10個對匿名化的誤解

我國個人資料保護法(下稱個資法)制定之後,在相關討論時,常常聽見有關「去識別化」的探討,並且試圖將不同場景所處理的不同個人資料加以「去識別化」,希望能夠避免遵循個資法規定。而在歐盟一般資料保護規則(General Data Protection Regulation, GDPR)下,則區分有匿名化(anonymization)資料與假名化(pseudonymization)資料兩種概念。匿名化資料係指不涉及已識別或可識別自然人的資訊或以不再可識別的方式匿名化的資料。由於匿名化資料已失去個人資料之屬性,因此並無GDPR之適用。至於假名化資料,由於其仍可透過使用額外資訊進而識別當事人身分,因此其於GDPR之概念底下仍屬個人資料之一種。實務上,組織常常因為想要避免遵循GDPR或個人資料保護法等規範,想要透過將資料匿名化的方式來因應隱私保護法令之遵循,而對「匿名化」存有誤解。

西班牙的資料保護主管機關(AEPD)因此提出「10個對匿名化的誤解」指引,向大眾說明與釐清匿名化的概念,以下摘要如下:

  • 誤解1:匿名化等於假名化

匿名化資料係指不能與特定個人相關連的資料,一但資料真正匿名化且無法識別個人,該資料便無GDPR的適用。而另外一個概念是假名化資料,依照GDPR的定義,假名化資料係指該個人資料在不使用額外資訊時,不再能夠識別出特定之資料主體,且該額外資料已被分開存放,並以技術及組織措施確保該個人資料無法或無可識別出當事人。然而本質上,假名化資料仍然屬於GDPR所保護的個人資料。

  • 誤解2:加密等於匿名化

AEPD指出,加密並不是一種匿名化的技術,而是屬於假名化的工具。加密過程中使用金鑰來轉化資料,降低資料遭不當存取的風險,並保持一定的機密性,然而原始資料解密之後仍然可以被存取,此時解密的金鑰即屬於前述所提到的「額外資訊」,其使被加密的資料能夠讀取,並進而識別個人。同時,考量加密演算法與金鑰的強度與技術進步(例如量子運算)等因素,縱然將加密金鑰刪除,仍無法確保加密資料無法被解密,因此即使將加密金鑰刪除,仍無法認為加密資料是屬於匿名化資料。

  • 誤解3:資料總是可以匿名化

匿名化是一個嘗試在降低重新識別風險與保持資料集在預期用途的可用性間找到正確平衡的過程。然而根據資料的情境與性質,可能無法充分減輕重新識別的風險,例如可能的個體總數太小時(例如一個僅包含705名歐洲議會成員的匿名資料集),或是當個體間資料類別特別不同時(例如位置資料),即有可能無法充分減輕重新識別風險。

  • 誤解4:匿名化是永恆的

實際上隨著時間的演進,不論是因為科技的進步(雲端運算與量子運算等技術),或是因為多年的資料外洩事故,均可能會將以前匿名化資料重新識別個人。

  • 誤解5:匿名化重新識別的風險為零

匿名化過程與其應用方式,將會對重新識別風險的可能性產生直接影響。強而有力的匿名化過程目的在於將重新識別的風險降低到特定閾值以下,該閾值取決於現有的緩解控制措施、重新識別對個人隱私的影響、動機與攻擊者重新識別的能力,實際上重新識別的剩餘風險並不會為零。

  • 誤解6:匿名化是無法衡量的概念

AEPD認為,不應將匿名化資料理解為資料集單純區分為是否匿名。任何資料集都有可能根據其個人化的可能性進行識別,強而有力的匿名化過程應評估重新識別的風險,同時必須隨著時間進行管理與控制。

除非在資料非常籠統的特定情形下,例如統計一年中每個國家或地區的網站存取者之資料集,否則重新識別的風險永遠不會是零。

  • 誤解7:匿名化可以完全自動化

匿名化的過程中,需要對原始資料集、其預期目的、要應用的技術與重新識別資料的風險進行分析。去除或遮蔽直接標識符是匿名化過程中的重要部分,但必須同時伴隨著尋找其他識別來源的謹慎分析。因此,儘管匿名化過程可以透過自動化工具來完成,但專家的干預仍然有其必要性。

  • 誤解8:匿名化使資料喪失用處

匿名化資料的目標是防止資料集中的個人被識別,例如將出生年月日以年份為分組,匿名化資料在某種情形下降低資料集的可用性,但並不意味匿名化資料是毫無用處的,但其可用性將取決於被接受的重新識別目的與風險。

另外,個人資料的儲存時間不能超過其原始目的規定的時間,某些資料控制者的解決方案可能是將個人資料匿名化,例如將網站存取紀錄匿名化,僅保留存取日期與存取頁面之紀錄,而不保存何人存取網站的資料。

GDPR的資料最小化原則要求資料控制者確定是否有必要處理個人資料以實現特定目的,或者該特定目的是否可以透過匿名化資料實現。某些情形下,可能導出資料的匿名化不符合其預期目的的結論,資料控制者必須在處理個人資料與適用GDPR之間作出決策。

  • 誤解9:遵循他人成功的匿名化流程,也會成功將資料匿名化

匿名化流程與食譜不同,甚至就算依照食譜操作仍然有可能作出風味各異的菜色,匿名化流程必須考量處理的性質、範圍、背景與目的,以及自然人權利與自由不同之可能性與嚴重程度的風險。

在不同的情境可能有不同的資料集,而可能與匿名化資料交叉比對,進而影響重新識別的風險,例如在瑞典有關納稅人的個人資料是公開資料,而在西班牙則為非公開。因此,一個包含西班牙與瑞典公民資料的資料集,縱使按照相同程序進行匿名化處理,重新識別的風險可能也會不同。

  • 誤解10:知曉資料歸屬於何人並沒有風險或利益

個人資料本身即具有價值,對於個人本身或第三方都是如此,重新識別個人身份可能對該個人的權利與自由產生嚴重影響。匿名化攻擊的形式可能包含有意地重新識別、無意地重新識別嘗試、安全漏洞或公開揭露資料,無論是出於好奇、偶然或是利益(例如科學研究、新聞或犯罪活動)。

準確評估重新識別對個人私人生活的影響較為困難,因為該影響始終取決於情境與相關資訊,例如在對於電影偏好情境下重新識別感興趣的個人,可能可以推斷該人的政治傾向或性傾向,但是這些政治傾向或性傾向在GDPR中屬於敏感性個人資料,而需特別予以保護。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.WHATSAPP因違反GDPR遭愛爾蘭資料保護委員會裁罰2.25億歐元
2.荷蘭資料保護主管機關因兒童隱私保護不足裁罰TIKTOK75萬歐元
3.如何落實GDPR法遵?英國ICO發布問責制框架
4.個資外洩,該怎麼辦?
5.歐盟法院SCHREMS II案與常見問答