壹、前言 - ericdataericdata.com/file/pdf/407198.pdf ·...
TRANSCRIPT
蔡昀臻 樊國楨
2 Journal of Advanced Technology and Management Vol.6, No.2 (2016)
壹、前言
2015年7月17日,面對「開放資料」與「大數據」之「去識別化」議題,行政
院副院長張善政根基於經濟部標準檢驗局提出如圖1所示的方案規劃,公布如表1
所示之行政院推動大數據發展的個人資料保護之標準化工作項目。「CNS 29191有
要求事項,無控制措施;而CNS 29100是保護個人可識別資訊的高階框架,可引用
做為「去識別化」的控制措施。圖1與表1是目前執行中之說明(行政院,2012,
2015a,2015b;法務部,2012;最高行政法院,2014;經濟部,2015)。
TAF
open data
open data
ISO 29191
29100
27001
圖1 個人資料去識別化方案規劃:個資去識別化驗證制度體系規劃資料來源: 〈個人資料去識別化之運作機制〉(簡報資料),經濟部,2015年7月14
日,《研商因應大數據潮流個人資料去識別化可行機制會議》,臺北:經濟部標準檢驗局。
說明(2015年7月27日,本文作者之一於會議中建議於CNS 27001增列的要求事項):1. 於第6.1.1節增列(f):(f)隱私衝擊評鑑(1) 組織履行之活動,以及與其他組織履行的活動間之介面,若使用或連結
(Link)個人資料、生成(Generate)個人資料,以及經由網宇(Cyber/Network)連結個人(Individual)裝置,則應於資訊安全風險評鑑中執行隱私衝擊評鑑。
(2)隱私衝擊評鑑包含去識別化(De-identification)之風險評鑑。備考1: 在ISO/IEC 29134公布前,隱私衝擊評鑑係指建立ISO/IEC JTC 1/SC 27/WG 5
SD4[16]中所考量之過程。備考2:去識別化之匿名化技術要求事項係指CNS 29191[14]第5節中之要求事項。
2. 於第6.1.3節(c)之備考增列:備考3: 考量隱私衝擊評鑑結果,對所選定之資訊安全風險處理選項,本標準之使用
者宜參照ISO/IEC 29101。
05-1-樊國楨_p001-062.indd 2 2016/11/22 上午 11:53:02
大數據資料發布系統要求事項標準化初論:根基於ISO/IEC 27009與個人資料匿名化、去識別化驗證之議題
前瞻科技與管理 6卷2期(2016) 3
表1 行政院推動大數據之個人資料保護相關的兩項國家標準
標準
CNS 29100: 2014-06-04 有關如何管理、確保隱私權之原則框架的國家標準CNS 29191: 2015-06-10 有關如何去識別化之部分匿名與部分去連結的國家標準
推動作法 ‧政院月底將出爐如何取得符合兩標準的標準程序作法
‧ 第一步先鼓勵部會取得驗證,下一步鼓勵金融、電信業取
得驗證
用處 ‧去除外界擔心敏感個資外洩疑慮
‧各部會與業界可以合理應用大數據
資料來源: 〈大數據發展訂國家標準〉,林安妮,2015年7月17日,《經濟日報》,版
A1。
本文作者之一同時口頭建議於「個人資料去識別化」的「控制措施」宜參照
「健康資訊安全管理系統」驗證規範之ISO 27799: 2008-07-01第57頁闡明其實作遵
循的ISO/TS 25237: 2008-10-01之內涵等均獲採納,如圖2所示。
CNS 29100 CNS 29191ISO
open data
ISO 29101
圖2 個人資料去識別化驗證標準規範資料來源: 〈「個人資料去識別化」驗證標準規範研訂及推廣〉,經濟部標準檢驗
局,2016年2月23日,《「虛擬世界發展法規調適規劃方案」第9場會
議》,http://vtaiwan.tw/personal-data-protection/(瀏覽日期:2016年2月23日)。
05-1-樊國楨_p001-062.indd 3 2016/11/22 上午 11:53:02