國際制度比較

依「去識別化」判斷規範，各國制度如下：

美國：就去識別化的部分，美國係以「有無可合理連結」做為判斷標準，美國公平交易委員會（FTC）指出事業單位採取下列三原則：
一、採行合理之去識別化措施；
二、須約定不還原去識別化的資料；
三、提供去識別化的資料予第三人時，須訂立合約禁止接受者還原資料，若符合上開三個要件，則可認為並非可合理連結的資料。

歐盟：歐盟採取的措施，為要求業者進行隱私風險評估，提供業者去識別化之相關作法及標準，並建立測試機制，以監測是否存在重新識別之漏洞，並輔以重新識別之相關賠償責任，以達到保護隱私之目的。

日本：預定於2015年修法，建立去識別化的技術標準，並仿照歐盟成立個人資料保護委員會，訂定去識別化的基準及措施，並考慮為了活化大數據運算而訂立例外條款。

在大數據時代，經過去識別化的資料可能因巨量資料的分析而重新識別的問題，應該建立何種制度以避免此種風險？

1. 採美國制度。
2. 採歐盟制度。
3. 採日本制度。
4. 綜合各國作法，請說明具體項目。

不知道美國制度中所謂的合理的去識別化措施指的是什麼?

感謝 @ifulita 的詢問。

在美國 2012 年的網路公開諮詢後（見 @STLI 先前的編譯整理），白宮已提出消費者隱私保護法案的 2015 年草案。

至於其中如何界定對於何謂「合理之去識別化措施」，屬於國際法制專業問題，請 @STLI 撥冗回覆。

關於「合理之去識別化措施」，美歐的狀況如下：

美國至今沒有一套針對「私部門」（private sector）通盤進行規範的個人資料保護專法，而是散見於各個部門立法，所以不同領域的立法，認定標準即可能不同。以個人醫療資訊為例，聯邦健康保險法(HIPAA)底下制定的Privacy Rule，提出二項判斷方式：
1、專家判斷法：由具備統計等相關領域專業的專家，依其認為適當的統計或其他分析原則與方式，判定資料受到他人再識別之可能性極低時，即完成去識別化。
2、安全港判斷：如果個人醫療資訊中已移除姓名、地址、電話、電郵等特定要素，即完成去識別化。

歐盟訂有資料保護指令(Privacy Directive)，其「資料保護工作小組」（The Article 29 Working Party）所提出的參考指引文件(WP 216)中，以是否滿足下列三項要求，作為判定是否完成「去識別化」之參考：
1、執行後是否仍可能識別當事人
2、執行後是否仍可能與其他個人資料相連結
3、執行後是否仍可能推論出與特定人相關

總覺得美國的制度不太適合，
認定標準還是統一訂定比較好，
不過不知道日本的制度又是如何?

以下是 @moj 張友寧檢察官在 4/24 諮詢會議的簡報內容摘要：

1. 歐盟：僅在資料原持有人亦無法透過比對等方式，再直接或間接識別個人時，才能認為係「匿名」資料。以衛福部為例，如果自己存的資料都不能識別到個人，那當然可以公佈。
2. 英國、美國、日本：較寬鬆，只要資料收受人無法再識別特定個人，仍可認定為已去識別化。
3. 英國採取「有心侵入者測試」（Motivated Intruder Test）標準：具有使用網際網路、圖書館、所有公開資料，及採取調查方法（如詢問對特定資料當事人有特別認識者，或公開徵求有資訊之人等）的合理能力之非電腦專業人士，若有動機想嘗試時，是否能成功的重新識別。
4. 美國明訂以「專家判斷法」、「安全港準則」判定：

• 專家判斷法：由具備統計、數學等適當專業與經驗之專家分析
• 安全港準則：於個人醫療資訊中移除姓名、地址、電話、電郵等18類要素
  • 個人見解：這樣處理過好像就不太能應用了… 也許專家判斷法比較適用？

5. 日本今年三月增訂「匿名處理資料」概念，並增設「個人資料保護委員會」此一專責機關，負責「匿名處理資料」相關督管理及配套規範之訂定，也就是由官方處理。

線上參與者 @pofeng 在 4/24 諮詢會議的共筆留言，回應張檢察官的上述見解：

HIPPA 規定要移除姓名、地址、電話 … 才算一般資料,
刪掉後, 還是有用, eg: 可以統計, eg: 保留年, 但是但是生日去掉

以下是輔仁大學翁清坤教授在 4/24 諮詢會議 的發言摘要：

1. 過去是書面資料，用完放在檔案室，要進得去才能看，管好檔案室的進出就好了。

• 自從數位時代來臨，因為電腦和網路的出現，利用、分享的成本趨近於零。

2. 有學者用法國 200~300 年的報稅資料，做出像《萬曆十五年》這樣的稅制分析。

• 發現幾乎在所有的時期裡，資本利得都大過工作所得。（《21世紀資本論》）
• 該學者認為，跨國銀行的資料如果能多分享，那麼富人就不能靠把資本移動來避稅。

3. 德國有納粹大屠殺，也是靠戶藉資料，這是最早期的資料庫濫用例子之一。

• 我們有戶藉資料，警政署用人臉辨識，去照人臉（M-Police 系統），馬上就知道面前的人，例如流浪漢，是誰。
• 但這也嚴重侵犯隱私，參與公眾活動的隱私、人格健全發展的權利被破壞。
• 民間部門，也有借款人信用史的聯徵數據分析架構。

4. 我們現在做 Open Government 開放政府，對隱私是否會有危害？

• 如何畫「能利用」和「不能利用」的界線？
• 在民法有人格權，在刑訴法、憲法也都有相關規定。

5. 美國有理論，認為政府在分析識別時，就視同「第四修正案」的搜索，要有正當程序 due process。

• 美國也有很多州的交通監理單位，把駕照資料拿來賣。
• 駕照在美國的價值比較高，因為沒有像我們的身份證。所以也有人說，個資是一種財產。

6. 例如醫生對病人做記載，學界有一說是病人的財產，一說是醫師的著作，一說是共有。

• 全民健保資料庫如果財產化，將不利於研究。
• 因此有一派認為這種資料庫應該要公開分享，讓不特定第三人研究。

7. 舉例：如果沒有環保法規，就有很多高污染產業出現。

• 同理，如果我們沒有良好的管理隱私資料，那麼就會有外部後果。
• 好比說如果你到過一次東京，網路上的廣告就會多出日本的廣告… 這叫 Targeted Advertisement。

8. 美國對於隱私的判斷通常是 case by case 個案認定。

• 公共性是一個考量，但是仍然應該要去識別化。

以下是台灣人權促進會邱伊翎秘書長在 4/24 諮詢會議 的發言摘要：

1. 我們在做法律規範時，要想清楚是在促進還是在限制，它的前提是什麼？

• 個資法 16 條說，如果去識別化之後，可以做目的外之利用。
• 目前的問題：個資法第6條，是暫停實施的，並沒有規範「什麼是敏感資料」，所以全部當作一般性的資料談？

2. 目前僅對身份證和姓名欄位加密，而且是對健保這樣的高敏感資料。

• 其實重新識別並不困難，這樣的東西真的能叫做「高敏感資料」的充份去識別化嗎？
• 美國是自行選擇納保公司，台灣是不能不保健保，所以在強制的情況下，適用與美國類似的原則是否恰當？

3. 英國是像台灣一樣全民健保，但是有 Social Health Act Part 2 Chapter 9 裡，有詳細的權利義務設立規範。

• 我國的健保資料庫，卻在沒有法源依據的情況下，直接套用個資法 16 條。
• 英國是說「我們的目的是什麼，你有退出的權利…」
  • 即使如此，英國醫師公會仍然認為會影響醫病的信任，所以目前仍暫緩實施中。

以下是線上參與者「鄉民」在 4/24 諮詢會議 的線上提問摘要：

1. 請問各國法制結構可能不一樣，可以直接結論我們在單一的議題（例如今天的去識別化）應該參考歐盟或是日本或是美國嗎？還是說我們的法律內容結構都和歐盟或日本一樣，所以真的可以直接參考採用呢？
2. @moj 剛才說的例子是政府開放資料，可以去識別化後開放；這表示民間可以比照嗎？ 還是對政府和對民間有不同的考慮，所以答案會不一樣呢？業者可不可以直接把客戶資料去識別化之後就拿來用或提供？
3. @moj 說的這些，如果不透過修法，未來要如何讓法院接受？

以下是線上參與者「Snoopy」對上述提問的補充陳述：

• 補充一下：個資法很早就提出第6條的修正草案，特種個資，客體會增加「病歷」。
• 歐盟向來主張資訊自決權。

以下是線上參與者「William」對上述提問的補充提問：

• 同鄉民的問題，目前業者所蒐集之個人資料，甚至是健康資料，資料所有權以及商轉應用的規範為何？可否做進一步的加值應用？

第一階段討論到此結束，感謝大家參與！7/11 工作組會議彙整後，下周一進入第二階段的具體建議討論。

線上提問的三點疑問，仍請 @moj 撥冗回覆，感謝！