定,非謂通過該驗證機制之資料即非個人資料保護法之 適用範圍
主 旨:有關貴部函詢取得財團法人台灣 OO 檢驗中心(ETC) 個人資料去識別化
過程驗證證書之資料,是否非個人資料保護法(下稱個資法)適用範圍一
事,本會意見復如說明,請查照。
說 明:一、復貴部 108 年 2 月 23 日衛部統字第 1082560100 號函。
二、查經濟部標準檢驗局為因應政府資料開放及大數據之推動,訂定「個
人資料去識別化過程驗證要求及控制措施」,提供個人可識別資訊(
Personally identifiable information, PII)去識別化過程之要求
事項及相關控制措施,資料保有者得考量本身資料之型態,自行建置
執行 PII 去識別化之步驟或作業程序,並透過中立第三方之驗證機
制確認其作業流程及程序文件符合標準及控制措施之要求;爰去識別
化過程驗證機制之功能在於證明資料保有者無違反個資法之主觀故意
或過失、已採行適當之安全維護措施及個人資料遭違法蒐集或利用非
係因違反個資法所致等。(詳法務部 105 年 4 月 8 日法律字第
10503505760 號函檢附之「公務機關利用去識別化資料之合理風險控
制及法律責任」報告)
三、承前,貴部透過 ETC 個人資料去識別化「過程」之驗證機制,可協
助事前檢視個人資料去識別化作業管理措施及流程符合一定標準,並
保留相關紀錄資料,以備個案發生時用以強化其舉證能力、處於較有
利之地位及降低損害賠償責任之風險,非謂通過該驗證機制,即遽認
當然發生「非屬個人資料,自非個資法之適用範圍」之效果,蓋通過
ETC 前揭驗證之個人資料是否有個資法之適用,仍應視該個人資料去
識別化後,依其呈現方式,是否已達無從直接或間接識別特定個人而
定,如有個案爭議,仍應以司法判決認定為準。
四、另為落實推動政府資料開放政策,行政院 108 年 1 月 18 日以院
授發資字第 1081500073 號函修正發布「行政院及所屬各級機關政府
資料開放作業原則」,各機關依申請提供政府資訊,涉及個人資料者
,應參照政府資訊公開法並經匿名化後提供,併此敘明供參。
正 本:衛生福利部