一、歐盟法院(European Court of Justice, ECJ)近日就傳輸給第三方之「假名化(pseudonymised)」資訊是否受歐盟個資保護規則(Regulation (EU) 2018/1725)所規範及其判斷依據加以闡明,此議題經常發生在歐洲實務,特別受到醫藥或者金融、電信等領域的關注,進一步報導如後。
二、金融監管機構傳輸假名化個資案(EDPS v. SRB ; C‑413/23 P)
(一) SRB(Single Resolution Board,單一清理委員會),是歐盟銀行聯盟中協助問題銀行制定破產清理和整頓程序、維護金融秩序的機構。SRB為了解西班牙大眾銀行在清理程序中採取的處置措施對股東和債權人的影響,將所蒐集的「假名化資訊集」提供給會計顧問公司Deloitte進行評估。其後SRB受到五個個資持有者對歐洲資料保護監察局(European Data Protection Supervisor, EDPS)提出投訴,主張SRB提供在蒐集意見階段提供予利害關係者的「隱私聲明」並未告知相關資訊可能會提供予第三方(Deloitte),SRB涉及違反歐盟個資保護規則。
(二) SRB抗辯稱相關資訊集在提供予Deloitte前,已採取一系列保護個資的處置,且Deloitte亦不知悉所取得資訊的原始評論者,因此該等資訊不屬於法規規範的「個資」。SRB處理「假名化資訊集」的過程如後:
- 雖然蒐集和處理資訊之階段皆以數字及字母代碼替換各股東或債權人相關身分,且各階段處理資訊的作業人員也分開、無法僅憑該階段取得的資訊識別其來源,但SRB仍然能夠透過每一資訊的代碼將第二階段的個別評論與第一階段登記註冊時期收到的數據相互勾稽,而知悉評論者的身份。
- SRB認為保留字母數字代碼具有稽核之目的,以便在法律程序或必要時核實確認每份評論均已被處理和充分考量。但SRB並未提供可識別各評論的代碼給Deloitte。
(三) EDPS採納投訴意見,認為Deloitte屬於歐盟個資保護規則第3條所定義的假名化「個資接收方」,SRB違反規則15(1)(d)的告知義務。嗣後歐盟初審法院撤銷EDPS決定,認為Deloitte自始均無法識別相關評論意見與特定個人之關聯性,爭議資料不屬於受保護之個資,EDPS提出上訴。
(四) 歐盟法院裁決意見
1. 受到歐盟相關規則所保護的個資:判斷重點在於是否可據相關資料識別到特定自然人。只要符合前述條件,無論所涉及的資訊是客觀或主觀資訊均可涵蓋。因此,如本案涉及之「評論資料」既可反映特定個人觀點或意見,亦視為與該評論者相關的個資,並非如原審所認定,必須額外分析該資訊被蒐集或處理之內容、目的或效果。
2. 關於假名化資料是否屬於受保護的個資的判斷:
(1) 受歐盟保護的假名化個資定義及其識別:歐盟個資保護規則第3(6)條將假名化個資定義為「將個人資料透過替換識別元素,使資料本身無法直接識別當事人,但仍可透過額外資訊重新連結識別該個人」。因此,假名化的資料並非當然屬於受到保護的個資,須動態檢視具體個案資料是否可互相勾稽以識別特定自然人而定。
(2) 評估是否負有規範義務的審查視角
參與處理假名化資料者可能涉及數個主體或單位,如本案所涉的「假名化資料」包括股東及債權人提交的意見及識別代碼,僅特定單位(如本案的SRB)可識別個資持有者,因此應基於資料控制者(SRB)之視角評估,能否識別當事人,以判斷所涉資料是否為「個資」,而與後續資料傳輸或接收之第三方(如本案的Deloitte)無涉。本案中,SRB的隱私聲明未提及Deloitte為潛在接收者,就此部分則對被蒐集個資的當事人違反告知義務。
三、裁判研析
(一) 本件歐盟法院裁決凸顯「匿名化」與「假名化」資料的區別:在前者之情形,無從再以任何方式識別資料所對應的特定個人,在後者之情形,即如本案所示,僅以技術措施降低資料與其主體的關聯性,但只要資料控制者可以識別資料主體,即仍有遵循歐盟個資保護規範的義務。因此與歐盟往來企業製作的客戶問卷評論意見等資料,倘若可以合理方式識別評論意見主體,宜留意在蒐集個資的初始階段即告知可預期後續將接收資訊之第三方,以杜爭議。
(二) 延伸議題-台灣「健保資料庫釋憲案」
1. 台灣尚未有針對假名化個資蒐集與處理之具體判決,過去多聚焦於討論個資用於公益研究是否能完全去識別化。經典案例為衛福部健保署將健保資料假名化後交付國家衛生研究院建置「健保研究資料庫」,未取得民眾同意且假名化資料仍有還原風險,引發隱私權爭議。2012年間有民眾提起行政訴訟,主張拒絕健保署將所蒐集之該民眾資料釋出給第三者作為健保行政以外用途之使用,於最高行政法院為敗訴判決確定後,提出釋憲聲請。
2. 最高行政法院及憲法法庭之裁判雖認可個資法在特定條件下匿名化資料用於公益或學術研究合憲,但亦附帶表示僅以專屬代碼取代姓名與身分證字號的假名化資料,雖減少直接辨識風險,但假名化資料若仍可被識別即不符合完全去識別化標準,必須加強監管並保障當事人權益 (最高行政法院106年度判字第54號及憲法法庭111年憲判字第13號判決意旨參照),2023年12月掛牌的個資保護籌備處即是因應前述裁判而設置。隨著科技的發展,以演算法等方式將個資進行假名化處理的技術愈加精進,而金融、電信甚至醫療機構建置不完全去識別性的「假名化個資」或有其必要性,前述歐盟法院最新裁決意見或可為台灣未來實務借鏡。