數據公益運作指引
一、目的
為推動社會整體之數據共享機制,建構可信任之數據公益生態,促進社會、經濟、環境永續發展,爰訂定本指引,針對電子形式且非屬個人資料之「數據」,明確揭示自願、無償用於公益目的之運作機制,以行政指導促進數據之公益利用,創新數據應用與公共服務。
二、名詞解釋
(一) 本指引所稱之數據,係指以電子形式存在,且非屬個人資料保護法所稱個人資料之資訊;涉及個人資料之資訊應處理為數據。
(二) 本指引所稱之數據公益運作機制,係指促進自願、無償提供數據用於公益目的之機制。
(三) 數據公益運作機制之參與者包括:
- 資料持有者:即有權提供特定數據之自然人、法人、機關或團體。
- 數據公益運作者:即執行數據公益運作機制,協助資料持有者、數據利用者與利害關係人間共享數據之機關、非以營利為目的之法人或團體。數據公益運作者自身得兼為資料持有者或數據利用者。
- 數據利用者:即接收數據為利用之自然人、公司或其他法人、機關或團體。
- 利害關係人:即資料持有者、數據利用者、數據公益運作
者以外,對數據公益運作機制有利害關係者。
三、數據公益運作機制,係以參與者對公益目的之認同與信任,作為核心理念,其運作領域包括氣候環境、災害防救、交通運輸、健康醫療、能源管理、社會福利,以及其他法令規範所保護公共利益之範圍。
數據公益運作機制,宜注意下列基本原則:
(一) 遵循下列相關法令規範:
- 涉及個人資料之資訊處理為數據以用於數據公益目的時,遵循個人資料保護法及相關規範。
- 涉及政府資訊時,遵循政府資訊公開法及相關規範。
- 涉及智慧財產或商業上之機密資訊時,遵循智慧財產權、營業秘密保護之相關規範。
- 其他相關法令規範。
(二) 依誠實及信用方法為之,尊重利害關係人之權益。
(三) 採行適當管理措施,確保數據利用符合公益目的。
(四) 採用隱私強化技術,並以不升高風險之方式公開揭露資訊,以確保資料蒐集、資料處理、數據利用之透明性。
前項第四款所稱之隱私強化技術,得參閱數位發展部「隱私強化技術應用指引」。
四、數據公益運作機制涉及個人資料之資訊,處理為數據前,就該資訊之蒐集、處理與利用(含數據公益運作機制參與者間之傳送),宜注意下列事項:
(一) 依個人資料保護法向當事人充分告知法定事項,包括處理
該個人資料之公益目的、所涉個人資料範圍、該個人資料之來源、處理為數據之方式及當事人享有之權利等。
(二) 依個人資料保護法取得當事人同意,或具備個人資料保護法關於個人資料蒐集、處理或利用之其他法律依據。
(三) 限於足以實現公益目的之最小範圍並保障其安全,包括於可行範圍內採取適當技術措施,以無從識別方式處理該個人資料。
前項涉及個人資料之資訊處理為數據之時點,由資料持有者於提供該資訊予數據公益運作者前,或數據公益運作者於提供該資訊予數據利用者前為之。
五、資料持有者自願、無償提供數據用於公益目的,宜注意下列事項:
(一) 依法有權向他人提供。
(二) 認同數據公益運作者或數據利用者之公益目的。
(三) 不損害利害關係人權益。
(四) 提供方式具備充分安全性。
(五) 對提供行為保存相關紀錄。
六、數據公益運作者依第三點第一項擇定其數據公益目的及運作領域後,宜建立下列管理制度:
(一) 數據接收管理制度,包括數據利用目的及限制條件遵循措施、資料持有者提供數據之相關成本補償等。
(二) 數據處理管理制度,包括數據之分類、儲存、分析、安全維護、違法或不當利用數據情事之應變等。
(三) 數據利用管理制度,包括數據利用者取得數據應符合之條件、申請程序、數據取得方式、取得數據後應採取之利用及保護措施等。
(四) 紀錄保存與資訊揭露制度,包括對接收、處理及提供行為,保存完整之紀錄、年度活動報告之準備與揭露等。
數據公益運作者宜採取下列措施,以利提升數據公益運作機制之成效:
(一) 遵循可搜尋( findable )、可近用( accessible )、可互通( interoperable )以及可再利用( re-usable ) 之原則,以結構化且機器可讀之通用格式接收、處理與提供數據,並揭示數據來源及利用條件,強化數據之互通性與易用性。
(二) 採用適當技術措施,強化數據接收、處理與提供過程中對數據之機密性、完整性與可用性保護,提升利害關係人及社會各方對數據公益運作機制之信任。
(三) 設計取得、確認及管理利害關係人同意數據公益利用之標準程序,強化數據利用適法性保障。
數據利用條件之約定,宜與數據內容、公益目的、利用方式等因素相稱,且原則宜以非專屬利用方式為之;必要時得以專屬利用方式為之,並宜先公開專屬利用約定之主要內容,且與數據利用者約定適當利用期間。
數據公益運作者宜與資料持有者、數據利用者訂定書面契約,明確約定各方權利及義務,例如:是否有對價及商業利用限制等;其書面契約得依電子簽章法之規定,以電子文件為之。
七、 數據利用者之接收及利用行為,宜注意下列事項:
(一) 法令規範及契約約定。
(二) 未逾越所涉公益目的之必要範圍。
(三) 不損害利害關係人權益。
(四) 所採取之數據接收及利用方式具備充分安全性。
(五) 對接收及利用行為保存相關紀錄。
數據利用者宜適當採取前點第二項所列措施,以利提升數據公益利用之成效。
八、資料持有者、數據公益運作者及數據利用者就數據公益之運作,如需取得利害關係人同意,不得以誤導、欺瞞、強迫等不正方式為之。
資料持有者、數據公益運作者及數據利用者宜就數據公益之運作,建立數據不當利用通知機制,於發生數據利用超出利害關係人同意或約定範圍、不符同意或約定條件等情事時,通知受影響之利害關係人。
資料持有者、數據公益運作者及數據利用者宜建立保障利害關係人權益之適當機制,例如同意撤回機制(同意之撤回,不影響撤回前依據該同意所作蒐集、處理及利用之適法性)、異議之受理及回應機制( 包括異議處理期間暫停利用數據之情形等)。
九、資料持有者、數據公益運作者及數據利用者就數據公益之運作,應按其組織屬性、擇定之數據公益目的及運作領域,遵循相關法令規範。
資料持有者、數據公益運作者及數據利用者如委託他人蒐集、處理或利用數據,宜於委託契約約定以適當方式監督,例如:可適時實地稽核、請求說明或提出報告等方式,確保受託者嚴格遵守其指示及採取適當數據安全維護措施。
資料持有者、數據公益運作者及數據利用者宜對其所屬人員適時辦理認知宣導及教育訓練,使其明瞭相關法令規範之要求、所屬人員之責任範圍,以及蒐集、處理、利用及保護機制、程序及措施。數據公益運作者並宜辦理相關宣導或推廣活動,以增進各界對數據公益運作機制之瞭解與信任。