隱私保障與資料運用的平衡


#1

為因應大數據的發展,並在隱私保障與資料運用的便利性間取得平衡,您認為應該如何處理?

  1. 透過技術的方式處理,請說明您覺得需要考慮的技術架構為何。
  2. 建立法律制度予以規範,請說明您覺得需要哪些法規來保障。

#2

不知道其他國家是怎麼處理的?
只有建立法律制度規範而已還是說還有透過技術的方式處理?


#3

以下是 @moj 張友寧檢察官在 4/24 諮詢會議簡報內容摘要:

  1. 個資:直接或間接識別該個人的資料。
  2. 去識別化:指個人資料以代碼、匿名、隱藏部分資料或其他方式,無從辨識該特定個人。
  3. 虛擬世界發展法規調適工作專案報告:依法務部第10303513040號函 ,經「去識別化」後的資料,即非個資法上之個人資料。
  4. 政府在將資料開放應用時,會遇到含有個資等敏感資訊之資料能否開放的問題。經過「去識別化」處理,依本部函釋見解,該資料即非個資。
  5. 健保資料研究案的爭點之一,就是提供研究的健保資料的去識別化是否已達到「無從識別特定當事人」的程度?間接「重新識別」的可能,是原告的主要爭點。
  6. 大數據運用時,會使「重新識別」更自動化、大量化。個人資料保護法就是在平衡「促進資訊利用」與「隱私權保護」兩種利益。
  7. 資料提供者可以降低其所提供之資料侵害他人隱私權的風險。要強調的是:只能降低、不能免除。技術日新月異,今天不能重新識別的,未來也許就可以了。

#4

關於若產生損害部分,舉證責任的歸屬?
是否由國家成立專責單位,以公訴方式執行?


#5

以下是台灣科技大學陳曉慧教授在 4/24 諮詢會議 的發言摘要:

  1. 談去識別化之前,要問一個問題:是否符合原始資料收集之目的?
  • 目前法界見解,必須「符合」收集時之目的。
  • 因此要做其他應用,必須在個資法第 16 條裡尋求但書例外,所以實務上不多見。
  1. 即使是請專家鑑定是否充份去識別化,最後也是要法官來認定。
  • 法官如何認定?也是要看判例的累積。
  • 英國的「有心侵入者測試」是長久以來,逐步發展的標準:
    • 介於「一般人無法再識別」和「專家無法再識別」中間
    • 我國目前的標準是「一般人無法再識別」,確實保護比英國不足
    • 但如果要去識別化到「任何專家都不能重新識別」,民間可用的資料就減少了。
  • 但健保資料是高敏感度,英國也是說標準要視敏感度衡量。
  1. 技術不斷進步,關連資料也愈來愈多。
  • 歐盟為了這個,就訂定規則,要求資料利用者「不得進行再識別化」。
  • 對我們目前來說,就是「再識別化」的行為,可能觸犯個資法。
  1. 法務部認為應建立「隱私影響評估」,這當然很好…
  • 但實務上,我們不能要求麵包店的個資保護措施,和跨國企業等同。
  1. 在很多會議裡,我們會聽到說隱私保護,是開放資料的障礙。
  • 但我覺得,反而是健全的隱私框架、去識別化的框架,可以增強人民對政府的信任。
  • 此處美國和歐盟都有明白的宣示。

#6

以下是法務部法律事務司李世德科長在 4/24 諮詢會議 的綜合回應摘要:

  1. 國際上去識別化的通則是「合理結果」,不是「未來絕對不會被識別」。
  • 舉例上說,之前經手某案件的公務員,如果看到某份其他機關的資料,可能想到先前處理過的案件。
  • 這叫做「個人特殊經驗知識」,不能認為是去識別化失效。
  1. 個資法第二條第一款的定義,固然可以說成是字面上適用範圍很清楚,但實務運用上很模糊。
  • 是要整個欄位拿掉嗎?還是要模糊化?模糊化到什麼程度會失去利用價值?
  • 如果為了學術研究,在「有間接識別可能性」時,現行的法令下是有存在的空間。
  1. 技術和法律交會之處,難免還是會遇到必須以技術當時的發展,以個案方式判定。
  • 這難以單純用法令規範。
  1. 如果個資法的適用範圍不夠清楚,像剛才參與者提到的健保敏感個資,張副院長有提到是否要立專法。
  • 這我們也樂見其成。

#7

第一階段討論到此結束,感謝大家參與!7/11 工作組會議彙整後,下周一進入第二階段的具體建議討論。