大數據時代之研究分析與個資保護

為避免侵害個人的資訊隱私權，並確保個人資訊的合理利用，我國於1995年訂定《個人資料保護法》（下稱《個資法》），以規範「個人資料」的之蒐集、處理及利用。

然則，在知識經濟及大數據的時代，蒐集、處理資料的能力大幅擴增，資料經分析後，可帶來巨大效益，亦可提升關鍵競爭力。

故為兼顧個人隱私及研究分析之需，《個資法》對於以「研究」為目的之蒐集、處理及利用，已多有例外規定。包括：允許個人資料在「去識別性」（即：「資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人」）後，得以被合理使用。

此外，《個資法》對於「個人資料」之保護也分為「敏感個資」（包括：病歷、醫療、基因、性生活、健康檢查及犯罪前科）及「一般個資」而有不同之規範。

由於「敏感個資」影響個人隱私甚鉅而限制較嚴。因此，關於「敏感個資」，原則上不得蒐集、處理或利用，而僅於有限之例外情況（例如：「法律明文規定」、「公務機關執行法定職務或非公務機關履行法定義務必要範圍內，且事前或事後有適當安全維護措施」、「當事人自行公開或已合法公開」、「為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內，且事前或事後有適當安全維護措施」或「經當事人書面同意」）才可蒐集、處理或利用。

惟為因應大數據時代及學術研究之需《個資法》第6條，容許「敏感個資」可於「『公務機關』或『學術研究機構』基於醫療、衛生或犯罪預防之目的，為統計或學術研究而有必要，且資料經過提供者處理後或經蒐集者依其揭露方式『無從識別』特定之當事人」之情形下，得為蒐集、處理或利用，而不須再取得當事人之同意。

至於，「一般個資」（例如：指紋、婚姻、家庭、教育、職業等）之「蒐集」或「處理」，除需符合「特定目的」外，尚因蒐集或處理的主體是「公務機關」或「非公務機關」，而應遵守不同的規定。

若為「公務機關」，限於「執行法定職務必要範圍內」、「經當事人同意」或「對當事人權益無侵害」使得蒐集或處理。

若為「非公務機關」則需有「法律明文規定」、「與當事人有契約或類似契約之關係，且已採取適當之安全措施」、「當事人自行公開或其他已合法公開之個人資料」、「學術研究機構基於公共利益為統計或學術研究而有必要，且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人」、「經當事人同意」、「為增進公共利益所必要」或「對當事人權益無侵害」使得蒐集或處理。

至於，「一般個資」之「利用」，原則上祇要符合蒐集之特定目的必要範圍內均可。至於「特定目的」外之利用，則限於「學術研究機構基於公共利益為統計或學術研究而有必要，且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定當事人」、「法律明文規定」、「為維護國家安全或增進公共利益所必要」、「為免除當事人之生命、身體、自由或財產上之危險」、「為防止他人權益之重大危害」、「經當事人同意」、「有利於當事人之權益」之情形，始得於特定目的外利用之。

據此，公務機關若要將涉及當事人個資之公文作為史料研究利用，雖不符當年蒐集之目的，但基於學術研究之必要仍可為之。不過，仍應對資料加以處理，使其無從識別特定當事人，以免違法！