10個對匿名化的誤解

我國個人資料保護法(下稱個資法)制定之後,在相關討論時,常常聽見有關「去識別化」的探討,並且試圖將不同場景所處理的不同個人資料加以「去識別化」,希望能夠避免遵循個資法規定。而在歐盟一般資料保護規則(General Data Protection Regulation, GDPR)下,則區分有匿名化(anonymization)資料與假名化(pseudonymization)資料兩種概念。匿名化資料係指不涉及已識別或可識別自然人的資訊或以不再可識別的方式匿名化的資料。由於匿名化資料已失去個人資料之屬性,因此並無GDPR之適用。至於假名化資料,由於其仍可透過使用額外資訊進而識別當事人身分,因此其於GDPR之概念底下仍屬個人資料之一種。實務上,組織常常因為想要避免遵循GDPR或個人資料保護法等規範,想要透過將資料匿名化的方式來因應隱私保護法令之遵循,而對「匿名化」存有誤解。

西班牙的資料保護主管機關(AEPD)因此提出「10個對匿名化的誤解」指引,向大眾說明與釐清匿名化的概念,以下摘要如下:

  • 誤解1:匿名化等於假名化

匿名化資料係指不能與特定個人相關連的資料,一但資料真正匿名化且無法識別個人,該資料便無GDPR的適用。而另外一個概念是假名化資料,依照GDPR的定義,假名化資料係指該個人資料在不使用額外資訊時,不再能夠識別出特定之資料主體,且該額外資料已被分開存放,並以技術及組織措施確保該個人資料無法或無可識別出當事人。然而本質上,假名化資料仍然屬於GDPR所保護的個人資料。

  • 誤解2:加密等於匿名化

AEPD指出,加密並不是一種匿名化的技術,而是屬於假名化的工具。加密過程中使用金鑰來轉化資料,降低資料遭不當存取的風險,並保持一定的機密性,然而原始資料解密之後仍然可以被存取,此時解密的金鑰即屬於前述所提到的「額外資訊」,其使被加密的資料能夠讀取,並進而識別個人。同時,考量加密演算法與金鑰的強度與技術進步(例如量子運算)等因素,縱然將加密金鑰刪除,仍無法確保加密資料無法被解密,因此即使將加密金鑰刪除,仍無法認為加密資料是屬於匿名化資料。

  • 誤解3:資料總是可以匿名化

匿名化是一個嘗試在降低重新識別風險與保持資料集在預期用途的可用性間找到正確平衡的過程。然而根據資料的情境與性質,可能無法充分減輕重新識別的風險,例如可能的個體總數太小時(例如一個僅包含705名歐洲議會成員的匿名資料集),或是當個體間資料類別特別不同時(例如位置資料),即有可能無法充分減輕重新識別風險。

  • 誤解4:匿名化是永恆的

實際上隨著時間的演進,不論是因為科技的進步(雲端運算與量子運算等技術),或是因為多年的資料外洩事故,均可能會將以前匿名化資料重新識別個人。

  • 誤解5:匿名化重新識別的風險為零

匿名化過程與其應用方式,將會對重新識別風險的可能性產生直接影響。強而有力的匿名化過程目的在於將重新識別的風險降低到特定閾值以下,該閾值取決於現有的緩解控制措施、重新識別對個人隱私的影響、動機與攻擊者重新識別的能力,實際上重新識別的剩餘風險並不會為零。

  • 誤解6:匿名化是無法衡量的概念

AEPD認為,不應將匿名化資料理解為資料集單純區分為是否匿名。任何資料集都有可能根據其個人化的可能性進行識別,強而有力的匿名化過程應評估重新識別的風險,同時必須隨著時間進行管理與控制。

除非在資料非常籠統的特定情形下,例如統計一年中每個國家或地區的網站存取者之資料集,否則重新識別的風險永遠不會是零。

  • 誤解7:匿名化可以完全自動化

匿名化的過程中,需要對原始資料集、其預期目的、要應用的技術與重新識別資料的風險進行分析。去除或遮蔽直接標識符是匿名化過程中的重要部分,但必須同時伴隨著尋找其他識別來源的謹慎分析。因此,儘管匿名化過程可以透過自動化工具來完成,但專家的干預仍然有其必要性。

  • 誤解8:匿名化使資料喪失用處

匿名化資料的目標是防止資料集中的個人被識別,例如將出生年月日以年份為分組,匿名化資料在某種情形下降低資料集的可用性,但並不意味匿名化資料是毫無用處的,但其可用性將取決於被接受的重新識別目的與風險。

另外,個人資料的儲存時間不能超過其原始目的規定的時間,某些資料控制者的解決方案可能是將個人資料匿名化,例如將網站存取紀錄匿名化,僅保留存取日期與存取頁面之紀錄,而不保存何人存取網站的資料。

GDPR的資料最小化原則要求資料控制者確定是否有必要處理個人資料以實現特定目的,或者該特定目的是否可以透過匿名化資料實現。某些情形下,可能導出資料的匿名化不符合其預期目的的結論,資料控制者必須在處理個人資料與適用GDPR之間作出決策。

  • 誤解9:遵循他人成功的匿名化流程,也會成功將資料匿名化

匿名化流程與食譜不同,甚至就算依照食譜操作仍然有可能作出風味各異的菜色,匿名化流程必須考量處理的性質、範圍、背景與目的,以及自然人權利與自由不同之可能性與嚴重程度的風險。

在不同的情境可能有不同的資料集,而可能與匿名化資料交叉比對,進而影響重新識別的風險,例如在瑞典有關納稅人的個人資料是公開資料,而在西班牙則為非公開。因此,一個包含西班牙與瑞典公民資料的資料集,縱使按照相同程序進行匿名化處理,重新識別的風險可能也會不同。

  • 誤解10:知曉資料歸屬於何人並沒有風險或利益

個人資料本身即具有價值,對於個人本身或第三方都是如此,重新識別個人身份可能對該個人的權利與自由產生嚴重影響。匿名化攻擊的形式可能包含有意地重新識別、無意地重新識別嘗試、安全漏洞或公開揭露資料,無論是出於好奇、偶然或是利益(例如科學研究、新聞或犯罪活動)。

準確評估重新識別對個人私人生活的影響較為困難,因為該影響始終取決於情境與相關資訊,例如在對於電影偏好情境下重新識別感興趣的個人,可能可以推斷該人的政治傾向或性傾向,但是這些政治傾向或性傾向在GDPR中屬於敏感性個人資料,而需特別予以保護。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.WHATSAPP因違反GDPR遭愛爾蘭資料保護委員會裁罰2.25億歐元
2.荷蘭資料保護主管機關因兒童隱私保護不足裁罰TIKTOK75萬歐元
3.如何落實GDPR法遵?英國ICO發布問責制框架
4.個資外洩,該怎麼辦?
5.歐盟法院SCHREMS II案與常見問答

人工智慧與個人資料保護

隨著人工智慧(Artificial Intelligence, AI)技術的進步,AI在零售業、銀行與醫療等各領域都有了驚人的應用,推動了AI技術與資料利用等方面的創新,然而使用AI的組織仍然須持續面對挑戰,例如AI是解決問題的正確方式嗎?AI會產生什麼樣的道德問題?我們如何確定AI的使用是合法的?

儘管AI提供了一個能夠顯著改善社會的機會,然而AI的使用往往也會帶來風險(從AI系統帶來的安全風險到歧視與偏見的風險),而對於組織來說,如何評估AI的使用對資料保護的法令遵循性將會是一大挑戰。

英國個資保護主管機關ICO(Information Commissioner’s Office)於今(2020)年7月30日發布人工智慧與資料保護指引(Guidance on AI and data protection)」,提供設計、架構與實施AI系統的法令遵循路線圖,其內容約略分為以下幾個面向。

AI的問責與治理

在運用得當的情形下,AI將使組織更具效率與創新。但是,AI也對個人的權利與自由以及組織的法令遵循挑戰帶來巨大的風險。

與其他處理個人資料的技術相同,相同的資料保護概念也適用於AI的使用。資料保護法中,透過風險導向的方法要求組織在特定情形下遵守義務並採取適當措施,因此在法令遵循面必須包含評估個人權利和自由的風險,並進而識別、管理和減輕這些風險。

AI系統的合法性、公平性與透明性

首先,AI系統的開發與部署往往涉及針對不同目的以不同方式處理個人資料,組織必須分解每個不同處理操作,並為每個操作確定目的和適當的合法依據,以便遵守合法性原則。

其次,當組織使用AI系統來推斷個人的資料,則為了使處理過程更加公平,組織應確保1.該系統在統計上足夠準確,並且避免歧視,以及2.考慮個人合理期望的影響。

例如用於預測貸款還款率的AI系統在以下情況可能會被認為違反公平原則:
1.作出經常被證明是錯誤的預測。
2.導致群體間(例如男人與女人間)結果的差異,且無法證明是為實現合法目標的適當手段。
3.以個人無法合理預期的方式利用個人資料。

最後,組織需要透明得瞭解如何在AI系統中處理個人資料,以遵守透明性原則。(可以參考揭開黑箱,說清楚講明白—可解釋性AI人工智慧

AI系統的安全性

使用AI處理個人資料對於風險有著重要的影響,因此組織需要仔細評估與管理這些風險。然而,實際上並不存在一種「萬能的」安全方法,組織應針對不同個人資料處理所產生的風險等級與類別,分別採取適當的安全措施。

指引內也提到兩大適用AI模型的隱私攻擊種類,「模型反轉(model inversion)」與「成員推斷(membership inference)」,組織應該檢視自身的風險管理實踐情形,以確保個人資料在AI的使用環境中是安全的。

AI系統的資料最小化

資料最小化原則要求組織確定實現目標所需最小數量的個人資料,並且僅處理該個人資料(GDPR第5條第1項第c款參照)。AI系統通常需要大量資料,乍看之下彷彿難以符合資料最小化原則,然而資料最小化原則並不意謂著「不處理任何個人資料」或「處理大量資料就會違法」,關鍵的地方在於,組織是否僅處理其所需要的個人資料。

AI系統與個人權利

依據資料保護法,當事人對於其個人資料有許多相關權利,無論在AI系統的開發或是部署的生命週期各階段中,均有當事人權利的適用,組織應予以重視,例如以下情形:

  1. 訓練資料(training data)。
  2. 用於預測的資料及預測本身的結果。
  3. AI的模型內。

例如零售業者打算以過去的交易資料來預測消費者行為,需要大量的客戶交易資料集來訓練模型。而在將客戶交易資料轉換用於訓練統計模型的訓練資料時,儘管訓練資料已經較難連結到特定的個人,然而如果其仍然能單獨或與組織可能要處理的其他資料(即使不能與客戶的名字相連結)共同「挑選(single out)」相關的個人,此部分仍有資料保護法的適用,而組織應於當事人行使其權利行使時,將此部分納入考量。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.揭開黑箱,說清楚講明白—可解釋性AI人工智慧
2.如何落實GDPR法遵?英國ICO發布問責制框架
3.歐盟法院SCHREMS II案與常見問答
4.個資外洩,該怎麼辦?
5.投資個資保護的價值?

加州立法強化兒童的隱私保護

加州於今(2020)年9月8日,將由立法機關通過的父母責任與兒童保護法(Parent’s Accountability and Child Protection Act)提交給加州州長簽名。加州州長簽署後,該法將自2021年7月1日起,要求在加州經營社群媒體(social media)網站或應用程式的個人或企業,原則不得讓其實際知悉(actually knows)的未滿13歲兒童建立網站或應用程式的帳號,除非該網站或應用程式透過合理措施確保於建立帳號前取得該兒童父母或法定監護人的同意,例如透過以下方式:

  1. 簽署同意書,然後傳真、郵寄或掃描發送給個人或企業。
  2. 提供信用卡或其他線上支付系統資訊,為使用該帳號進行的每筆單獨交易通知父母或監護人。
  3. 撥打電話或視訊會議由以進行身份確認。
  4. 提供身份證件的副本。
  5. 回答一系列問題(除了兒童父母或監護人外的其他人難以回答的問題)。
  6. 提供附有照片的身份證明,能夠與父母或監護人提交的照片以臉部辨識方式進行比對。
  7. 提供符合1998年兒童線上隱私保護法(Children’s Online Privacy Protection Act of 1998)的可驗證父母同意(verifiable parental consent)。

同時該法規定,企業如故意無視消費者年齡則將視為實際知悉消費者的年齡。另外,除有必要,前述基於確認父母或監護人同意所蒐集的資料不得被保存或使用。

依照父母責任與兒童保護法,其中所指的社群媒體是指向大眾開的電子服務或帳號,能夠於公開或半公開的頁面發布內容或通訊(包括但不信於影片、照片或訊息)。

父母責任與兒童保護法與加州消費者隱私法( California Consumer Privacy Act of 2018)一樣,並未將規範對象明文限制於加州境內的企業或個人,因此只要於加州境內經營社群媒體網站或應用程式,即必須遵循前述規範。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.個資外洩,該怎麼辦?
2.當個資外洩發生時,企業是否可以向系統商求償?
3.投資個資保護的價值?
4.如何落實GDPR法遵?英國ICO發布問責制框架
5.歐盟法院SCHREMS II案與常見問答

華盛頓州州長簽署臉部辨識法案

華盛頓州(Washington state)州長Jay Inslee於今(2020)年3月31日簽署一項臉部辨識法案(ENGROSSED SUBSTITUTE SENATE BILL 6280, AN ACT Relating to the use of facial recognition services.)。

該法旨在針對建立臉部辨識(facial recognition)的透明度與問責機制,要求州與地方政府機關(state and local government agencies)在保障公民自由權利的前提下使用臉部辨識服務,以保障公眾權利。

法案重點

  • 該法要求州與地方政府機關使用或打算開發(develop)、採購(procure)或使用(use)臉部辨識服務時,必須向議會等立法機關(legislative authority)提交意向通知,說明使用的目的與技術。
  • 在開發、採購與使用臉部辨識服務前,州與地方政府機關必須作成問責報告(accountability report),並應於報告內說明該臉部辨識服務的名稱、廠商與版本、資料處理過程、資料管理政策(data management policy)與潛在衝擊等事項,且須定期更新與向立法機關報告。
  • 州與地方政府機關針對個人使用臉部辨識系統以作成具法律效力或類似決定(例如導致提供或拒絕金融、借貸服務、居住、保險、教育註冊、刑事司法、就業機會、健保、取得民生必需品或其他影響個人基本權利)時,必須確保該決定經過有意義的人工審查(meaningful human review)。
  • 州與地方政府機關原則不得利用臉部辨識服務進行持續性監視(ongoing surveillance)、實時或類似實時辨識(real-time or near real-time identification)、持續性追蹤(persistent tracking)。

而州長Jay Inslee也考量預算資金等疑義,針對該法第10條成立相關工作小組部分行使否決權(Veto),要求議會針對預算等項目進行評估,使該工作小組能發揮其應有功能。