跳到主要內容區塊

主管法規查詢系統

:::

行政函釋

發文單位: 法務部
發文字號: 法律字第 10403508020 號
發文日期: 民國 104 年 07 月 02 日
相關法條
要  旨:
法務部就「為推動『政府巨量資料應用研究試辦計畫』,就行政機關保有
之政府資料提供學界研究,所詢個人資料保護法相關疑義」之說明
主    旨:有關為推動「政府巨量資料應用研究試辦計畫」,就行政機關保有之政府
          資料提供學界研究,所詢個人資料保護法相關疑義乙案,復如說明二至四
          ,請查照參考。
說    明:一、復貴部 104  年 5  月 6  日科部前字第 1040031601 號函。
          二、查來函所詢疑義共計 9  項,惟因各項問題間多具有關聯性,且尚須
              區分不同情境模式分析,難以機械式切割分別逐項回應,爰歸納問題
              類型如下,並就相關問題項目綜整回復:
          (一)單純釐清個人資料保護法(下稱個資法)之條文文義或規範意旨者
                :即所詢項目(二)、(三)、(五)、(九)。
          (二)各資料主管機關依「政府巨量資料應用研究試辦計畫」,就其所保
                有之政府資料提供學術研究機構進行分析研究,所涉及之個資法適
                用疑義者:即所詢項目(一)、(四)、(六)、(七)、(八)
                。
          三、單純釐清個資法之條文文義或規範意旨者(即所詢項目(二)、(三
              )、(五)、(九)):
          (一)有關所詢項目(二):按個資法第 16 條規定︰「公務機關對個人
                資料之利用,除第 6  條第 1  項所規定資料外,應於執行法定職
                務必要範圍內為之,並與蒐集之特定目的相符。但有下列情形之一
                者,得為特定目的外之利用:…」是以,如符合該條但書所列各款
                情形之一,即得排除本文「應於執行法定職務必要範圍內為之,並
                與蒐集之特定目的相符」之規定,而得將個人資料為特定目的外之
                利用。換言之,該條但書所列各款情形乃是立法者衡酌人格權之保
                護及促進資料之合理利用後所作出之價值判斷,允許公務機關得在
                符合所列各款情形之一時,就個人資料為特定目的外之利用,且無
                須受限於其法定職務必要範圍內(例如:甲機關為執行其法定職務
                所必要,向乙機關請求提供資料,如乙機關依「法律明文規定」有
                配合提供資料之義務,此時乙機關配合提供資料雖係協助甲機關執
                行其法定職務,而非執行乙機關自身之法定職務,仍可認其符合個
                資法第 16 條但書第 1  款之規定)。
          (二)有關所詢項目(三)、(五):
                1.按個資法第 16 條但書第 5  款規定,係為促進資料合理利用,
                  應得准許公務機關(即提供者)依該款所定要件,於特定目的外
                  利用個人資料,惟為避免寬濫,爰限制公務機關或學術研究機構
                  (即蒐集者)基於公共利益為統計或學術研究而有必要,始得為
                  之,另該用於統計或學術研究之個人資料,經提供者處理後或蒐
                  集者依其揭露方式,應無從再識別特定當事人,始足保障當事人
                  之權益(個資法第 16 條修正理由參照)。依上開規定,原保有
                  之公務機關(即提供者)可將得直接或間接識別之個人資料經過
                  處理後,使其無從識別特定個人,再提供予其他公務機關或學術
                  研究機構(即「資料經過『提供者』處理後…無從識別特定之當
                  事人」);或由原保有之公務機關(即提供者)提供得直接或間
                  接識別之個人資料,交予其他公務機關或學術研究機構(即蒐集
                  者)保有,由蒐集者進行彙整、統計分析後,再以無從識別特定
                  當事人之方式為研究成果之發表(即「資料經過…『蒐集者』依
                  其揭露方式無從識別特定之當事人」)(本部 104  年 5  月 5
                  日法律字第 10400065570  號函意旨參照)。是以,依個資法第
                  16  條但書第 5  款之規範意旨,公務機關所保有之個人資料,
                  並非一律均須達無從以直接或間接方式識別該特定個人者後,方
                  得提供予其他公務機關或學術研究機構,重點在於統計或學術研
                  究成果發表時,依其呈現或揭露方式必須已無從識別特定之當事
                  人。
                2.復按個資法第 16 條但書第 5  款所稱「公共利益」,依實務見
                  解,係指為社會不特定之多數人可以分享之利益而言(本部 100
                  年 5  月 4  日法律字第 1000004930 號函、102 年 1  月 14
                  日法律字第 10203500050  號函、102 年 7  月 3  日法律字第
                  10203507180 號函等參照);所稱「學術研究」,係指針對有系
                  統而較專門之學問中的特定主題,作深入且有系統的探討或研查
                  ,以發現事實,形成理論並付諸應用(大辭典,三民書局編印,
                  74  年初版,第 1158、3339 頁)。因均屬抽象之法律概念,故
                  尚難遽定其範圍及認定標準,仍宜依具體個案分別認定之。
          (三)有關所詢項目(九):按個資法第 11 條第 3  項及第 4  項規定
                ,當事人得請求刪除、停止處理或利用其個人資料之情形包含:「
                個人資料蒐集之特定目的消失或期限屆滿」及「違反個資法規定蒐
                集、處理或利用個人資料」,並未包含依個資法規定將個人資料為
                特定目的外利用之情形;復按個資法第 16 條但書所列各款得為特
                定目的外利用之事由,除依第 7  款「經當事人書面同意」應受當
                事人決定之限制(亦即當事人如事後撤回其同意,自其撤回時起即
                不得再為特定目的外之利用)外,如該案之個人資料係公務機關基
                於個資法第 15 條第 1  款「執行法定職務必要範圍內」之要件而
                蒐集,且符合個資法第 16 條但書第 1  款至第 6  款之特定目的
                外利用事由(例如個資法第 16 條但書第 5  款規定),則其利用
                之範圍則非當事人所得限制,當事人並無請求退出(不參與)之權
                利。惟倘若公務機關經自行衡量特定目的外利用之其他目的後,認
                為得參酌當事人表達退出(不參與)特定目的外利用之意願,於不
                違反其他法律規定(例如:行政程序法第 19 條規定)之情形下,
                而自行停止特定目的外之利用者,亦無違反個資法之規範意旨。
          四、各資料主管機關依「政府巨量資料應用研究試辦計畫」,就其所保有
              之政府資料提供學術研究機構進行分析研究,所涉及之個資法適用疑
              義者(即所詢項目(一)、(四)、(六)、(七)、(八)):
          (一)情境一:衛生福利部主辦之「毒藥品防制」及「健康照護」2 項議
                題:獲補助研究計畫所需分析之資料,經資料主管機關同意提供後
                ,由衛生福利部進行資料串接,並放置於衛生福利部「健康資料加
                值應用協作中心」(下稱協作中心):
                1.依來函附件資料所示,「健康照護」議題並無協辦機關,擬提供
                  之資料原即均存放於衛生福利部協作中心,故由衛生福利部自行
                  審酌是否符合個資法第 16 條但書第 5  款之規定,據以提供學
                  術研究機構即可。
                2.按衛生福利部組織法第 2  條第 8  款規定:「本部掌理下列事
                  項:八、心理健康及精神疾病防治相關政策與物質成癮防治之政
                  策規劃、管理及監督。」是以,衛生福利部基於其法定職掌,為
                  執行毒品危害防制工作,於其法定職務必要範圍內而蒐集、處理
                  個人資料,符合個資法第 15 條第 1  款之規定;復按毒品危害
                  防制條例施行細則第 2  條規定:「防制毒品危害,由行政院統
                  合各相關機關,辦理緝毒、防毒、拒毒及戒毒工作。」第 3  條
                  規定:「前條各相關機關應將防制毒品危害列為年度重要工作,
                  就業務職掌研訂相關因應措施,積極辦理。所需經費,由各機關
                  於年度預算內編列。」故各相關部會基於落實毒品危害防制之特
                  定目的,為有效共同規劃國家毒品防制政策所包含之防毒、拒毒
                  、緝毒、戒毒策略,進行相關資料之整合、統計、研究、策略推
                  動等,均屬上開毒品危害防制之法定職掌範疇,從而各相關部會
                  提供毒品相關資料予衛生福利部進行資料串接及整合,以利用該
                  資料進行後續毒品防制政策或因應措施之研擬推動,亦屬執行其
                  法定職務必要範圍之資料利用,符合個資法第 16 條本文「公務
                  機關對個人資料之利用,…,應於執行法定職務必要範圍內為之
                  ,並與蒐集之特定目的相符」之規定。
                3.而主辦機關衛生福利部為解決「毒藥品防制」之施政課題,依獲
                  補助研究計畫所需分析之政府資料欄位,將跨機關串接之資料經
                  去識別化處理後,提供予合作之學術研究機構進行分析研究,以
                  協助政府施政決策之用,應可認為符合個資法第 16 條但書第 5
                  款「…學術研究機構基於公共利益為統計或學術研究而有必要,
                  且資料經過提供者處理後…無從識別特定之當事人」之規定。
          (二)情境二:未涉及跨機關資料串接者:由資料主管機關直接提供去識
                別化之資料予學術研究機構,或由資料主管機關委託「財團法人國
                家實驗研究院之國家高速網路與計算中心」(下稱國網中心)進行
                去識別化處理後,提供予學術研究機構:
                1.倘資料主管機關先行將個人資料,運用各種技術予以去識別化,
                  而依其呈現方式已無從直接或間接識別該特定個人者,即非屬個
                  人資料(本部 103  年 11 月 17 日法律字第 10303513040  號
                  函參照),此時將該資料交由國網中心導入其服務平台,自無涉
                  及委託國網中心處理及利用個人資料之問題,先予敘明。
                2.倘資料主管機關委託國網中心處理及利用個人資料,依個資法第
                  4 條規定,國網中心於受委託之範圍內視同委託機關,依委託機
                  關應適用之規定為之(個資法施行細則第 8  條第 1  項)。從
                  而,如資料主管機關經審認學術研究機構所提研究計畫擬分析之
                  政府資料欄位,符合個資法第 16 條但書第 5  款所定特定目的
                  外利用之要件,自得將該資料提供予該學術研究機構。
          (三)情境三:涉及跨機關資料串接者:獲補助研究計畫所需分析之資料
                ,經資料主管機關同意提供後,由資料主管機關委託國網中心進行
                跨機關資料串接並經去識別化處理後,提供予學術研究機構:
                1.情境三與情境二不同之處在於涉及跨機關資料串接,如前所述,
                  依個資法第 16 條但書第 5  款之規範意旨,公務機關所保有之
                  個人資料,並非一律均須達無從以直接或間接方式識別該特定個
                  人者後,方得提供予其他公務機關或學術研究機構,重點在於統
                  計或學術研究成果發表時,依其呈現或揭露方式必須已無從識別
                  特定之當事人,因此,學術研究機構所提研究計畫擬分析之資料
                  ,原可由資料主管機關分別提供予學術研究機構,由該學術研究
                  機構自行進行資料串接。惟資料主管機關為降低個人資料遭不法
                  利用之風險,在策略上擬選擇委託國網中心先進行跨機關資料串
                  接及去識別化之處理後,再提供予合作之學術研究機構進行分析
                  研究,應可認亦符合個資法第 16 條但書第 5  款「…學術研究
                  機構基於公共利益為統計或學術研究而有必要,且資料經過提供
                  者處理後…無從識別特定之當事人」之規定。
                2.依個資法第 4  條規定,國網中心於受委託之範圍內視同各委託
                  機關,而依來函資料所示,國網中心所串接之跨機關資料,原則
                  上應僅提供該研究計畫利用,又是否提供特定之政府資料欄位、
                  對何人提供、提供之範圍、是否刪除或繼續保存於國網中心…等
                  ,悉由各資料主管機關決定,國網中心僅得依資料主管機關之指
                  示辦理,因此,其委託之內容並未涉及公權力行為之權限移轉,
                  國網中心並無以自己名義獨立行使公權力行為,從而各資料主管
                  機關(即主、協辦機關)與國網中心間之委託關係並非行政程序
                  法第 16 條所稱之行政委託,應屬單純勞務之委任而為私法契約
                  。又公務機關如欲蒐集其他機關委託國網中心所處理或利用之個
                  人資料(包含已完成串接之資料),其蒐集、處理及利用仍須符
                  合個資法第 15 條及第 16 條規定,且係由原資料主管機關審認
                  判斷是否提供,自屬當然。
                3.依個資法施行細則第 8  條第 1  項規定,委託他人蒐集、處理
                  或利用個人資料時,委託機關應對受託者為適當之監督,其監督
                  至少應包含同條第 2  項所列各款事項,委託機關應定期確認受
                  託者執行之狀況,並將確認結果記錄之(個資法施行細則第 8
                  條第 3  項)。又因國網中心可能將因而保有龐大個人資料庫,
                  極易成為有心人士惡意入侵攻擊之目標,故各委託機關須格外注
                  意要求國網中心辦理安全維護事項,以防止資料被竊取、竄改、
                  毀損、滅失或洩漏之風險,在資料傳輸串連之過程中,亦應採取
                  必要資安技術以確保資料之安全性,併此敘明。
正    本:科技部
副    本:本部資訊處(第 1  類)、本部法律事務司(4 份)
資料來源: 法務部