人工智慧 AI 物聯網 大數據 GDPR

「再識別」技術瓦解「去識別」保護 假名化/匿名化有別

地緣政治衝擊跨境傳輸 大數據AI成隱私合規挑戰

2020-09-24
電腦科技與演算法持續精進,透過人工智慧可以自動預測人類行為,而行動電話、物聯網裝置的興起,點燃了大數據的熱潮,整合多網站多裝置的資料,就能完整剖析當事人的人格特質與行為模式。有此可見,人權與隱私的保障將是大數據與人工智慧發展不可迴避的議題。

 

根據工研院產業科技國際策略發展所發表的亞洲2030科技發展藍圖,人工智慧為近十年排序第一之重點技術。然而,人權與隱私議題亦是大數據與人工智慧發展的重中之重。大數據大師麥爾荀伯格在其著作大數據-隱私篇中亦提到「過去就像是刺青,紋進了我們數位的皮膚裡」,無法消除,無法重來。若這樣「完美的記憶」再進一步應用於人工智慧決策,是否將徹底改變我們的所作所為?

在過去,資料僅僅是歷史或交易紀錄的呈現。在行動電話、物聯網裝置興起之後,啟動了大數據的時代。以交易來說,一筆成功交易的前後,伴隨著消費者網路查找相關資料以及詢價等相關紀錄,相關網路巨擘更可整合多網站、多裝置之資料,完完整整剖析當事人的人格特質與行為模式。

近年,在電腦科技與演算法的持續精進之下,更可透過人工智慧自動預測人類的下一步行為,以電影關鍵報告(Minority Report)為例,機器能依據人的人格特質、行為習慣、臉部分析,進而預測犯罪的發生機率,進而投入資源減少犯罪的發生。但我們不禁要問,這是不是我們想要的未來?

隱私保護法規GDPR重點要求

基於以上的議題,歐盟於2016年通過「一般資料保護規則」(General Data Protection Regulation,GDPR),並自2018年開始全面施行,以規範個人資料的使用,為目前相對完整之隱私保護法規。其要求可大致分為企業責任與當事人權利:

企業責任(控管者與處理者)

在企業方面,主要是須盡善良管理人之義務,包含指派資料管理專員,詳實記錄整個生命週期之資料處理,並採取各種技術與組織(TOMs)上之管理措施。並使用「基於風險評估的方法」定期測試、評估並衡量其有效性。這裡談到的「基於風險評估的方法」必須考量現有技術水準、執行成本、資料處理的本質、範圍、脈絡及目的、對自然人權利及自由之風險發生機率與嚴重性,實務上即是對照現今同樣業務範疇、同樣規模的企業之風險處理措施,以期合理減低資料外洩之影響程度。

當事人權利

在當事人權利方面,法規要求資料控管者必須以明確易懂的方式提供資訊,並賦予當事人更多權利以貫徹人格權之實現,其權利包含知情權、被遺忘權以及資料可攜性等權利。在當事人資料的蒐集上,亦加上更多的要求,例如不可再以廣泛的隱私保護政策一次性取得資料蒐集處理與利用之授權,相關重要個資之取得必須當事人選擇性加入(Opt-in),資料喪失其目的時需即時刪除等。

科技浪潮下企業的因應之道

面對目前的處境,企業可以依下列五點措施來加以因應。

資料管理當責單位

參考GDPR之要求以及企業組織規劃,資料管理當責單位勢必先行規劃,並清楚溝通各單位之責任與義務,方為妥善管理資料之第一步。接下來,必須建立資料分類分級,在具規模的組織裡多半已建立資料分級制度,較有疑慮的部分恐怕是落實的程度。

需要特別注意的是,在隱私相關的議題上,資料應分為三大類別,第一類為個人資料、第二類為技術與事實資料,第三類為匿名或開放資料。當然最須關注的為個人資料,然以大數據來說,多種資料的交互參照以取得洞見是其必然的特性,這時候就必須特別注意資料混合儲存的問題,切不可資料匯合時未妥善考量,而導致當事人要求行使被遺忘權時所有資料(涵蓋未含個資之資料集)均需一併刪除。

資料生命週期管理

考量資料在組織中是依其業務流動的,因此整個資料的生命週期管理更顯其重要性。在蒐集時,須清楚告知蒐集目的、範圍、時效,以及資料在第三方的處理與利用等,部分重要個資更需當事人選擇加入(Opt-in)方能取用,資料取得時之使用者同意亦須妥善保存以利後續查證。在處理與利用上需注意委託第三方處理是否取得同意,第三方之控管要求是否如我方一樣嚴謹?需注意當事人提起個資保護訴訟時均以面對客戶之大型公司為主。當然,資料喪失其目的時必須及時刪除,一般而言,30日內刪除可被視為合理的時限。

跨境傳輸之合規檢視

在當今地緣政治崛起的氛圍底下,不單單是歐盟,各國的法令均開始針對資料所在地做進一步的要求。以歐盟為例,歐盟與美國已訂立(EU-US Privacy Schield),將美國視為安全的資料傳輸國家。而各國的法令規定,亦逐漸要求資料僅可傳輸到有適足資料保護要求的國家。 在台灣方面,高度監理之金融業亦須遵守「金融機構作業委託他人處理內部作業制度及程序辦法」,其要求資料儲存於境外,則第三地境外當地資料保護法規不得低於我國要求,且客戶重要資料應該於我國留存備份等。

資料假名化與匿名化

傳統上,個人資料取得越多越詳實越好;在隱私保護的時代,非必要的個人資料必須儘早去識別化方能確保企業安全。去識別化一般可分為假名化與匿名化。

假名化(Pseudonymization)一般而言是將個資轉換為系統ID,使其無法直接取得個資,然而,藉由附加資訊的加入,極可能使假名化的資料有能力辨識出當事人。因此嚴謹來說,假名化的資料仍被視為個資。而匿名化(Anonymization)的處理,使資料欠缺個人資訊的可識別性,在這裡立法者判斷的重點在於,與該資料去識別化的經濟利益相比,去識別化的處理是否需投入不成比例的時間、成本、技術和人力,於此原則就今時今日而言,假名化可視為合理之個資保護之技術與組織上的措施,匿名化之資料初步可認為不是個資。然仍須注意立法重點在於經濟利益與去識別化之成本比較,那麼隨著技術演進,現今的去識別化技術在未來可能不為執法者所認同,特別是在資訊越來越多、電腦處理能力日益強大的將來。

企業系統設計之隱私安全考量

基於以上考量,企業在系統設計時須儘早將隱私安全納入,方能確保系統在現在和未來均能符合隱私要求。現實中可考慮Privacy by Design之原則,也就是在系統需求階段即在使用者介面、系統資料取用、系統功能、報表輸出、安全控管等處考量其隱私要求。

而在企業資料的架構上,多數企業已建置共用資料平台以發展商業智慧(BI)、人工智慧(AI),需要特別注意共用資料平台與個人資訊之剝離,相關個資最好僅存於必要之交易系統,所有共用資料平台之資料最少須以假名化處理,才能初步避免未去識別化個資污染的整個共用平台之資料而衍生出額外的法律議題。

目前面臨的機會與挑戰

面對當前的挑戰,必須更弦易轍及時因應,藉此創造企業新契機。

使用者隱私意識的提升

相較於歐美地區,亞洲地區使用者隱私之意識一直以來較為薄弱,未來除與國際接軌之外,本地使用者自我隱私意識的提升,方能促使當地政策與法令同步提升,企業主方會將隱私與安全是為產品與服務之必然要素。

另外,使用者亦須認知個人資料有價之概念,當使用者接受商家隱私政策聲明並按下確認鍵的同時,是否認知到個人隱私與商家提供的服務相應產生了對價關係?抑或只是盲目的接受其隱私政策聲明與使用者條款以便其接受免費服務?

人格剖析之情理法

在大數據時代,大量的資料包含個人資料、位址定位、電子郵件、消費資訊、網路搜尋等資料,透過彙整分析,可能產生出當事人都未曾意識到的資訊,例如每日通勤時間、每月生活支出、交友圈、財力資訊等,適當地運用這些資料極有助於行銷業務的推廣,然必須考慮到基於種族、政治立場、宗教、工會資格、遺傳、健康狀況或性取向可能對當事人造成的歧視,這些領域極易觸犯到各國之隱私法規。

另外,即使在未明確違法的情形下,基於人格剖析而產生的AI自動決策行為仍需謹慎,尤其是其決策將被消費者明確感知到時。例如,以電子多媒體互動機與消費者互動,依其社群帳號分析其財力而給予不同的折價券,即使不明確觸犯法規,但仍可能引起歧視窮人之輿論撻伐。

過時資料、重複資料、謬誤資料之處置

我們必須要了解,數位資料已發展了幾十年,智慧型行動裝置亦發展了十多年,而大數據與人工智慧就是這幾年間才蓬勃發展,然過去的歷史資料通常作為人工智慧模型檢驗的最佳資料來源,那麼過去蒐集的資料,是否已盡告知義務?是否取得使用同意?若無,是否已採取補正動作?

而在資料重複的議題上亦日趨嚴重,多重的裝置蒐集同樣的資訊,是否導致同一行為產生多筆數位資料而造成系統在頻率判斷上的誤差,進而造成了人工智慧模型對於未來趨勢的錯誤判斷。

以上總總的資料謬誤,都可能導致演算的異常,其結果若是影響了個人的權益,這是我們承受得起的後果嗎?然現今人工智慧的資料來源與演算法多仍為黑盒子,若應用人工智慧於重大關鍵議題,也許透過第三方公會或財團法人組織做初步檢測會是可行的做法。

去識別化之再識別化的隱私保護

現今,各大科技巨擘均使用假名化來減低大量個人資料所帶來的隱私問題。

然而,透過更多外部資料的交叉比對,資料再識別化已變成了大數據的日常。尤其是OAuth認證、網站Cookie的導入、跨平台之間透過UUID識別使用者,這些大量的資訊匯入都能使去識別化的資料再行識別化而指向到同一個自然人,而達到精準行銷的目的。

舉個例子來說,可以透過當事人的社交軟體UUID,加上其朋友圈分析,加上某網站的會員資訊(可能涵蓋個資),相對精準地透過已去識別化的UUID取得其個人資訊。在這個部分,就必須特別注意,也許可以使用這樣的技術找到精準行銷的目標,但聯絡當事人的同時,要特別注意是不是合法取得其個人資訊及其符合當初宣告的合法目的。一般而言,以非針對性的行銷文宣進行精準行銷可視為相對安全的做法。

善意的大數據 VS. 惡意的大數據

以位址資訊(Location Data)為例,及時的位址資訊在公共利益上可以做為急難救助的資料來源,在商業上可以協助提供附近商家的促銷資訊,但若作為非法使用,可以精確定位當事人的住家位置、通勤路線等資訊,可能作為惡意攻擊行為的參考,使用上不可不慎。

因此,建議在位址資訊的儲存上,若非必要,應於最前端蒐集平台上(例如手機)做某種程度的模糊化,以避免高度精確的位址資訊回傳作為大數據的輸入資料。目前,綜觀各國法規以及一般性的認定,在台灣來說以行政區(例如台北市中山區)作為位置紀錄為佳,在商業應用來說,即使有其必要性,最小可接受範圍仍應以幾個街區為宜。

大數據與人工智慧之倫理與法律

依照科技部108年底訂定的「人工智慧科研發展指引」,科技的進步應考量共榮共利、公平性與非歧視性、自主權與控制權、安全性、個人隱私與數據治理、透明性與可追溯性、可解釋性及問責與溝通等八大原則。因此,在實際的應用上仍須謹慎為之,確保其未侵犯個人隱私與自由。以現時之技術、法規及當事人認知水平,在關鍵應用場域,也許將其應用於輔助決策性質是相對適當的。在此,我們樂見「機器人人格權」的進一步討論與發展。

接下來,可以預見各式監理沙盒的落實以支持其在金融、交通以及醫療等高度監理領域之持續發展,於試驗中微調科技與法令之要求。在此同時,亦希望更多結合科技與法律的多元人才加入這個領域,為以科技創造人類更多的福祉而努力。

<本文作者:顏志仲,為前高科技及金融業資訊安全主管,具有20年以上大型高科技製造業與跨國金融機構服務經驗,其專長涵蓋資訊治理、企業風險管理與企業資訊架構。作為前HTC全球資訊安全主管與亞洲最安全銀行資訊安全主管,他曾建立全球規模之資訊安全組織,其業務範疇包含安全認知∕政策∕營運∕技術與事件管理,並也曾於跨國銀行管理高度監理之零信任安全維運。在此之前,顏先生亦於資訊管理協會與電腦稽核協會大型會議擔任講師。>

 


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!