規範重新識別行為

我們認為應採取法律、技術雙重方式,降低重新識別之風險。

  1. 法律上,可限制利用者不得進行原申請目的以外之行為:
  • 連結未經申請之其他資料集、交予未經授權之第三方等行為,均可訂定罰則。
  • 對上列罰則,可訂定檢舉違反案件之獎勵辦法。
  1. 技術上,可採用 API 界面:
  • 由申請者提出查詢、收受去識別化後之結果,而非逕行交付資料集。
  • 循此方式留下之紀錄,亦可提供予後續研究者,作為驗證之用。
  1. 利用條款應註明:
  • 申明該資料集已被匿名化。
  • 禁止被授權人再識別任何個人。
  • 禁止被授權人利用該資料集,對特定個人採取任何行動或決定。
  • 應使被授權人負有義務,於其發現個人能或已經被再識別時,通知授權人。

就第1點法律面部分,補充一些想法:
目前個資法就個人資料之蒐集行為已設有相關的規範,如果取得已經去識別化資料之資料使用人要進行「重新識別」,其行為就相當於個資法上「蒐集」個人資料的行為,仍然必需符合個資法第15條(如其為公務機關)、第19條(如其為非公務機關)之要件,才可以進行。如果違反,現行之個資法也有相應之民(如個資法第28條、第29條)、刑事(個資法第41條)及行政(個資法第47條)責任予以規範。當然另外在釋出資料的授權規範內訂定違之法律效果,也是可行的方法之一。

謝謝 @Will_Chang 的補充。

也請 @moj 撥冗對上述建議,逐項回覆是否採納,以及如果未採納者,具體考量為何。感謝!

本部贊同重新識別之行為應予規範:

  1. 去識別化之資料若被重新識別應有法律責任:
    (1) 資料接收者或使用者若進行重新識別,進而取得個人資料,此時在個資法上應定性為蒐集之行為,仍須符合個資蒐集、處理或利用之要件。舉例言之,若為非公務機關所為,即應符合個資法第19條之規定。如有違反,則應負個資法上之行政責任,如致生損害於他人,則可能另構成刑事責任及民事責任。
    (2) 而個資法第19條第1項第3款 「當事人自行公開或其他已合法公開之個人資料」及第7款「個人資料取自於一般可得之來源」須以公開或一般可得是個人資料為前提,在此種「原先為去識別化的資料,經以各種方法重新識別」情形則不適用,故須符合個資法第19條第1項其他各款情形,始得為之。

  2. 開放資料授權條款中可加註禁止使用者還原去識別化資料之警語:參考英國Open Government Licence有明確規範「倘若授權範圍內含有去識別化資料,資料使用者及再使用者(users and re-users)禁止以可能重新識別之方式利用該資料」,亦即於政府資料開放授權條款中與資料使用者及再使用者約定禁止還原去識別化資料之義務,本部亦贊同此一方向,未來可參考英國作法,於授權條款中加註禁止使用者還原去識別化資料,否則應負相關法律責任等類似警語。

  3. 本段建議之方向本部原則上贊同,另有關於技術部分之建議,會再提請相關機關注意。