黃新為 律師
2023年02月28日
新冠肺炎疫情傳播下,個人健康資料的蒐集、處理及利用,實為促進科學研究發展及政府形成公共衛生政策之重要一環。在此背景下,相關法制應如何調和科學研究及隱私保護間(表面上之)衝突?如何在兼顧個人隱私下,促進國際間重要科學新知之傳播與分享?Ludovica Paseri於「COVID-19 Pandemic and GDPR」一文(下稱該文章為「本文」,作者Ludovica Paseri為「本文作者」)就歐盟GDPR法規施行之觀察,應值參考。
Image by Biljana Jovanovic from Pixabay
文章摘要
本文作者首先從GDPR第1條規定所揭示之立法目的觀察:該規定一方面說明個人資料應受到保護,另一方面卻明揭應保障個人資料於歐盟境內之自由流通。本文作者據以認為,為了促進科學領域之發展,應盡可能促進資訊的傳播,但同時應保護其中所涉之個人資料。
藉由觀察歐盟委員會於2020年提出「歐洲資料戰略」所揭示之四大策略,包括:(1)建立個資存取與利用之跨部門框架:藉此建立更彈性的個資治理模式,以容納此領域中的各種角色,並減少不同國家間個資存取與利用相關規定的分裂(fragmentation);(2)推動方式:利用投資來強化歐洲蒐集、處理、利用數據所必需的基礎建設;(3)資料賦能:強化個體管控其資料的能力;及(4)形成戰略性領域及公益領域的歐洲共同資料空間。本文作者認為該策略可以視為歐盟將開放科學(Open Science)予以制度化之努力;並強調其中第(4)點與「歐洲開放科學雲」(EOSC)之建立直接相關。
本文作者近一步分析,所謂「開放科學」包括了科學研究各階段的開放,包括(1)一開始原始數據的蒐集、(2)使用開放的技術與方法進行分析,以及(3)將最終的出版與研究結果開放取用(Open Access)。然而,開放科學並非單一促進科學知識之最大化開放,仍需符合相關限制,包括個資保護的相關權利保障。
基於上述分析,本文作者認為「開放科學」與GDPR的個資治理原則具有「彈性」(flexibility)此一共性,均是在個資保護與促進資料的自由流動等不同利益間,尋求平衡點。因此,「開放科學」的概念並不與GDPR的規定相互衝突,反而得以互為補充。
最終,關於科學研究領域及EOSC相關的個資保護,本文作者提出尚有三大面向的挑戰需要進一步探討與克服:
1. 法律框架的議題:
在「歐洲資料戰略」的框架下,「個人資料」與「非個人資料」間的明確區別仍一再被重申。然而,本文作者認為現實資料通常是模糊、難以明確放入前述二分法下的任一種類別,且更多時候所處理者是屬於「混合型資料」(mixed data,即同時包含屬於個資部分與非個資部分的一整組資料)。
2. 分歧議題:
本文作者指出,GDPR第89條規定針對科學研究領域,賦予歐盟會員國就GDPR特定條款自行制定例外規定的權利。因此,即使是在歐洲會員國內,各國就科學研究領域之個資保護治理相關規定仍可能存在分歧,且該等分歧之存在,可能成為歐盟間研究資料共享的障礙。
3. 法遵議題:
本文作者認為,如何確保GDPR相關規定之有效落實是建置「歐洲開放科學雲」或進行科學研究所面臨的主要挑戰之一。縱然GDPR在科學研究領域提供了較為彈性的框架,但此仍不足以確保科學研究的最佳發展,尚有賴於各層級相關人員共同一致的努力,以建立合規的資料治理機制,確保促進科學研究傳播的同時,有效保障所涉個人的基本權利。
筆者觀察
從本文來看,「歐洲資料戰略」雖已宣示歐盟朝數位轉型的目標,並提出建立一致的跨部門資料治理框架、建立歐洲共同資料空間等戰略方向,但具體應如何調和個資保護與科學研究傳播等權利間之衝突、建立統一的合法機制來確保個資保護與知識傳播之利益得以最大化,尚待歐盟各界一致努力,始得形成更為具體之原則與框架。
自本文提及歐盟內部就科學研究領域之個資保護措施之分歧,可能成為建立歐洲共同資料空間之主要挑戰等節,或可預期一旦歐盟未來形成統一的資料共享原則與框架,則個資保護密度未能符合歐洲框架的國家,較有可能被排除於該等資料共享圈外。如此,恐將造成共享圈內與圈外之國家間資訊產生落差,甚或對共享圈外國家之科研發展產生不利影響。
近期我國「健保資料庫釋憲案」(111年憲判字第13號),也讓科學研究與個人健康資料保護間的潛在衝突,成為焦點。我國大法官於本案揭示關於將個人健康資料做為科學研究用途之重要原則,包括:(1)應建立獨立監督機制、(2)應以法律明確規定包括健保署以資料庫儲存、處理、對外傳輸及對外提供利用之主體、目的、要件、範圍及方式暨相關組織上及程序上之監督防護機制等重要事項,及(3)應保障當事人之停止利用權(退出權)。
上述憲法法庭揭示之原則仍有待相關立法進一步具體落實,惟我國未來(如要建立)科學研究領域之共享資料空間,上述原則或得作為最基礎之法制框架。又我國立法者如何依上述憲法法庭判決意旨,進一步型塑並建立科學領域資料共享之保護機制與組織程序,值得觀察。
再者,我國個人資料保護法之規範主要是以「個人資料」或「非個人資料」做為有無該法適用之分類;並針對「公務機關」及「非公務機關」對個人資料之蒐集、處理及利用,區別規定。在學術領域之資料處理,具有本文前述公、私部門界線逐漸模糊,且多有「混合型資料」等特徵下,該等分類是否需做適當調整,亦值得思考。
資料來源
Ludovica Paseri, COVID-19 Pandemic and GDPR: When Scientific Research becomes a Component of Public Deliberation, Data Protection and Privacy Vol. 14 (2022)
延伸閱讀
。European Commission, ‘A European strategy for data’