文/台灣人權促進會
去年憲法法庭才剛就健保資料庫案中,政府無視資料當事人權利,且缺乏明確法律規範將資料提供第三方研究一事,判決違憲。旋即,數發部近期表示將於9月公布「數據公益運作指引」草案,稱將透過「數據持有人」自願提供「數據」,經隱私強化技術處理成「無涉個資數據」後,由數發部提供給利用者從事公益目的應用。歷史總是驚人的相似。「持有人」取代消失的資料當事人 ; 本該做為安全措施的隱私強化技術,在數發部製作的「數據公益生態」圖中,成為合理化「未經個人同意取得個資,但只要處理成數據就能免除同意」的藉口。
無論是台灣還是歐盟法規,都沒有「數據公益」此一說法,也沒有非個資即為「數據」這種用語。以下將以台灣法規正式詞彙「資料」取代數發部所稱之「數據」。「數據公益」按數發部的說法,源自於Data Altruism。實際上,該詞彙為「資料利他」,於歐盟《資料治理法》中定義為基於「資料當事人」知情同意提供,或「資料持有者」自願提供非個資,無償用作國內法規範內的公益目的。也就是說,持有人只能提供本來就並非個資的資料,一切個人資料仍須視當事人同意提供,而非任何中間人可擅自處理,進而宣稱「已去識別」並可繞過個人意願。更根本的問題是,歐盟的資料利他,乃是奠基於資料治理法制,以及相對完善的個資法以及獨立的個資保護機關監督。
台灣長期缺乏資料治理規範,放任決策者便宜行事,恣意鑽營個資法漏洞行強制大規模利用個資,以「無從識別」用語粉飾科技發展下我國不堪一擊的隱私保護法制。促進資料流通,應從建立明確法律環境,並改善知情同意要件、檢視資料當事人權利行使開始,讓個人真正自主、理解資料利用範圍,利用者也能有明確遵循的內容,才能深化信任。目前數發部尚未正式發布指引,但已先行啟用「運動數據公益平台」,網頁指出資料經由當事人同意且去識別化。即使如此,數發部仍須說明當事人同意書如何滿足個資法規定下之目的特定原則,以及說明後續公布的「指引」與既存法規的關係,並避免與憲法法庭保障大型資料庫當事人之判決背道而馳。