隨著大數據時代的來臨,業者傾向以自動化或間接方式蒐集個人資料,因此於資料蒐集階段,當事人不易有效率地表示是否同意業者蒐集個資之行為。
此外,因資料運用者難以預見未來可能之應用目的,往往無法明確告知當事人其蒐集目的及利用範圍。若告知事項過於空泛或令人難以理解,亦將失去告知之實益。
再者,大數據的演算系統有時能從龐大雜亂的資料中,挖掘出無法預見的關聯,甚至可能重新識別個資當事人,進而聯繫至個人敏感的資訊,容易使個人資料保護產生難以預測之漏洞。
為因應大數據的發展,並在隱私保障與資料運用的便利性間取得平衡,您認為應該如何處理?
您認為「去識別化」需要建置相關的標準嗎?應該由政府或民間來建置?是否需要有認定「去識別化」程度之相關制度?
依「去識別化」判斷規範,各國制度如下:
美國:就去識別化的部分,美國係以「有無可合理連結」做為判斷標準,美國公平交易委員會(FTC)指出事業單位採取下列三原則: 一、採行合理之去識別化措施; 二、須約定不還原去識別化的資料; 三、提供去識別化的資料予第三人時,須訂立合約禁止接受者還原資料,若符合上開三個要件,則可認為並非可合理連結的資料。
歐盟:歐盟採取的措施,為要求業者進行隱私風險評估,提供業者去識別化之相關作法及標準,並建立測試機制,以監測是否存在重新識別之漏洞,並輔以重新識別之相關賠償責任,以達到保護隱私之目的。
日本:預定於2015年修法,建立去識別化的技術標準,並仿照歐盟成立個人資料保護委員會,訂定去識別化的基準及措施,並考慮為了活化大數據運算而訂立例外條款。
在大數據時代,經過去識別化的資料可能因巨量資料的分析而重新識別的問題,應該建立何種制度以避免此種風險?