擴大開放資料廣度的關鍵下一步，個資匿名和去識別化也有國家標準

今年2月行政院院會確定開放資料「以開放為原則、不開放為例外」，並對政府各機關的開放資料進度施壓。負責政府因應網路世界法規變化的行政院政務委員蔡玉玲表示，為了解決各機關在推動開放資料時，所面臨到一些資料因為有個資而無法進一步開放的情況，便在2014年6月公布確保隱私權框架的國家標準CNS 29100，以及在今年6月公布去識別化、部分匿名及去除連結的國家標準CNS 29191，希望藉由這2個標準的公布，可以增加政府部門因為個資而無法開放資料的數量，並進一步作為機關如何落實個資法「無法識別特定當事人」的匿名和去識別化的標準；而這個2個標準，也同樣可以作為企業在進一步處理個人資料時，作為匿名化和去識別化的參考指標。

跟上國際潮流，制定個資匿名化去識別化國家標準

政府機關可以開放哪些資料，各機關都各自做過資料盤點，蔡玉玲表示，各機關盤點出來的資料大致可分成：資料直接可以開放、涉及個資需先處理後才能開放，以及敏感性資料不予開放等3類，直接可以開放資料的部份，各機關在政策要求下，也都依照進度積極開放，但對於有一些必須要先將個人資料匿名化和去識別化後才能開放的資料，則成為許多機關的壓力。

蔡玉玲說：「個資法中只規定去識別化要無法識別特定當事人，但做到什麼程度才符合法律規範，多數機關因為缺乏參考依據而無法開放。」因此，如何將政府資料涉及個資部分，提供一個政府部門在執行個資匿名化和去識別化的共通標準就很重要。

個人資料保護法從2010年5月公布到2012年10月1日正式實施後，個資去識別化一直是許多機關、企業在應用資料時的隱憂。對此，蔡玉玲表示，行政院在思考如何解決此一問題時，也參考其他幾個重要的國際規範，包括：日本的匿名化指導文件、歐盟匿名化指導文件、英國個資匿名化應用準則以及美國健康醫療資料相關的去識別化規範等。她強調，與世界其他各國相比，政府在個資匿名化和去識別化的進度不算太慢。

包括開放資料甚至是未來大資料的應用，主要都是要提供可供機器讀取的電腦資料，因此，蔡玉玲表示，政府在參考其他國際標準作為國家標準時，便先以電腦系統上的資料安全為主。

其中，經濟部標準檢驗局便在2014年6月4日公告CNS 29100「資訊技術-安全技術-隱私權框架」國家標準，提供資通訊技術系統保護個人可識別資訊的高階框架，將組織、技術及程序各層面置於整體隱私權框架中。此一國家標準明確定義處理個人可識別資訊的行為者及其角色，描述隱私和保全的考量，以及對資訊技術已知隱私權原則提供參考資訊。

而到今年6月10日，經濟部標準檢驗局則公告CNS 29191「資訊技術－安全技術－部分匿名及部分去連結鑑別之要求事項」國家標準，作為有關個資安全管理的重要規範。標準的主要重點包括：配合個資法施行，提供各項資訊平臺處理個人隱私資料保護的參考依據，並確保在交易的過程中，當事人可以保持匿名，且讓交易行為無法透過資訊連結而知道當事人的個人資訊以確保隱私，並提供部分匿名及部分去連結鑑別的一般原則、框架及要求事項，也提供相關使用案例供大家參考。

蔡玉玲表示，這2個國家標準也是一套驗證標準，目前將由負責NCC產品驗證的臺灣電子檢驗中心負責相關的驗證。由於國家標準並沒有強制性，各機關仍可視需要程度再評估驗證導入與否。

她指出，這2個標準也有助於未來法官在評斷機關、企業做個資保護是否善盡管理之責時，個資匿名化和去識別化是否合格的指標。

為了確保這套匿名化和去識別化的國家標準是切實可行，蔡玉玲指出，政府部門目前正在選定一個A級政府機關和一個民間企業作為測試的前鋒部隊，不僅驗證標準是否是一套可實際執行的規範，也要確認中間是否有窒礙難行之處必須再行修正。「預計，今年年底、最晚到明年初，更進一步的規範作法，會隨著兩個案例出爐同步釋出。」蔡玉玲說。

目前有許多民間企業已經有導入各種個資保護的規範標準，蔡玉玲表示，只要其他的標準有涵蓋電腦系統上個資處理匿名化和去識別化的原則，並不一定要取得此兩個國家標準的驗證。