蔡昀臻　樊國楨

2　Journal of Advanced Technology and Management　Vol.6, No.2 (2016)

壹、前言

2015年7月17日，面對「開放資料」與「大數據」之「去識別化」議題，行政

院副院長張善政根基於經濟部標準檢驗局提出如圖1所示的方案規劃，公布如表1

所示之行政院推動大數據發展的個人資料保護之標準化工作項目。「CNS 29191有

要求事項，無控制措施；而CNS 29100是保護個人可識別資訊的高階框架，可引用

做為「去識別化」的控制措施。圖1與表1是目前執行中之說明（行政院，2012，

2015a，2015b；法務部，2012；最高行政法院，2014；經濟部，2015）。

TAF

open data

open data

ISO 29191

29100

27001

圖1　個人資料去識別化方案規劃：個資去識別化驗證制度體系規劃資料來源： 〈個人資料去識別化之運作機制〉（簡報資料），經濟部，2015年7月14

日，《研商因應大數據潮流個人資料去識別化可行機制會議》，臺北：經濟部標準檢驗局。

說明（2015年7月27日，本文作者之一於會議中建議於CNS 27001增列的要求事項）：1. 於第6.1.1節增列（f）：（f）隱私衝擊評鑑（1） 組織履行之活動，以及與其他組織履行的活動間之介面，若使用或連結

（Link）個人資料、生成（Generate）個人資料，以及經由網宇（Cyber/Network）連結個人（Individual）裝置，則應於資訊安全風險評鑑中執行隱私衝擊評鑑。

（2）隱私衝擊評鑑包含去識別化（De-identification）之風險評鑑。備考1： 在ISO/IEC 29134公布前，隱私衝擊評鑑係指建立ISO/IEC JTC 1/SC 27/WG 5

SD4[16]中所考量之過程。備考2：去識別化之匿名化技術要求事項係指CNS 29191[14]第5節中之要求事項。

2. 於第6.1.3節（c）之備考增列：備考3： 考量隱私衝擊評鑑結果，對所選定之資訊安全風險處理選項，本標準之使用

者宜參照ISO/IEC 29101。

05-1-樊國楨_p001-062.indd 2 2016/11/22 上午 11:53:02

大數據資料發布系統要求事項標準化初論：根基於ISO/IEC 27009與個人資料匿名化、去識別化驗證之議題

前瞻科技與管理　6卷2期(2016)　3

表1　行政院推動大數據之個人資料保護相關的兩項國家標準

標準

CNS 29100: 2014-06-04 有關如何管理、確保隱私權之原則框架的國家標準CNS 29191: 2015-06-10 有關如何去識別化之部分匿名與部分去連結的國家標準

推動作法 ‧政院月底將出爐如何取得符合兩標準的標準程序作法

‧ 第一步先鼓勵部會取得驗證，下一步鼓勵金融、電信業取

得驗證

用處 ‧去除外界擔心敏感個資外洩疑慮

‧各部會與業界可以合理應用大數據

資料來源： 〈大數據發展訂國家標準〉，林安妮，2015年7月17日，《經濟日報》，版

A1。

本文作者之一同時口頭建議於「個人資料去識別化」的「控制措施」宜參照

「健康資訊安全管理系統」驗證規範之ISO 27799: 2008-07-01第57頁闡明其實作遵

循的ISO/TS 25237: 2008-10-01之內涵等均獲採納，如圖2所示。

CNS 29100 CNS 29191ISO

open data

ISO 29101

圖2　個人資料去識別化驗證標準規範資料來源： 〈「個人資料去識別化」驗證標準規範研訂及推廣〉，經濟部標準檢驗

局，2016年2月23日，《「虛擬世界發展法規調適規劃方案」第9場會

議》，http://vtaiwan.tw/personal-data-protection/（瀏覽日期：2016年2月23日）。

05-1-樊國楨_p001-062.indd 3 2016/11/22 上午 11:53:02