英國50萬筆生醫資料外洩阿里巴巴：去識別化資料的隱私危機

英國人體生物資料庫（UK Biobank）約50萬名志願者的去識別化健康資料，遭到研究人員上架至中國電商平台阿里巴巴旗下的「閒魚」網站公開販售。這批資料涵蓋性別、年齡、社會經濟地位、生活習慣及生物樣本測量結果，雖不含姓名、地址或聯絡方式，但事件曝光後隨即引發英國朝野高度關注¹。

UK Biobank是英國慈善機構，擁有逾兩萬名來自60個以上國家的授權研究人員，是目前全球規模最大、最具研究價值的生醫資料庫之一，其所儲存的基因資料、臨床紀錄、生物樣本及生活型態資訊，長期為癌症、失智症、心血管疾病等重大疾病研究提供資料基礎。正因資料的高密度與高價值，此次事件的衝擊尤為深遠，然而，UK Biobank的官方立場是，外洩資料不含任何可直接辨識個人身分的欄位，因此對參與者隱私的衝擊相對有限。

事件的來龍去脈

UK Biobank的運作模式，是由全球研究人員申請通過審查後，在其雲端研究平台上進行資料分析，依規定研究者只能在受控平台內操作，匯出的僅限統計分析結果，原始資料不得離開平台。此次事件的問題，正是出在取得合法授權的使用者身上。

根據UK Biobank執行長羅里・科林斯（Professor Sir Rory Collins）的聲明，被上架販售的資料，係由三所中國學術機構的研究人員依合法程序取得，然而這些機構涉嫌違反其與UK Biobank簽署的使用合約，將去識別化資料移出了受控環境²。科林斯表示，在英國及中國政府的協助下，阿里巴巴迅速下架了相關商品頁面，目前無成功銷售紀錄，涉事機構及個人的資料存取權限均已遭暫停。

UK Biobank亦已主動向英國資訊委員辦公室（Information Commissioner’s Office，ICO）自行申報，並宣布暫停整體研究平台的存取服務，估計約需三週完成安全升級，同時著手建置自動化的資料輸出檢查機制，以防止去識別化資料被不當移出研究環境。

英國國會科學與技術委員會主席齊翁烏拉（Dame Chi Onwurah）對此事件提出嚴厲批評，質疑UK Biobank未能有效管理高度敏感資料，並對政府在強化公共部門資訊安全方面的承諾進展表達不滿。牛津大學學者Luc Rocher教授則直言，UK Biobank的官方回應試圖淡化事件的嚴重性，強調資料已去識別化且無成功辨識案例，然而《衛報》（The Guardian）調查發現，在取得一名志願者同意後，委託外部資料科學家進行再識別測試，僅憑該志願者的出生年月及一次重大手術的資料，即成功鎖定其詳細的醫院診斷紀錄，顯然UK Biobank所謂的已去識別化的說法並不精確。

什麼是去識別化？

此次UK Biobank事件的爭議之一，在於究竟遭外洩的資料是否屬已經「去識別化」的資料，然而，究竟什麼資料是「去識別化」的資料，「去識別化」的資料是否就不受個資法規管？

我們要先弄清楚一個問題：所謂「去識別化」是一個過程（動作）或者是一個結果？如果「去識別化」是一個結果，一筆在任何技術條件下都無法識別任何人的資料，它便不是個人資料，或許會受到營業秘密法的規範，但已經超出了個資法的規管範圍。但如果「去識別化」是一個過程或者動作，則經過去識別化過程後所產生的資料是否仍屬個人資料，就需要看該資料是否還有能力識別特定自然人，而可能會屬於間接識別個人的個人資料，或者不是個人資料。

GDPR前言第26點就是否「可識別」的判斷，考量資料控制者或任何其他人「合理可能採用」的所有方式，涵蓋技術手段、時間、成本及當時的技術水準。這個標準的核心在於「合理可能」，而非「理論上可能」。若再識別所需成本極高、在現實中幾乎不可行，GDPR允許將該資料視為匿名資料而脫離規範；但若再識別在現實技術條件下是可行的，即便需要結合外部資料，該資料仍屬個人資料。GDPR同一前言也明確指出：匿名化資料（truly anonymised data）不受GDPR規範；假名化資料（pseudonymised data）仍受規範。 而假名化，也就是以代碼取代識別欄位，但保留還原可能性，是去識別化中最常見的一種，UK Biobank的去識別化資料本質上接近假名化，因為它仍可透過外部資訊被重新連結，這也正是英國政府坦承無法保證本次遭洩漏的資料不會被再識別的根本原因。

個資會刻正著手修正的《個人資料保護法施行細則》草案第17條，則對「無從識別特定當事人」的定義進行了調整。現行條文採形式標準，以代碼、匿名、隱藏部分資料等方式「無從辨識該特定個人」即可認定；修正草案改採功能標準，明定係指「運用當時存在技術方法，使該個人資料依其呈現方式至少已無從直接識別特定自然人」。

施行細則草案修正說明參酌憲法法庭111年憲判字第13號判決意旨，明確排除了兩端：「可直接識別該個人」的資料當然仍屬個資；「完全匿名且無還原可能性」的資料則不在個資法保護範圍內。介於兩者之間的中間型態，也就是形式上無從直接識別、但技術上仍可能被間接識別的資料，依修正後定義仍屬個資法的規範客體。

與GDPR相較，兩者的概念架構相近，均非以「形式上已去除識別欄位」作為脫離個資法的充分條件，也都承認真正的匿名化資料才能脫離規範。差異在於判斷門檻的操作方式：GDPR引入「合理可能」的概率過濾機制，允許考量再識別的成本與現實可行性，在可行性極低時允許認定為匿名資料；我國修正草案的文字則以「當時存在技術方法」為基準，著重於直接識別可能性的排除，對間接識別可能性的存在採取相對保守的態度。這在理論上意味著我國修正後的標準，是只要間接識別在技術上並非完全不可能，資料便傾向被認定仍屬個人資料，而毋須進一步評估再識別的現實可行性。

不過此一解讀目前仍有待個人資料保護委員會在實務上進一步釐清，修正草案的說明文字尚未提供如GDPR前言般詳細的操作指引，仍有待填補。但無論如何，我國生物資料庫設置者（或者任何的業者）都應該清楚瞭解，去識別化不是保護義務的終點，即便資料已完成去識別化處理，若該等資料仍具備間接識別（如還原）的可能，則該等資料仍然屬於個資法上的個人資料，因此各種使用合約的設計、使用環境（含資安與管理制度）的管控，以及跨境傳輸的核准程序，均不因「去識別化」而豁免。

我國《人體生物資料庫管理條例》的規範

我國現行依《人體生物資料庫管理條例》（下稱管理條例）合法設立的生物資料庫共有39個，涵蓋多種類型。規模最大者為中央研究院台灣人體生物資料庫（TWB），以招募一般健康民眾為主，參與者自願提供生物檢體及問卷資料，目前已建立逾15萬人的長期追蹤世代，主要用於本土基因與疾病關聯研究。其他尚有各大醫學中心針對癌症、罕見疾病、心血管疾病等特定族群所設立的疾病專屬資料庫，資料來源通常是在臨床診療過程中，經病患知情同意後蒐集的生物檢體與臨床記錄。健保資料庫的性質則有所不同，其原始資料來自全民健保的理賠申報紀錄，屬於行政資料而非志願捐獻的生物檢體，主要儲存就醫紀錄、用藥及手術等資訊，並不含基因序列，在管理上另有一套規範，並非完全依管理條例運作，但同樣受到個資法及衛福部相關規定的約束。

就跨境傳輸的管制而言，管理條例採取明確的許可制。依管理條例第15條，生物檢體除其衍生物外，不得輸出至境外；生物資料庫中資料之國際傳輸及生物檢體衍生物之輸出，均應報經主管機關核准；生物資料庫提供第三人使用時，應於使用合約中載明上開規定。任何涉及資料跨境移動的行為，在我國法制下均須事先取得行政許可，並非僅依賴契約自律即可。在行政審查實務上，衛福部依資料風險等級及輸出地之分類，分為書面審查及人體生物資料庫審查小組會議審議兩種程序，對高風險資料或特定地區採取更嚴格的把關機制。

在資料安全義務方面，管理條例要求設置者依主管機關公告的資訊安全規範訂定內部管理規定，並經倫理委員會審查通過後報主管機關備查。一旦生物檢體或相關資料遭竊取、洩漏、竄改或受其他侵害時，設置者應即查明及通報主管機關，並以適當方式通知相關參與者，同時訂定救濟措施並報主管機關核定。

值得一提的是，我國健保資料庫在管理上採取比管理條例更為嚴格的行政措施。衛福部長石崇良所述，健保資料的使用限於研究目的，研究者必須在指定且受監控的空間內操作，原始資料不得攜出，僅能匯出統計分析結果，且所有資料已完成假名化處理，內外網分離，並取得ISO 27001及ISO 27701認證。中研院台灣人體生物資料庫亦正逐步建置「可信任研究環境」（TRE），其核心原則為研究資料不離開安全環境，研究者在受控環境內進行分析，僅能匯出經審核的統計結果，此模式已成為國際間生物資料庫發展的重要趨勢³。

可能的法律責任

就資料提供方的法律責任而言，UK Biobank雖已主動申報、配合調查，並啟動系統升級，但其是否已盡到充分的事前管控義務，仍是ICO後續調查的核心爭點。英國現行《資料保護法》要求資料控制者對資料處理活動負有問責義務（accountability），包括對授權使用者的資格審查、使用行為的持續監控，以及技術與組織層面的安全保障措施。僅以「合約義務」作為資料使用者行為管控的主要手段，是否符合問責原則的要求，此次事件已對這個問題提出了清楚的質疑。

就涉事研究機構的法律後果而言，三所學術機構及相關個人明確違反了資料使用合約，面臨的法律後果可能包括民事損害賠償、資料存取資格永久撤銷，以及學術倫理層面的追究。英國政府亦表示將盡快發布新的研究資料處理指引，並敦促各機構確保其系統與資料分享流程具備充分的安全保障。

結語－如果發生在我國？

就我國法制的對應而言，若我國生物資料庫發生類似情形，設置者除依照管理條例第11條第1項有通報及告知相關參與者的義務外，若違反第15條跨境傳輸的核准要求，依管理條例第23條第3項，可處新臺幣200萬元以上1,000萬元以下罰鍰，且已輸出境外之生物檢體及相關資訊應立即銷毀；情節重大者，主管機關並得廢止設置許可。此外，如該等資料被認定為仍有還原、再識別的可能，則仍然屬於個資法上「間接識別」的個人資料，將該等資料上網販賣的個人，將面臨最重5年以下有期徒刑的刑事責任，涉案的研究機構也可能面臨1,500萬以下的罰鍰。

UK Biobank事件的發生，並非資訊技術系統有何瑕疵或遭人入侵，而在於資料庫使用者對合約義務的輕忽及對隱私資料欠缺尊重，然而「人」的問題，在任何以「開放資料促進研究」為核心價值的生醫資料庫體系中，都是無從迴避也最困難的議題。

生醫大數據的開放與安全，本質上是一組持續動態調整的對立張力。個案情形的差異，包括資料類型、使用目的、使用者背景、傳輸目的地及技術環境，都會對法律義務的範圍與強度產生實質影響。面對此一高度複雜的議題，提前進行制度性的法律盤點，組織內不厭其煩的對成員進行教育訓練，以及在系統上設定各種檢核節點，往往是比事後應對更有效率的選擇。

1. https://www.bbc.com/news/articles/cpvxgl3n138o ↩︎
2. https://www.ukbiobank.ac.uk/news/a-message-to-our-participants-uk-biobank-data-security-update/ ↩︎
3. https://www.chinatimes.com/realtimenews/20260428002300-260405?chdtv ↩︎