隨著數位資料傳遞越來越容易,獲取個人圖像、資料管道變多,衍生出許多信息安全問題,尤其政府及相關單位對個人資料應用,可能與當初紀錄資料時目的不同,如何保障民眾隱私安全成了各國政府討論重點。
其中在執行安全數據共享的同時,如何防止可能濫用情況,加上過去隱私保護法案有些已不符合目前實際需求,以歐盟、美國為例,皆積極尋求新的立法以符合大數據趨勢發展,例如醫療診斷機器學習應用中,民眾皆不希望機器學習算法將訓練資料集中敏感信息記憶下來,包括病患個人的特殊醫療病史(如艾滋病等)。
各國隱私法規制定,將公司導向「隱私保護預設」
在日趨嚴格法規下,過去可以自由串聯、分享多方資料來源的環境正在變化,各國政府加緊對隱私的保護,避免大量個人資料被不當蒐集、儲存、利用,甚至用於非法交易,而隱私規範制定過程中隱含對不同資料作法,資料的價值來自於串聯及分析。
歐盟GDPR(General Data Protection Regulation)似乎認定合成資料並非個人資料,而政府及企業希望透過資料的交換,分享甚至釋出以創造更多價值,促進資料交換與分享也有助於各組織合作與Google、Facebook等資料巨獸競爭。
由於GDPR保護的是「個人資料」,不涉及個人(有生命的自然人)資料以外的其他資料。換言之,個人資料的保護不涉及匿名訊息,或經過匿名化處理以致於不具備可識別性信息。
美國則是很早就提出《隱私法案》,法案內容包括如何蒐集個人信息、哪類的個人信息能夠儲存、將蒐集到的個人信息如何向公眾開放及信息主體權利內容規定,以平衡隱私權保護與個人信息利用之關係。
K匿名為去識別化技術的一種
英國資料分析業者劍橋分析自2014年起不當擷取Facebook用戶個資,成為在英美陷入隱私安全爭議事件,顯示一般人對隱私權的重視。目前各國政府在隱私規範制定過程中隱含對不同資料去識別化技術的採用,其中大數據(Big Data)/人工智能(AI)技術對於資料分析後,可產出極具價值的結果,一切有賴於大量個人資料蒐集,目前臺灣草擬法規偏向K匿名邏輯。
所謂K匿名是透過過濾未遮蔽欄位中的獨特組合,防止隱私的洩漏,需要先定義出間接識別欄位,再針對這些欄位加以檢驗及處理。 K匿名希望確保在一個資料集中,具備獨特欄位組合的資料至少有K組,以避免有心人透過特定欄位組合辨別出敏感資料,當K值不足時,可用一般化及資料抑制兩種方式來增加K值。
由於K匿名較容易對一般民眾說明,因此往往成為立法時較佳選擇,按現有法規,公務員不得釋放出虛假的資料,因此在目前K匿名亦較能符合政府開放資料之需求。
文丨拓墣產業研究院 謝雨珊
閱讀更多 拓墣產業研究院 的文章
