主    旨：有關為推動「政府巨量資料應用研究試辦計畫」，就行政機關保有之政府
          資料提供學界研究，所詢個人資料保護法相關疑義乙案，復如說明二至四
          ，請查照參考。
說    明：一、復貴部 104  年 5  月 6  日科部前字第 1040031601 號函。
          二、查來函所詢疑義共計 9  項，惟因各項問題間多具有關聯性，且尚須
              區分不同情境模式分析，難以機械式切割分別逐項回應，爰歸納問題
              類型如下，並就相關問題項目綜整回復：
          （一）單純釐清個人資料保護法（下稱個資法）之條文文義或規範意旨者
                ：即所詢項目（二）、（三）、（五）、（九）。
          （二）各資料主管機關依「政府巨量資料應用研究試辦計畫」，就其所保
                有之政府資料提供學術研究機構進行分析研究，所涉及之個資法適
                用疑義者：即所詢項目（一）、（四）、（六）、（七）、（八）
                。
          三、單純釐清個資法之條文文義或規範意旨者（即所詢項目（二）、（三
              ）、（五）、（九））：
          （一）有關所詢項目（二）：按個資法第 16 條規定︰「公務機關對個人
                資料之利用，除第 6  條第 1  項所規定資料外，應於執行法定職
                務必要範圍內為之，並與蒐集之特定目的相符。但有下列情形之一
                者，得為特定目的外之利用：…」是以，如符合該條但書所列各款
                情形之一，即得排除本文「應於執行法定職務必要範圍內為之，並
                與蒐集之特定目的相符」之規定，而得將個人資料為特定目的外之
                利用。換言之，該條但書所列各款情形乃是立法者衡酌人格權之保
                護及促進資料之合理利用後所作出之價值判斷，允許公務機關得在
                符合所列各款情形之一時，就個人資料為特定目的外之利用，且無
                須受限於其法定職務必要範圍內（例如：甲機關為執行其法定職務
                所必要，向乙機關請求提供資料，如乙機關依「法律明文規定」有
                配合提供資料之義務，此時乙機關配合提供資料雖係協助甲機關執
                行其法定職務，而非執行乙機關自身之法定職務，仍可認其符合個
                資法第 16 條但書第 1  款之規定）。
          （二）有關所詢項目（三）、（五）：
                1.按個資法第 16 條但書第 5  款規定，係為促進資料合理利用，
                  應得准許公務機關（即提供者）依該款所定要件，於特定目的外
                  利用個人資料，惟為避免寬濫，爰限制公務機關或學術研究機構
                  （即蒐集者）基於公共利益為統計或學術研究而有必要，始得為
                  之，另該用於統計或學術研究之個人資料，經提供者處理後或蒐
                  集者依其揭露方式，應無從再識別特定當事人，始足保障當事人
                  之權益（個資法第 16 條修正理由參照）。依上開規定，原保有
                  之公務機關（即提供者）可將得直接或間接識別之個人資料經過
                  處理後，使其無從識別特定個人，再提供予其他公務機關或學術
                  研究機構（即「資料經過『提供者』處理後…無從識別特定之當
                  事人」）；或由原保有之公務機關（即提供者）提供得直接或間
                  接識別之個人資料，交予其他公務機關或學術研究機構（即蒐集
                  者）保有，由蒐集者進行彙整、統計分析後，再以無從識別特定
                  當事人之方式為研究成果之發表（即「資料經過…『蒐集者』依
                  其揭露方式無從識別特定之當事人」）（本部 104  年 5  月 5
                  日法律字第 10400065570  號函意旨參照）。是以，依個資法第
                  16  條但書第 5  款之規範意旨，公務機關所保有之個人資料，
                  並非一律均須達無從以直接或間接方式識別該特定個人者後，方
                  得提供予其他公務機關或學術研究機構，重點在於統計或學術研
                  究成果發表時，依其呈現或揭露方式必須已無從識別特定之當事
                  人。
                2.復按個資法第 16 條但書第 5  款所稱「公共利益」，依實務見
                  解，係指為社會不特定之多數人可以分享之利益而言（本部 100
                  年 5  月 4  日法律字第 1000004930 號函、102 年 1  月 14
                  日法律字第 10203500050  號函、102 年 7  月 3  日法律字第
                  10203507180 號函等參照）；所稱「學術研究」，係指針對有系
                  統而較專門之學問中的特定主題，作深入且有系統的探討或研查
                  ，以發現事實，形成理論並付諸應用（大辭典，三民書局編印，
                  74  年初版，第 1158、3339 頁）。因均屬抽象之法律概念，故
                  尚難遽定其範圍及認定標準，仍宜依具體個案分別認定之。
          （三）有關所詢項目（九）：按個資法第 11 條第 3  項及第 4  項規定
                ，當事人得請求刪除、停止處理或利用其個人資料之情形包含：「
                個人資料蒐集之特定目的消失或期限屆滿」及「違反個資法規定蒐
                集、處理或利用個人資料」，並未包含依個資法規定將個人資料為
                特定目的外利用之情形；復按個資法第 16 條但書所列各款得為特
                定目的外利用之事由，除依第 7  款「經當事人書面同意」應受當
                事人決定之限制（亦即當事人如事後撤回其同意，自其撤回時起即
                不得再為特定目的外之利用）外，如該案之個人資料係公務機關基
                於個資法第 15 條第 1  款「執行法定職務必要範圍內」之要件而
                蒐集，且符合個資法第 16 條但書第 1  款至第 6  款之特定目的
                外利用事由（例如個資法第 16 條但書第 5  款規定），則其利用
                之範圍則非當事人所得限制，當事人並無請求退出（不參與）之權
                利。惟倘若公務機關經自行衡量特定目的外利用之其他目的後，認
                為得參酌當事人表達退出（不參與）特定目的外利用之意願，於不
                違反其他法律規定（例如：行政程序法第 19 條規定）之情形下，
                而自行停止特定目的外之利用者，亦無違反個資法之規範意旨。
          四、各資料主管機關依「政府巨量資料應用研究試辦計畫」，就其所保有
              之政府資料提供學術研究機構進行分析研究，所涉及之個資法適用疑
              義者（即所詢項目（一）、（四）、（六）、（七）、（八））：
          （一）情境一：衛生福利部主辦之「毒藥品防制」及「健康照護」2 項議
                題：獲補助研究計畫所需分析之資料，經資料主管機關同意提供後
                ，由衛生福利部進行資料串接，並放置於衛生福利部「健康資料加
                值應用協作中心」（下稱協作中心）：
                1.依來函附件資料所示，「健康照護」議題並無協辦機關，擬提供
                  之資料原即均存放於衛生福利部協作中心，故由衛生福利部自行
                  審酌是否符合個資法第 16 條但書第 5  款之規定，據以提供學
                  術研究機構即可。
                2.按衛生福利部組織法第 2  條第 8  款規定：「本部掌理下列事
                  項：八、心理健康及精神疾病防治相關政策與物質成癮防治之政
                  策規劃、管理及監督。」是以，衛生福利部基於其法定職掌，為
                  執行毒品危害防制工作，於其法定職務必要範圍內而蒐集、處理
                  個人資料，符合個資法第 15 條第 1  款之規定；復按毒品危害
                  防制條例施行細則第 2  條規定：「防制毒品危害，由行政院統
                  合各相關機關，辦理緝毒、防毒、拒毒及戒毒工作。」第 3  條
                  規定：「前條各相關機關應將防制毒品危害列為年度重要工作，
                  就業務職掌研訂相關因應措施，積極辦理。所需經費，由各機關
                  於年度預算內編列。」故各相關部會基於落實毒品危害防制之特
                  定目的，為有效共同規劃國家毒品防制政策所包含之防毒、拒毒
                  、緝毒、戒毒策略，進行相關資料之整合、統計、研究、策略推
                  動等，均屬上開毒品危害防制之法定職掌範疇，從而各相關部會
                  提供毒品相關資料予衛生福利部進行資料串接及整合，以利用該
                  資料進行後續毒品防制政策或因應措施之研擬推動，亦屬執行其
                  法定職務必要範圍之資料利用，符合個資法第 16 條本文「公務
                  機關對個人資料之利用，…，應於執行法定職務必要範圍內為之
                  ，並與蒐集之特定目的相符」之規定。
                3.而主辦機關衛生福利部為解決「毒藥品防制」之施政課題，依獲
                  補助研究計畫所需分析之政府資料欄位，將跨機關串接之資料經
                  去識別化處理後，提供予合作之學術研究機構進行分析研究，以
                  協助政府施政決策之用，應可認為符合個資法第 16 條但書第 5
                  款「…學術研究機構基於公共利益為統計或學術研究而有必要，
                  且資料經過提供者處理後…無從識別特定之當事人」之規定。
          （二）情境二：未涉及跨機關資料串接者：由資料主管機關直接提供去識
                別化之資料予學術研究機構，或由資料主管機關委託「財團法人國
                家實驗研究院之國家高速網路與計算中心」（下稱國網中心）進行
                去識別化處理後，提供予學術研究機構：
                1.倘資料主管機關先行將個人資料，運用各種技術予以去識別化，
                  而依其呈現方式已無從直接或間接識別該特定個人者，即非屬個
                  人資料（本部 103  年 11 月 17 日法律字第 10303513040  號
                  函參照），此時將該資料交由國網中心導入其服務平台，自無涉
                  及委託國網中心處理及利用個人資料之問題，先予敘明。
                2.倘資料主管機關委託國網中心處理及利用個人資料，依個資法第
                  4 條規定，國網中心於受委託之範圍內視同委託機關，依委託機
                  關應適用之規定為之（個資法施行細則第 8  條第 1  項）。從
                  而，如資料主管機關經審認學術研究機構所提研究計畫擬分析之
                  政府資料欄位，符合個資法第 16 條但書第 5  款所定特定目的
                  外利用之要件，自得將該資料提供予該學術研究機構。
          （三）情境三：涉及跨機關資料串接者：獲補助研究計畫所需分析之資料
                ，經資料主管機關同意提供後，由資料主管機關委託國網中心進行
                跨機關資料串接並經去識別化處理後，提供予學術研究機構：
                1.情境三與情境二不同之處在於涉及跨機關資料串接，如前所述，
                  依個資法第 16 條但書第 5  款之規範意旨，公務機關所保有之
                  個人資料，並非一律均須達無從以直接或間接方式識別該特定個
                  人者後，方得提供予其他公務機關或學術研究機構，重點在於統
                  計或學術研究成果發表時，依其呈現或揭露方式必須已無從識別
                  特定之當事人，因此，學術研究機構所提研究計畫擬分析之資料
                  ，原可由資料主管機關分別提供予學術研究機構，由該學術研究
                  機構自行進行資料串接。惟資料主管機關為降低個人資料遭不法
                  利用之風險，在策略上擬選擇委託國網中心先進行跨機關資料串
                  接及去識別化之處理後，再提供予合作之學術研究機構進行分析
                  研究，應可認亦符合個資法第 16 條但書第 5  款「…學術研究
                  機構基於公共利益為統計或學術研究而有必要，且資料經過提供
                  者處理後…無從識別特定之當事人」之規定。
                2.依個資法第 4  條規定，國網中心於受委託之範圍內視同各委託
                  機關，而依來函資料所示，國網中心所串接之跨機關資料，原則
                  上應僅提供該研究計畫利用，又是否提供特定之政府資料欄位、
                  對何人提供、提供之範圍、是否刪除或繼續保存於國網中心…等
                  ，悉由各資料主管機關決定，國網中心僅得依資料主管機關之指
                  示辦理，因此，其委託之內容並未涉及公權力行為之權限移轉，
                  國網中心並無以自己名義獨立行使公權力行為，從而各資料主管
                  機關（即主、協辦機關）與國網中心間之委託關係並非行政程序
                  法第 16 條所稱之行政委託，應屬單純勞務之委任而為私法契約
                  。又公務機關如欲蒐集其他機關委託國網中心所處理或利用之個
                  人資料（包含已完成串接之資料），其蒐集、處理及利用仍須符
                  合個資法第 15 條及第 16 條規定，且係由原資料主管機關審認
                  判斷是否提供，自屬當然。
                3.依個資法施行細則第 8  條第 1  項規定，委託他人蒐集、處理
                  或利用個人資料時，委託機關應對受託者為適當之監督，其監督
                  至少應包含同條第 2  項所列各款事項，委託機關應定期確認受
                  託者執行之狀況，並將確認結果記錄之（個資法施行細則第 8
                  條第 3  項）。又因國網中心可能將因而保有龐大個人資料庫，
                  極易成為有心人士惡意入侵攻擊之目標，故各委託機關須格外注
                  意要求國網中心辦理安全維護事項，以防止資料被竊取、竄改、
                  毀損、滅失或洩漏之風險，在資料傳輸串連之過程中，亦應採取
                  必要資安技術以確保資料之安全性，併此敘明。
正    本：科技部
副    本：本部資訊處（第 1  類）、本部法律事務司（4 份）