建立去識別化標準


#1

考量個人資料與隱私保護,我們建議去識別化採取以下的判準:

  1. 個人行為紀錄,藉由連結其他資料集而能間接或直接識別當事人時,該紀錄即屬於個資。
  • 除資料當事人擁有隱私權外,也應防止有心者藉由資料推導,使特定族群蒙受干擾。
  • 因此,個資法所稱研究、統計之必要,於去識別化時,應採「資料最少原則」滿足之。
  1. 技術上任何可逆之編碼方式,不應稱為「代碼化」。
  • 結合密鑰之不可逆編碼方式,可以稱為「代碼化」。
  • 代碼化處理後之資料仍可間接識別,因此不應稱為「去識別化」。
  1. 供不特定人利用之開放資料,應依資訊含量,分級選擇去識別化方式:
  • 資料筆數不足以充份執行去識別化運算者,考量重新識別之風險,應遮除所有直接、間接可識別欄位內容。
  • 資料筆數足以進行去識別化運算者,可採樣建立「任何人(含原資料持有人)皆無從識別」之合成資料集,以供分析使用。
  1. 供特定學術研究者使用之資料,應依資訊含量,分級選擇去識別化方式:
  • 資料筆數不足以充份執行去識別化運算者,以及特種敏感個資,應以「資訊專家亦無從識別」為判準提供。
  • 資料筆數足以進行充份亂數化或概略化運算、且為非特種敏感之個資,得以「有心侵入者無從識別」為判準提供。

#2

@moj 撥冗對上述建議,逐項回覆是否採納,以及如果未採納者,具體考量為何。感謝!


#3

關於建立去識別化標準,謹說明如下:

  1. 依目前政府之分工,關於去識別化之技術標準、標準之認證及爭端解決機制係由經濟部負責,有關去識別化議題之法律解釋部分,則由本部負責(行政院104年5月27日會議結論)。工作組所提建議若涉及技術面,本部將轉知相關單位參酌,在此先予說明。

  2. 所謂「去識別化」,是指透過一定程序的加工或處理,使個人資料不再具有直接 或間接識別 性。亦即個人資料持有者所保有之個人資料,若運用各種技術予以去識別化,使其呈現方式已無從直接或間接識別該特定個人者,即不屬個人資料,無個資法之適用(本部103年11月17日法律字第10303513040號函參照)。

  3. 至於運用各種資料加工技術處理後,所形成之「匿名化資料」或「假名化資料」在個資法上如何評價,以下分述之:
    (1) 「匿名化資料」部分:所謂匿名化資料,係指資料經加工後,完全不保留連結的可能性,亦即對於資料提供及資料接收者而言,均無法再以合理可能之方法識別特定個人。故匿名化資料應可稱為已「去識別化」的資料。
    (2) 「假名化資料」(另有譯為「擬匿名化資料」)-又可分為「不可逆之假名化資料」及「可逆之假名化資料」:
    i. 不可逆之假名化資料:即以非專屬代碼、單向加密或其他技術處理後,使任何人(包含原資料持有者)均無法自該處理過後之資料,以比對或其他方式再直接或間接識別特定個人,一般也認為這種不可回溯的資料也屬於上述「匿名化資料」而為「去識別化」的資料。而本部103年11月17日法律字第10303513040號函所稱之去識別化資料,即須達到「匿名化資料」及「不可逆之假名化資料」的程度,方得以全然排除個資法之適用。
    ii. 可逆的假名化資料:即以專屬代碼、雙向加密或其他技術處理後之後的編碼資料,雖無從識別特定個人,但原資料保有者仍可透過代理與原始識別資料表或解密工具還原為識別資料,故對資料保有者而言,該資料仍屬可間接識別之個人資料,但對於資料接收者而言,則應視資料加工程度高低、連結可能性大小等因素個案判斷。倘該假名化資料之利用目的與程序得以排除後續重新識別之機會或可能性,且制度上嚴格排除資料接收者再回溯識別的能力,並在組織或技術上採取適當安全措施,避免資料接收者以其他方式重新識別相關資料,如資料接收者已無從採取任何合理可能之方法直接或間接識別特定個人,則對該資料接收者而言,即非個人資料而不受個資法之規範;反之,若資料接收者運用一般知識予以連結而重新識別的可能性仍大,此時應認對資料接收者仍屬間接可識別之個人資料,而有個資法之適用。

  4. 本部建議就重新識別時用於比對之「其他資料」採取「一般人基準」:
    (1) 日本學界與實務見解不一,有採取「一般人基準說」(即其他資料應限於已公開、被公知之資訊,即一般人生活上得以輕易獲得的資訊),也有採「特別基準說」,認為其他資訊包括一定範疇之關係人(例如同僚、親友、街坊鄰居等)可能知悉保有之其他資訊,也應納入。
    (2) 英國就去識別化資料的判斷,採取「有心侵入者測試」標準,而該標準對於比對之其他資料,係取得能以一般方式取得之資料。此與日本之「一般人基準說」較接近。
    (3) 考量具有先前知識之人能重新識別係因其原已掌握當事人相當之個資,重點應放在該人能否透過釋出的資料取得當事人的新個資,而具專業知識之人通常依法令負有保密義務,故其成為「有心侵入者」之動機較低,爰建議採取一般人基準說。

  5. 關於本段建議1部分,個人行為係個人之社會活動之一環,若經與其他資料連結而能識別特定當事人時,即屬於個資。至建議1各子項之建議,本部原則上尊重,惟若基於研究、統計之必要而去識別化,建議也需同時考慮研究與統計之需求決定去識別化的範圍。

  6. 關於建議2部分,建議就「代碼化」之定義為「帶密鑰不可逆雜湊函式法」,應與本部前揭說明之「匿名化資料」與「不可逆之假名化資料」相類,如此,本項建議與本部前揭說明應大致相同。

  7. 建議3、4部分,認為應就不同使用目的及方式採取不同程度之去識別化方式的方向,本部原則上贊同,另就供不特定人利用之「開放資料(open data)」部分,本部建議採取較嚴格之標準,以提供不具有敏感性、不具個體性的匿名化資料,以降低重新識別之風險。而對於提供特定公務機關或學術研究個別申請使用之資料,因資料提供對象有所限縮,且提供前能夠進行審查,而較有利於風險控管,故可提供去識別化程度較寬之假名化資料。