個人資料定義的調整

誠如前文所述之個人資料的判斷流程，可觀察出一個問題：匿名化技術和重 新匿名技術，是否會導致個人資料的界線模糊不清？具有識別性的個人資料經過 匿名化處理，因為無法識別出特定當事人，喪失識別性而不受個資法保護。然而 假若該匿名化資料又得輕易地重新識別，再度恢復為識別或可資識別的個人資料，

又得以重新受到個資法保護，則個人資料的界線是否過於浮動？

特別在行動商務、雲端產業發達的時代，以行動應用程式產業為例，當使用 者基於消費、資料儲存、應用程式使用等因素，將大量且各式各樣的個人資料提 供給業者時，行動應用程式業者可能在利用使用者的個人資料時，或者將使用者 的個人資料分享與第三者（諸如廣告業者或行銷分析業者）時，會以將使用者的 個人資料為去除識別性或匿名的處理，來保證其可確保使用者的隱私不受侵擾⁶⁷。 以Facebook 的行動應用程式為例，在說明 Facebook 如何利用使用者的個人資料 時，強調：｢除非我們已從中移除您的姓名或其他個人識別資訊，或是將您的資 料與他人資料結合，使其不再與您相關聯之後，我們才會將資料提供給我們的廣 告合作夥伴或客戶⁶⁸。｣；又或者是知名的照相、照片分享軟體 Instagram 為例，

67 Paul Ohm, Broken Promises of Privacy: Responding to the Surprising Failure of Anonymization, 57UCLA L.REV. 1701, 1708 (2010).

68 資料使用政策，Facebook，https://www.facebook.com/about/privacy/your-info（最後瀏覽日 期：2013 年 10 月 22 日）。

21

在隱私權政策亦稱：「我們會分享您的資訊給第三者：我們會移除部分可識別您 的資料，並以匿名資料分享給其他業者。我們也會結合您的資料和其他不再和您 有關連的資訊，並將聚合後的資料分享給第三者⁶⁹。｣因此，本文希望探討重新識 別技術對個人資料的定義帶來的衝擊和影響為何。

2.4.2.1 匿名化可確保隱私無虞

匿名，從字面意思來看，就是將當事人的名字隱藏起來。然而匿名的力量並 非只是單純將當事人的名字隱匿起來。Helen Nissenbaum 教授認為匿名的作用，

是截斷當事人的身分和其所為的行為間的連結，使第三者無法從資訊的內容辨別 出資訊所指涉的當事人是誰。換言之，匿名所帶來的效果是：無法從資訊內容找 出當事人（unreachability）⁷⁰，也因此匿名化被稱為隱私促進的技術（Privacy Enhancing Technology, PET）之一⁷¹。

然而使用者是否即可認為，在匿名或移除識別性的保護傘下，即可確保我們 的隱私？針對這個問題，可以從匿名或移除識別性的個人資料，是否可適用個人 資料保護法出發，加以討論。假若該個人資料原本具有識別性，但｢資料經過處 理後或依其揭露方式無從識別特定當事人｣，例如以代碼、匿名、隱藏部分資料 或經其他類似手法處理過的個人資料（為求討論方便，以下將｢資料經過處理後 或依其揭露方式無從識別特定當事人｣簡稱為匿名化個人資料）⁷²，是否仍受到個 人資料保護法保護？

首先，綜合觀察個人資料保護法和個人資料保護法施行細則，可發現當公務 機關或非公務機關之學術研究機構，基於公共利益為統計或學術研究之目的而有 必要，且已將識別性個人資料轉換成無法識別特定當事人之匿名化個人資料時，

依照個人資料保護法，公務機關或非公務機關之學術研究機關，得例外享有個人 資料保護法的義務免除，包含得免除間接蒐集個人資料之告知義務（第9 條第二 項第四款）、公務機關例外得於特定目的外利用個人資料（第16 條但書第五款）、 非公務機關得於特定目的內蒐集或處理個人資料（第19 條第一項第四款）、以及 非公務機關得為特定目的外利用個人資料（第20 條第一項但書第五款）

然而當非公務機關、且非學術研究機關者，蒐集、處理或利用匿名化個人資 料時，在此情形下是否適用個人資料保護法？從法條文義解釋觀之，既然該匿名 化個人資料已經無從識別特定當事人，即意味著業者已切斷資料和當事人間的連 結，不可能構成個資法第2 條第一款之｢可以直接或間接方式加以識別｣之要件，

69 “Parties with whom we may share your information: We may remove parts of data that can identify you and share anonymized data with other parties. We may also combine your information with other information in a way that it is no longer associated with you and share that aggregated information.”, Privacy Policy,I^NSTAGRAM, http://instagram.com/about/legal/privacy/ (last visited Oct.

22, 2013).

70 Helen Nissenbaum, The Meaning of Anonymity in an Information Age, 15 THE INFO.SOC’Y 141, 141-144 (1999).

71 See DANIEL SOLOVE,INFORMATION PRIVACY LAW 593-94 (2011).

72 參見個人資料保護法施行細則第 17 條。

22

因此應不受個人資料保護法之規範。從法務部所發布之行政函釋中，亦採取否定 的見解，認為「如已匿名化或去識別化，而成為不能直接或間接識別個人之資料 者（個資法第 2 條第一款及其施行細則第 3 條規定參照），自無個資法之適用｣

（法務部法律字第10203503130 號），亦即「如將蒐集所得個人資料以匿名化或 去識別化處理，而成為不能識別之資料，即無本法適用｣（法律字第 10103104090 號）⁷³。

從比較法途徑分析，無論是現行的歐盟個人資料保護指令，亦或是2012 年 1 月 25 日公布的個人資料保護規則草案（The Proposed General Data Protection Regulation），均在前言部分陳明，由於匿名性資料不再具有可識別性（identifiable）， 因此不適用個人資料保護指令⁷⁴。甚至在個人資料保護規則草案第10 條中規定， 0920005014 號函。

74 “Recital (26) Whereas the principles of protection must apply to any information concerning an identified or identifiable person; whereas, to determine whether a person is identifiable, account should be taken of all the means likely reasonably to be used either by the controller or by any other person to identify the said person; whereas the principles of protection shall not apply to data rendered

anonymous in such a way that the data subject is no longer identifiable; whereas codes of conduct within the meaning of Article 27 may be a useful instrument for providing guidance as to the ways in which data may be rendered anonymous and retained in a form in which identification of the data subject is no longer possible”, Directive 95/46/EC of The European Parliament And of The Council of 24 October 1995 on The Protection of Individuals With Regard to The Processing of Personal Data And on The Free Movement of Such Data, EUR-LEX,

http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:EN:HTML (last visited Dec. 18, 2012);”Recital (23) The principles of protection should apply to any information concerning an identified or identifiable natural person. To determine whether a natural person is identifiable, account should be taken of all the means likely reasonably to be used either by the controller or by any other person to identify the individual. The principles of data protection should not apply to data rendered anonymous in such a way that the data subject is no longer identifiable”, Proposal for a Directive of The European Parliament and of The Council on The Protection of Individuals With Regard to The Processing of Personal Data by Competent Authorities for The Purposes Of Prevention, Investigation, Detection or Prosecution of Criminal Offences or The Execution of Criminal Penalties, And The Free Movement of Such Data, EUR-LEX,

http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_en.pdf (last visited Oct. 21, 2013).

75 “Article 10 If the data processed by a controller do not permit the controller to identify a natural person, the controller shall not be obliged to acquire additional information in order to identify the data subject for the sole purpose of complying with any provision of this Regulation”, Proposal for a Directive of The European Parliament and of The Council on The Protection of Individuals With Regard to The Processing of Personal Data by Competent Authorities for The Purposes Of Prevention, Investigation, Detection or Prosecution of Criminal Offences or The Execution of Criminal Penalties,

23

此外，德國聯邦資料保護法（Federal Data Protection Act）亦將匿名化的個人 資料排除於聯邦資料保護法的適用。從法條即可看出，德國在立法上，將匿名化

And The Free Movement of Such Data,EUR-LEX,

http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_en.pdf (last visited Oct. 21, 2013). See CHRISTOPHER

KUNER,EUROPEAN DATA PROTECTION LAW 65-67 (2007).

76 “(6) “Rendering anonymous” shall mean the alteration of personal data so that information concerning personal or material circumstances cannot be attributed to an identified or identifiable natural person or that such attribution would require a disproportionate amount of time, expense and effort.”, BUNDESDATENSCHUTZGESETZ [BDSG] [FEDERAL DATA PROTECTION ACT], Sept. 1, 2009, BUNDESGESETZBLATT [BGBL] 1, 2814, as amended, available at

http://www.bfdi.bund.de/EN/DataProtectionActs/Artikel/BDSG_idFv01092009.pdf?__blob=publicatio nFile.

77 “(6a) “Aliasing” shall mean replacing the data subject’s name and other identifying features with another identifier in order to make it impossible or extremely difficult to

identify the data subject”, , BUNDESDATENSCHUTZGESETZ [BDSG] [FEDERAL DATA PROTECTION ACT], Sept. 1, 2009, BUNDESGESETZBLATT [B^GBL] 1, 2814, as amended, available at

http://www.bfdi.bund.de/EN/DataProtectionActs/Artikel/BDSG_idFv01092009.pdf?__blob=publicatio

79 See Ira S. Rubinstein et al., Data Mining and Internet Profiling: Emerging Regulatory and Technological Approaches, 75U.CHI.L.REV.261, 266-68 (2008); Paul Ohm, supra note 67, 1710-12 (2010).

24

和科技間的平衡點⁸⁰，也成為業者和使用者間的平衡點，似乎只要將個人資料匿 名化，一切隱私侵害的問題就解決了！

2.4.2.2 道高一尺，魔高一丈：重新識別技術打破匿名萬能的迷思

然而前述的假定，在科技快速進步，行銷手法著重於一對一行銷（one-to-one marketing）或行為行銷（behavioral marketing）的今天，受到強烈地挑戰。首先，

個人資料保護和科技發展密不可分，重新識別技術（re-identification techniques）

會日益進步、改良，不會一直停留在「重新識別匿名化個人資料是非常困難｣的 假定中。此外，行銷、廣告產業對「重新識別技術｣有市場上地需求，行銷廣告 業者須透過消費者的行為模式，設計出個人化或符合消費者需求的產品。當一對 一的行銷手法成為主流時，將匿名化或去識別性的個人資料，重新還原成原本具 有識別性的樣貌，是行銷業者迫切需要的技術⁸¹。是否可繼續固守「匿名即可確 保隱私｣的結論，即畫上一個大問號。

Paul Ohm 教授在「Broken Promises of Privacy: Responding to the Surprising Failure of Anonymization｣中⁸²，率先打破匿名迷思，並進而質疑、甚至於否定以 可識別的個人資料作為判斷是否適用個資法標準。在文章中，Paul Ohm 教授以 外部資訊（outside information）和內部連結（inner join）二種重新識別技術，解 釋匿名化的個人資料，如何重新識別並特定出個資所屬的當事人。外部資訊係指 資料控制者所持有資料以外、當事人其他的個人資料，資料分析者藉由將外部資 訊和匿名化個資彙整、比對的方式，而得追溯出特定的個人。電腦專家即指出，

完美的匿名化技術的前提是，沒有其他任何外部資訊。一旦有外部資訊，則匿名 化的保護傘就有被突破的可能，因此建議隱私相關法規應將外部資訊納入保護⁸³。 另一方面，內部連結猶如兩手交錯（crossed hand），可以藉由不同資料庫的綜合 比對，破解經過匿名的個人資料，找到個人資料所屬的當事人。

總而言之，重新識別技術打破了個人資料的界線。首先，重新識別技術的興 起，不僅可使原先匿名的個人資料，得以重新揭露；還可使原先認定為不可識別 的個人資料，轉變為可識別的個人資料。其次，可識別的個人資料和不可識別的 個人資料組合後，或者多種不可識別的個人資料聚合後，原先匿名的資料、去識

總而言之，重新識別技術打破了個人資料的界線。首先，重新識別技術的興 起，不僅可使原先匿名的個人資料，得以重新揭露；還可使原先認定為不可識別 的個人資料，轉變為可識別的個人資料。其次，可識別的個人資料和不可識別的 個人資料組合後，或者多種不可識別的個人資料聚合後，原先匿名的資料、去識