對「個人資料保護法」部分條文修正案的意見與建議
魏杏芳 政大法學院兼任副教授、前公平會委員
2025 年 2 月 12 日
茲對個人資料保護委員會籌備處 2024 年 12 月 20 日預告修正之「個人資料保護法」部分條文(以下稱「修正案」)表達意見與建議如下:
一、主管機關宜先確立個人資料保護在政府推動AI產業政策的價值與地位,作為法制規劃的指導原則或目標
「促進個人資料之合理利用」為個人資料保護法(以下稱「個資法」)第 1 條明定的立法目的之一,與避免人格權侵害的個資保護價值並列,在人工智慧技術快速發展的時代,如何充分利用個資協助 AI 的開發應用,應該是個人資料保護委員會(以下稱「個資會」)進行個資法修正規劃時念茲在茲的目標,這也是在科技普惠原則之下,政府積極推動 AI 百工百業應用時,必須面對並處理的前提性問題。在目前「以 AI 帶動產業轉型升級」的政府政策中,臺灣產業應用的重點在生成式 AI(generative AI, Gen AI),也就是利用經過大量資料集訓練而成的基礎模型(model),進行微調後再部署應用於特定環境,而能產出文字、圖片或影音作品等人工智慧系統,近日因 Deepseek 的驚天問世,再次掀起對生成式 AI 部署應用的熱潮。政府同時也推動各機關積極運用 AI 技術,例如數位發展部推出「公部門人工智慧應用參考手冊」(草案),其中也包括生成式 AI 的應用。但從個資保護的觀點,包括生成式 AI 在內,所有人工智慧都涉及資料的訓練與學習,其資料的來源,無論是自行蒐集累積或向特定資料庫購買,或是利用網頁抓取(web scraping)技術,自新聞網站、社群媒體、公共論壇或個人網頁等公開來源取用,都可能混合了個資法所定義的個資。換言之,能實現特定功能的 AI 系統,或者是開發釋出讓第三人部署應用的 AI 模型,極可能涉及個資蒐集、處理與利用的合法性問題,因此如何建立因應 AI 環境的個資法,實為具前提性的法制建設,對政府推動 AI 產業政策是否能成功至關重要。
法制邏輯上應是先建立一套能獲得個人信任的個資保護體系,其內涵一方面賦予個人更充實完整的權利,他方面則是針對個資的特性及其在產業中的應用,對個資蒐集主體課以明確、必要的防止個資侵害義務與責任,其中輔以適當的例外條款,同時配合主管機關有效的行政監管及個人權利救濟機制,才能使已受保護的個資流動與利用趨於活絡,讓個資在資料經濟時代發揮它最大的價值,也彰顯個資法及個資會在 AI 浪潮中的時代意義與地位。
二、修正案忽略「個資」在資料經濟時代的特性及其價值,徒具形式地回應憲法法庭的判決意旨,未充實當事人的權利,亦未補充規定個資蒐集主體的責任與義務,只為監督稽核的目的對主管機關為內容空泛的授權,有違反法律明確性、授權明確性等行政法原則的疑慮,修法的結果不僅未降低個資侵害的風險,也無助於公、私部門蒐用個資的便利性,將使國家AI產業的發展更為遲滯
修正案的內容感覺與資通安全管理法十分「神似」,例如修正條文第 2 條之 1 規定公務機關指派副首長或其他人員兼任個資保護長;又或於第 21 條之 1 模仿資通安全管理法修正草案,建立上級或監督機關基於組織層級的職務監督架構,以及第 21 條之 2 新增個資會定期或不定期對公務機關進行稽核的權力。但問題是資通安全法與個資法保護的法益及處理的標的,大不相同。資通安全法著眼於國家整體資通環境與國家安全的保障,處理的標的是資通系統;個資法規範的客體則是「個人資料」,它不僅是構成個人資訊隱私人格權的成分,也是包括 AI 在內所謂資料驅動經濟的生產投入(production factor),即使兩部法律的行為主體都包括了公務機關或非公務機關,但內建的本質迥然不同,二者的規範邏輯不必然可以比照援引。更糟糕的是,按資通安全法所建立的安全管理作為,主要是要求提出資通安全維護計畫及其實施情形以供稽查,至於細部的實施辦法則授權中央目的事業主管機關擬訂。此次個資法修正案甚得其神髓,無論是公務機關或非公務機關辦理個資安全維護事項或管理機制的措施(修正條文第 18 條、第 20 條之 1),或公務機關每年向上級機關提出的個資保護事項實施情形(修正條文第 21 條之 1),以及對公務機關定期或不定期進行稽核(修正條文第 21 條之 2 參照),相關辦法全部授權主管機關定之。然查現行個資法以及此次修正案,並未從資料經濟與人工智慧環境的視角,賦予個人更完整的個資保護權利;也未特別考量個資作為生產投入(例如被用來訓練 AI)可能造成的個資侵害風險,對個資蒐集主體必須承擔的責任與義務,加以補充規範。在實體規範十分貧乏簡陋的情況下,修正案前述各條的授權條款,形同對主管機關的空白授權,因為各類辦法的內容無從對應特定的法定權利或義務,相關辦法的內容可能流於憑空想像,致超出法律體系或文字本身可解釋的範圍,受規範的個資蒐集主體難以合理預期而無所適從,或者根本不能達到數位時代個資保護的目的而聊備一格,最後也可能又再高度參考資通安全法既有的辦法,依樣畫葫蘆。修正案將實體規定與相對應的監督機制切割的立法技術,違反法律明確性、授權明確性等行政法原則,實在令人難以苟同。修正案總說明中提到,此次修正主要是為了回應憲法法庭 111 年憲判字第 13 號判決建立個資保護獨立監督機制的意旨,「至於本法其他諸多修法議題,當由正式成立之個資會以本法主管機關之地位,賡續進行通盤修正研議及立法政策決定」。 如此躊躇保留的腳步反映了政府目前對個資、個資法與人工智慧時代的關係欠缺認識,國家 AI 產業的發展似乎注定更為遲滯。
就應考慮增加的個資法實體規定部分,參考歐盟「一般個人資料保護規則」(General Data Protection Regulation, GDPR)的經驗,首先應賦予當事人個資可攜權(Right to data portability, GDPR 第 20 條),這是落實當事人控制自身個資以及促進個資流通利用的根本設計。其次是賦予當事人完整的請求停止蒐用其個資的拒絕權(反對權)(Right to object, GDPR 第 21 條)及其合理限制,如同憲法法庭 111 年憲判字第 13 號判決的要求一般。國內行動通信業者系統性大規模蒐集使用者資料,有能力將不同類型的資料相互配對處理,因此使用者自由權利受侵害的風險相對升高,但由於個資法欠缺當事人拒絕權的規定,行動通信業者依據電信管理法第 17 條第 2 項第 7 款,單方擬定定型化「行動寬頻服務契約」,報請國家通訊傳播委員會核准後即可實施。該契約第 37 條規定,用戶之資料經去識別化處理至第三人無從識別本人的程度,即可不經用戶同意,提供給第三人使用。此舉不由分說剝奪了當事人的資料自主控制權,輕易朝個資蒐集主體傾斜,這無助於提升個人對個資保護的信任,對個資的有效應用不利。
在使蒐集主體的責任與義務更具體明確方面,建議至少參考 GDPR 對資料控制者基本義務(GDPR 第 24 條)及「設計及預設之個資保護」(Data protection by design and by default, GDPR 第 25 條)的規定,在個資法裡明定蒐集主體有義務採取技術上及組織上的適當措施,且確保與風險相稱的個資處理安全層級(GDPR 第 32 條),以保障當事人在個資法的權利。同時必要時在一定條件下應在資料處理前進行「資料保護影響評估」(Data protection impact assessment, GDPR第 35 條),這是公務及非公務機關在利用包含個資的大量資料進行 AI 訓練開發時,可以用來建立及證明法遵及合規的程序,也是落實課責的機制。此外蒐集處理利用個資的相關活動,蒐集主體應保留紀錄與證據 (GDPR 第 30 條)等等。上述重要責任與義務應首先在法律位階的立法中分條明定,而不是延續目前的作法,在母法只以「適當安全維護措施」一語籠統規範,再轉而隱身於施行細則中,由主管機關將各類內容與意義不同的義務與責任,全部包裹在法規命令裡,甚至還導入不確定概念。例如個資法施行細則 12 條在解釋何謂「適當安全維護措施」時,提到得包括「個人資料之風險評估及管理機制」,但其概念及內容所指為何,是否即為 GDPR 所稱的「資料保護影響評估」?則無從得知。該項安全維護措施當如何進行,更令人一頭霧水,還依賴各目的事業中央主管機關再進一步加以解釋。由修正案目前規劃空泛的授權主管機關於將來訂定各種檢查稽核辦法來看,結局極可能重蹈覆轍,實在應該避免。
三、個資會應於正式成立後以個資法主管機關的地位,修正所謂「倘經運用各種技術予以去識別化,而依其呈現方式已無從直接或間接識別該特定個人者,即非屬個人資料,則後續提供外界利用,自無個資法之適用」的見解,以正確劃定個資法的適用範圍與適用方法,強化並發揮個資法在資料經濟時代的規範功能
法務部過去曾多次以行政函釋表達相同的意旨[1],即經去識別化且無從直接或間接識別特定個人之數據,即不在個資法的適用範圍,可供外界利用。惟從資料技術的觀點,此見解實在值得商榷而有調整的必要。所謂「去識別化(De Identification)」係指移除識別資料與個資當事人連結的過程[2],但隱私強化技術種類繁多,目的在增進個人或隱私資料之保護同時維持資料可用性,但在效果上並非均達到「匿名化」(anonymization)的程度,也就是可識別個人的資訊已被不可逆的改變,再識別資料主體幾乎不可能的水準[3]。因此資料即使經去識別化處理,例如採假名化(pseudonymization)或加密技術,並不當然等於是「匿名」資料,以致於不再符合個資定義而無個資法的適用[4]。此即憲法法庭 111 年憲判字第 13 號判決所示:「⋯個資若經處理,依其資料型態與資料本質,客觀上仍有還原而間接識別當事人之可能時,無論還原識別之方法難易,若以特定方法還原而可間接識別該個人者,其仍屬個資。當事人就此類資料之自主控制權,仍受憲法資訊隱私權之保障。反之,經處理之資料於客觀上無還原識別個人之可能時,即已喪失個資之本質,當事人就該資訊自不再受憲法第 22 條個人資訊隱私權之保障。個資法第 2 條第 1 款以『得直接或間接識別該個人』為是否屬個資之標準,即在表彰上開憲法對個人資訊隱私權保障界限之意旨。查個人健保資料包含系爭規定一之高敏感特種個資,具有高度個體差異,於客觀上非無以極端方式還原而間接識別特定當事人之可能性,此為科學上之事實。因此,個人健保資料無論為原始型態或經處理,均必然仍屬『得直接或間接識別該個人』之資料,當事人對於此類資料之自主控制權,受憲法保障。」的意旨。故法務部過去的函釋,逕將經去識別化處理的資料庫,呈現方式已無從直接或間接識別特定個人者,視為非個資法所稱的個資,不僅技術事實上並非當然如此,也與憲法法庭在前開判決的見解不同,這樣的資料,充其量只是對個人自由權利侵害的風險已明顯降低,適合提供合理利用罷了,但依舊符合個資的要件。實務上即使宣稱是「匿名化」的資料,也不能擔保沒有再被識別的風險,因此個資法課以個資蒐集者義務的精神或目的,是在確保個資受到與風險對稱的適當保護,同時兼顧資料的合理利用,而非執著於匿名、假名或使用哪種技術,此其一也。
另外,法務部函釋所涉的情境都與資料的目的外利用有關,例如健保資料庫供科學研究,電信事業提供電信信令供大數據應用服務等。承前說明的脈絡,蒐集主體提供給第三人利用的資料即使經過去識別化處理,對資料提供者(例如健保署、行動通信業者或車聯網裝置業者)而言,在其內部該等資料仍屬於可識別的用戶個資,將保留彙整的數據提供給第三方,即屬於原蒐集目的外的利用,無論是公務或非公務機關,都應以個資法所定的合法事由為依據(個資法第 16, 20 條參照);至於請求提供資料的第三方,其行為則涉及個人資料的蒐集或處理,亦應以具有合法事由為前提(個資法第 15, 19 條參照),始為適法,且該第三方將成為新的資料蒐集主體,在利用該等資料時,同樣也應受蒐集目的的拘束。換言之,並非個資一經去識別化處理、無從識別個人而得提供利用時,即無個資法之適用,法務部函釋的結論實有重新思考的必要,以免不當限縮個資法的適用與規範功能,增加個人人格權受侵害的風險。
值得一提的是,2024 年 12 月 17 日「歐洲個人資料保護委員會」(European Data Protection Board, EDPB)就近期最受矚目的 AI 模型若涉及個資處理時當如何適用 GDPR,通過並發布「意見」(Opinion) [5]。該委員會指出,凡是以包含個資的資料集訓練開發而成的 AI 模型,個資被「吸收」(absorbed)在模型參數中而以「數學物件」(mathematical objects)形式呈現,雖與原始資料不同,但依舊保留個資的資訊,個資仍可能直接或間接自該模型被提取或獲得,因此任何經個資訓練的 AI 模型,都不可被視為是匿名的,必須由主管機關依個案逐件檢視評估,以決定該模型是否有 GDPR 的適用。此意味著個資法與個資主管機關與 AI 的發展其實密不可分,在人工智慧風起雲湧的時代,個資保護法制反而益形重要,值此個資法修正及個資會創建之際,這樣的觀念有必要予以重視並為提倡傳播。
[1] 法務部 103 年 11 月 17 日法律字第 10303513040 號函、105 年 8 月 4 日法律字第 10503510730 號函、 106 年 11 月 10 日法律字 10603512680 號函、107 年 9 月 14 日法律字 10703512280 號函參照。
[2] 數位發展部,隱私強化技術應用指引,113 年 1 月,頁 4。個人資料保護法施行細則第 17 條規定:「 本法所稱『 無從識別特定當事人 』,指個人資料以代碼、匿名、隱藏部分資料或其他方式,無從辨識該特定個人者。 」
[3] 依 ISO standard (ISO 29100:2011)對「匿名化」的定義為:Process by which personally identifiable information (PII) is irreversibly altered in such a way that a PII principal can no longer be identified directly or indirectly, either by the PII controller alone or in collaboration with any other party.
[4] 資料保護原則不適用於匿名資訊,匿名之個人資料無 GDPR 的適用,GDPR, Recital 26. 技術上所謂將資料「匿名化」處理,也就是將再識別風險降至極低的程度,並非總是可行而不影響資料處理的目的,而且基於技術的進步或其他額外資訊的出現,使得過去已經「匿名化」的個資有再被識別的風險,故「匿名化」並非當然永久有效。AEPD-EDPS joint paper on 10 misunderstandings related to anonymization, 27 April 2021, https://www.edps.europa.eu/press-publications/press-news/news_en?page=23#news_6761, last visited 11 Feb. 2025.
[5] EDPB, Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models, adopted on 17 December 2024. GDPR 在 2018 年施行後,成立「歐洲個人資料保護委員會」取代 WP29,兩者的任務均包含針對個人資料保護法律發布指引或意見。
(原發表於公共政策網路參與平臺「預告修正「個人資料保護法」部分條文」:https://join.gov.tw/policies/detail/4b6fdd7e-c73e-4028-b293-64a3b2427556)
