個人資料之認定－個人資料保護法適用之啟動閥

The Concept of Personal Data - When to Trigger the Taiwan Personal Data Protection Act

10.6509/TLM.2016.6705.04

張陳弘(Chen-Hung Chang)

個人資料 ； 隱私權 ； 資訊隱私 ； 識別性資料 ； 密鑰編碼資料 ； Personal Data ； the Right to Privacy ； Information Privacy ； Identifi able Data ； Key-Coded Data

法令月刊

67卷5期（2016 / 05 / 01）

67 - 101

繁體中文

按個人資料保護法（以下稱「個資法」）的規範設計，資料可否 識別特定個人，乃個資法適用與否的啟動閥。立法者參酌1995年歐盟資料保護指令（95/46/EC），於個資法第2條第1款規定修正「個人資料」之定義，並於個資法施行細則第3條規定進一步闡釋何謂「得以間接方式識別」特定個人，期更明確說明個人資料概念。然而，實施現況卻不如預期。本文主張在資料識別性要件的判斷上，應採用95歐盟指令第26點說明與歐盟資保小組2007年意見書見解，即只要有任何人，透過所有可能、合理的方式，能將此資料連結至特定個人，該資料即具備特定個人識別性。個資法的存立基礎主要來自於憲法第22條的資訊隱私權保障。自然地對於資訊隱私權所保護的個資定義的解釋，也理當由個資主體的隱私保障出發，而不應從可能侵害隱私的資料使用者角度出發。只要資料有任何識別特定個人的可能，資料掌控人的辨識能力，影響的是隱私威脅的程度，而非隱私威脅的有無。

Under the Taiwan Personal Data (Information) Protection Act (PDPA), the PDPA will come into play when the subject data can identify a certain person. Referring to the EU Directive 95/46/EC, in the PDPA, personal data is identified in Item 1, Article 2 of the PDPA. Furthermore, the definition of ＂personally identifiable information＂ is explained in Article 3 of the Enforcement Rule of the PDPA. However, despite the carefully written defi nition, a handful of cases have revealed the lack of clarity on the concept of personal data. This essay proposes that personal data is personally identifi able as long as such data may connect to a certain person by anyone using all possible and reasonable means. This notion is supported by the Recital 26 of the EU Directive 95/46/EC and the Opinion 4/2007 on the Concept of Personal Data issued by the Article 29 Data Protection Working Party. The PDPA is rooted in the right to information privacy stipulated in Article 22 of the Taiwanese Constitution. The interpretation of personal data-whether the piece of personal information protected shall be perceived from the perspective of the data subject rather than the user of data (the privacy intruder). Therefore, as long as the underlying data are likely to connect to a certain person, such data shall be protected in the PDPA. As to the ability of the data user to use the data to identify a certain person, it is a matter of different degrees of risk to privacy invasion, not whether there will be a risk of privacy invasion.

1. 范姜真媺(2013)。個人資料保護法關於「個人資料」保護範圍之檢討。東海大學法學研究，41，91-123。
   連結：
2. 翁清坤(2013)。告知後同意與消費者個人資料之保護。臺北大學法學論叢，87，217-322。
   連結：
3. 張陳弘(2012)。去類型化猥褻性言論之理論建構—美國法之比較研究。臺北大學法學論叢，83，43-98。
   連結：
4. 張陳弘(2015)。「目的外利用」個資行為之評價—兼評臺灣臺北地方法院103 年度北小字第1360 號小額民事判決。法令月刊，66(3)，54-74。
   連結：
5. 黃耀賞(2015)。淺談「得以間接方式識別特定個人之資料」。科技法律透析，27(1)，31-35。
   連結：
6. 國家發展委員會（2007），《本會第1288 次委員會議討論通過衛生署陳報「國民健康資訊建設計畫（NHIP）」計畫書（96-100 年）》，http://www.ndc.gov.tw/News_Content.aspx?n=C90548F2DB23E8B9&sms=AB593F5AE64A02BE&s=CBC61A22871DB59F（最後瀏覽日：2015/12/4）
7. 衛生福利部統計處（2015），《衛生福利資料科學中心成立緣由》，http://www.mohw.gov.tw/cht/DOS/DM1_P.aspx?f_list_no=812&fod_list_no=4788&doc_no=43639（最後瀏覽日：2015/12/4）
8. European Commission (2012), Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation), COM/2012/011 final, http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_en.pdf (last visited: 2015/11/25).
9. 衛生福利部統計處（2014），《衛生福利資料科學中心》，http://www.mohw.gov.tw/cht/DOS/DM1.aspx?f_list_no=812（ 最後瀏覽日：2015/10/19）
10. 國家衛生研究院（n.d.），《本院院史》，http://www.nhri.org.tw/NHRI_WEB/nhriw001Action.do?status=Show_Data&uid=20081121664354450000（最後瀏覽日：2015/12/4）
11. European Commission's Directorate General for Justice and Consumers (2015), Article 29 Data Protection Working Party, http://ec.europa.eu/justice/dataprotection/article-29/index_en.htm (last visited: 2015/11/25).
12. European Union (1995), Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data, Official Journal of the European Communities L 281(38), pp. 31-50
13. Article 29 Data Protection Working Party (2007), Opinion 4/2007 on the Concept of Personal Data, 01248/07/EN/WP 136 (June 20, 2007), http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp136_en.pdf (last visited: 2015/11/25).
14. BiBi(2015)。幸福與健康的守護者全民健保2 歲了！。全民健康保險雙月刊，114，8-13。
15. Ohm, Paul(2013).The underwhelming benefits of big data.University of Pennsylvania Law Review Online,161,339-346.
16. Ohm, Paul(2010).Broken promises of privacy: Responding to the surprising failure of anonymization.UCLA Law Review,57(6),1701-1777.
17. Rivera, Suzanne M.(2014).Privacy v. progress: Research exceptionalism is bad medicine.Health Matrix: Journal of Law-Medicine,24,49-64.
18. Schauer, Frederick(2004).The boundaries of the First Amendment: A preliminary exploration of constitutional salience.Harvard Law Review,117(6),1765-1809.
19. Schwartz, P. M.,Solove, D. J.(2011).The PII problem: Privacy and a new concept of personally identifiable information.New York University Law Review,86(6),1841-1894.
20. Schwartz, P. M.,Solove, D. J.(2014).Reconciling personal information in the United States and European Union.California Law Review,102(4),877-916.
21. 林家慶(2014)。「電信業者別」能否揭露？個人資料保護與公共利益維護不能兼顧？—評臺灣臺北地方法院臺北簡易庭一○三年度北小字第一三六○號民事判決。月旦裁判時報，30，139-146。
22. 邱忠義(2014)。談個人資料保護法之間接識別。月旦裁判時報，30，95-103。
23. 徐仕瑋(2014)。個資法所保護個人資料之範圍界定—評臺灣臺北地方法院一○三年度北小字第一三六○號小額民事判決。月旦裁判時報，30，123-138。
24. 許育典(2010)。憲法。臺北:元照。
25. 許宗力(2003)。基本權利：第六講—基本權的保障與限制（上）。月旦法學教室，11，64-75。
26. 陳慈陽(2005)。憲法學。臺北:自版。
27. 黃翰義(2015)。自直接識別性及公共利益之觀點論個人資料保護法之缺失。月旦裁判時報，31，66-73。
28. 劉定基(2012)。個人資料的定義、保護原則與個人資料保護法適用的例外—以監視錄影為例（上）。月旦法學教室，115，42-54。
29. 蕭家捷、賴文智(2013)。個人資料保護法Q&A。臺北:元照。

1. 范姜真媺(2017)。大數據時代下個人資料範圍之再檢討—以日本為借鏡。東吳法律學報，29(2)，1-38。
2. 黃子宴,江耀國(2019)。個人資料的概念與匿名化：一個認識論的觀點。東海大學法學研究，58，1-62。
3. 劉瑩(2022)。網路爬蟲之刑事責任。軍法專刊，68(4)，78-115。
4. 張陳弘(2018)。美國聯邦憲法增修條文第4條搜索令狀原則的新發展：以Jones, Jardines & Grady案為例。歐美研究，48(2)，267-332。
5. 張陳弘(2018)。新興科技下的資訊隱私保護：「告知後同意原則」的侷限性與修正方法之提出。臺大法學論叢，47(1)，201-297。
6. 張陳弘(2018)。隱私之合理期待標準於我國司法實務的操作－我的期待？你的合理？誰的隱私？。法令月刊，69(2)，82-112。
7. 張陳弘(2021)。科技智慧防疫與個人資料保護：陌生但關鍵的資料保護影響評估程序。臺大法學論叢，50(2)，337-400。
8. (2018)。大數據時代的個人資料保護。興大法學，24，1-45。
9. (2018)。國家建置全民健康保險資料庫之資訊隱私保護爭議──評最高行政法院106年度判字第54號判決。中原財經法學，40，182-254。
10. (2021)。論我國發行中央銀行數位貨幣之法律架構與個人資料保護。臺灣銀行季刊，72(4)，49-89。
11. (2024)。論散布色情深度偽造影音之處罰。軍法專刊，70(2)，129-169。