去識別化之判斷


#1

您覺得國內在「個人資料去識別化」上,應由誰來判斷是否確實作到去識別化?

  1. 由蒐集者、利用者自行認定。
  2. 由事業所屬的中央目的事業主管機關判斷。
  3. 由專業機構進行判斷。您覺得此類專業機構所應具備的條件為何?
  4. 其他建議。

#2

1比較不適合台灣,
不知道其他國家是採用2比較多還是採用3比較多?


#3

國際立法例上,已知有哪些國家是以主管機關為判定,有哪些國家是以專業機構進行判斷,請 @STLI 撥冗回覆,感謝!


#4

國際立法例中,由主管機關直接判定的極少。以英國為例,英國個資主管機關:資訊委員辦公室(Information Commissioner’s Office, ICO)發布通案性的匿名化實作準則後, 由ICO所資助的UK Anonymisation Network提出進一步的細部作法,並由UK Anonymisation Network提供企業相關判斷服務。


#5

國際上採用3的國家比較多的話,
那麼我們應該也採用3較為合適,
不知道各國對於專業機構所具備的條件是否有所不同?


#6

我認為去識別化的目的在於一方面能合約資料庫中的Big Data進行整體的分析,但同時不會侵害個人資料所有人的隱私。
立法上當然不能放任蒐集者與利用者自行認定而不進行管制,不過實際上進行第一線去識別化作業的還是蒐集者與利用者;
所以無論是主管機關或是專業機構等智庫,至少應該提出一些指導方針,供蒐集者與利用者遵循後進行去識別化的作業。至於去識別化是否不足以致個人受侵害,在指導方針不夠明確時,再交由司法判斷。
拋磚引玉 作為參考


#7

4.其他建議:由第三方,非蒐集者及其事業機構,非中央目的事業主管機關的一個立場中立超然單位進行評斷。

該單位以學術界,產業界,民間人士(國內國外)三者為主要組成分子。對於個別案例可以邀請蒐集者及其事業機構和中央目的事業主管機關與會參與討論並具有自我評斷的權利,最後達成評斷是否確實做到的目標。關於目標評斷之實務做法可以量化分級,但最終結果只有確實做到與非確實做到兩種結果之一。如量化評斷,則評斷之所有人員皆須署名並公開其評比的量化分數。至於量化之分數對於不同與會人員是否有權重之分別,及開評斷會議實際出席人數須佔原與會人數之多少等等的細節可以再討論。前提就是要成立立場中立超然單位。


#8

@bleed1979 你好,感謝建議。

之所以歸結到 4. 而非 3.,意思是類似國家通訊傳播委員會的諮詢委員會編制,雖然是受行政院督導的單位,但不隸屬於特定事業的主管部門?


#9

是的。
因為我著眼問題重點在判斷一詞上,
就會思考公信力誰說了算的問題,
再進一步回想到底誰有資格做裁判呢?
回應的當下我腦海中的確浮現NCC或是香港廉政公署的影子。前著貼切,後者是電影印象。
由於本身常參與資訊網路討論區進行討論,當發生與網友意見相左且兩造雙方都堅持己見的情況下,討論事項容易被模糊焦點而最終不了了之。所以衍生出判斷由第三方來執行這樣的概念。
謝謝。


#10

考慮實際執行面的問題,我認為1.是較可行的方案。

以Facebook為例,所有用戶資料都在他家,只要他不拿出來(或拿虛假資料),就沒人知道他是否確實做到去識別化。但用戶可根據Facebook呈現的資訊是否揭露個資判斷其隱私是否受損。

Facebook只是全世界千萬個系統之一例,假設真的由第三方公正單位判斷,我懷疑有那個機構消化得了這些資訊的判斷工作?


#11

基本上,建議於實務運作上進行可行性判斷較為具體可行;
目前不管通訊或傳播相關平台,均有個資之蒐集與運用需求
而相同的,各類型APP中亦均有個資之蒐集,若採方案二或三,透過主政機關進行判斷甚而規約,表象上似乎可行,但是實務上可能會有因而拖緩我國通傳產業發展之風險(因為若以APP為例,因其可能資料蒐集儲存地點並非於國內,故可能不受管理,但國內之業者就會受到管制而限縮以相關資訊發展空間)
個人認為,實務上較具可行性之方案應該為1,因為唯有將相關義務課諸蒐集/利用者,遇有爭執或損害時方由目的事業主管機關(若有主管機關者)針對侵權態樣與可歸責性進行判斷,進而調節及阻卻違法行為,並進而明確化標準,如此可能較有機會可於避免政府過度干擾下推動諸如Big Data等新型態資訊運用。


#12

立法訂標準.由第三方認證


#13

先要有自已的標準才能要求跨國公司依法認證


#14

第一階段討論到此結束,感謝大家參與!7/11 工作組會議彙整後,下周一進入第二階段的具體建議討論。