國家建置全民健康保險資料庫...

1

國家建置全民健康保險資料庫之資訊隱私保護爭議

──評最高行政法院106年度判字第54號判決

張陳弘 *

要目

壹、前言貳、背景事實

一、案例事實及法院審判歷程

二、原告主張三、法院判決

參、爭點釐清一、適用法條的決定

二、「執行法定職務必要範圍內」規定的要求

三、「誰：健保署？衛福

部？」要滿足個資去識別

化的要求？四、進一步待解的難題

肆、棘手難題與修正方法的提出

投稿日期：106年05月18日；接受刊登日期：107年06月11日 * 東吳大學法律學系兼任助理教授，美國美利堅大學華盛頓法律學院

法學博士。作者感謝兩位匿名審查人提供寶貴的審查意見，另編輯委員會提供

格式上的修正建議，提升本文的閱讀流暢性，作者於此併申謝忱。

作者特別感謝中央研究院法律學研究所106年度研究組群計畫「資

訊、監控、權力技術與民主──一個短期與中長期的研究規劃」對

於本文寫作所提供的資源挹助。

2 中原財經法學 2018年6月

186

一、「當事人同意」作為資

訊隱私保護原則的難題二、「個資去識別化」作為

資訊隱私保護方法的

難題

三、修正方法的提出四、判決難題的再分析

伍、結論

關鍵字：資訊隱私、個人資料、告知後同意原則、個資去識

別化、巨量資訊科技、全民健康保險資料庫

第四十期國家建置全民健康保險資料庫之資訊隱私保護爭議 3

187

壹、前言

資訊與通訊科技（Information and Communication Technology, ICT）發展對於資訊隱私概念的形成，總是扮演著重要角色。西

元1950年代，隨著電腦與磁碟片科技的出現，資訊儲存技術大幅

提升；而網路科技在西元1990年代的興起，更是對於資訊隱私保

護形成重大衝擊。1接續隨著數位科技的不斷創新，搭配寬頻及光

纖網路的普及建置，使得資料的儲存與傳輸，提升至一個完全不

同層次的境地。時至二十一世紀的今日，日趨成熟的無線網路科

技與行動裝置的出現，則是讓人與人間的接觸，進入一個近乎無

空間、無時間距離的新世界。近年來的巨量資訊科技發展更是對

於以健康資訊作為基礎的醫療、健康照護與醫學研究，帶來巨大

轉變，也使得巨量健康資料庫的建立，需求孔急；全民健保資料

庫便在此波浪潮下因應而生。衛生福利部（以下稱「衛福部」）

中央健康保險署（以下稱「健保署」）為了因應此波浪潮需求，

自民國87年起，著手將全國民眾之納保與就醫資料（以下稱「健

保資料」）建置「全民健康保險資料庫」，對外提供各界申請學

術研究使用。

八名原告分別於民國101年5月及6月間，向健保署要求不得

將其所蒐集之原告健保資料釋出給第三者，用於健保相關業務以

外之目的。原告請求遭健保署拒絕後，依序提起行政爭訟，於民

國106年1月25日遭最高行政法院判決敗訴定讞。本案來回歷經四

個法院審判，對於所適用的個人資料保護法（以下稱「個資

法」）第6條第1項但書第4款及第16條但書第5款規定（以下稱

1 See DANIEL J. SOLOVE, THE DIGITAL PERSON: TECHNOLOGY AND

PRIVACY IN THE INFORMATION AGE 44-47 (2004).


188

「系爭條文」），原告與法院間有下列歧異點始終無法取得共

識：1.第16條但書第5款關於「執行法定職務」之要求，得否僅援

引「組織法」規定作為授權依據；2.系爭條文的個資去識別化要

求，是否應由健保署在轉出個資前執行；3.系爭條文的個資去識

別化要求強度之標準為何；4.是否允許原告主張事後退出權，制

止健保署對其健保個資的繼續使用。2

在資通訊科技不斷變革的影響下，雖然使得以當事人自主選

擇為核心的告知後同意原則，在保護資訊隱私的效果上，顯得左

支右絀，但仍不應本末倒置地輕易放棄以告知後同意作為資訊隱

私保護的主要方式。本文主張，藉由告知方式的改善及當事人同

意模式的修正，應可有效因應新興科技對於當事人同意作為資訊

隱私保護原則的衝擊。當然，我們也必須面對告知後同意原則對

於資訊隱私保護與公益追求的調和極限。此際，有別於告知後同

意原則的另一種利益權衡機制──個資的去識別化，就扮演重要

角色。惟去識別化手段，也因為資訊科技的不斷精進（再識別化

可能的提升），使得個資去識別化的滿足，益發困難。

本件判決正反映了科技發展對於當事人同意制度與個資去識

別化標準的衝擊影響。本文乃藉由此判決作為思考的起點，提出

多面向利益的資訊隱私保護概念，以操作當事人同意模式的選擇

與個資去識別性的要求，希冀能以此基礎作為因應巨量資訊科技

所形成的健康隱私保護問題，並能為日後政府在修法或執法時提

2 關於案例背景事實及相關爭點整理，詳參內文「貳」說明。另關於

「1、2」爭點，本文於內文「參」說明贊同原告主張的理由，但與

原告論證理由存有差異。至於「3、4」歧異點部分，則是本文認為

屬本案關鍵且困難處理之爭點，置於內文「肆」為進一步分析說

明。


189

供參考方向。

貳、背景事實

一、案例事實及法院審判歷程「衛生署中央健康保險局」，因辦理全民健康保險業務，擁

有全國民眾之納保與就醫資料。3嗣後健保局因配合中央政府組織

修編，於民國102年7月23日更名為衛福部健保署。

自民國87年起，健保署為從事醫藥衛生研究，增進國人健康

福祉，乃將全國民眾之納保與就醫資料交付財團法人國家衛生研

究院（以下稱「國衛院」），4委託國衛院建置「全民健康保險資

料庫」，並自民國89年起正式對外提供各界申請學術研究使用。5

此外，衛福部依行政院通過之「國民健康資訊建設計畫」，6

3 全民健保自民國84年開辦起至民國104年正好滿20年；目前納保率

已達99.9%，醫療院所特約率亦高達93%。參閱BiBi（2015），幸

福與健康的守護者全民健保20歲了！，全民健康保險雙月刊，第

114期，頁9，http://www.nhi.gov.tw/epaper/ItemDetail.aspx?DataID= 4030&IsWebData=0&ItemTypeID=3&PapersID=359&PicID= （ 2018/ 04/09，造訪）。

4 關於國衛院之建置，參閱國家衛生研究院院史，國家衛生研究院網

站，http://www.nhri.org.tw/NHRI_WEB/nhriw001Action.do?status= Show_Data&uid=20081121664354450000（2018/01/05，造訪）。

5 參閱臺北高等行政法院102年度訴字第36號判決（以下稱「北高行

102訴36」）旁碼289-296（司法院法學資料檢索系統，http://jirs. judicial.gov.tw/Index.htm，以下同）。

6 「國民健康資訊建設計畫」為延續及擴展行政院衛生署配合行政院

所推動「數位台灣」（e-Taiwan）計畫，希望建設新一代的健康資

訊基礎建設，讓國民可以得到自己的健康資訊，並促使臺灣衛生醫

療業界能持續保有醫療資訊科技應用之領先優勢。參閱經建會新聞

稿歷史資料區，國家發展委員會網站， https://www.ndc.gov.tw/


190

為推動健康資料加值應用，以加強統計支援決策功能，並增進學

術研究能量，於民國98年3月1日成立「健康資料加值應用協作中

心（以下稱『協作中心』）」（現隸屬於衛福部統計處下），並

於民國100年2月1日開始對外營運。7其建置目標主要係為將所蒐

集之健康資料，於去識別化後，提供一平台予政府機關及學術單

位予以加值利用，以產生具應用價值之集體資訊，用以促進公共

衛生決策品質及相關學術研究之統計應用，進而增進公共利益與

全民福祉等。在保障個人健康隱私，促進健康資訊共享，減少資

源重複投入的核心價值下，健保署乃將健保資料交付協作中心處

理，以供各界申請使用，期能達到健康資訊共享的目標。8

八名原告分別於民國101年5月及6月間，向健保署表示，拒

絕健保署將其所蒐集之原告個人健保資料釋出給第三者，用於健

保相關業務以外之目的。健保署於同年6月及7月間，分別回覆拒

絕原告之請求；原告等不服，提起訴願，均遭駁回，9遂以健保署

為被告，向臺北高等行政法院（以下稱「北高行」）提起行政訴

訟。10

News_Content.aspx?n=B750418C4DC9C700&sms=D7712D76E0354F54&s=136018DBF911C2CF（2018/04/09，造訪）。

7 於民國104年5月5日更名為「衛生福利資料統計應用中心」；再於

民國104年8月12日更名為「衛生福利資料科學中心」。衛生福利資

料科學中心網站， http://dep.mohw.gov.tw/DOS/np-2497-113.html （2018/01/05，造訪）。

8 參閱衛生福利資料科學中心之成立緣由說明，http://dep.mohw.gov. tw/DOS/cp-2499-3562-113.html（2018/01/05，造訪）。

9 衛生署（101）年衛署訴字第1010016763號、第1010016814號、第

1010022837號、第1010022838號、第1010022839號、第1010022840號、第1010022841號及衛生署（101）年衛署訴字第1010019044號訴願決定。

10 前揭註5，旁碼48-63。


191

北高行102年度訴字第36號判決（民國103年5月14日）駁回

原告之訴。原告上訴至最高行政法院（以下稱「最高行」）。最

高行廢棄原判決（最高行103年度判字第600號判決，民國103年11月13日），發回北高行更審，惟廢棄理由主要為新、舊個人資

料保護法適用選擇違法問題，而不涉原審判決的實體理由審查。

北高行於民國105年5月19日做成更一審判決（北高行103年度訴

更一字第120號判決），仍維持駁回原告之訴的決定。原告繼續

上訴至最高行。最高行做成駁回上訴判決（最高行106年度判字

第54號判決，民國106年1月25日），至此原告敗訴定讞。

以下進一步整理原告於北高行的更一審訴訟與就更一審判決

上訴至最高行之訴訟主張，以及北高行更審判決及最高行定讞判

決之主要理由。

二、原告主張

（一）於北高行更審訴訟之主張原告於北高行的更審訴訟中主張：

1. 本案應適用法條──個資法第6條、第15條、第16條本案所涉及之原告健保資料，屬於原告之病歷與醫療的敏感

性個人資料，其蒐集、處理，應同時滿足個資法第6條與第15條之規定；其利用亦須同時符合個資法第6條與第16條之要求。本

案之健保署將所蒐集之原告健保資料釋出給第三者衛福部、國衛

院及協作中心之行為，屬逾越資料原始蒐集目的外之再利用，須

同時符合個資法第6條與第16條之要求。11

11 參閱臺北高等行政法院103年度訴更一字第120號判決（以下稱「北

高行103訴更一120」）旁碼68-89。


192

2. 健保署將健保個資交付衛福部，非屬健保署執行法定職務必要範圍內之行為

個資法第16條雖允許在但書規定之情形下，得對蒐集而得之

個資為目的外利用行為，但仍應於符合同條項本文規定「應於執

行法定職務必要範圍內為之」的要求。然而，參與「國民健康資

訊建設計畫」並非健保署的法定職務。甚且，亦未見健保署說明

自民國87年起建置的全民健保資料庫，對於全民健保制度改革，

有何具體貢獻。12

3. 未符合個資法第6條第1項但書第4款及第16條但書第5款之個資去識別化要求

（1）健保署交付健保個資予衛福部時，並未滿足去識別化

個資要求本案依個資法第6條第1項但書第4款及第16條但書第5款規

定，公務機關或學術研究機構基於醫療、衛生或犯罪預防之目

的，為統計或學術研究而有必要時，經「資料提供者」處理後隱

藏特定個人識別，或經「資料蒐集者」揭露時隱藏特定個人識

別，得對該個資進行目的外利用行為。同時作為資料提供者與蒐

集者之健保署，對於原告之健保個資為目的外利用行為（將個資

交付衛福部之行為）時，應滿足個資去識別化要求。惟健保署將

健保資料提供衛福部之當下，個資尚未滿足去識別化個人之要

求，違反個資法第6條第1項但書第4款及第16條但書第5款規

定。13

12 前揭註，旁碼90-108。 13 前揭註，旁碼131-150。


193

（2）衛福部所稱之「加密」，並未滿足去識別化特定個人

之要求判斷資料是否「無從識別特定當事人」，至少應從三個面向

為之：標定可能性、連結性、推論性。倘特定個人之資料可以從

資料庫眾多資料中被標定，或者可將同屬一特定個人之資料在相

同或不同之資料庫間相互連結，或者足以提供作為推論與該特定

個人有關之新資訊，則該等資料仍屬「可識別之資料」。參加人

衛福部所為之加密處理，不僅仍允許健保資料內之串連，也允許

與其他資料庫之資料進行串接比對，進而推論出與特定個人有關

之新資訊。故充其量僅為以一組特定之亂碼取代個人身分證字號

的「假名化」處理，而非真正「無從識別特定當事人」之「去識

別化」，並不符合新個資法第6條第1項但書第4款與第16條但書

第5款「無從識別特定當事人」之要求。14

4. 縱使認為健保署的目的外利用行為合法，原告仍得基

於資訊自主權，依個資法第11條第3項規定，「事後」

請求停止原蒐集目的外之再利用個資法第16條但書第5款規定，雖可作為限制當事人「事前

同意」之法律基礎，卻不是可以作為直接限制第11條第3項規定

「事後停止請求權」之依據。申言之，健保署若欲進一步限制原

告之「事後停止請求權」的行使，應負有舉證義務，證明其採行

全面限制自主權之手段，符合憲法比例原則要求，而非謂其目的

外利用符合新個資法第16條但書第5款規定即為已足。而健保署

以「不允許原告事後退出」之手段，將原告個人之健保資料提供

予參加人衛福部，進行目的外利用，並非達成一般學術研究之必

要手段，已牴觸比例原則下之「最小侵害原則」，違反憲法比例

14 前揭註，旁碼151-175。


194

原則與正當合理關聯性之限制。15

（二）就更審判決上訴最高行之主張原告（上訴人）就北高行更審判決上訴的理由主張，除了維

持更審訴訟中的理由主張外，另強調：

1. 更審法院以組織法之執掌作為健保署利用健保資料建

立資料庫的法律依據，混淆了作用法授權的法律保留

原則要求更審法院直接以健保署之組織法規定，充作公務機關限制個

人資訊自主權之「法定職務」依據，已違背行政法基本原則與司

法院釋字第535號解釋「行政機關行使職權，固不應僅以組織法

有無相關執掌規定為準，更應以行為法（作用法）之授權為依

據，始符合依法行政之原則」之意旨。因此，更審法院將健保署

組織法第2條第5款、第8款規定，視為健保署將原告之健保個資

提供予衛福部建置資料庫之「法定職務」依據，不但解釋、適用

個資法第16條明顯不當，更混淆「組織法、作用法」應予明確區

隔之行政基本原則與司法院解釋，判決自屬當然違背法令。16

2. 更審法院以福利部事後之個資再揭露行為時，作為判

斷個資是否已達去識別化要求的基準時點，顯有理由

矛盾與適用法規不當更審法院肯認衛福部（而非健保署）的加密行為符合個資法

第16條但書第5款規定要求。原告批評此見解無異於允許二次利

用的「資料接收者（衛福部）」以其單方作為，免除「原始蒐集

15 前揭註，旁碼109-130。 16 參閱最高行政法院106年度判字第54號判決（以下稱「最高行106判

54」）旁碼805-830。


195

者（健保署）」原應負有使「資料接收者」無從自其所接收之資

料直接或間接識別特定個人的擔保責任。此與更審法院先前所謂

個人資料是否不再具有識別性，「應以資料接收者之角度判別揭

露之資料是否具有直接或間接識別之可能」的見解，背道而馳。17

3. 不符合個資法第16條第5款「基於公共利益」要件之要求

原告強調健保署並未證明其將健保資料釋出予衛福部及國衛

院之目的外利用行為，確實適合且有助於公共利益之實現；研究

者發表研究成果刊登在學術期刊上，並無法直接等同於實現公共

利益。故並不符合個資法第16條第1項第5款規定「基於公共利

益」之要件。18

三、法院判決北高行更審判決及最高行定讞判決的主要理由整理如下：

（一）新、舊個資法適用爭議及個資法適用法條的決定

1. 新、舊個資法適用爭議原一審（北高行102訴36）判決關於新、舊個資法適用爭

議，19隨著個資法第6條於民國104年12月30日再次修正公布，並

於民國105年3月15日施行後，有所改變。本件原告訴請健保署就

其等之申請，應作成准予停止將原告之個人健保資料提供予國衛

院及衛福部建置資料庫中心作為學術或商業利用之行政處分，係

17 前揭註，旁碼858-904。 18 前揭註，旁碼80-99。 19 前揭註5，旁碼415-481。


196

屬課予義務訴訟，有關法律修正之適用問題，應以行政法院事實

審言詞辯論終結時為基準時（民國105年4月21日辯論終結），故

本案應適用新個資法。20

2. 適用法條的決定──第6條？或第16條？抑或合併適用

第6條及第16條？北高行更審法院認為，原告所爭執者乃健保署對其健保個資

的目的外利用行為，故應適用個資法第16條規範。另由於健保個

資屬第6條規範的敏感性個資，故亦應受第6條規範。

最高行認為個資法漏未規範不同機關間的個資流通行為，形

成法律漏洞；健保署作為「資料提供者」，其提供健保個資予衛

福部的行為，類似於資料的「利用」行為，故應「類推適用」第

16條的資料利用規定。21另最高行沒有特別討論第6條規定的適

20 前揭註11，旁碼410-427；吳庚，行政爭訟法論，頁277，自版，6

版（2012）。 21 參閱前揭註16，旁碼1303-1362。首先本文並不甚理解為何最高行

主張個資法漏未規範不同機關間的個資流通行為會形成法律漏洞。

個資法若未特別規範機關間的個資流通行為，那就應視各機關的個

資使用行為性質，適用對應的個資法規定。就本案言，健保署將已

蒐集而得之個資提供予衛福部，屬個資的利用行為；衛福部向健保

署索取健保個資的行為屬個資的間接蒐集行為；衛福部將健保個資

提供予第三人申請使用，屬個資的利用（揭露）行為。健保署與衛

福部的這些個資蒐集、使用行為之規範，乃直接適用相對應的個資

法規定，而無類推適用的需求。學者詹鎮榮亦主張，機關間個人資

料之傳遞實由「傳遞機關之個人資料利用行為」及「接收機關之個

人資料蒐集行為」共組而成之一種複數機關集合式資料對待行為。

臺灣個資法因未特別針對機關間外部個人資料傳遞定有專屬條文規

範，故機關間個資傳遞應就「傳送機關之利用資料」以及「接受機

關之蒐集資料」面向，分別適用第16條及第15條規定，以評價其合

法性。參閱詹鎮榮，公務機關間個人資料之傳遞──以臺灣桃園地

方法院行政訴訟102年度簡字第2號判決出發，法學叢刊，第60卷第


197

用，亦未交代未討論的理由。22

（二）第6條第1項但書第4款及第16條但書第5款規定的適用檢驗

1. 屬健保署執行法定職務必要範圍內北高行更審判決認為，依據健保署組織法第1條規定，與第2

條第5款及第8款規定，可知全民健康保險醫療服務審查業務與醫

療品質提升業務之研擬、規劃及執行，與其他有關全民健康保險

業務事項，屬健保署之掌理事項。因此國內全民健保相關研究之

促進、醫療衛生發展之提升等，自屬健保署之職掌。故健保署將

原告之個人健保資料提供予國衛院及衛福部，尚在健保署法令職

掌必要範圍內為之。23

至於原告指謫更審判決錯誤地以組織法規定取代作用法授權

要求的主張，最高行回應認為，個資法第16條規定，明顯有以組

織法執掌規範，作為劃定權限之規範依據。故上訴人主張健保署

1期，頁10、16-17（2015）。其次，最高行於判決文中先言及：對資料提供者（健保署）而言，

對衛福部提供資料，類似於資料之利用；緊接者於文後卻又說：健

保署將健保個資交付衛福部建立資料庫之行為，其實不是「利用」

行為，而是「處理」行為，只是類推適用個資法第16條規定。兩段

文字論述似有矛盾之處。參閱前揭註16，旁碼1303-1398。 22 就此，應有兩種解釋可能：第一種可能乃因第6條第1項但書第4款

與第16條但書第5款規定內容相同，任擇一適用即可；惟若秉此理

由，理應優先適用第6條之特別規定，而非第16條的一般性規定。

另一種解釋可能，係因第6條規定未規範特種資料的目的外利用行

為，故本案健保署的目的外利用行為，就回歸適用一般性規定之第

16條。然而，第6條規定既未區分目的內、外之利用行為，自應一

體適用，而非排除目的外利用行為的適用。 23 前揭註11，旁碼662-669。


198

必須另有作用法的授權才能交付個資的主張，自非可採。24

2. 公共利益要求的回應：健保署利用原告健保個資具備

公共利益且符合比例原則要求北高行更審法院認為，健保資料庫之建置係為學術研究之目

的，且具公共利益，至為明確。此外，健保署就所掌「健保資

料」為利用前均已經層層加密程序而使該資料無從識別特定之當

事人，對於當事人之隱私已有相當保障，故已依侵害最小之手段

達成行政目的，符合「必要性原則」要求，且所欲追求之公益遠

大於個資之保護私益，亦符合狹義比例原則要求。25

最高行則寥寥數語言及，臺灣地區全體國民之身體、健康、

疾病及就醫等宏觀資料，對健康政策之擬定，與疾病之預防與治

療均有重大意義，此等資料之處理具有「重大公益目的」實甚明

確。26

3. 個資去識別化要求的回應

（1）北高行更審判決健保署提供衛福部及國衛院之原告健保個資，經過處理後其

揭露方式已符合個資法施行細則第17條之規定而無從識別特定之

當事人，主要理由如下：27

A. 去識別化程度之整體風險影響評估──決定去識別化程度

的因子公務機關控管去識別化程度，應進行整體風險影響評估，綜

24 前揭註16，旁碼1392-1398。 25 前揭註11，旁碼718-786。 26 前揭註16，旁碼1377-1380。 27 前揭註11，旁碼787-1000。


199

合考量個人資料類型、敏感性程度、對外提供資料之方式、引發

他人重新識別之意圖等因素，判斷去識別化之技術類型或程度。

B. 應以「資料接收者」之角度判別個資是否滿足去識別化

之要求──判斷識別化程度的主體個人資料經去識別化處理後，是否無從辨識該特定個人，應

以「資料接收者或使用者」之角度判別揭露之資料是否具有直接

或間接識別之可能。雖然資料保有者仍保有代碼、原始識別資料

對照表，或解密工具而得還原為識別資料，但只要原資料保有者

並未將對照表或解密方法等連結工具提供給資料使用者，該釋出

之資料無法透過與其他公眾可得之資料對照、組合、連結而識別

出特定個人時，該釋出之資料即屬無法「直接或間接」識別之資

料而達法律規定去識別化之程度。

C. 健保署提供國衛院所建置「全民健康保險研究資料庫」

之個資，符合去識別化要求健保署就原始蒐集之健保個資，經進行三層加密措施，28且

建構防止資料外流之處理程序，已無從識別特定當事人，自合於

個資法第6條第1項但書第4款及第16條但書第5款之去識別化要件

要求。

28 第一層加密：個資由各醫療院所進入健保署倉儲資料庫時，去除個

人資料中之姓名，並將個人資料中之病患身分、醫師身分、藥師身

分、醫事機構代碼等欄位資料以加密程式將特定欄位作變造；第二

層加密：經第一層加密之個資由健保署倉儲資料庫取出交付國衛院

時進行再加密動作；第三層加密：國衛院將第二層加密個資對外提

供時，將原始資料的身分代碼長度從原來之10碼變為32碼。參閱前

揭註11，旁碼831-844。


200

D. 健保署提供衛福部所建置「衛生福利資料科學中心」之

個資，符合去識別化要求衛福部訂有「衛生福利部健康資料加值應用協作中心健康資

料庫建置及使用作業規範」、「衛生福利部健康資料加值應用協

作中心獨立作業區作業規範」及「獨立作業區使用人員注意事

項」，管理資料申請及處理過程，以確保個人資料不致外洩，有

效防止資料再識別特定當事人之可能，自合於個資法第6條第1項

但書第4款及第16條但書第5款之去識別化要件。

E. 更審法院就原告主張個資尚可識別化的回應原告雖主張衛福部及國衛院所建置之資料庫中的健康個資，

仍有間接識別特定個人之可能。惟查原告的識別方法，乃係原告

在已知悉特定個人之身分的前提下，經輸入業已得知之資料以進

行確認之程序。此與一般社會大眾在未事先知悉特定人身分之情

況下，經由揭露方式無從識別出特定個人隱私暴露之情形有異。

況且，原告此一識別特定個人的方式，亦與現行衛福部及國衛院

就資料庫的作業及管理方式不符。以衛福部衛生福利資料科學中

心使用資料注意事項所示為例，該中心之作業方式原則上所申請

之檔案欄位均應事先審核是否與申請目的相符並加密，事實上亦

不允許申請者以特定個人之部分身分資料檔案進行檔案間之搜尋

連結。

F. 更審法院就原告主張去識別化行為非健保署所為，不符

個資法第16條規定的回應按個資法第16條第5款及第6條第1項第4款所規定「資料經過

提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人」

等語，乃指「經提供者處理後」或「經蒐集者依其揭露方式」二

者「擇一」達到無從識別特定之當事人即可，而非指需「併同」


201

達到無從識別特定之當事人，此參上開規定為「或」而非「及」

即明。由於衛福部作為健保個資的間接蒐集人，其揭露者為已去

識別化之個資，符合上開規定要求「蒐集者依其揭露方式無從識

別特定之當事人」之要件。甚且，現行加密作業方式已改為由衛

福部派專人至健保署執行加密作業，再攜回加密之資料，原始資

料自始均未曾離開健保署，加密後之資料並由衛福部依相關作業

及管理規定進行控管，事前事後均已採取適當之安全維護措施，

自符合規定「資料經過蒐集者依其揭露方式無從識別特定之當事

人」之要件。

（2）最高行定讞判決最高行主張，資料庫內容所能適用之實證研究領域，執掌視

野較大的公務部門較有認識可能性，因此下級機關之健保署將健

保資料交給其上級機關衛福部去建置或改良資料庫，目的只是在

追求資料的更高效率使用，並未改變對於健保個資的處理、利用

狀態。29另最高行認為本案的去識別化作業模式，雖尚不足以達

到「完全切斷」資料內容與特定主體間之「連結線索」之程度，

因衛福部也有「還原」個資的能力。不過，因解密鑰匙非衛福部

任何成員皆有，故個資的可識別性已大幅降低。至於上訴人（原

告）於上訴意旨中對「去識別化」之實證效用強度要求，則已超

過「去識別化」作業之設置目的，而非可採。30

29 參閱前揭註16，旁碼1490-1520。最高行此一態度彷彿主張，健保

資料庫建置這件事，是由衛福部（也屬衛福部的法定職權範圍）與

健保署共同來做的，因此，只要最終能滿足個資去識別化的要求即

可，至於是誰完成的，並非重點；甚至於由衛福部來做，會讓資料

得到更高的使用效率。 30 前揭註16，旁碼1423-1468。


202

（三）健保署將「未完全去識別的個資」交付衛福部建置資料庫，無違比例原則

最高行認為，比例原則在實務上之操作，以「目的給定」為

其前提。大型資料庫之建置，對量化之實證研究極其重要，而且

資料越全面，利用潛能越高（容許自由資料之自由退出，容易造

成取樣偏誤，至少有此可能性）。另外，資料庫內容所能適用之

實證研究領域，職掌視野較大之公務部門亦較有認識可能性，健

保署將資料交給衛福部建置（甚或是改良）資料庫，目的在追求

資料之更高使用效率。此項「高使用效率之追求」才是本案資料

「處理」（甚或是「利用」）之給定目的。在此「給定」目的

下，如果能夠「去識別化」，即無比例原則下「必要性」要件之

違反，故上訴人此部分主張顯非有據。31

（四）原告事後退出權主張的回應

1. 北高行更審判決──「事前同意權」與「事後排除權」

為一體之兩面基於個人資訊隱私權並非絕對權利，立法者自得在保障個人

資料之隱私，以及合理利用個人資料之平衡考量下，限制個人資

訊隱私權。因此，原告雖主張資訊自主權有事前與事後控制權，

然就權利本質而言，兩者應屬一體之兩面，法律既已限制事前同

意權，亦應同時限制事後排除權，否則被告得不經個人同意利用

其資料，個人卻能任意行使排除權，則法律所欲達到合理利用個

人資料、增進公共利益之目的顯無以達成，如此一來，個人資訊

自決權反成絕對權利，當非立法本旨。32

31 前揭註16，旁碼1521-1556。 32 前揭註11，旁碼1001-1030。


203

2. 最高行定讞判決──「事前同意權」與「事後排除權」

雖非一體之兩面，但拒絕上訴人事後排除權的行使，並無違比例原則要求

最高行同意上訴人（原告）提出之法律論點，即個人對自身

資訊公開之「事前同意權」，與其後來要除去已公開資訊之「事

後排除權」，並非如更審判決所言為一體之兩面。因為從新個資

法將「蒐集及處理」、與「利用」分開規範的架構觀之，即可知

悉，新個資法要求執法者「在資料蒐集、處理及利用之每一階

段」，均應重新評估「是否有對個人資訊隱私權提供足夠之保

障。然而，最高行認為健保署拒絕上訴人事後排除權的行使，並

無違比例原則要求，主要理由為：個人資料涉及個人資訊隱私

權，因此與建立資料庫所形成之公共利益有相衝突之現象，協調

化解此等「公、私益衝突」現象最有效率之手段，即是個人資料

之「去識別化」。就本案言，或許個資之去識別化作業尚有漏

洞，但依前所述，識別作用實際上已大幅度降低。33

參、爭點釐清

一、適用法條的決定本案中蒐集、處理、利用原告健保個資的組織有健保署（被

告）、國衛院（參加人），及衛福部（參加人）；而國衛院係接

受健保署委託進行個資的利用行為。各組織的個資蒐集、使用行

為，可進一步說明如下：

（一）健保署基於執行其負責的全民健保業務而蒐集、處

理、利用健保個資的行為，應受個資法第15條及第16條本文規

33 前揭註16，旁碼1563-1609。


204

範；且由於健保個資屬敏感性個資，亦須適用第6條第1項規範。

（二）健保署就已蒐集而得之健保個資進行原蒐集目的外的

利用行為，即委託國衛院，以及將個資交付衛福部，建立健保資

料庫，提供統計或學術研究之行為，應適用個資法第16條但書之

規範；且由於健保個資屬敏感性個資，亦須適用第6條第1項規

範。

（三）衛福部基於建立健保資料庫以提供統計或學術研究之

目的，向健保署蒐集，並處理、利用健保個資之行為，應受個資

法第15條及第16條本文規範；且由於健保個資屬敏感性個資，亦

須適用第6條第1項規範。

由於本案原告所爭執者乃上述第（二）種情況：健保署委託

國衛院建立健保資料庫之行為，及交付健保個資予衛福部之行

為。兩者所應適用法條皆為：第6條第1項但書（第4款）及第16條但書（第5款）的目的外利用規定。兩款規定的主要差異在於：

1. 第16條第5款規定公務機關得基於「公共利益」為統計或

學術研究而有必要，對已蒐集而得之個資為目的外利用；而第6條第1項第4款規定則將「公共利益」的範圍限縮於「基於醫療、

衛生或犯罪預防之目的」。

2. 第6條第1項第4款規定，雖藉由限縮「公共利益」範圍以

強化敏感性個資的保護，但相較於第16條第5款規定，卻減少了

公務機關「執行法定職務必要範圍內」之要件要求。

因此，對於健保署此目的外利用原告健康個資的行為，若僅

適用第6條第1項第4款規定，會少掉了「執行法定職務必要範圍

內」的要件要求；而若僅適用第16條第5款規定，雖然公共利益


205

範圍未被限縮，但由於第6條第1項第4款所限縮的「醫療、衛

生」公益目的，應可為健保署「執行法定職務必要範圍內」的檢

驗程序所含括，因健保署的法定職務行使乃係為了醫療、衛生目

的所為。亦即，就本案言，適用第16條第5款規定可含括第6條第

1項第4款規定的適用要求，但若僅適用第6條第1項第4款規定，

則無法含括第16條第5款的「執行法定職務必要範圍」要求。因

此，不論是北高行合併適用第6條第1項第4款及第16條第5款，或

最高行僅適用第16條第5款，應檢驗個資法的規範要求內涵，無

甚差異。

二、「執行法定職務必要範圍內」規定的要求原告與法院就個資法第16條但書第5款之「執行法定職務必

要範圍內」規定的解釋歧見，可藉由下述分析步驟進一步說明：

按個資法第1條規定之立法目的觀之，本法既為規範個人資

料之蒐集、處理及利用，以避免人格權受侵害，並促進個人資料

之合理利用而設，對於公務機關而言，自應具有基本的作用法授

權性質。以個資法第16條規定為例，設定了公務機關可以合法利

用已蒐集而得個資的合法性要件（合法性授權）：1.目的內利用

之要件：執行法定職務必要範圍內＋與蒐集之特定目的相符；2.目的外利用之要件：執行法定職務必要範圍內＋但書的各款事由

之一。

然而，個資法只是授權公務機關當其可以蒐集、處理、利用

個資時，得在符合個資法規定下為之，但公務機關可不可以蒐

集、處理、利用個資，需要獲得另外一個法律的授權。就此授

權，法院認為授予公務機關法定職權的組織法規定即可，而原告

主張只有組織法規定並不足夠，還必須另外有一個作用法的授


206

權。舉例來說，公務機關向特定人員蒐集尿液，除了必須是為了

執行法定職權（組織法規定），以及須符合個資法第15條規定的

合法性要求：「執行法定職務必要範圍內、經當事人同意，或對

當事人權益無侵害」以外，尚須具備如像「毒品危害防制條例」

第33條第1項規定（作用法）的授權：「為防制毒品氾濫，主管

機關對於所屬或監督之特定人員於必要時，得要求其接受採驗尿

液，受要求之人不得拒絕；拒絕接受採驗者，並得拘束其身體行

之。」此例中的毒品危害防制條例第33條第1項規定是否需要存

在，即為原告與法院的歧見所在。

以下可以依據雙方的主張繼續延伸說明。倘若依據原告見

解，那麼會產生的合法性控管要求是：縱使在符合個資法規定

下，公務機關基於執行法定職務必要，需要蒐集、處理、利用個

資，仍必須有另外一個法律規定授權公務機關可以這麼做，縱使

公務機關已經對欲使用的個資進行一定程度的去識別化處理。這

樣的解釋結果恐怕會對於公務機關的法定職權行使，形成過大障

礙。

此外，原告的主張，在個資法規範體系下，會產生一個不甚

合理的解釋結果。個資法第16條規定設定公務機關可以合法地目

的外利用已蒐集而得個資的要件為：「執行法定職務必要範圍

內」加上「但書的各款事由之一」，而但書第1款規定為「法律

明文規定」。若按照原告主張，則「法律明文規定（作用法授

權）」不應只是「擇一」的合法事由，而應該如「執行法定職務

必要範圍內」一樣，為「必備要件」要求。

但另方面言，倘若依據法院見解，公務機關只要在符合個資

法規定下就可以合法地蒐集、處理、利用個資，是否會產生控管


207

不足的缺點。畢竟個資法用作控制公務機關發動蒐集、處理、利

用個資行為閥門的「執行法定職務必要」要件，其範圍過於空

泛，實質上可能喪失控制效果。

本文目前傾向一種折衷主張：若公務機關蒐集、處理、利用

的個資為個資法第6條規定的特種個資（有關病歷、醫療、基

因、性生活、健康檢查及犯罪前科之個人資料），除了須符合公

務機關的組織法職權及個資法規定外，尚須具備另一作用法授

權，始得為之；而為了明確起見，應將此要求明訂入個資法規範

中，例如將第6條第1項第2款規定修改為：「公務機關『依法』

執行法定職務或非公務機關履行法定義務必要範圍內，且事前或

事後有適當安全維護措施。」或將同條項第4款規定修改為：

「公務機關『依法執行法定職務』或學術研究機構基於醫療、衛

生或犯罪預防之目的。」倘若公務機關蒐集、處理、利用的個資

性質，非屬個資法第6條規定的特種個資，在適用較為寬鬆的法

律保留原則要求下，個資法規定應可充作公務機關職權行使的作

用法授權。至於因此對於公務機關蒐集、處理、利用個資行為控

管過於寬鬆之弊，可藉由強化個資法要件之執行法定職務的「必

要範圍內」的解釋為改善。亦即，縱使公務機關對於個資的利用

行為與執行其法定職務相關，但若該法定職務的執行，並非一定

需求該個資的利用方得為之，則不符合必要性要件要求，而不合

法。34

34 法務部（105）年法律字第10503516850號函（節錄）：「四、又按

個資法第8條第2項第2款規定：『有下列情形之一者，得免為前項

之告知：⋯⋯。二、個人資料之蒐集係公務機關執行法定職務或非

公務機關履行法定義務所必要。』其中所稱『執行法定職務所必

要』，係指公務機關如不為個人資料之蒐集，將無法執行包含依法

律、法律授權之命令所定之職務。」由於該字號函釋網址連結並不


208

若循本文見解，本案健保署利用的個資種類屬第6條規範的

「特種個資（病歷、醫療個資）」，故將原告健保個資交予衛福

部的個資目的外利用行為，須另具備其他作用法的授權，而不得

僅仰賴健保署組織法所授予的法定職權及個資法授權。法院見解

應予修正。

三、「誰：健保署？衛福部？」要滿足個資去識別化的要求？對於究竟應由健保署或衛福部執行個資的去識別化要求，法

務部函釋見解與法院見解一致。法務部法律字第10503510730號函認為，個資法第6條第1項但書第4款或第16條但書第5款關於執

行去識別化的主體之要求為：資料經過「提供者」將直接識別個

人資料加工處理成為間接識別個人資料，提供給學術研究機構進

行彙整統計分析，嗣「該機構」再以無從識別特定當事人之方式

為研究成果之發表，即為適法之特定目的外利用。35申言之，縱

使「提供者（本案之健保署或衛福部）」尚未滿足去識別化要

求，但只要申請使用者最終揭露該個資時是無從識別特定當事人

的狀態即可。

整言之，就第6條第1項但書第4款與第16條但書第5款規定關

於「經蒐集者依『其』揭露方式」的解釋，法院與法務部見解認

為「其」指的是「蒐集者（本案為衛福部）」，但原告主張「其」

指的是「提供者（本案為健保署）」。

穩定，本文遂不黏貼該函釋直接連結網址，而改附以法務部函釋查

詢網址：http://mojlaw.moj.gov.tw/LawQuery.aspx（2018/04/09，造

訪），請自行輸入函釋字號查詢（本文以下所引用之法務部函釋，

皆同此查詢方式，茲不複述）。 35 法務部（105）年法律字第10503510730號函。


209

本文主張，到底是「誰」應該要滿足個資去識別化的要求，

應該回到所適用法條的規範要求討論。上開規定的基本精神乃在

要求個資的目的外利用行為，必須是在個資去識別化的情形下進

行，因此，「誰」若要對個資為目的外利用行為，「誰」就要負

擔個資去識別化的義務。在本案，為目的外利用行為的主體是健

保署，去識別化要求的規範主體自然應為健保署；健保署將未去

識別化的健保個資交付衛福部的行為，既被定性為目的外利用行

為，當然也就違反了去識別化義務的要求。36

四、進一步待解的難題

（一）是否滿足個資去識別化的要求──去識別化

程度的歧異法院將去識別化滿足的標準設定在對個資主體沒有認識的一

般社會大眾，是一種相當寬鬆的標準設定，畢竟侵害資訊隱私權

的情形，也常常發生在侵害人鎖定特定個資主體的情況下。至於

為何採取如此寬鬆的認定標準，最高行並未進一步說明，但應可

解釋為最高行認同北高行的主張。北高行更審判決認為，因公務

機關能夠審核申請使用健保個資之人的身分、使用目的，並得與

申請使用者約定禁止重新識別資料的義務。因此，既然個資濫用

的風險較低，則資料去識別化的程度也可相對放寬。

關於法院與原告對於去識別化標準認定的分歧，以及本文主

36 至於健保署交付衛福部健保個資的現行作法，乃係由衛福部派專人

至健保署執行去識別化動作後，再將去識別化個資攜回衛福部。若

將此作法解釋為健保署沒有能力自行完成去識別化要求，因此請求

（委由）衛福部派人協助辦理，則由於識別化個資並未離開健保

署，而執行人員視同為健保署人員，此舉尚可滿足個資法課予健保

署個資去識別化義務的要求。參閱前揭註11，旁碼934-964。


210

張應採取的認定標準，將於下述「肆、二」文中為進一步詳盡論

述。

（二）原告能否行使事後退出權的歧異本文主張，個資主體就個資蒐集、處理、利用的「事前同意

權」與「事後退出權」，並非如北高行更審法院所主張的「一體

之兩面」關係，認為法律既已限制事前同意權，就必然同時排除

事後退出權。舉例而言，基於A目的下的個資蒐集、使用行為可

能得排除當事人事前同意權的行使，但接續若將此蒐集而得之個

資，轉做B目的使用，當事人自仍應有決定同意與否的權利。

就此爭議，最高行接受原告主張兩者非一體兩面關係；而將

論述重點轉置於拒絕當事人事後退出權的行使，是否合法。最高

行的主張聚焦於去識別化程序的要求，認為只要個資滿足了去識

別化要求，就不會產生資訊隱私侵害問題，就不須要得到當事人

同意。此種見解混淆了「當事人同意」與「個資去識別化」要

求，各自承擔不同的資訊隱私保護作用。本文將於下述「肆、

三」文中為進一步說明。

肆、棘手難題與修正方法的提出

為了避免告知後同意原則的適用，過度阻礙新興科技發展所

帶來公共利益的追求，除了改善告知方式以確保個資主體是在充

分理解下做成同意決定的作法外，也應在當事人同意模式上進行

修正。然而，仍可想像無論如何改善告知後同意的制度設計，依

舊無法避免過度阻礙公益追求的可能。因此，有別於告知後同意

原則的另一種資訊隱私保護方式──個資的去識別化，就扮演重

要角色。但也由於資訊科技的不斷精進，使得個資的徹底去識別


211

化益發困難。因此，在具體個案中，個資去識別化到何種程度，

可滿足資訊隱私保護需求，又不過度阻礙公共利益的追求，即成

為重要課題。

本文以下乃就「當事人同意」與「個資去識別化」這兩項作

為因應新興科技發展下，資訊隱私保護的重要手段，進行進一步

的說明，並提出本文主張。

一、「當事人同意」作為資訊隱私保護原則的難題

（一）告知後同意作為資訊隱私保護原則之侷限性現行資訊隱私保護法制設計的核心乃在貫徹「告知後同意」

（informed consent），或稱「通知與選擇」（notice and choice）原

則，37而此原則建構的基礎主要來自於兩理論思考：一是本於資

訊隱私保護乃在確保個資主體的個資控制權限；另一理論基礎來

自於自由市場概念，在自由市場下，個資主體、個資控制者與個

資使用者，自然會就資訊的使用與資訊隱私保護間，找到最佳的

平衡點。38

37 在醫療法領域亦常見將“informed consent”翻譯為「知情同意」。參

閱江晨恩等，赫爾辛基宣言2013年版，臺灣醫界，第57卷第4期，

頁56（2014）。此外，告知後同意原則適用於醫療法領域有其重要

之「倫理」意義。惟本文主旨在檢視最高行106判54所引發資訊隱

私保護的「法律」爭議，故對於告知後同意原則適用的檢討，也將

著重於法律層面之論述，而少觸及倫理原則。關於個資用於醫學研

究的倫理面向論述，參閱范姜真媺，醫學研究與個人資料保護──

以日本疫學研究為中心，科技法學評論，第10卷第1期，頁70-81（2013）。

38 See Helen Nissenbaum, A Contextual Approach to Privacy Online, 140 DAEDALUS 32, 34 (2011); Paula J. Bruening & Mary J. Culnan, Through a Glass Darkly: From Privacy Notices to Effective Transparence, 17 N.C.J.L. & TECH. 515, 529-30 (2016). 告知後同意


212

然而，隨著科技的日新月異，愈來愈多論者對於以當事人自

主選擇為核心的告知後同意原則，是否能有效因應數位網路世界

的資訊隱私保護，提出質疑。最常見者乃執行面上的觀察：擔憂

個資主體是否能在充分瞭解下，作成有意義的隱私決定。為了確

保個資主體是在受充分告知下所為的同意決定，論者不斷地去修

正、改善告知方法，例如使用較為簡短、白話的語句、39使用分

層次說明方法以減少過多份量的告知內容負擔、40使用標準化格

式的告知方法，41或甚至於將隱私保護偏好的設定的主動權限設

法交還給個資主體（例如「隱私偏好平台」，Platform for Privacy Preferences, P3P）。42

我們或許可以接受上述方法對於改善「有意義的告知」此件

作為個資保護的重要原則在比較法上的發展，參閱張陳弘，新興科

技下的資訊隱私保護：「告知後同意原則」的侷限性與修正方法之

提出，臺大法學論叢，第47卷第1期，頁215-217（2018）。 39 See FED. TRADE COMM’N, PROTECTING CONSUMER PRIVACY IN AN ERA

OF RAPID CHANGE: RECOMMENDATIONS FOR BUSINESSES AND

POLICYMAKERS 61 (2012), available at https://www.ftc.gov/sites/default/ files/documents/reports/federal-trade-commission-report-protecting-consumer-privacy-era-rapid-change-recommendations/120326privacyre port.pdf.

40 See ARTICLE 29 DATA PROTECTION WORKING PARTY (WP29), Opinion 10/2004 on More Harmonised Information Provisions [hereinafter 2004 Opinion], v (Nov. 25, 2004), available at https://www.statewatch.org/ news/2004/dec/wp100.pdf; Joel R. Reidenberg et al., Disagreeable Privacy Policies: Mismatches Between Meaning and Users’ Understanding, 30 BERKELEY TECH. L.J. 39, 48 (2015).

41 FED. TRADE COMM’N, supra note 39, at 61-64. 42 See Lorrie Cranor et al., Panel I: Disclosure and Notice Practices in

Private Data Collection, 32 CARDOZO ARTS & ENT. L.J. 784, 789 (2014).


213

事上能取得程度不一的效果。但縱使如此，告知後同意原則仰仗

的自由市場與個資自主控制權概念，仍無法有效因應新興網路經

濟中存在著多數締結同意之雙方以外的第三人在使用個資的情

形，不論是私人（例如個資掮客、個資處理者、購買個資的廣告

公司）或政府（例如政府機關要求企業提供消費者個資）。43意

即，消費者或許可以透過隱私權政策明瞭「誰」是原始的個資蒐

集、使用者，但甚難透過隱私權政策掌握個資在未來的「哪個時

點」、會被傳輸至「誰」的手上、進行「如何」的使用。畢竟連

原始蒐集個資者，於蒐集個資的當下也無法預見個資未來的可能

用途，當然也就很難在擬具隱私權政策時為清楚說明。

上述告知後同意適用問題在巨量資訊科技運用上更為明顯。

蓋告知後同意原則乃以個資主體於個資蒐集當下所被告知的資

訊，做出同意個資被蒐集、使用的決定。亦即，蒐集時的同意效

果，將貫穿在受告知內容下的所有個資處理、利用階段。然而，

巨量資訊科技的運作原理乃立基於盡其可能蒐集愈多的個資以因

應未來不可知（無法預期）的使用，不論是當初個資主體在作成

個資蒐集同意決定的當下所未預期的處理、利用方式，或所未預

期的第三者使用其個資的情形出現。44因此若要徹底貫徹告知後

同意原則以保護資訊隱私，則無可避免地將對巨量資訊科技的發

展造成阻礙。45為了避免告知後同意原則的適用，過度阻礙了新

興科技發展所帶來公共利益的追求，除了上述提及改善告知方式

的作法外，也應在當事人同意模式上進行修正。

43 See Nissenbaum, supra note 38, at 33; Julie E. Cohen, Irrational

Privacy?, 10 J. ON TELECOMM. & HIGH TECH. L. 241, 242-45 (2012). 44 Cranor et al., supra note 42, at 807. 45 進一步說明，參閱張陳弘，前揭註38，頁230-240。


214

（二）當事人同意模式的修正因應隨著巨量資訊科技的革新發展，對於健康資訊的蒐集、統

計、分析的需求急速成長，用以提升醫療、健康照護的品質。46

醫學研究也日益仰賴龐大的健康資料庫，進行長期持續性的統計

分析，以擷取有益的研究成果；47而主要蒐集、使用的健康個資

種類，諸如藥物與儀器的使用資料、臨診資料、相關的金融資

料、病患的行為與情緒反應資料。48

承前所述，告知後同意乃資訊隱私保護的主要原則，但對於

健康個資的研究，不僅數量龐大，且常見不同於原蒐集目的以外

的事後使用需求，故有修正告知後同意原則適用的必要。倘若以

一開始的同意權行使，滿足所有個資使用的要求，則此同意效力

形同「空白同意」（blanket consent），即個資主體的一次性同

意，決定所有後續研究對於當事人個資的使用。49此同意模式顯

然對資訊隱私權保護不夠完善。惟倘若要求對於蒐集而得的個

資，於進行任何的目的外利用行為之前，都必須先行重新取得當

事人的另一次同意的話（即貫徹傳統告知後同意原則的要求，亦

46 See Fred H. Cate, Protecting Privacy in Health Research: The Limits of

Individual Choice, 98 CAL. L. REV. 1765, 1778 (2010); SHARYL J. NASS

ET AL., BEYOND THE HIPAA PRIVACY RULE: ENHANCING PRIVACY, IMPROVING HEALTH THROUGH RESEARCH 118 (2009).

47 關於健康資訊對於醫學研究的重要性， see Cate, id. at 1778-83; Elaine M. Sedenberg & Deirdre K. Mulligan, Public Health as a Model for Cybersecurity Information Sharing, 30 BERKELEY TECH. L.J. 1687, 1706-07 (2015).

48 See Nicolas Terry, Protecting Patient Privacy in the Age of Big Data, 81 UMKC L. REV. 385, 392 (2012).

49 See Mark A. Rothstein et al., Comparative Approaches to Biobanks and Privacy, 44 J.L. MED. & ETHICS 161, 166 (2016).


215

可稱「具體同意」（specific consent）模式50，在現實上又有窒礙

難行之弊，而生過度阻礙科技發展與研究進步的抨擊。

因此在修正告知後同意原則的過程中，產生一種調和主張：

為了有益於醫療與社會照護及研究發展，對於健康個資的使用，

原則上不須一一事先取得當事人同意，而改採「事後退出」

（opt-out）的同意模式，允許當事人事後阻擋關於其個資的使

用。然而，健康個資用於研究，不僅數量龐大，且常見事後使用

（目的外利用）需求，為了讓當事人能夠有效地事後知悉個資控

制者將個資為當事人不同意的目的外利用，以憑之行使事後退出

權，遂生相應的制度設計需求，即「動態同意」（ dynamic consent）模式。此同意模式的想法乃放寬傳統對於同意採「書

面」形式的嚴格要求，而允許對個資主體進行制式化電子通知。

申言之，個資主體得先初步為概括同意對其健康個資的使用，但

使用者對於後續每一個擬採取不同用途的個資使用行為，必須對

個資主體進行電子通知；51而參與者有權選擇退出（opt-out）任

何具體的研究使用。52故所謂「動態同意」之意，乃指個資主體

得動態地隨時調整決定其個資的被使用狀態。

另一種的調和主張則傾向認為，對於已蒐集而得之個資所為

的目的外利用，若每一次皆必須再通知當事人並取得其同意（當

事人選擇是否退出），縱使允許採用簡便的電子通知方式，對於

資訊隱私保護效果，或是公共利益追求效率，都難免產生一定程

50 Id. 51 對於電子通知做為告知方式持保守意見的主張， see Nikolaus

Forgo´, My Health Data—Your Research: Some Preliminary Thoughts on Different Values in the General Data Protection Regulation, 5(1) INT’L DATA PRIVACY L. 54, 58-59 (2015).

52 Rothstein et al., supra note 49, at 166.


216

度的阻礙。例如倘若將電子通知的未回覆效果設定為推定同意，

會生資訊隱私保護不足之慮；若設定為推定不同意，又生阻礙公

益追求之弊。職此，乃產生將資訊隱私保護之責，轉換由專門設

立的「組織審查委員會」（Institutional Review Board, IRB）或類

似機構承擔的主張，此即「廣泛同意」（broad consent）模式的

設計想法。53廣泛同意模式與上述「空白同意」模式相似的地方

是：參與者也是透過一次性同意，決定所有後續研究對於個資的

使用；但不同的是，後續的每個研究若要使用參與者的個資，必

須另行得到IRB或類似機構的事先批准。54廣泛同意模式的另一個

作用在於，關於健康個資用於醫療研究上，常可能因為研究目的

過於專業而不易說明，造成一般人不易理解而生拒絕同意的結

果。因此，若設立一個專業、獨立的組織，在獲得個資主體同意

下，代替個資主體行使同意權，能有效平衡資訊隱私保護與公共

利益的追求。55

然而，將同意權由個資主體手中移轉至IRB核准程序的「廣

53 Rothstein et al., supra note 49, at 163. 54 Id.; 美國聯邦政府於西元2015年9月8日修正的Common Rule，雖然

也使用了broad consent文字來指稱規定中的同意模式，但學者認為

由於該同意模式欠缺了IRB審查程序，在效果上更相似於「空白同

意」模式，而非「廣泛同意」模式。See Heather L. Harrell & Mark A. Rothstein, Biobanking Research and Privacy Laws in the United States, 44 J.L. MED. & ETHICS 106, 113 (2016).

55 審查意見建議：為利讀者掌握此處所稱「代替」的真義，可考慮增

加此概念在「代孕」（surrogacy）理論上的運用說明。惟囿於篇幅

限制，作者只能暫時擱置此部分的增補說明，留待日後另行撰文處

理。茲附上參考文獻，供有興趣之讀者先行參閱。See generally Larry Gostin, A Civil Liberties Analysis of Surrogacy Arrangements, 17

J. CONTEMP. HEALTH L. & POL’Y 432 (2001); Richard F. Storrow, New Thinking on Commercial Surrogacy, 88 IND. L.J. 1281 (2013).


217

泛同意」模式，若著眼於當事人資訊隱私之控制利益保護思考

上，有其未盡理想之處，畢竟那是IRB的同意，而非個資主體的

同意。因此，英國的國家保護官（National Data Guardian）於西

元2016年6月提出的「健康與照護的國家資訊保護官：資料安

全、同意與選擇退出的審查」（National Data Guardian for Health and Care: Review of Data Security, Consent and Opt-Outs）報告書

中，建議不再採用傳統全有全無的當事人同意模式，而改採得選

擇不同健康個資用途，分別行使同意權的新方法。56此方法乃將

健康個資的使用，區分為三種用途為告知：

1. 直接提供個人的醫療與社會照護所需，例如重症病人轉

診，原看診醫院將病人病歷資料揭露予轉診醫院；57

2. 用於營運國家健康與社會照護系統所需；

3. 用於研究所需。58

針對上述個資使用用途，設計有三種當事人同意模式：

1. 標準設定（standard setting）：同意個資於上述三種用途

56 NATIONAL DATA GUARDIAN, NATIONAL DATA GUARDIAN FOR HEALTH

AND CARE: REVIEW OF DATA SECURITY, CONSENT AND OPT-OUTS

[hereinafter NDG FOR HEALTH AND CARE] 6-8 (2016), available at https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/535024/data-security-review.PDF.

57 惟應注意醫院只能揭露有關資訊，而不能將完整的病歷資料全部揭

露。以倫敦的「全系統整合照護」（A Whole System Integrated Care, WSIC）紀錄為例，目的乃在使資訊能在健康與社會照護專業

人員（倫敦西北區）間分享以改善照護服務。個資主體會被告知其

健康個資會被分享給「直接參與」其健康與社會照護的其他專業工

作者。個資主體得選擇「事後退出」WSIC。See id. at 26. 58 Id. at 38.


218

皆得被使用，即個資除得用於直接提供個人的醫療與社會照護所

需外，亦得使用於營運國家健康與社會照護系統，以及支援研究

以改善對每個人的醫療與照護；

2. 有限設定（limited setting）：除了用在提供個人的醫療與

社會照護所需外，僅同意個資用於營運國家健康與社會照護系

統，不得使用於研究用途；

3. 限制設定（restricted setting）：僅能用在直接提供個人的

醫療與社會照護所需。59

此種當事人同意模式，也可理解為「分層同意」（ tiered consent）模式：當事人在行使同意權的過程中，可以獲得不同類

型的使用清單，並行使選擇權以同意那種用途可以使用其個資。60

然而，不論當事人選擇了上述何種同意設定，原則上皆應允

許當事人行使事後退出權，以阻止個資的繼續使用；61但例外在

下述兩種情形下，將不允許當事人行使事後退出權：

1. 個資的使用乃為了追求超越資訊隱私利益的公共利益：例

如監控嚴重的傳染疾病與其他公共衛生的嚴重風險； 59 See NDG FOR HEALTH AND CARE, supra note 56, at 40. 60 Rothstein et al., supra note 49, at 166. 61 See NDG FOR HEALTH AND CARE, supra note 56, at 39. 在比較法研究

中，不乏國家允許當事人行使事後退出權（opt-out）之例（例如法

國、芬蘭、荷蘭等）。See id . at 163. 另在冰島（ Iceland）由

deCODE公司依法建置的醫療紀錄資料庫之例，縱使該資料庫的醫

療個資依法須經識別化處理，但倘若有民眾不願自己的醫療資料被

輸入該資料庫，依法仍有權申請選擇退出（opt-out）。參閱劉宏

恩，冰島設立全民醫療及基因資料庫之法律政策評析──論其經驗

及爭議對我國之啟示，臺北大學法學論叢，第54期，頁60（2004）。


219

2. 法律明文或法院命令。62

上述各種不同類型的當事人同意模式，可選擇綜合搭配使

用，以提升當事人同意的意願。例如對於健康個資的使用，採用

「分層同意」模式，並且在研究用途的使用上，合併搭配「動態

同意」模式或「廣泛同意」模式。

二、「個資去識別化」作為資訊隱私保護方法的難題

（一）概念界分：資料的可識別性（個資範圍的界定）與個資的去識別性（個資使用限制的要求）

按個資法的規範設計，資料可否識別特定個人，乃應否適用

個資法的啟動閥。意即，個資法僅規範可資識別特定人之資料；

若是不具識別特定個人特性的資料，則不受個資法規範。此即本

文所指之「資料可識別性」概念。個資法第2條第1款規定，進一

步將可識別性資料區分為「可直接識別性」與「可間接識別性」

兩類；個資法施行細則第3條闡釋所謂「可間接識別性」個資，

乃指「保有該資料之公務或非公務機關僅以該資料不能直接識

別，須與其他資料對照、組合、連結等，始能識別該特定之個

人。」

除了個資法第2條第1款資料可否識別特定人之規定外，個資

法在第6條第1項第4款、第16條第5款、第19條第1項第4款及第20條第1項第5款等規定，亦規範有個資可否識別特定當事人之規

定，即個資經過提供者處理後或經蒐集者依其揭露方式「無從識

別特定之當事人」時，公務機關或學術研究機構得在基於公共利

62 NDG FOR HEALTH AND CARE, supra note 56, at 33-34.


220

益為統計或學術研究的必要下、蒐集、處理、利用之。此部分的

資料識別性與否的要求，即本文所使用的「個資去識別性」概

念，乃指受個資法保護的可識別性個資，在一定公益目的下，經

過去識別化處理（即令該個資無法輕易連結至特定個人），而得

被合法蒐集、處理、利用之情形。

資料的可識別性概念與個資的去識別性概念，兩者的共同特

徵皆在於判斷資料是否得連結至特定個人，但前者是在處理資訊

隱私保護範圍的問題，而後者則是在處理個資去識別到何種程度

才能滿足被蒐集、使用個資的資訊隱私保護。申言之，資料的可

識別性（是否為個資）是個資法適用的啟動閥，若蒐集、處理、

利用具識別性之個資時，須受個資法規範；而個資可識別特定人

的程度，連動著資訊隱私保護的強度，因此個資法存在以去識別

化個資作為手段，以保護資訊隱私的規範設計，也因此會進一步

討論要去識別化到何種程度，在特定具體個案中方能滿足資訊隱

私保護。然而，上述兩種不同層次的個資識別性概念，卻常被當

作同一種概念而混淆使用，也因此造成在個資識別性標準發展上

的紛亂。茲進一步分述如下。

（二）資料可識別性（是否為個資）的認定標準

1. 國內見解整理雖然個資法第2條第1款與個資法施行細則第3條對於何謂個

資法規範之個資，有詳盡的文字規定，但在具體個案的實施現況

上仍存在許多爭議案例。實務上曾經就「記名悠遊卡卡號」、63

「高速公路電子收費系統所使用之E-tag序號及車牌號碼辨識系統

63 法務部（101）年法律字第10100100770號函。


221

所取得之車牌號碼」，64及「特定電號之水井用電資料」65 等資

料，是否屬於個資法所規範之個資產生疑問，而需求法務部做成

函釋以回應。此外，就手機用戶所使用「電話號碼」、「電信業

者別」之資料，是否屬於個資法之個資，亦生爭論；在相類似案

例事實下的不同案件中，臺北地方法院呈現不同的判決見解：臺

北地方法院103年度北小字第1360號小額民事判決肯認電話號碼

及電信業者別，屬個人資料；66但臺北地方法院103年度訴字第

255號民事判決則持否定看法。67

對於判斷資料是否可資識別特定人的混亂情形，導源於「應

以『誰』的識別能力作為判斷標準」的歧異。畢竟能透過其他資

料為比對組合之人的識別能力具有相對性，例如一般社會大眾及

64 法務部（104）年法律字第10403501110號函。 65 法務部（104）年法律字第10403502010號函。 66 臺北地方法院103年度北小字第1360號小額民事判決事實及理由

三，旁碼53-77 （「電話號碼所屬之電信業者別，乃個人電話號碼

之附屬資料，其係得與前述其他個人資料如姓名、國民身分證統一

編號等資料，相互比對、組合、連結及勾稽後，據以作為間接識別

特定個人之社會活動資料之一，自亦屬個人資料保護法所保護之聯

絡方式之個人資料。」）。 67 臺北地方法院民事103年度訴字第255號判決事實及理由丁、壹、

二，旁碼142-154（「二、行動電話號碼僅為數字之組合，無法直

接識別特定個人，而因行動電話號碼申辦幾無資格限制，是一人同

時擁有多數門號者有，甚或借用、冒用他人名義抑或虛捏身分亦所

在多有，故行動電話號碼不易與其他資料對照、組合、連結方式而

識別特定個人，亦不具間接識別性，非屬個資法第2條第1款所定個

人資料。而電信業者別，並無法直接識別特定個人，縱與電話號碼

相結合，依前述電話號碼已難直接或與其他資料連結間接識別特定

人之情況，仍極難識別特定個人，故電信業者別非屬得以間接識別

之個人資料。」）臺北地方法院103年度訴字第212號民事判決亦同

此見解。


222

與當事人有特定關係之人，所掌握有關當事人其他資料的量與

質，有其差異，故兩者對於組合、比對相關資料而得以識別出特

定個人之能力，即有不同。68茲進一步論述如下。

（1）一般人標準說有論者主張，考量個資常為表現自由之材料，更為適當保持

資訊之合理流通利用，應當以「社會一般多數人」依該資料之內

容是否容易推知特定個人為判斷基準（可稱之為「一般人標

準」）。69

（2）資料控制者（或資料處理者）標準說法務部於民國100年5月13日法律字第0999051927號函釋中提

出判斷資料是否屬個資的「資料控制者（或資料處理者）標準」

──視資料蒐集者或使用者的主觀條件而定。以此函釋處理之

「記名悠遊卡卡號是否屬於個資法保護之個資」的案例而言，就

「持卡人以外之第三人」而言，倘該個人資料屬查詢有困難或需

耗費過鉅始能識別特定個人者，客觀上即屬無法識別之個資。惟

就「悠遊卡公司」而言，因技術上仍得透過比對記名卡卡號與悠

遊卡公司內部資料庫系統而得知特定持卡人之個人資料，非屬查

詢上有困難或耗費過鉅，該記名卡卡號即屬得識別之個資。70申

言之，資料是否屬於個資法所規範的可識別性個資，必須從蒐集

或使用者本身，綜合各種情況與事證判斷，原無一致性之標準，

而應於個案中加以審認。71

68 參閱范姜真媺，個人資料保護法關於「個人資料」保護範圍之檢

討，東海大學法學研究，第41期，頁97（2013）。 69 前揭註，頁97-98。 70 法務部（100）年法律字第0999051927號函。 71 法務部（103）年法律決字第10303506790號函。


223

資料控制者標準的提出，獲得不少論者的支持。例如，有主

張由於間接識別的個資須與其他資料相互對照連結，故同樣一筆

資料在不同人手上就會產生完全不同的結果。72以網際協定位址

（Internet Protocol Address）（以下稱IP位址）為例，在網路服務

提供業者手上，可能很容易就知道在特定時間點是由哪一台電腦

使用，並且找出當初申請網路服務的申請人，但對於一般的電腦

使用者而言，IP位址僅是單純無意義的數字，並無法因此而指向

特定的自然人。73

（3）資料控制者標準 + 實質增益說尚有一種主張，本文亦將之歸類為「資料控制者標準」，亦

即，判斷個資識別性的能力標準仍置於資料控制者身上，但增加

額外要求：該資料必須有助益於資料控制者識別特定個人，該資

料方屬個資法規範之個資。74舉例而言，資料蒐集者甲在已擁有

乙之國民身分證統一編號的情況下，則乙的出生地及性別二項資

料，對甲而言就不算是個人資料，蓋此兩項資料對於甲識別乙而

言，並沒有提供額外助益。75

72 參閱蕭家捷、賴文智，個人資料保護法Q&A，頁9，元照出版有限

公司（2013）。同樣見解，參閱黃耀賞，淺談「得以間接方式識別

特定個人之資料」，科技法律透析，第 27卷第 1期，頁 34-35 （2015）；范姜真媺，前揭註68，頁97-98。

73 蕭家捷、賴文智，前揭註。 74 參閱徐仕瑋，個資法所保護個人資料之範圍界定──評台灣台北地

方法院103年度北小字第1360號小額民事判決，月旦裁判時報，第

30期，頁132-134（2014）。 75 前揭註，頁133。


224

2. 95歐盟指令第29條資料保護工作小組意見 ──任何人標準說

基於95歐盟指令的規範目的需求，第2條第(a)款規定乃就個

人資料定義為：「個人資料乃指任何關涉於已識別（identified）

或足資識別（identifiable）之自然人（個資主體）；此足資識別

之人，特別是指得參照身分碼或一個或多個具體的身體、生理、

心理、經濟、文化或社會身分因素，以直接識別或間接識別之特

定人。」76然而，此一個資定義在歐盟國間的實際執行情形，仍

帶來部分的不確定性及歧異性。因此，歐盟資料保護工作小組

（Article 29 Data Protection Working Party）（以下稱「歐盟資保

小組」）77乃於西元2007年間做成釐清個人資料概念的意見書

（以下稱「2007意見書」），78供作95歐盟指令的適用參考。

2007意見書就95指令的個資定義，拆解為四個子項說明：任何資

料（any information）、相關於（relating to）、識別或足資識別

（identified or identifiable）及自然人（a natural person）。79以下

基於本文所需，就資料的「識別性」要求標準，進一步說明 76 Directive 95/46/EC, of the European Parliament and of the Council of

24 October 1995 on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data [hereinafter Data Protection Directive], 1995 O.J. (L 281) 31, art. 2(a), at 31-32, available at http://eur-lex.europa.eu/legal-content/EN/TXT/ PDF/?uri=CELEX:31995L0046&from=EN.

77 關於歐盟資料保護工作小組的組成說明， see Article 29 Data Protection Working Party, http://ec.europa.eu/justice/data-protection/ article-29/index_en.htm (last visited Jan. 5, 2018).

78 Article 29 Data Protection Working Party, Opinion 4/2007 on the Concept of Personal Data, 01248/07/EN/WP 136 (June 20, 2007) [hereinafter 2007 WP29 Opinion], available at https://www.Clinic alstudydatarequest.com/Documents/Privacy-European-guidance.pdf.

79 Id. at 6.


225

如下。80

一般而言，當一個自然人在一個群體中可被與其他人區分開

來，此人為「識別」（identified）的人；若該自然人無法立即與

其他人界分，但有可能可以分別，此人則為「足資識別」

（identifiable）之人。81此兩種可識別之自然人的概念，可進一步

描述為：一個可以直接地被以姓名識別，或間接地被以電話號

碼、車輛註冊號碼、社會安全號碼、護照號碼或其他可辨識性標

準的組合所識別之自然人。82

根據95指令的第26點細述說明（recitals）中指出，「足資識

別」（identifiable）乃指：「不論是資料控制者或任何其他人，

透過所有可能、合理的方式，得以識別出特定個人。」83可將此

標準稱之為「任何人標準」，也可以理解為「具先驗知識之人標

準」或「特別專門家標準」。舉例而言，一個女士的X光片與其

並不常見的名字（first name）被刊載在某科學期刊上。對於陌生

人而言，並無法藉此份資料辨識出該女士身分，但對於熟識他的

朋友或親戚們（具先驗知識之人），則有可能藉由此份資料辨識

出該女士身分，故此份資料應被當作個人資料。84又例如IP位址

資料，對於一般人而言，可能無法藉此資料連結至特定使用者，

80 其他三個子項的說明，參閱張陳弘，個人資料之認定──個人資料

保護法適用之啟動閥，法令月刊，第67卷第5期，頁72-78（2016）。 81 2007 WP29 Opinion, supra note 78, at 12. 82 Id. at 12-13. 83 Data Protection Directive, supra note 76, at recital 26 (“[T]o determine

whether a person is identifiable, account should be taken of all the means likely reasonably to be used either by the controller or by any other person to identify the said person.”).

84 2007 WP29 Opinion, supra note 78, at 15.


226

但有鑑於IP位址運作的目的本在連結特定電腦，故網路服務提供

者（特別專門家）本就能預期在可能、合理的方式下（例如法院

的要求），藉由IP位址去確認特定電腦的使用者，因此IP位址資

料應被認定為個人資料。85

隨著資訊科技的不斷革新與經社文化情況的改變，為補充95歐盟指令對於個人資料保護不足之處，歐盟乃於西元2012年提出

「一般個資保護規則」（General Data Protection Regulation），

並於2016年4月27日正式通過、同年5月4日公布，並預定於2018年5月25日生效施行， 86其中在第4條 (1)就個人資料（personal data）為定義性規定。一開始先就個人資料為一簡潔性說明：

「個人資料意指任何與可識別的自然人（個資主體， data subject）相關的資料，並接續規定可識別之自然人的定義為：

『一個可以被透過識別符號（ identifier），例如姓名、識別號

碼、地理位置資料、網路上識別碼，或一個或多個具體的身體、

生理、基因、心理、經濟、文化或社會身分特徵，以直接或間接

識別之自然人。』」87此一個人資料之定義，大致上承襲2007意見書的見解。

85 Id. at 16-17. 86 Regulation (EU) 2016/679 of the European Parliament and of the

Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC [hereinafter General Data Protection Regulation, GDPR], 2016 O.J. (L 119) 1, available at http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2016. 119.01.0001.01.ENG&toc=OJ:L:2016:119:TOC.

87 Id. art. 4(1), at 33.


227

3. 小結──個資範圍界定與個資使用限制的資料識別性

標準之界分本文主張，上述國內見解對於資料「可識別性」判斷標準的

發展，混淆了「資料是否為個資」及「個資應否或如何保護」兩

個不同層次之問題。「一般人標準說」或「資料控制者標準說」

的討論，處理的是：是否滿足個資去識別化程度的要求，而非資

料是否為個資的問題。

歐盟資保小組2007意見書盡可能地將任何有可能識別特定個

人的資料，納入保護範疇，乃基於放寬資訊隱私權保護範疇的立

場，先將之納入隱私權保障範圍後，於發生具體的隱私權事件

時，再從法益權衡保障的角度，判斷法律對該隱私權事件所為之

限制是否合憲。循此而論，從個資法保障個人自主控制個人資料

之資訊隱私權角度而言，在從寬解釋資訊隱私權保護範圍的立場

下，對於個人資料的定義從寬界定，是一個符合國內處理基本權

問題時慣常的思考方法。88因此，就個資法第2條第1款規定的

88 我國法上處理基本權問題時，承襲德國法習用之兩階段思考，即第

一階段先討論是否有人民的基本權遭受侵害，此乃涉及基本權保護

範圍之界定；於確定了有基本權遭受侵害，第二階段再進而檢視該

侵害行為是否具有合憲化理由（阻卻違憲事由）。簡言之，第一階

段乃討論基本權的構成要件事實（基本權之保護領域或內在界

限），乃確定「有無」之問題；第二階段則係論證基本權限制是否

合憲（基本權的外在界限），乃確定「程度」之問題。參閱許育

典，憲法，頁145-165，元照出版有限公司，4版（2010）；陳慈

陽，憲法學，頁401-404，自版，2版（2005）。另許宗力大法官則

進一步主張「三階段論證結構」，即於探討國家對於基本權的行使

施加限制，如何始為適法，建議依序區分為：「基本權的保護領域

（構成要件）」、「基本權的限制」、「基本權限制的合憲要件」

等三者的討論。參閱許宗力，基本權的保障與限制（上），月旦法

學教室，第11期，頁64（2003）。


228

「識別性」標準，應採取2007意見書所提出的「任何人標準」為

佳。

至於確認了資料屬個資而應受個資法保障後，對於個資控制

者如何蒐集、處理、利用個資之行為的合法性控管上，做為其中

一項控管因素的「個資可識別性程度」而言，關心的重點既然在

於蒐集、使用個資的人會否對於個資主體的資訊隱私權侵害過

劇，對於個資可識別性的判斷標準自然就應關注個資蒐集或使用

者的識別能力，蓋識別能力愈高，對於資訊隱私傷害風險就可能

愈高。而前述國內學說、實務所發展的資料識別性標準，應屬於

此層次的判斷討論，例如法務部所採之「個資控制者標準」。89

此種兩層次判斷方法的實益，本文可試擬一假設案例為說

明：

甲在臉書（Facebook）上討論不安全性行為的危險性時，為

了增加可信度，遂提及其友人乙就曾經因不安全性行為而感染後

天免疫缺乏症候群（愛滋病）（ Acquired Immune Deficiency Syndrome, AIDS），陷入人生困境；而為了取信於人，甲於臉書

上秀出乙的病歷資料影像，雖然遮去乙的姓名，但仍留有病歷號

碼、就診之A醫院名稱，及AIDS的診斷紀錄。甲臉書上的友人丙

取得此病歷資料影像，並分享在其臉書；丙基於好奇，不斷追問

甲該病歷資料是指誰，但甲堅持不透露。丙基於好奇，乃求教、

詢問臉友們，是否有人知道該病歷資料的主人是誰。丁為丙之臉

書友人，恰巧在A醫院工作，看到病歷號碼後，一時好奇，遂進

入醫院的病歷資料庫，輸入該病歷號碼，得知病歷號碼代表之病

89 至於「個資控制者標準」是否適宜作為個資是否滿足去識別化要求

的判斷標準，請續參下述「（三）個資去識別性的認定」之論述。


229

患為乙，並將此訊息告知丙。正巧丁與乙間有宿怨，丁乃將乙患

有AIDS的資料，公開散布。因此，乙的友人們知道此訊息後，紛

紛疏遠乙；乙的公司知道後，乃任意以工作不適任為由將乙解

僱。

倘若對於個人資料之定義採狹義立場，而以資料蒐集者或使

用者的主觀條件（個資控制者標準）加以判斷，乙患有AIDS此病

歷資料的病歷號碼及就診醫院，對於甲而言屬於個資，但從丙的

角度來看，就變成不是個資，因丙無法據此病歷號碼及就診醫

院，得以辨識是乙患有AIDS；而對於丁而言，此病歷資料又屬個

資。然而，丙使用此病歷號碼資料的行為，顯然有可能會對於乙

的隱私權造成傷害，難道不應該受到個資法的規範嗎？一個病歷

號碼必定連結一特定個人，丙在蒐集、散布此病歷號碼資料時，

縱使尚不知此人是誰，但仍應知道可能會對某人造成傷害。如果

在一開始就認定丙蒐集、散布的病歷號碼資料，並無法識別特定

個人，而非屬個資，那麼不論丙基於何種理由、在何種狀況下，

使用此資料，皆不受個資法規範。這樣的結果並不合理，畢竟乙

仍受有因丙之行為所致隱私傷害風險的可能。

綜上以言，對於判斷是否啟動個資法適用的資料可識別性標

準上，歐盟資保小組2007意見書所採用的「任何人標準」是比較

正確的選擇。

（三）個資去識別性的認定對於個資去識別性的要求，可再細分兩層次討論： 1. 以

「誰」的識別能力作為判斷標準（主觀標準）；2.在不同的客觀

環境下，去識別性個資被再識別化的風險高低不同；再識別化風

險愈高的個資使用客觀環境，個資去識別化程度的要求就應愈高


230

（客觀標準）。以下進一步分述之。

1. 主觀標準──具動機的侵害者標準承上所述，一般人標準或個資控制者標準，處理的應是第二

層次之個資使用限制的資料識別性判斷標準。本文主張，「資料

控制者標準」以使用個資之人的主觀條件作為識別能力的判斷標

準，應屬正確方向，但概念上仍不夠細緻。這對於後續進一步就

資料識別性程度再發展更細緻標準時會形成妨礙。職此，本文主

張英國的「資訊專員辦公室」（ Information Commissioner’s Office, ICO）90於西元2012年11月之「匿名化：資訊保護風險之

管理（實務守則）」（Anonymisation: Managing Data Protection Risk (Code of Practice)）報告中所提出之「具動機的侵害者標

準」（a motivated intruder test）（或簡稱「企圖者標準」），更為

適當。91蓋參酌資訊隱私侵入者的動機判斷，更能有助於細緻化

或類型化個資保護方法的思考。舉例而言，某些種類的個資對於

企圖者而言，具有較高的再識別化之吸引力，資訊隱私侵害的風

險就會提高，就此類個資就應該提高去識別程度的要求。以健保

資料庫為例，具有動機去使用該資料庫之人，通常不會是一般

人，大部分會是藥廠或相關學術研究者。故對於健保個資的去識

別化要求的標準，就應該以藥廠或相關學術研究者此類人的識別

能力作為判斷標準。 90 ICO乃英國為了保障資訊權以維護公共利益、促進公務機關的公開

性與個人的資訊隱私保護，所設置的獨立機構。See INFORMATION

COMMISSIONER’S OFFICE, available at https://ico.org.uk/ (last visited Jan. 5, 2018).

91 INFORMATION COMMISSIONER’S OFFICE, ANONYMISATION: MANAGING

DATA PROTECTION RISK (CODE OF PRACTICE) [hereinafter ICO: ANONYMISATION], Nov. 2012, available at https://ico.org.uk/media/ 1061/anonymisation-code.pdf.


231

整言之，所謂的「具動機的侵害者」，乃指具再識別化動機

之人，但不具備任何「先驗知識」（prior knowledge），例如

「個資主體的家庭成員、同事、醫生或教師」或「專門能力」，

希望從被去識別化的資料中去辨識特定個人；此企圖者若不能成

功藉此個資辨識所屬的個資主體，則該個資即符合去識別化要

求。92「企圖者標準」假設該企圖者具有合理能力，可以接近使

用相關資源（例如網路、圖書館、所有公共文件），可以使用調

查技術（例如向對該個資主體有更多認知的人查詢，或以廣告方

式徵求進一步資訊），但並不假定該企圖者具有任何特殊知識，

例如電腦駭客技術或可接近使用特殊設備去獲得取用被安全保護

的個資。93

若再以前述乙患有AIDS的病歷資料之假設案例做進一步說

明：

判斷病歷資料上的病歷號碼及就診醫院是否屬於個資法第2條第1款所保護的個資，應採用歐盟2007意見書所採用的「任何

人標準」，而認定屬個資，蓋甲、丁皆能藉由病歷號碼及就診醫

院的組合，識別出個資所屬主體乙。至於甲遮去病歷資料上乙的

姓名，但仍留有病歷號碼、A醫院名稱，及AIDS的診斷紀錄的行

為，是否滿足「去識別化」個資的要求，應運用「企圖者標準」

為判斷。丙是一個企圖探知患有AIDS的病歷號碼所屬個資主體之

人；丙是一個對於乙不具備有任何先驗知識，且不具備特殊專門

能力之人；但丙具備有合理能力，得透過社群網站的功能，辨識

出病歷資料的主體為乙。故甲上傳且遮去乙姓名的病歷資料行

為，並未滿足個資去識別化之要求。 92 Id. at 22. 93 Id. at 23.


232

2. 客觀標準：個資去識別化程度的決定對於去識別化的個資進行再識別化的常見情形有：（1）侵

害人就已持有的可識別性個資，與其蒐尋去識別化資料庫而得的

去識別化個資為比對，而產生去識別化個資的再識別結果；

（2）侵害人拿著從去識別化資料庫取得的去識別化個資，再去

比對公開可得的個資，而產生再識別的結果。94這兩種常見的再

識別化情形的發生可能率，取決於個資去識別化的程度，若去識

別化程度愈高，則該去識別化個資能與其他個資配合比對，而產

生再識別化的機率就愈低。亦即，去識別化程度愈高，對資訊隱

私保護的程度就愈高。

然而，個資的去識別化程度愈高，通常伴隨的是個資的利用

價值就愈低。因此，如何在資訊隱私利益與其他利益追求間為權

衡取捨，就形成難題。在立基於以「具動機的侵害者標準」判斷

個資去識別化要求的基礎上，對於再識別風險程度的一般性思

考，或許可以考慮從企圖者的動機開始發展。亦即，通常對於個

資主體會產生較大影響的個資，愈容易吸引或造就具動機的侵害

者。例如，為了金錢利益而蒐集、使用個資主體的金融個資；為

了使個資主體困窘之惡作劇而揭露當事人的床笫之私；揭露與公

眾人物相關具新聞價值的個資以對抗某人；為了新藥研發而蒐

集、使用個資主體的健康個資。95

雖說去識別性個資的認定，採的是「具動機的侵害者標

準」，而非以具先驗知識或專門能力之人的識別能力作為判斷標

準。然而，在再識別化風險評估這件事上，並不能將具有先驗知

識的人排除在風險評估範圍外，尤其是這些人通常特別瞭解敏感

94 Id. at 19. 95 Id. at 23.


233

性資訊（例如醫生或好友瞭解個資主體的遺傳性疾病）。但風險

評估的重點應置放於：此具先驗知識之人有無因為此去識別性個

資而獲得了新的個人資訊。亦即，他雖然可以將個資再識別化，

但因為他本來就認識本人，若並沒有因為此再識別化的個資，再

多知道關於個資主體的個人資訊，則資訊隱私風險並未升高，就

不需要因此再特別提高去識別化程度的要求。96

此外，在設計上若存在有完善制度以有效管制個資被再識別

化之可能，因資訊隱私傷害風險得有效控管，則去識別化程度的

要求可以相對放寬。例如管制個資提供對象，對資料接收者之身

分、使用目的、其他可能取得資料之管道、安全管理措施等先為

必要之審查；與資料使用者約定禁止重新識別資料之義務。97

個資去識別化乃要求隱藏資料內容所連結的特定個人，使之

不被識別。因此，去識別化的重點在於移除具識別特定個人屬性

的資料，至於不具識別性的資料內容，則不為識別化過程所重

視。另依識別屬性資料移除的可否回溯性，可將去識別性個資進

一步區分為：

（ 1 ）可逆（可回溯連結）的去識別化（「代碼化」

（Coded）、「假名化、隱名化」（Pseudonymized））個資：乃

指將可識別特定個人的屬性部分從個資中移除，並用代碼或假名

替代；密鑰編碼資料（key-coded data）即為一種典型的經掩飾識

別的隱名化過程所生的個資。98隱名編碼過程乃將關涉於個人的

資料以密鑰編碼取代，而與可識別性個資（例如姓名、生日、地

址）分別保存，達到暫時去識別化特定個人之目的；常見於醫學

96 Id. at 25. 97 前揭註11，旁碼791-825。 98 2007 WP29 Opinion, supra note 78, at 18.


234

研究領域的運用。隱名化資料的特性在於資料識別特定個人的可

回溯性。99以編碼資料為例，只要將該組編碼，對照編碼簿的連

結指示，即可回溯連結至特定個人。職此，隱名化資料仍屬「足

資識別或可間接識別」特定個人的資料。100

（2）不可逆（不可回溯連結）的去識別化（「除名化、或

稱匿名化」（anonymized））個資：除名化資料乃意指該資料先

前得以用之辨識特定個人，但經除名化過程後，此個人辨識性已

不再可能；101而此辨識之不可能性，有可能來自於事實上之不能

（例如在除名化的過程中，將所有可連接特定個人的資料，皆永

久去除），或制度上之不能（例如在隱名化的過程後，於制度上

禁止任何人以任何方式將此資料重新識別特定個人）。102

隱名化資料與除名化資料兩者皆可達到去識別化特定個人之

作用。但隱名化資料乃暫時性去識別化，由於仍可回溯連結至特

定個人，故屬間接識別性個資；除名化資料，則是徹底除去識別

特定個人的可能性（永久性去識別化），已非屬個人資料。

3. 健康個資用於研究的去識別化要求──美國HIPAA 隱私規則的比較參考

以健康個資用於研究為例，美國健康保險便利及責任法

（Health Insurance Portability and Accountability Act, HIPAA）103

99 Id. 100 See id. at 19-20; Paul M. Schwartz & Daniel J. Solove, Reconciling

Personal Information in the United States and European Union, 102 CAL. L. REV. 877, 907 (2014).

101 2007 WP29 Opinion, supra note 78, at 21. 102 Id. at 20. 103 Health Insurance Portability and Accountability Act of 1996, Pub. L.

No. 104-191, 110 Stat. 1936 (1996) (codified as amended in scattered


235

之隱私規則（Privacy Rule）的規範想法為：首先確認該健康個資

是否屬於可識別特定個人的資訊（personally identifiable infor-mation, PII）。由於隱私規則僅規範PII，故使用不可識別特定個

人資訊（ non-personally identifiable information, Non-PII）於研

究，不受隱私規則規範。因此，如何認定該健康個資是否屬於

PII，乃適用此規則的一個重要前提。按隱私規則之設計，有兩個

方法來決定該健康資訊是否屬PII：

第一種方法習稱「安全港方法」（safe harbor method），即

對於健康個資用於研究，若能移除所有下列18種可識別特定個人

的資訊，即可安全地被認定為Non-PII：

1.姓名；2.所有比「州」單位小的地理位址資

訊；3.所有可以與特定個人直接連結的日期資訊（例

如生日、入院日、出院日、死亡日等）；4.電話號

碼；5.傳真號碼；6.電子郵件信箱；7.社會安全碼；8.醫療紀錄編號；9.健康計畫受益人編號；10.帳戶號

碼；11.證書號碼；12.車輛識別與序列號碼，包括車

牌號碼；13.設備識別與序列號碼；14.網址；15.通訊

協定位址碼；16.生物識別特徵，包括指紋、聲紋；

17.全臉影像或其他可比擬之影像；18.任何其他獨特

可識別的號碼、特徵或編號。104

第二種認定方法稱之為「統計標準」（ statistical standard）：若一個具有一般能接受的統計和科學原則與方法之

sections of 29 U.S.C., 42 U.S.C. and 18 U.S.C.).

104 45 C.F.R.§164.514 (b)(2)(i) (2015). See Paul Ohm, Broken Promises of Privacy: Responding to the Surprising Failure of Anonymization, 57

UCLA L. REV. 1701, 1736-38 (2010).


236

相關知識及經驗的人員，無法單獨藉由該資訊辨識特定個人時，

該資訊可被認定屬Non-PII。105

當確認健康資訊屬PII後，原則上受規範的個資控制者使用或

揭露該個資，即須先取得個資主體的書面授權（ prior written authorization）。

然而，不論是安全港方法或統計標準法，去識別化程度的要

求都非常高。如此高的去識別化要求，或許可解釋為係因健康個

資的私密敏感性質所致。惟健康資訊對於醫學研究發展的重要性

亦不容忽視，因此隱私規則設下了若干例外情形，使健康個資在

未達上述去識別化程度下，亦可不須獲得個資主體授權以使用於

研究：

（1）有限資料組的資訊（“Limited Data Set” of Information）由於安全港方法的運用，造成去識別化特定個人的結果過於

徹底，有論者主張將妨礙醫學研究的發展，例如著重地域性的傳

染病研究或著重年齡性的遺傳性疾病研究，都將無法有效進行。106因此隱私規則採用了「有限資料組資訊」的概念，作為緩

和安全港方法對於研究發展所可能造成的衝擊。相較於安全港方

法下必須刪除18項可識別特定個人之特徵因子，才能被認定為屬

於Non-PII，有限資料組要求較為寬鬆：在地址方面，可以保留鎮

或市（town or city）、州（State），與郵遞區號（zip code）；在

與辨識個資主體重要相關的月、日時點上（例如出生月、日），

105 45 C.F.R.§164.514(b)(1). 106 See Stacey A. Tovino, The Use and Disclosure of Protected Health

Information for Research Under the Hipaa Privacy Rule: Unrealized Patient Autonomy and Burdensome Government Regulation, 49 S. D. L. REV. 447, 457 (2004).


237

亦不嚴格要求刪除；不要求刪除任何其他獨特可識別的號碼、特

徵或編號。 107只要接受此有限資料組之人，簽署資料使用協議， 108遵守相關規定之要求（例如禁止重新辨識個資主體身

份），109則就此份可識別健康個資的使用，可不須獲得個資主體

的授權。110

（2）研究前的審閱準備（Reviews Preparatory to Research）第二種使用可識別健康個資而無須獲得個資主體授權的情形

為：研究者檢閱此個資僅是作為研究前的準備目的之用。111

（3）往生者資訊的研究（Research on Decedent’s Information）

第三種例外情形乃使用或揭露往生者的健康個資。只要是基

於研究所必要，且不會對於仍生存之自然人的權利造成影響，就

無須獲得代表往生者之人的同意。112

（4）委員會的批准免除授權（Board Approval of a Waiver of Authorization）

第四種對於可識別健康個資的使用、揭露，例外不須獲得個

資主體授權的情形，乃獲得專門設立的「組織審查委員會」

（ IRB） 113或「隱私委員會」（privacy board） 114的批准免除

107 45 C.F.R.§164.514(e)(2). 108 45 C.F.R.§164.514(e)(4)(i). 109 45 C.F.R.§164.514(e)(4)(ii)(C). 110 Tovino, supra note 106, at 458. 111 45 C.F.R.§164.512(i)(1)(ii). 112 45 C.F.R.§164.512(i)(1)(iii). 113 45 C.F.R.§164.512(i)(1)(iii)(A). 114 45 C.F.R.§164.512(i)(1)(iii)(B).


238

授權。115

相較於HIPAA隱私規則對於健康個資用於研究如此高的去識

別化要求，美國聯邦政府於西元2015年9月8日修正後的人體研究

保護規範（Common Rule116）的去識別化程度要求，則較為寬

鬆。經編碼過後的個人資料，只要合乎下列情形，即可認定屬去

識別化個資：編碼鑰在研究開始前被破壞，令研究人員不能輕易

地識別特定個人；或編碼鑰持有人同意在任何情況下，皆不會釋

放編碼鑰給研究人員；或有IRB批准的書面政策或法律規定禁止

釋放編碼鑰直到個資主體死亡前。117申言之，Common Rule並不

像隱私規則般嚴格要求須去除18項識別因子；只要能夠去除或編

碼遮掩重要的識別因子，令研究人員在沒有編碼鑰的情形下，無

法輕易地識別特定個人，即可滿足去識別要求。因此，有些編碼

過的個資，在 HIPAA隱私規則下不算去識別化個資，但在

Common Rule下則可能符合去識別化要求。

115 45 C.F.R.§164.512(i)(2)(i). See Tovino, supra note 106, at 459-60. 116 此聯邦法令之所以稱做“Common Rule”，是因為此研究管制規範廣

泛地被18個聯邦機構所採用，因此屬具「通則性」（common）特

徵的聯邦法。See Harrell & Rothstein, supra note 54, at 110. 117 See Mark A. Rothstein, The End of the HIPAA Privacy Rule—Currents

in Contemporary Bioethics, 44 J.L. MED. & ETHICS 352, 356 (2016). 囿於篇幅限制及本文論述重心安排，關於新修之Common Rule的介

紹，將留待日後再行撰文處理。


239

三、修正方法的提出

（一）概念的再釐清：「個資去識別化」與「當事人

同意」並不具備必然的相互取代關係

1. 多面向資訊隱私保護利益現行資訊隱私保護理論強調個資主體的個資自主控制權（即

資訊隱私保護的控制利益），而個資性質的私密敏感與否，只是

影響個資主體對個資控制權的強弱差異。118此種資訊隱私保護的

理解方式，很容易造成個資一旦脫離個資主體控制後（例如個資

主體主動將個資交予第三人），個資主體喪失的不僅是控制利益

的合理隱私保護期待，而是連同秘密性與親密性利益的合理隱私

保護期待，一併失去。

職此，本文主張，在不大幅變動過往資訊隱私保護理論，以

達到有效率的延續發展之目的下，建立多重面向利益的資訊隱私

概念，將控制、秘密性，及親密性利益分立，是個比較好的選

擇。意即，個資控制利益僅是資訊隱私保護的一項主要利益，但

並非唯一利益。資訊隱私權一詞代表此權利關心的不應只是個資

本身的自主控制利益，尚包括個資背後蘊含的其他隱私利益。119

118 學者李震山認為，資訊隱私權是美國法上用語，個人資料具有私密

性，為隱私權所保障；資訊自決權則為德國法上用語，德國法上之

個人資料，不一定皆與隱私有關，但經立法明定應予保障之個人資

料大多與隱私有關。職此，資訊自決權屬資訊隱私權之前哨，每項

個人資料之蒐集，不論是否涉及隱私，皆須尊重當事人之自決權

利，當然個人資料與隱私敏感程度關聯性的高低，得作為法規範的

強度和密度之考量依據。參閱李震山，多元、寬容與人權保障──

以憲法未列舉權之保障為中心，頁206-212，元照出版有限公司，2版（2007）。

119 學者邱文聰亦主張，資訊隱私對人格形成所能發揮的規範作用，不

僅只是保障個人資訊作為一種個人自主決定的處分對象，而在於對


240

例如個資的洩漏可能造成個人所經營之親密性關係的破壞，進而

影響維繫一個有尊嚴、具信任可能，及賴以發展友愛關係之生存

權利的可能。120申言之，資訊隱私保護著多面向的隱私利益，彼

此間雖互有關聯（例如愈親密性個資，當事人通常愈不願意放棄

控制權），但仍屬「分立關係」，而非「包含關係」。雖然當事

人同意將個資交出而可能喪失個資控制利益，但對於個資的秘密

性利益或親密性利益，仍可能具有合理期待保護可能。因此，控

制、秘密性與親密性這三種利益都應該在欲限制資訊隱私權時被

適當地滿足或評價；任何一種資訊隱私利益要被犧牲，其正當性

都應該是來自於資訊隱私在與其他利益權衡對抗過程而落敗的結

果。121

目前常見有一種主張：只要個資經去識別化特定個人處理

後，對於此去識別化個資的任何使用行為，就不會產生侵害資訊

隱私的結果，因此也不需考量當事人同意權利行使的問題。122法

務部於民國101年7月30日針對個資法第16條第5款及第20條第5款

規定所做之函釋的第4點說明，甚至認為個人資料經提供者處理

後或蒐集者依其揭露方式無從再識別特定當事人後，則該筆去識

別化之資料已非個資法第2條第1款所定之個資，即無個資法之

蒐集使用個人資訊進行分析以產出與人有關之各種圖像的知識／權

力生產活動，進行必要的制衡，以盡可能地避免知識／權力之生產

透過人之圖像的提供，在人格形成的內在領域中造就過於僵化的自

我認知基準。參閱邱文聰，從資訊自決與資訊隱私的概念區分──

評「電腦處理個人資料保護法修正草案」的結構性問題，月旦法學

雜誌，第168期，頁177（2009）。 120 Charles Fried, Privacy, 77 YALE L.J. 475, 484 (1968). 121 關於「多面向資訊隱私保護利益」的理論主張，參閱張陳弘，前揭

註38，頁257-268。 122 前揭註16，旁碼1411-1415。


241

適用。123

這樣的說法在本文主張的多面向資訊隱私利益理論下，可以

清楚地顯示盲點所在：去識別化個資的使用，或許不至於對秘密

性或親密性利益帶來傷害風險，因此，對此去識別化個資的使

用，不需要充實其他利益作為秘密性或親密性利益的交換。然

而，去識別化後的個資仍然是個資（因仍有還原連結特定個人之

可能），仍具有控制利益需要保護；如果要犧牲控制利益（例如

制度上設計不適用當事人同意），就應該要有勝出個資主體控制

利益之他項利益作為正當性基礎，僅是個資去識別化是不足夠

的。

同理，在取得當事人同意下的個資蒐集、處理、利用行為，

亦僅是滿足了個資主體的控制利益，但並不一定能滿足秘密性利

益或親密性利益的保護。因此，例如對於敏感性個資的蒐集、處

理、利用，若會對個資的親密性利益產生傷害，就無法僅以當事

人同意來完全滿足正當性基礎的要求，而必須再加上其他利益來

交換親密性利益的犧牲；要不然就必須設法讓親密性利益的傷害

不發生，例如去識別化個資。

Joel R. Reidenberg教授整理美國法院判決與美國聯邦交易委

員會執法案例，歸納出四種資訊隱私傷害類型：未經授權的個資

揭露、未經同意的個資蒐集、未確保個資安全及不合法的個資保

留。124其結論認為，告知後同意原則僅能有效防護前兩種類型的

資訊隱私傷害發生，而對於後兩種的資訊隱私傷害並無法有效防

123 法務部（101）年法律字第10103106010號函。 124 See Joel R. Reidenberg et al., Privacy Harms and the Effectiveness of the

Notice and Choice Framework, 11 I/S: J.L. & POL’Y FOR INFO. SOC’Y 485, 512 (2015).


242

免。125本文的理論主張可以有效提供解釋此一結論的理由：告知

後同意原則滿足的是資訊隱私控制利益的保護，但不一定能同時

有效滿足秘密性或親密性利益的保護。

2. 個資去識別化與當事人同意並不具備相互取代作用大部分論述認為個資的去識別化程度，與個資的蒐集、使用

所需求當事人同意程度的要求，兩者間存在翹翹板關係：去識別

化程度愈低（可識別化程度愈高），當事人同意要求的程度愈

高；去識別化程度愈高（可識別化程度愈低），當事人同意要求

的程度愈低。126

本文並不同意此種主張。此不同意觀點，從本文所主張的修

正式資訊隱私保護理論，可清楚顯現理由：當事人同意制度的目

的主要在於保護控制利益，而去識別化制度之目的主要在於保護

秘密性或親密性利益；保護利益既然有別，兩制度間就不必然存

在連動關係。雖說有可能因為個案中的個資去識別化程度高，當

事人的秘密性或親密性受到傷害的風險較低，而使得當事人比較

願意放棄其個資控制權，因此可以推論：個資去識別化程度愈

高，愈容易取得當事人同意。然而，卻不可以因此推論：去識別

化程度愈高，就愈不需要取得當事人同意。畢竟個資去識別化與

取得當事人同意這兩種制度設定所要滿足的資訊隱私保護利益，

並不相同；而去識別化的個資，只要存在有回溯連結特定個人的

可能性，就仍然是個資，仍有控制利益保護需求。

此一概念的釐清，在資訊隱私保護制度的設計上是重要的。

舉例而言，某甲同意某乙就其健康個資使用於某特定研究用途；

125 Id. at 523. 126 ICO: ANONYMISATION, supra note 91, at 29.


243

乙並將研究成果出版公諸於世。制度上雖允許甲就其個資的被使

用享有事後退出權，但該個資已經釋放至公共領域，幾等同實質

架空了甲事後退出權的行使。因此，若該研究開始之初，並未排

除研究成果出版的可能性，那麼縱使在已獲得當事人同意的情況

下，若能再加上個資去識別化的動作，會是一個比較好的選擇。

在此例中即可顯示，當事人同意與個資去識別化兩者間並不當然

具備相互取代作用。

（二）善用「去識別化程度」與「當事人同意模

式」的相互搭配，尋求資訊隱私保護利益與

資訊自由流通利益間的較佳平衡點由於控制利益仍然是資訊隱私保護的主要利益，故仍應以告

知後同意原則作為設計個人資料保護法制的基礎，在正常狀況

下，尊重當事人間就個資的蒐集、處理、利用方式的合意決定。

以瑞士（Switzerland）的健康資料庫建置為例，HealthBank是一

家營利性質公司，人民可以選擇支付65元瑞士法郎加入成為公司

股東；股東必須貢獻其個資供研究實驗使用，而股東們的貢獻會

由研究所有者按照規定的價格支付使用對價。127此種健康資料庫

的運作模式，即為具體同意模式的應用，HealthBank提供成為股

東者選擇的權利，就每一個個別的研究選擇加入（opt-in）貢獻

其個資，來形成合意決定。128

然而，當取得個資主體同意顯得不切實際時，或僅取得個資

主體的同意並不足以保護資訊隱私時，就必須善用不同的當事人

127 NDG FOR HEALTH AND CARE, supra note 56, at 33. 128 雖然此例係私部門建置健康資料庫之經驗，與本文討論之國家建置

健保資料庫的情形有別，但在告知後同意原則的適用要求上，仍有

其共通性，可以提供國家在日後的制度設計上一個選擇參考。


244

同意模式與個資去識別化要求的設計，以尋求資訊隱私保護利益

與資訊自由流通利益間的較佳平衡點。若以巨量資訊科技的運用

為例，由於此科技的運作原理就是立基於盡其可能蒐集愈多的個

資以因應未來不可知（無法預期）的使用。因此若要徹底貫徹每

一項用途的個資使用，都須分別得到個資主體同意（具體同意模

式）的話，則無可避免地將對此類科技發展造成阻礙。職此，不

同當事人同意模式的採用，應可有效降低具體同意模式的阻礙對

公共利益追求的影響，並得權衡兼顧資訊隱私控制利益的保障。

例如動態同意模式的採用，讓個資主體有權選擇就已被蒐集之個

資，退出任何事後具體用途的個資使用。如此，就可以有效防免

因為個資主體在蒐集當下所為的同意，而形成個資控制權利的完

全喪失。

此外，倘若個資主體對於其個資被蒐集後所使用用途的過於

廣泛，而對於同意的決定猶豫不決的話，那麼區分不同類型的適

用清單，以分別獲取個資主體同意的模式，就會是比較好的同意

模式選擇（分層同意模式），能有效避免「全有／全無」兩極端

的同意決定效果。

至於若就蒐集而得之個資，欲使用於高度專業的研究領域，

擔心個資主體不易瞭解或接受個資使用的說明，而拒絕做成同意

決定的話，那麼「廣泛同意模式」就是一個可以考慮的選擇；藉

由第三方專業機構就個資使用的把關，以獲取個資主體就其個資

被使用的信任。

除此之外，亦可藉由個資的去識別化，來增加取得個資主體

同意的可能性。一般而言，去識別化程度愈高的個資，取得當事

人同意的阻力應該愈小。因此，個資的蒐集、使用者應考慮，在


245

所設定的個資使用目的下，不需要識別個資所屬主體的話，那麼

去識別化個資的承諾，將有助於當事人同意的取得。甚且，使用

去識別化個資，就個資控制者而言，也可有效降低所承擔的資訊

隱私侵害風險，畢竟當事人同意滿足的只是資訊隱私保護的控制

利益，而對於個資的去識別化動作，則可有效保護資訊隱私的秘

密性或親密性利益。

然而，必須注意當個資主體的同意決定會產生「外溢效果」

而影響到他人的資訊隱私利益時，就不能光以當事人同意來完全

滿足資訊隱私保護，而必須搭配個資去識別化的要求。以噶瑪蘭

族人唾液採集案件為例，由於唾液個資的使用可能造成整個噶瑪

蘭族利益的傷害，故僅是取得個別當事人同意，無法完全滿足資

訊隱私利益的保護，而應同時確保秘密性或親密性利益不受傷

害。129此際，個資的去識別化，就會是一個比較有效的隱私保護

方式。

四、判決難題的再分析關於本件判決的兩項棘手難題：「原告事後退出權的主張」

與「健保署是否滿足個資去識別化要求」，法院判決理由中有待

進一步釐清與修正者有： 129 馬偕醫院於民國96年1月嘗試取得受試者同意，採集29名噶瑪蘭

（Kavalan）族人的唾液進行族群研究。雖然此研究計畫，事後在

其他噶瑪蘭族人的反對下而作罷。參閱陳惠惠&張柏東，尊重基因

產權馬偕銷毀原民檢體，聯合報，2007年4月2日，http://biobank forum.blogspot.tw/2009/05/blog-post_9724.html（2018/01/05，造訪）。

假若研究繼續進行，則可能造成的隱私影響，不僅是這29人的隱私

權利，尚擴及整個噶瑪蘭族群；甚至可能造成社會對於原住民族歧

視之刻板印象的形成，因而嚴重傷害社會和諧。亦即，29名噶瑪蘭

族人對於唾液個資的同意蒐集、使用之決定效果，將擴及影響（外

溢效果）整個噶瑪蘭族人的隱私保護。


246

（一）個資去識別化並不一定能完全滿足資訊隱私

保護最高行判決健保署勝訴，其理由的一項重點在於法院的一個

核心想法：個資如果可以通過「去識別化特定個人」之檢驗標

準，即可確定上訴人等之隱私權不會受到侵犯；個人資料的「去

識別化」是權衡個人資訊隱私權與健保資料庫公共利益衝突現象

最有效率之手段。

在本文主張之多面向資訊隱私利益概念下，除了可發現法院

狹隘地將個資去識別化等同於資訊隱私保護，對於個資控制利益

保護的不足之處外，更可在秘密性與親密性利益的保護要求下，

提醒法院須注意進一步檢驗健保署的個資去識別化程度，是否確

實滿足了資訊隱私保護的要求。

（二）個資法第16條但書第5款的去識別化要求標準法院將個資法第16條但書第5款的去識別化要求標準設定在

對個資主體沒有認識的一般社會大眾。採取如此寬鬆的認定標

準，法院提供的理由乃因公務機關有審核把關機制，故個資濫用

的風險較低，則資料去識別化的程度也可相對放寬。然而，以

「誰」的識別能力作為判斷標準，與確定以「誰」的識別能力作

為判斷標準後，應去識別化到何種程度方能滿足要求，為兩個不

同層次問題。公務機關的審核機制，影響的是個資去識別化要求

的程度，而不直接改變應以「誰」的識別能力作為判斷標準。法

院判決理由混淆了這兩個不同層次的概念。

本文主張，個資去識別性的認定標準應採「具動機的侵害者

標準」，畢竟會去申請使用健保資料庫之人，通常並非一般社會

大眾，而是藥廠或相關學術研究者。這兩類人對於健保個資的識


247

別能力有其差異，例如藥廠可能同時具有接近使用其他健康資料

庫的權利或能力，但一般人並不具備此能力。故法院採取的「一

般人標準說」應予修正。

（三）法院拒絕原告行使事後退出權的論證缺漏法院拒絕原告行使事後退出權要求健保署不得將其健保個資

提供學術研究使用。最高行雖未沿用北高行的事前同意權與事後

退出權屬一體兩面關係的拒絕理由，但仍舊認為健保署拒絕原告

行使事後退出權的決定，並未違反比例原則，係屬合法；其中一

項重要理由乃個資已經去識別化處理，不會發生隱私侵害問題。

法院的論證缺漏在於混淆了資訊隱私所保護的控制利益，與

秘密性、親密性利益的不同。原告事後退出權的主張，要維護的

是原告對於其所屬個資的控制利益，而個資去識別化與否關注的

則是個資秘密性或親密性利益的保護。個資去識別化與否，與能

否拒絕原告事後退出權的行使，分屬兩事。健保署對於去識別化

個資的蒐集、處理、利用，原則上仍應尊重當事人的自主意志以

滿足控制利益保護。倘若不得已須犧牲當事人的控制利益，而不

經當事人同意程序，健保署就必須舉證是在追求勝出控制利益的

其他正當利益的情形下所為，而不能僅是仰賴想像的抽象利益或

泛泛地預估可能的研究成果。130若參照英國的個資保護實務，必

130 學者劉宏恩指出，利用大型的醫療及基因資料庫做疾病的危險因子

及其風險係數的研究，所得的結果往往不是某基因與疾病之間的因

果關係，而只是其統計上的相關性而已。目前為止，在臨床治療上

的應用價值其實並不大。部分業者或學者一再強調人群基因資料庫

研究將能發現致病基因，進而能於未來治療該疾病，其實有點像是

一種噱頭，而非真正確定的事實。參閱劉宏恩，前揭註61，頁70。惟持不同意見者，則論舉實證說明利用健保資料庫的具體研究成

果，例如國家衛生研究院與陽明大學、輔仁大學、臺灣大學、義大


248

須是在例如監控嚴重的傳染疾病與其他公共衛生的嚴重風險的例

外情況下，方能拒絕當事人行使事後退出權。131

不過，因為現行個資法第16條但書關於個資目的外利用的合

法性要求，乃將「當事人同意」與「去識別化」設計為「擇一」

因子，而未將當事人同意當作必要因子。因此，形成法院認定兩

因子在合法性要求上，具有相互取代作用的見解。本文主張，此

現象應透過修法解決之，但在未完成修法以前，法院應將第16條

但書第7款「經當事人同意」規定理解為經當事人的「事前」同

意；而不論是使用第16條但書的任一事由作為目的外利用的合法

性基礎，皆不拒斥當事人事後退出權的行使。意即，不論公務機

關是為了「維護國家安全或增進公共利益所必要」、「免除當事

人之生命、身體、自由或財產上之危險」、「防止他人權益之重

大危害」、「為學術研究必要使用去識別化個資」，或「有利於

當事人權益」，在事前未取得當事人同意的情形下，目的外利用

個資，當事人都有權在知悉後行使事後退出權，禁止個資的繼續

利用。倘若公務機關認為有繼續利用個資的需求，而拒絕當事人

退出，就必須另行舉證是在追求勝出控制利益的其他正當利益的

情形下所為，當然亦必須符合侵害最小手段的要求。

醫院、臺北醫學大學、臺中榮總合作研究團隊，利用「全民健康保

險學術研究資料庫」進行全國性的族群資料追蹤，證實B型肝炎相

關的肝癌患者術後，接受口服核苷抗病毒藥物治療，將可以有效減

少3分之1復發機會，本研究結果於2012年11月份的美國肝臟疾病研

究學會年會中發表，也同一天於美國醫學會雜誌（JAMA）刊出。

參閱台灣「全民健康保險學術研究資料庫」大型追蹤，國家衛生研

究院網站，http://www.nhri.org.tw/NHRI_WEB/nhriw001Action.do? status=Show_Dtl&nid=20121210961285700000&uid=2008120495497

6470000（2018/01/05，造訪）。 131 NDG FOR HEALTH AND CARE, supra note 56, at 33-34.


249

伍、結論

本文強調「資料的可識別性」與「個資的去識別性」兩種概

念的區分，用以導正實務見解錯誤地將判斷資料是否屬個資法保

護的「資料可識別性」概念，混用在個資法第6條第1項但書第4款及第16條但書第5款的個資去識別化規定之要求。本文並進一

步主張，判斷資料是否屬個資法保護的個資，應採用「任何人標

準說」。至於判斷個資是否滿足個資法第6條第1項但書第4款及

第16條但書第5款規定的去識別化要求，則應採取「具動機的侵

害者標準說」，若具再識別化動機者的識別能力不能成功藉此個

資辨識所屬的個資主體，則該個資即符合去識別化要求。另於本

案，對於健保個資為目的外利用行為的主體既然是健保署，自應

由其擔負個資去識別化之義務。

此外，本文提出多面向資訊隱私保護利益概念，說明個資去

識別化並不一定能完全滿足資訊隱私保護；只要去識別化個資仍

然有還原連結特定個人之可能，個資主體對於該個資就仍享有控

制利益。健保署對去識別化個資的蒐集、處理、利用，原則上仍

應取得當事人同意以滿足控制利益保護；若不得已須犧牲當事人

的控制利益，健保署就必須舉證是在追求勝出控制利益的其他正

當利益之情形下所為。職此，法院狹隘地將個資去識別化等同於

資訊隱私保護，顯對資訊隱私保護的控制利益有所不足。此外，

法院拒絕原告行使事後退出權的一項重要理由乃個資已經去識別

化處理，不會發生隱私侵害問題。此論證理由混淆了資訊隱私所

保護的控制利益，與秘密性、親密性利益的不同。原告事後退出

權的主張，要維護的是原告對於其所屬個資的控制利益，而個資

去識別化與否，關注的則是個資秘密性或親密性利益的保護。個


250

資去識別化與否，與能否拒絕原告事後退出權的行使，分屬兩

事，必須分別論證。132

132 原告已於民國106年12月5日針對最高行定讞判決所適用的個資法相

關規定之合憲性，聲請司法院憲法解釋（參閱健保資料庫案釋憲理

由書公開，台灣人權促進會，2017年12月5日，https://www.tahr. org.tw/news/2136（2018/01/05，造訪））。雖說本文研究著重在判

決的個案評析，與抽象法規範釋憲的重點有別，但若干爭點仍有其

共通之處，例如釋憲聲請人主張個資法第16條對於公務機關就個資

的利用行為，未規定應「依法」於執行法定職務必要範圍內為之，

形成組織法取代作用法之違憲瑕疵；個資法漏未規範當事人事後退

出權利之保障，違憲侵害憲法隱私權。此外，本文所提出之不同類

型的當事人同意模式之說明，亦可用於論證個資法對於敏感性個資

（第6條）與非敏感性個資未區分規範之不足。


251

參考文獻

書籍吳庚，行政爭訟法論，自版，6版（2012）。李震山，多元、寬容與人權保障──以憲法未列舉權之保障為中心，

元照出版有限公司，2版（2007）。陳慈陽，憲法學，自版，2版（2005）。許育典，憲法，元照出版有限公司，4版（2010）。蕭家捷、賴文智，個人資料保護法Q&A，元照出版有限公司

（2013）。 NASS, SHARYL J., LAURA A. LEVIT & LAWRENCE O. GOSTIN, BEYOND THE

HIPAA PRIVACY RULE: ENHANCING PRIVACY, IMPROVING HEALTH

THROUGH RESEARCH (National Academies Press, Wash., 2009). SOLOVE, DANIEL J., THE DIGITAL PERSON: TECHNOLOGY AND PRIVACY IN

THE INFORMATION AGE (New York Univ. Press, N. Y., 2004).

期刊論文江晨恩、陸翔寧、劉宏恩，赫爾辛基宣言2013年版，臺灣醫界，第57卷第4期，頁54-57（2014）。邱文聰，從資訊自決與資訊隱私的概念區分──評「電腦處理個人資

料保護法修正草案」的結構性問題，月旦法學雜誌，第168期，頁

172-189（2009）。范姜真媺，個人資料保護法關於「個人資料」保護範圍之檢討，東海

大學法學研究，第41期，頁91-123（2013）。范姜真媺，醫學研究與個人資料保護──以日本疫學研究為中心，科

技法學評論，第10卷第1期，頁61-113（2013）。


252

徐仕瑋，個資法所保護個人資料之範圍界定──評台灣台北地方法院

103年度北小字第1360號小額民事判決，月旦裁判時報，第30期，頁

123-138（2014）。許宗力，基本權的保障與限制（上），月旦法學教室，第11期，頁

64-75（2003）。張陳弘，個人資料之認定──個人資料保護法適用之啟動閥，法令月

刊，第67卷第5期，頁67-101（2016）。張陳弘，新興科技下的資訊隱私保護：「告知後同意原則」的侷限性

與修正方法之提出，臺大法學論叢，第47卷第1期，頁201-297（2018）。黃耀賞，淺談「得以間接方式識別特定個人之資料」，科技法律透

析，第27卷第1期，頁31-35（2015）。詹鎮榮，公務機關間個人資料之傳遞──以臺灣桃園地方法院行政訴

訟102年度簡字第2號判決出發，法學叢刊，第60卷第1期，頁1-27（2015）。劉宏恩，冰島設立全民醫療及基因資料庫之法律政策評析──論其經

驗及爭議對我國之啟示，臺北大學法學論叢，第54期，頁41-100（2004）。 Bruening, Paula J. & Mary J. Culnan, Through a Glass Darkly: From Privacy Notices to Effective Transparence, 17 N.C.J.L. & TECH. 515-580 (2016). Cate, Fred H., Protecting Privacy in Health Research: The Limits of Individual Choice, 98 CAL. L. REV. 1765-1804 (2010). Cohen, Julie E., Irrational Privacy?, 10 J. ON TELECOMM. & HIGH TECH. L. 241-250 (2012). Cranor, Lorrie, Brett Frischmann, Ryan Harkins & Helen Nissenbaum, Panel I: Disclosure and Notice Practices in Private Data Collection, 32 CARDOZO ARTS & ENT. L.J. 784-812 (2014).


253

Forgo´, Nikolaus, My Health Data—Your Research: Some Preliminary Thoughts on Different Values in the General Data Protection Regulation, 5(1) INT’L DATA PRIVACY L. 54-63 (2015). Fried, Charles, Privacy, 77 YALE L.J. 475-493 (1968). Gostin, Larry, A Civil Liberties Analysis of Surrogacy Arrangements, 17 J. CONTEMP. HEALTH L. & POL’Y 432-454 (2001). Harrell, Heather L. & Mark A. Rothstein, Biobanking Research and Privacy Laws in the United States, 44 J.L. MED. & ETHICS 106-127 (2016). Nissenbaum, Helen, A Contextual Approach to Privacy Online, 140 DAEDALUS 32-48 (2011). Ohm, Paul, Broken Promises of Privacy: Responding to the Surprising Failure of Anonymization, 57 UCLA L. REV. 1701-1777 (2010). Reidenberg, Joel R., N. Cameron Russell, Alexander J. Callen, Sophia Qasir & Thomas B. Norton, Privacy Harms and the Effectiveness of the Notice and Choice Framework, 11 I/S: J.L. & POL’Y FOR INFO. SOC’Y 485-524 (2015). Reidenberg, Joel R., Travis Breaux, Lorrie Faith Cranor, Brian French, Amanda Grannis, James T. Graves, Fei Liu, Aleecia McDonald, Thomas B. Norton & Rohan Ramanath, Disagreeable Privacy Policies: Mismatches Between Meaning and Users’ Understanding, 30 BERKELEY TECH. L.J. 39-68 (2015). Rothstein, Mark A., Bartha Maria Knoppers & Heather L. Harrell, Comparative Approaches to Biobanks and Privacy, 44 J.L. MED. & ETHICS

161-172 (2016). Rothstein, Mark A., The End of the HIPAA Privacy Rule—Currents in Contemporary Bioethics, 44 J.L. MED. & ETHICS 352-358 (2016). Schwartz, Paul M. & Daniel J. Solove, Reconciling Personal Information in the United States and European Union, 102 CAL. L. REV. 877-916 (2014).


254

Sedenberg, Elaine M. & Deirdre K. Mulligan, Public Health as a Model for Cybersecurity Information Sharing, 30 BERKELEY TECH. L.J. 1687-1740 (2015). Storrow, Richard F., New Thinking on Commercial Surrogacy, 88 IND. L.J. 1281-1288 (2013). Terry, Nicolas, Protecting Patient Privacy in the Age of Big Data, 81 UMKC L. REV. 385-415 (2012). Tovino, Stacey A., The Use and Disclosure of Protected Health Information for Research Under the Hipaa Privacy Rule: Unrealized Patient Autonomy and Burdensome Government Regulation, 49 S. D. L. REV. 447-502 (2004).


255

摘要

本案對於所適用的個資法第6條第1項但書第4款及第16條但書

第5款規定，原告與法院間有兩個關鍵分歧點始終無法取得共識：

個資去識別化程度的要求與原告請求事後退出健保資料庫的權利

主張。本文主張法院狹隘地將個資去識別化等同於資訊隱私保

護，對資訊隱私的控制利益保護有所不足。法院以個資已經去識

別化處理，不會發生隱私侵害問題，而拒絕原告行使事後退出權

的主張，係混淆了資訊隱私所保護的控制利益，與秘密性、親密

性利益的不同。原告事後退出權的主張，要維護的是原告對於其

所屬個資的控制利益，而個資去識別化與否，關注的則是個資秘

密性或親密性利益的保護。個資去識別化與否，與能否拒絕原告

事後退出權的行使，分屬兩事，須分別論證。


256

Controversy over Information Privacy Arising from the Taiwan National Health

Insurance Database: Examining the Taiwan Highest Administrative

Court Judgment No. 106-Pan-54

Chen-Hung Chang

Abstract

In the four court judgements where this dispute was decided, two main issues associated with Item 4, Paragraph 1 of Article 6 and Item 5 of Article 16 of the Personal Information (Data) Protection Act remain unresolved. One is the required degree of de-identification of personal health data and the other issue relates to an individual’s right of eraser of his/her own personal data from the Taiwan’s National Health Insurance Research Database. This article argues that the principle rule is that the National Health Insurance Administration (NHI) shall obtain the individual’s consent before it can collect, process and use personal data in order to protect one’s right of controlling his/her data. However, if the control interest has to be put aside in certain circumstances, the NHI has to demonstrate the existence of other legal interests which outweigh such personal control interest to justify its collection/processing/use of personal health data without consent. In this respect, the court’s reliance on NHI’s sole defense that personal privacy shall have been well protected since the data are de-identified without requesting NHI to demonstrate the greater legal interests that deserve protection has


257

failed to consider the nature of a person’s control interest. Additionally, the court also failed to consider the difference between the interest of control and the interest of secrecy and intimacy when it dismissed plaintiffs’ claim that their personal data shall be removed from the NHI database and held that since the personal information has been de-identified, there should be no concern of privacy invasion. As a matter of clarification, the right of erasure is to protect a person’s control interest while the de-identification is to ensure the protection of a person’s secrecy and or/ intimacy. Whether or not the personal information has been de-identified shall not be confused with a person’s right of erasure and these two issues need to be reviewed separately.

Keywords: Information Privacy, Personal Data, Informed Consent, De-Identification, Big Data Technology, Taiwan National Health Insurance Database