健康資料之個人資料類別屬性研究──以IoT設備之蒐集、處理或利用為中心 / A Study on Personal Health Data Attributes: Focus on the Data Collection, Process or Use of IoT Device

張幼文, Chang, Yu Wen

Unknown Date

我國於2015年底通過新修正之個人資料保護法（以下簡稱「個資法」），將病歷納入特種個人資料中保護。目前個資法第六條特種個人資料列舉包含病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料。雖然該條文係取法自國際賦予敏感性個人資料特別保護的模式，惟在個人相關健康資料保護部分，我國個資法不若歐盟一般資料保護規則（EU General Data Protection Regulation, GDPR）保護寬廣，納入資料之類型仍較國際立法例狹窄。尤其此次GDPR修法擴大特種個人資料空間，增列基因資料、生物性資料和性傾向，檢視我國特種個人資料列舉類型是否符合現今科技社會需求有其必要性。 過去研究針對健康資料個資法適用問題較少。大數據資料來源來自各處，以一般健康保健物聯網模式為例，自行操作之檢查數據或穿戴式裝置所蒐集之資料，若非須由醫師或其他之醫事人員施以檢查，而可由一般民眾自行測量之行為，該民眾自行測量之結果應不屬於個資法所謂之病歷、醫療或健康檢查個人資料，即非為特種個人資料。 惟大數據分析技術進步之環境下，健康資料亦攸關資料主體生理健康之敏感性，且容易連結並識別個人，考量健康資料敏感性提升，蒐集、處理、利用健康資料易侵犯到個人隱私，因此有加強保護之需求。將來可刪除個資法第六條第一項各種個人資料例示之「醫療」、「病歷」與「健康」資料，並新增「健康」或「與健康相關」之列舉項目。 但解釋「與健康相關」資料之內涵時不能無限上綱，在適用時應考量情境說，依據不同使用情境判斷是否為係作為特種個人資料利用，以排除一般性描述健康的使用情境。 / The change to the regulation of special categories of data (sensitive data) in the Taiwan Personal Information Protection Act (PIPA) in 2015 comes with the inclusion of medical records. The definition of sensitive data in the PIPA Article 6(1) refers to personal information of medical records, medical treatment, genetic information, sexual life, health examination and criminal records. However, the list of sensitive data in PIPA do not contain categories as broad as foreign legislation such as EU General Data Protection Regulation (GDPR). It is important to review the continuing relevance of existing categories of sensitive data in the light of change in social structures and advances in technology. Differ from “medical data” such as medical records, medical treatment and health examination, the collection, process and use of “health data” which is measured from wearable device, is not included in the sensitive data. Concerning the development of big data analysis, the “health data” which sensitivity enhanced is easy to identify an individual. It needs to give a higher level of protection to “health data” under PIPA. Therefore, this thesis suggests that medical records, medical treatment and health examination in PIPA Article 6(1) should be consolidated and amended to health records or data concerning health. However, this is not to say that the processing of all kinds of medical and health data should be regarded as the processing of sensitive data. But data, under certain contexts/circumstances may be treated as the processing of sensitive data.

個人資料保護法

特種個人資料

敏感性資料

健康資料

大數據

物聯網

Personal information protection act

Special categories of data

Sensitive data

Health data

Big data

Internet of Things

巨量資料與隱私權─個人資料保護機制的再思考 / Big data and privacy: Rethinking personal data protection mechanisms

鍾孝宇, Chung, Hsiao Yu

Unknown Date

本文主張，隱私是公民社會的構成元素，它保障個人在社會建構的形塑之下，保有日常行為實踐的能動性，得在自我自主經驗與社會建構的來回探索之間，生成個人的主體性。這個動態的主體性發展空間，使我們得以開拓環境中的意外發現並建立心智的批判獨立性，具備如此公民特質的社會，才有能力促進自我決定、創新、人際交往互動等實踐可能性，形塑健全的公民社會。 然而，巨量資料在數位環境中，正全面影響我們日常行為實踐的模式。巨量資料以統計相關性的知識論與方法論，形成不同的洞察與價值，其以資料驅動技術所辨識出的現象模式，建立其宣稱的客觀性優勢。巨量資料脈絡下的數位技術物，不僅是日常生活的輔助工具，而毋寧是我們個人感官的延伸，其精巧的影響我們與周遭世界的關係，積極介入、給予指示、引導行為，甚至定義我們的身分，調整、調控我們的行為。作為一種知識生產與治理模式，巨量資料的監控本質對於個人或群體所加諸的權力作用，將削弱個人主體性的發展空間，進而影響健全的公民社會發展，形成新型態的、難以察覺的隱私權侵害風險。並且，本文認為，商業監控結合監控資本主義邏輯的調控治理，對於公民社會的傷害更鉅。 面臨如此的風險，本文指出作為資訊社會產物的現行個人資料保護機制，無法回應數位環境中巨量資料隱私威脅的三個因素：個人資料性質的改變、告知與同意機制的失敗、資料汙染。並在奠基於隱私權的社會價值理論之上，提出三種原則性建議：巨量資料的應用倫理、巨量資料利用的正當程序原則、社會責任與自律規範。在原則性建議以外，亦將視角拉回我國的個人資料保護機制，參考歐盟一般資料保護規則的相關立法，建議我國應盡速設置專責之資料保護監管機構，並提供具體的個人資料保護規範修法方向：創設涵蓋資料保護影響評估的資料管理機制、建置組織內部資料利用監督機制、以及創設使用者的資料可攜權。

巨量資料

演算法

隱私權

個人主體性發展空間

公民社會

監控

監控資本主義

全景敞視治理

調控治理

個人資料保護機制

GDPR

銀行國際傳輸客戶資料保護規範--以英國法為中心 / The study of the regulations on the protection of international data transfers in U.K. banks

林詩韻, Lin, Shih Yun

Unknown Date

隨著資訊技術之快速發展及受到金融交易全球化之影響，在營運模式及法令遵循之需求下，使得銀行業將客戶個人資料跨境傳輸至其他國家之公務或非公務機關所產生之資料保護或對資訊隱私權衝擊等議題漸增。為調和不同國家間對於個人資料保護文化及規範程度之差異，各國及各國際組織間均致力於如何在不影響商業交易需要、個人資料隱私安全及資訊自由流通之前提下，經由適當法律規範對於資料管理者國際傳輸個人資料之行為，予以適當控管。 隱私權之概念雖起源於美國，惟現行各國對於個人資料國際傳輸保護規範仍以歐盟委員會於1995年發布之個人資料隱私保護指令（Directive 95/46/EC）最為重要且影響層面較大。在歐盟指令仍須各會員國將其轉化為國內法，始得有效執行之前提下，本研究以金融服務產業發展較為領先之國家—英國，以英國銀行業適用之個人資料國際傳輸保護規範為研究主題，所涉法規包括：歐盟指令、英國1998年資料保護法（Data Protection Act, DPA）及英國金融服務業適用之相關規範等。 研究結果發現，英國1998年資料保護法在參照歐盟指令之相關規範下，對於資料管理者將個人資料國際傳輸已訂有相關限制規定及如何符合相關豁免規定之作業流程及評估程序，英國專責資料保護之監理機關（資訊自由及保護委員會），並已依據歐盟指令，發布規定授權英國企業得採用標準契約範本及經其個案核准採用共同約束條款，顯示英國對於國際傳輸之個人資料已有一定程度之保障。惟如同歐盟委員會之研究報告所述，英國相對於歐盟其他會員國，並未將國際傳輸規範明訂於資料保護法之本文，對於當事人資訊隱私權保護之法律位階，仍有待加強。 不同於我國係於銀行法明定銀行對客戶資料之保密義務，英國法院認為銀行對於客戶資料之保密責任，原始存在於銀行與客戶間之契約。惟英國與我國相同於金融相關法令中僅針對銀行境外委外所涉之國際傳輸訂有相關監理規範（包括境外委外事先申請核准、申請程序及應檢附之文件），以透過銀行與委外服務供應商之委外契約，確保金融監理機關能跨國有效行使其監理權限，保護當事人之權益，至於銀行因非委外事項，將客戶資料跨境傳輸至其他國家時，仍應回歸適用資料保護法有關國際傳輸之相關規定。 本研究最後就我國與英國對於個人資料國際傳輸相關保護規範之比較結果發現，我國個人資料保護法雖已於99年修正發布（新個資法），但對於國際傳輸之限制規定，修法後雖已明定國際傳輸之定義及加重非公務機關違反國際傳輸規定之罰則，惟未修正其實質規範內容，仍僅授權中央目的事業主管機關於非公務機關有第21條所列四項情形之一時，得限制其進行國際傳輸。在新個資法下，非公務機關對於個人資料之國際傳輸，已無須取得目的事業主管機關登記，並取得執照，雖有利於資料之國際流通，惟為保護當事人個人資料於傳輸後之安全，我國是否尚須其他配套措施，以落實個人資料於國際傳輸層面之保障，值得深思。 本研究對於我國銀行業國際傳輸個人資料保護規範之主要建議，包括（1）宜透過各中央目的事業主管機關對被監理機構之監理及其與相關公益團體間之合作，以強化各界對於個人資料保護之重視，（2）國際傳輸之限制規定應予細緻化，並透過產業自治逐步達成個人資料保護之目的，（3）金融監理機關宜配合個人資料保護法之修正，訂定銀行業國際傳輸之作業規範，（4）宜透過租稅合作協定，在不違反我國個人資料保護法及銀行法之原則下，協助我國金融機構解決美國「外國帳戶稅收遵從法」之實施，衍生對於個人財務資訊隱私權及跨境傳輸個人資料保護之問題。

資訊隱私權

國際傳輸

個人資料保護

標準契約範本

共同約束條款

境外委外

information privacy

international transfer

personal data protection

Standard Contractual Clauses

Binding Corporate Rules

offshore outsourcing

APEC Cross-border Privacy Rules

論網路匿名言論之保障－以身分揭露程序為中心 / A Study on the Protection of Anonymous Online Speech: Focusing on the Procedure for Disclosing the Identity of Anonymous Speakers

鍾安, Chung, An

Unknown Date

在網路世界中，人們以匿名表達意見遠比現實生活中更為容易，這件事已劇烈地改變了匿名言論的量與質。從好的面向看，匿名帶來自主，讓異議者可以透過網路匿名，表達可能永遠都不敢在眾人面前說出來的真正想法，讓觀念市場變得多元豐富；另一方面，匿名提高了追究責任的困難。相較於現實世界的言論，損害他人或構成犯罪的惡質網路匿名言論，將造成影響更深遠且永久的傷害。 　　目前，關於網路匿名言論的管制方式，世界各國政府都是仰賴「事後追懲模式」和「實名認證模式」的其中一種。前者是網路使用者原則上可以匿名地發表言論，但如果發表不當言論並造成傷害，受害者或國家可以揭露其身份以對其展開司法追訴；後者是網路使用者在張貼言論前，必須先向國家機關指定的網路業者交出個人真實身份資料以進行驗證後，才能匿名發言，或甚至完全禁止以匿名方式發言，讓網路使用者感受到被眾人監督的壓力，不敢發表不當內容。 　　本文主張，網路匿名言論是受到憲法所保障的權利，而「事後追懲模式」相較於「實名認證模式」，較能調和不同權利間的衝突。不過，儘管我國政府採取此模式，卻在設計民刑事訴訟制度時，漏未導入匿名言論權利的思考，導致網路匿名表意者一經策略性訴訟攻擊，真實身份就會立即暴露，使得匿名表意自由不過徒有虛幻表象。因此，本文建議，為落實對匿名言論自由的保護，立法者宜參考美國法，修改部分訴訟法來處理此問題。 / On the internet, people can express themselves anonymously far easier than in the physical world. This fact has dramatically changed both the quantities and qualities of anonymous speech. On the bright side, anonymity brings more autonomy. Dissenters can express their real opinions, which they might never have the courage to speak out in public. It, in turn will promote the diversity and integrity of the marketplace of ideas. Yet, anonymity also makes it more difficult to hold the speakers accountable. In addition, compared to speech in the real physical world, malicious online anonymous speech will cause more serious permanent harms. 　　Today, governments around the world are either relying on the “Ex Post Compensation and Punishment” approach or the “Real-Name Verification System” to regulate online anonymous speech. Under the former approach, internet users can express their opinions anonymously, but if the content of their speech is malicious and causes damages to other people, the victim can seek disclosure of the speaker’s identity in order to take legal actions against the speaker. In contrast, under the latter system, internet users have to provide their personal information (real identities) to the ISPs or ICPs appointed by governments and complete the verification process before they can post their words. Some real name systems go even further by banning anonymous speech completely. By making users feel like they are being supervised by the public, the real name system wishes to deter indecent contents 　　This thesis argues that online anonymous speech is protected by the Constitution, and the ‘Ex Post Compensation and Punishment’ is a preferred approach because it can better balance the conflicting rights. In Taiwan, although the government has chosen the ‘Ex Post Compensation and Punishment’ approach, current civil/criminal procedural laws and practices afford little protection to online anonymous speakers. The plaintiff, who is allegedly harmed by the anonymous speech, can easily bring a “Strategic Lawsuit,” with the sole purpose of obtaining the identity of the online anonymous speaker. Consequently, this thesis suggests that, in order to better protect the freedom of anonymous speech, the legislators of Taiwan should refer to U.S. laws and practices and revise several provisions of Taiwan’s Code of Civil Procedure and Code of Criminal Procedure.

匿名言論

資訊隱私

匿名性

網路匿名言論

網路鬆綁效應

責任

網路實名制

策略性訴訟

網路服務提供者

網路內容提供者

個人資料保護法

Anonymous Speech

Information Privacy

Anonymity

Online Anonymous Speech

Online Disinhibition Effect

Liability

Real-Name Verification System

Strategic Lawsuit

Internet Service Provider

Internet Content Provider

Personal Data Protection Act