我國個資法對個人資料有清楚的定義,只要得以直接或間接方式識別該個人(自 然人)之資料,即屬之。但這種偏向靜態、列舉式的定義,極易引發爭議。我國個資
24 原審判決認為「被告既明知利用系爭軟體程式所傳輸電話號碼之電信業者別名稱與第三 人,將與該手機連絡簿中所載之其他個人資料如姓名、出生年月日、聯絡方式(電話號碼)、
職業、住址、特徵、社會活動資料等相互組合、連結而得以間接識別該特定自然人,自有不當 揭露、利用該自然人個人資料之認識。」若在手機連絡簿中已載有電話號碼、姓名、出生日期 等資料,倘若還需結合電信業者別資料方能間接識別特定人,從經驗法則推論,殊難想像。參 見徐仕瑋(2014,137)。
法施行細則第17條規定:「……資料經過處理後或依其揭露方式無從識別特定當事 人,指個人資料以代碼、匿名、隱藏部分資料或其他方式,無從辨識該特定個人。」
似乎是指將個人資料隱匿起來即屬於無從識別該個人之資料;但同時施行細則第3條 則規定:「……間接方式識別,指保有該資料之公務或非公務機關僅以該資料不能 直接識別,須與其他資料對照、組合、連結等,始能識別該特定之個人。」這兩規 定似乎互為矛盾,究竟資料經過處理後,是屬於「無從識別」抑或「可被間接方式識 別」,這兩者之間從個資法的靜態定義上來看,並未清楚釐清。
傳統個人資料與非個人資料的「二分法」,其標準是「識別之可能」,只要可加 以識別,無論直接或間接,皆適用個資法;反之,若無法被識別,即無需適用個資 法。在此大前提下,透過大數據應用技術而大量儲存或分析個人資料,按原則只要將 可識別個人的資訊去除,或使該個人資訊無法被識別,該項資料即非屬於個人資料之 範疇。然而資料比對的技術日新月異,尤其是目前再識別技術極容易將去識別之資料
(unidentified data)再回復為可識別之資料(identifiable data),或者透過資料比對、
連結、組合等方式將原先分散、無法識別之個別資料轉變為可識別之資料。由於資料 控制者對於先前已去識別之資料或無法識別之資料已不受個資法保護,而得以對該資 料進行利用,但該資料倘若嗣後可能回復為可識別之資料,特別是這種「再識別行 為」資料主體經常無法察覺,這使得傳統個資法中「二分法」主要針對資料本身靜態 描述,亦即是否可直接或間接識別特定個人的定義是否仍然可行,值得存疑。
個資定義「二分法」所產生的模糊空間,在大數據應用下可能帶來無法預測的 衝擊(Chung, 2014, p. 418)。學者Schwartz與Solove嘗試發展出其他資料類型藉以突 破過去二分法的迷思,但他們也認為隱私保障若無一合理邊界,資料保護的限制將不 復存在(Schwartz & Solove, 2011, p. 1866)。他們認為可採納識別風險程度的高低來 決定保護程度的高低,亦即:識別風險高者其保護程度較高、識別風險低者其保護程 度較低;另外,他們也指出資料種類也影響資料的利用,例如一般性資料經過大數據 分析之後,所得出來的資料卻是敏感性資料,這結果將對現今個資法造成巨大的衝擊
(Schwartz & Solove, 2011, p. 1877-79)。
目 前 我 國 個 資 的 定 義 強 調 資 料 對 於 個 人 「 識 別 可 能 與 否 」 , 但 對 於 資 料 的
「關聯性」或「連結性」,亦即資料是關於哪個特定個人(linked or linkable to an
individual),卻著墨甚少。此類資料本身無獨特性,僅可能知曉「關於何人」或「歸 屬何人」,此時資料並非足以「區分」資料主體之識別要素,而是作為充實其既有 之個人剖繪(enrich existing profiles of individuals)之要素,藉以增強資料之累積效應
(WP 216, 2014, p.4)。也因此,能相互連結的資料量愈多,可識別出特定個人的可 能性也愈高,即知曉其屬於何人並建構、充實其個人剖繪的機率就愈高。故判斷一筆 資料是否構成個人資料,必須在具體情境脈絡中進行個案權衡(case by case analysis)
而無法跳脫情境作抽象、靜態的考量(Schwartz & Solove, 2011)。
因此,本文認為在大數據應用之下,傳統以靜態、列舉式的個資定義有必要加 以調整,特別可以從「去識別化」、「資料最小蒐集原則」、「去識別後再識別的議 題」,以及「從設計著手保護隱私的架構設計」進行討論。以下分別說明之。
一、去識別化
根據歐盟資料保護指令(Directive 95/46/EC)規定,個人資料的去識別化是指對 個人資料進行移除足夠的識別因子之處理,使得資料管理者或他人無從透過合理方式 識別特定個人之操作25。我國個資法第9條、第16條、第19條及第20條皆有所謂「資料 經過提供者處理後或依其揭露方式無從識別特定當事人」,係指個人資料以代碼、匿 名、隱藏部分資料或其他方式,無從辨識該特定個人(個資法施行細則第17條參 照),此乃我國個資法對於去識別化的明文規定。
傳統上對個資進行去識別化的方式,不外乎有匿名化(anonymization)、加密
(encryption)與轉換代碼(key-coding),被視為是允許企業得以利用資料分析技術 並同時保護個人隱私。例如Google透過移除連結(de-link)將個資中的特殊識別因子
(identifiable factors),亦即直接辨識之資料,將盡可能移除指向某一特定主體之資
25 Recital 26 of Directive 95/46/EC, at 33 (“in such way that the data subject is no longer identifiable”).
26 美國FTC(2009)在一項研究報告指出,不具識別性資料相互結合後,可能得出具識別 之個資。
料集片段的「連接性」,讓資料盡量分散,使其變為足夠小的片段,讓搜尋到完整資 料的可能性大幅降低(WP 216, 2014)。然而這種操作在實務上卻有相當高的難度,
也經常讓一般使用者或個資主體誤認以下幾種情形,例如:將個資加密等同於去識別 化、將單純移除直接辨識之資料即視同去識別化、資料的去識別化是永久性、匿名資 料之利用可安心無憂、不具識別性資料相互結合仍等於不具識別性資料26等,以至於 個資主體經常忽略了個資風險的存在。
由於匿名資料經常會被再識別而將該資料指向特定個人,因此去識別化資料其 實只是一種暫時的狀態,且經常引起個人隱私的顧慮。當然,或可將所有資料視為可 識別的個人資料而受到法律規範;但學者Ohm(2010)認為這種將可識別之個人資訊
(PII)定義擴大解釋,難免會讓使用資料的業者放棄去識別化的作為,反而增加隱私 與資料安全的風險;更進一步的風險是,隨著擴張PII的解釋將使得隱私保護架構顯得 難以執行。尤其是 匿名資料通常伴隨著可能會被再識別的風險,因而對於PII的保護 架構中將產生不確定性。我們無法確切得知某一資料會真的與特定個人有所關連,因 此各種資料集盡可能越多不確定性,越可能確保其匿名性。
這種基於標示個人是否可被識別之「可識別」與「無法識別」的二分法,其實無 助於保障個人隱私,而且不可避免會導致「去識別」與「再識別」的無效率競賽。對 於PII的定義,應考量風險高低、故意與否以及再識別的潛在結果(Schwartz & Solove, 2011; Tene, 2011),以及資料本身是否因變質或遺失所造成完整性、正確性以及價值 性的問題,並與其他社會利益相互衡量。
在大數據時代下,企業不應將重心集中在如何使去識別化做到「完美無缺」的程 度,而是在承認去識別化的不完善性與風險性的基礎上,重視如何將資料隱私風險掌 控在合理且可接受的範圍內。判斷去識別化的有效性,實際上是對風險本身的評估
(WP 216, 2014, p.6),更正確來說,是將個資的生命週期(從隱私權政策、風險評 估、去識別化操作、重新識別評鑑等)都納進來,才是所謂的去識別化(林其樺,
2015)。法律學者Tene與 Polonetsky(2012)倡議可採取美國聯邦貿易委員會(FTC, 2012)一項研究報告「在變化快速的時代為保障消費者隱私對企業與決策者提出建 議」(Protecting Consumer Privacy in an Era of Rapid Change, Recommendations for
Business and Policymakers)指出,可比對資料再識別本身在統計學上的可能性,並搭
配企業對於不進行再識別的合法承諾以及契約義務27,以達到真正的防制效果(Tene
& Polonetsky, 2013, p. 259)。因此本文認同上述兩位學者的看法,認為應將基於資料 安全與課責性原則所採取的去識別化方法視為一種保護措施(protective measure),
而不是作為大數據謎題的解方。企業藉由盡可能將個資去識別化,同時不放棄對資料 進行有益利用,或許是值得讓大數據對於資料進行蒐集與利用最有智慧的做法。
個資去識別化的處理方法很多,但必須考量許多因素(例如去識別化之目的、資 訊欄位、所要串接的資料是否可能連結導致重新識別等)才能決定。對於個人資料去 識別化,在技術上可建立一套驗證標準規範,以供企業遵循。我國行政院已指示經濟 部標準檢驗局進行驗證標準規範之研訂,目前國際上並無個資去識別化驗證標準及驗 證作法可資遵循,現階段則採用我國與國際標準(ISO)調和之國家標準(CNS),
分別於2014年6月公告「資訊技術—安全技術—隱私權框架」國家標準CNS29100,以 及於2015年6月公告「資訊技術—安全技術—部分匿名及部分去除連結鑑別之要求事 項」國家標準CNS29191,可作為我國現階段推動開放政府資料或大數據之個人資料 去識別化驗證標準28(標準檢驗局,2016)。由於國家標準並無強制性,各機關或企 業可視需要程度再評估驗證導入與否。
二、資料最小蒐集原則
資料最小蒐集原則一直是隱私法制中相當重要的原則(OECD, 1980),可透過
資料最小蒐集原則一直是隱私法制中相當重要的原則(OECD, 1980),可透過