施宇芳觀點：從歐盟GDPR被遺忘權設計論疫苗施打之資訊管理

最近面對Omicron疫情來勢洶洶，中央與縣市政府疫苗通行證的問題與國人隱私權保護成為討論焦點。針對隱私權保護，台灣雖有個人資料保護法，但法規較為原始。近年，最為全世界各國與企業所討論者，自屬歐盟的General Data Protection Regulations (「通用資料保護規則」），其中第 17 條規定了知名的刪除權，也就是所謂的被遺忘權，也是這波論戰討論重點。

GDPR雖非我國法律，但確實有值得借鏡之處，本文將對該法之被遺忘權進行介紹，然後再進行疫苗通行證上的適用參考。被遺忘權簡單來說就是數據(data)主體有權利要求控制者及時刪除與主體有關的個人數據。資料控制者在有下列理由之一的情況下有義務立即刪除個人數據：（1). 就收集或以其他方式處理的目的而言，不再需要個人數據；(2). 數據主體依法撤回處理所依據的同意，並且沒有其他法律依據進行處理；(3). 數據主體依法反對處理而資料控制者沒有合法理由進行處理；(4).個人數據已被非法處理；(5)必須刪除個人數據以遵守控制者所遵守的歐盟國家內國法律義務；(5) 收集的個人數據與兒童隱私社會服務的提供有關。

如果控制者已公開個人數據並根據GDPR有義務刪除個人數據，則控制者在考慮可用技術和實施成本的情況下，應採取包括技術措施在內的合理步驟通知控制者。GDPR要求此類控制者刪除這些個人數據的任何鏈接、複製或複制的個人數據。

當然，被遺忘權如同一般法律制度的設計，也有但書; 在下列情況下GDPR限制被遺忘權的行使：(1) 言論和信息自由權的行使；(2) 為了遵守法律義務或者為了執行為公共利益或行使控制者賦予的官方權力而執行的任務；(3) 出於公共衛生領域的公共利益的原因；(4) 出於公共利益、科學或歷史研究目的或統計目的的存檔目的;或者(5) 用於建立、行使或辯護之法律要求。詳細規定以法條本文為主。

從上述規定可知，被遺忘權主要是希望保護數據資料的主體。以COVID-19疫苗施打紀錄來說，數據資料主體就是公民的個人基本資料及施打紀錄，並有可能擴大至救診紀錄及行動紀錄。從上述歐盟制度來說，在符合但書情況下，資料控制者是可以不進行資料刪除的，比如說重大公共衛生利益。觀諸COVID-19自2020年爆發以來，確實造成全世界各國重大傷亡，台灣在2021年也爆發重大疫情，甚至造成許多死亡個案。筆者認為，國家針對疫苗施打紀錄及資料，如果在符合基礎行政原理原則的情況下，姑且不論我國尚無被遺忘權之立法，即便有，面對個別人員要求被遺忘權的行使，應該仍可以依照公益原則保留。

需注意者：假使政府須將此類資訊委外處理或是分享給第三者，筆者認為除須符合公益性目的之外，應確保資訊的分享有必要的管理跟保密機制以及所謂的「最小化原則」。觀諸我國政府對於資訊處理之外包案件，有可能出現 (1)合約設計上在個資保護上不夠縝密，(2) 在外包過程中主管機關未盡監督之責，以及(3) 發現個資受侵害後缺乏專業處理團隊等問題，以上都可能造成國民對於COVID-19之疫苗紀錄舉措感到不安，而引發爭議或對立。

綜上，只要能注意筆者所列出的三個提醒：(1) 落實合約條款之審閱，(2) 有計劃的對廠商進行監督管理，(3) 預先演練好個資外洩之處理，則面對COVID-19等重大公衛公益而進行的個資處置，不管是由中央或地方政府進行，筆者認為相對於醫療資源崩解或是封城造成的經濟損失，台灣人民應該會對限制被遺忘權乙事支持大於反對。 （相關報導： 李秉穎不看好疫苗護照！親吐「2關鍵」認了：打疫苗疫情不會消失 ｜ 更多文章 ）

＊作者為律師。