明毓律師事務所HSU & Associates
2021/9/9 / 法律知識

匿名化或假名化?資料去識別化之概念釐清

 

我國個資法第2條第1款定義須受本法規範之「個人資料」為「得以直接或間接方式識別該個人之資料」。透過本條文義之反面推論可以得知,透過一定程度之加工或技術處理,使個人資料喪失直接或間接識別之可能,破壞資料之個人屬性後,該資料即非為個資法所保護之客體。雖我國個資法並未將「去識別化」記載於條文中,然學說實務皆肯認本條為「去識別化(de-identification)」之規定,以資料是否去識別化界定個資法保障客體之範圍。

 

去識別化依資料加工程度之高低,又可區分為匿名化(anonymization)及假名化(pseudonymization)兩種類型。我國個資法上並未就匿名化及假名化予以解釋或規範,或可借鑑外國立法例掌握其內涵。所謂匿名化資料,據歐盟第29條資料保護工作小組所言,必須達到不論是資料控制者(data controller)或是第三方(third party)皆無法採取可能合理之手段識別出特定資料主體之程度,換言之,資料經加工後與特定資料主體之連結徹底斷絕,毫無重新識別之可能。歐盟一般資料保護規則(General Data Protection Regulation, GDPR)前言第26點亦有提及,已不可再識別當事人之匿名化資料,即非為GDPR所規範之客體。

 

另一方面,GDPR第4條中則就假名化予以定義。其指出,經假名化之個人資料,係指非透過其他資訊之對照,不能再識別出特定資料主體。同時其他資訊應與假名化之資料分開存放,並採取其他技術上或組織上之保護措施,確保無法透過該個人資料連結至特定資料主體或可識別之資料主體。GDPR前言第26點對於假名化資料亦有闡述,其指出,若可透過額外資訊之使用而識別出假名化個資之資料主體,則該資料應視為可得識別之當事人的資料。換言之,假名化之資料仍屬個人資料而應受GDPR所規範。

 

觀察歐盟立法上有關匿名化及假名化之闡述,可以推知匿名化資料因已喪失資料之個人屬性,無侵害資料主體隱私權利之疑慮,故不受GDPR所規範;然而,即使假名化資料仍可能透過與其他資料對照而識別出資料主體,GDPR仍肯認假名化屬於資料處理之適當保護措施,於本法第25條、第32條、第89條等條文中提及資料保護措施及安全性時,均將假名化列入適當保護措施之一種,透過假名化降低資料主體可能面臨之風險。

 

回歸我國個資法條文進行觀察,則我國個資法關於去識別化之定義內涵於體系上頗有不協調之處,對於當事人資料權利之保護似有未周。個資法第2條第1款規範無從直接或間接識別該個人之資料,則非屬本法所保護之個人資料。我國個資法施行細則第3條規定並進一步闡述「間接識別」之概念,本條指出,所謂間接識別,係指保有該資料之公務或非公務機關僅以該資料不能直接識別,須與其他資料對照、組合、連結等,始能識別該特定之個人。透過個資法第2條第1款與個資法施行細則第3條規定可以得知,依上揭規定排除於我國個資法規範外之資料,應屬於歐盟定義下之「匿名化資料」。

 

然而,個資法中其他條文之「無從識別當事人」概念,顯然不能皆以匿名化之定義理解其內涵。舉例而言,個資法第6條第1項但書第4款規定,「公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。」本條所稱之「無從識別特定當事人」,依照個資法施行細則第17條規定,係指「個人資料以代碼、匿名、隱藏部分資料或其他方式,無從辨識該特定個人者」。個資法施行細則第17條將「匿名」與「代碼、隱藏部分資料」並列於例示之去識別化方法而未就處理資料之效果予以區隔,訂定不同之規範效力,固已容易產生混淆,而本條所定義之「無從識別」又顯與個資法第2條第1款之定義有所區別,似認定此類方法之採用係保護當事人資料權利及隱私之措施,而更接近歐盟定義下之「假名化」內涵。

 

我國個資法上關於去識別化、假名化、匿名化之概念未臻明確,導致法律框架之不協調,亦衍生出實務適用法律及解釋之困難。本文以歐盟之去識別化概念定義為例,透過國際個資法律之規範內涵省思我國個資法規範現況。於未來個資法修正時,應可考慮進一步就去識別化之標準為更細緻之規範,尤其應補充各去識別化作業方式及具體保護措施等,俾使法規框架整體趨於協調,並提供當事人更完整之隱私權利保障。

 

參考資料:

1. 個人資料保護法

2. 個人資料保護法施行細則

3. General Data Protection Regulation

4. 吳全峰,許慧瑩,「健保資料庫行政訴訟案:個資保護與健保資料之跨機關流動即二次利用」(2018) 月旦醫事法報告,19期,頁61-87。

文章分類
近期文章
召集股東會:是雙胞胎!恭喜老爺,賀喜夫人!?
萬華區民眾健保卡註記事件之隱私疑雲——兼談「剖析」之基本概念
從隱私保障角度檢討疫情警示簡訊:「細胞廣播」與「類細胞簡訊」之運用
匿名化或假名化?資料去識別化之概念釐清
召集股東會:喚醒沉睡在股份中的表決權
誰在暗處解讀戰術?——即時轉播對於營業秘密保護的可能影響
「繼續閱覽代表我同意」?淺談GDPR及CPRA對於同意有效性之認定
以「臺灣社交距離app」找到人與人的連結,但我的個資也被連結了嗎?
召集股東會:誕生吧!決議!
除了GDPR外,你還要知道 ePrivacy Regulation
馬賽克理論簡介——隱私內涵之再反省
打擊盜版?尊重言論自由?——在光譜間擺盪的網路平台業者
Facebook透明報告出爐!機器學習讓打擊盜版更有效率
全國通用「簡訊實聯制」上路:效率防疫倒映之隱私隱憂
天網是什麼?簡評「電子圍籬」及「雲龍系統」運用的隱私疑慮
如影隨形的小甜餅將何去何從:從第三方 Cookies 的使用限縮談「 Cookies 同意」
GoPro、UBER主動出擊! 原來定期檢索競爭對手商標很重要
你的同意不是你的同意!?從歐盟個資保護委員會公布之05/2020指引看當事人同意效力
人工智慧近期國際動態—美國FTC針對人工智慧偏見之建議與歐盟人工智慧法律框架草案
個資外洩怎知道?從Facebook近日個資侵害事件看個資事故之通知
Cookie掰掰,但Google的FLoC群組真能更加保護用戶隱私?
刷臉換登機?淺談近期人臉辨識相關規範
美國消費者隱私保護專法第二槍
加州消費者隱私保護法(CCPA)升級版?加州隱私權利法(CPRA)要來了!
疫情與人權—簡介以色列法院對於電子足跡的看法
會議裡有不速之客!Zoom與紐約州檢察長達成資安保護協議
隱私聲明惹的禍?臉書被罰650萬美元
微軟承諾:保障跨境傳輸的用戶資料
Google因追蹤無痕模式使用者而面臨50億美元求償
Facebook將停用歐洲使用者Ig及Messenger部分功能