個資法去識別化保護在大資料時代恐不足，法務部考慮下階段修法納入大資料

大資料（Big Data）的應用越來越普及，但是，大資料的應用要怎麼用的合法又安心，法務部法律事務司科長李世德在10月31日參加元智大學大數據與數位匯流創新中心舉辦的「大數據應用的資訊隱私論壇」中表示，只有去識別化的大資料只能做到合乎個資法的要求，但要做到大資料可以安心使用，還是必須做到告知當事人，並提供允許當事人退出的機制。

法務部提出的個資法修正草案已經送交立法院並完成一讀，目前卡在朝野協商，修法進度不明，但李世德表示，法務部已經在考慮，下階段個資修法將納入大資料的衝擊，而日本預計在2015年將大資料納入新版個資法修法方向。

去識別化的大資料應用，要從合法使用進步到安心使用

個資法第9條規定，如果是「基於公共利益為統計或學術研究之目的」，或者是「資料須經提供者處理後，或蒐集者依其揭露方式，無從識別特定當事人者」，在資料蒐集、處理和利用的過程前，可以免向當事人告知。

不過，隨著大資料分析技術的成熟，有越來越多大資料的分析與應用，牽涉到個敏感的特種資料時，「只有做到去識別化的大資料，只是符合法律規範的第一步，」李世德表示，除了應用去識別化技術（DI），做到加工後盡可能無法識別特定個人外，依照個資法的規定，也必須做到隱私衝擊評估（PIA），評估這些資料應用侵犯個人隱私或違反個資法的風險有多大。

他也認為，隱私設計（Privacy by Design）對於大資料的合法使用，是一個重要的關卡，所有的資料應用時，應該預設就是已經做到個人訊息和隱私最大程度的隱私保護，就算個資擁有者什麼都不做，在個資蒐集者的系統上，預設就已經做到最大的隱私保護才是。只不過，他認為，這樣的隱私設計概念對於臺灣個資蒐集、處理和利用者而言，還有一段遙遠的距離。

也因為多數個資蒐集、處理和利用者，只能勉強做到「去識別化」的個資應用，為了避免違法，對於大資料的應用顯得戰戰兢兢。

李世德便以每天600萬名的eTag用戶為例，交通部和其他有心想透過分析eTag用戶行為獲取更多商業價值的業者而言，交通部如何做到真正的資料去識別化，其他業者如何讓這些去識別化的個資資料，預設就可以獲得最大的保護，便讓交通部在eTag用戶的大資料應用上，躊躇不前。

做到合法使用只是基本，李世德認為，個資法屬於一般法，對個資蒐集、處理和利用的規範是最基本，但要進一步做到安心使用，最好還是有中立公正的第三方監督機關或機構，出面監督業者對大資料使用是否有違法或侵犯隱私之虞，他說：「目前傾向以民間機構的監督為主。」

再者，面對大資料侵犯個資或隱私的紛爭時，是否有一個完善仲裁或協調機制，相關配套措施也應該出爐。最後一點，也是李世德認為最重要的關鍵則是，好的大資料個資應用不僅要公開透明，最好還是要能夠符合個資法應用「告知當事人」的前提，並且提供當事人一個退出機制，才是可以讓人安心使用的大資料個資應用。

大資料納入下階段個資修法

李世德同意：「沒有信任，就沒有大資料。」在現階段個資法與大資料相遇時，大資料應用都與健康醫療的特種資料相關，在個資法第6條修法沒有進展之前，行政院已經在今年1月13日召開的「行政院健康資料加值應用法規工作會議」中確認，未來健康資料的加值應用因為具有促進全民健康福祉屬性，將成立專案小組，朝向制定專法的目標前進。

也就是說，當健康資料加值應用以特別法的方式通過後，相關大資料就可以在「特別法優於一般法」的法律前提下，直接適用特別法對健康資料加值應用的規範。

因應大資料對個資法帶來的衝擊，已有多個國家開始研擬對策，如日本預計在2015年修訂個資法時，將納入大資料的個資衝擊作為下階段修法方向。李世德表示，日本個資法納入大資料的修法方向，可作為臺灣下一階段個資法修法參考。

目前臺灣個資法修正草案已經在立法院院會一讀通過，目前卡在朝野協商的過程中，李世德坦言，個資修法何時能夠通過，尚未能預期。但可以肯定的是，大資料對個資衝擊越來越顯著，已經列為下階段修法方向。