為了某一特定目的提供的個資,是否可以在當事人不知情下,因應另一種目的使用?
個資的保護與應用,時常是爭議焦點,台灣也相當常見。像是指紋、虹膜、身分證、健保卡註記愛滋,都是比較傳統的相關議題;隨著網路發達,隱私、便利、管制、情搜的糾葛,也在網路世界上演。上個月底,又有一項新的議題浮上檯面:「金州殺手」的 DNA 比對。
金州殺手(Golden State Killer)是一位連環殺手,1976 到 1986 年間,在美國加州至少犯下 12 起謀殺及 50 起強暴案,不論是犯案數量或罪行,都令人髮指。直到 2001 年,警方才由 DNA 鑑定確定上述案件都是一人所為。不過儘管取得兇手的遺傳樣本,仍無法得知兇手是誰。
基因體學的發展,意外替案情帶來轉機。近幾年來美國流行「祖源分析」,如創風氣之先的 23andMe 與許多類似的公司,顧客可以將自己的遺傳樣本交給他們,在定序整個基因組後,這些企業就能告知顧客的遺傳來歷;隨著相關研究愈來愈多,資料庫愈來愈大,進行這類分析能獲取的資訊,也愈來愈多。
遺傳上看來,雖然每個人的基因組都獨一無二,不同人之間卻也共享許多遺傳變異;血緣愈近的親戚,彼此間共享的 DNA 變異也會愈多。理論上,一個人即使自己沒有基因組定序,卻有好幾位親戚有,那麼由親戚的結果延伸,也能大概推測一個人的遺傳組成。這就是金州殺手落網的基本概念。
有些遺傳資料庫是公開的,可以讓人上傳自己的 DNA 訊息,尋找遺傳上接近的血緣親戚。金州殺手本人應該沒有傻到進行這些遺傳測試,不過他的親戚可能有。警方擁有金州殺手的遺傳訊息,於是將他的資訊上傳,順利找到他的親戚,也藉此追蹤到金州殺手本人。
新科技讓逍遙法外超過 30 年的連環殺手無所遁形,終於破案,不該是值得慶賀的大事嗎,為什麼還會起爭議?爭論的問題在於:有人自願上傳自己的 DNA 訊息,目的是為了尋親,可是警方為了抓兇手,將資料庫另作他用,在當事人不知情的狀況下,使其 DNA 成為破案關鍵。
為了某一特定目的提供的個資,是否可以在當事人不知情下,因應另一種目的使用?
這問題目前沒有答案,也絕對不會是簡單的問題。個人看法是,這種事是「case by case」,視脈絡而定。這並非推託之詞,以金州殺手這個案例來說,警方用此一方法找到兇手以前,根本沒有人知道尋親資料庫能有這個用法;假如不知道未來的用法,個資貢獻者怎麼可能事先同意呢?可是 DNA 比對過程中,其實當事者不會知道自己成為幫助尋兇的對象,在此之下也不可能,至少會很不適合先特別告知,徵求其同意。
要完全避免問題,只能完全避免將資料庫另作他用,然而如此一來,連環殺人案又將永遠成為懸案。新科技帶來新的辦案契機,也引發新的爭議;事後補洞之餘,相關的規範與做法也該與時俱進。
抓到金州殺手以後,事情可以不再那麼複雜。如今已經確認,尋親資料庫有此一用法,那麼此後在貢獻 DNA 資訊時,當事人應該被告知有此一可能性,而且徵求同意,應該就能排除大部份的問題了。
延伸閱讀:
1. Nature 社論《The ethics of catching criminals using their family’s DNA》(連結)