資料共享再利用 資策會科法所:個資去識別化管理成核心
(中央社訊息服務20200826 15:23:53)
被認為是未來世界新石油的「資料」,在面對數位轉型浪潮與全球COVID-19疫情影響下,不論是貫穿資料經濟生態系,甚至是目前防疫科技應用,其於產業與社會發展上扮演不可或缺的重要角色。然而,科技於發展或應用過程中常需要處理大量資料,但是個資外洩風險將降低資料共享意願,並減損民眾信賴。因此,惟有落實個資保護,方可提升資料當事人對於科技的信任。
為了因應科技與各類場景應用,創造資料價值極大化,實務上會對所保有個資進行去識別處理,以利後續共享再利用。如何妥善進行資料去識別化?對此,財團法人資訊工業策進會科技法律研究所(資策會科法所)專案經理孫鈺婷曾於2019年6月「我國去識別化實務發展-『個人資料去識別化過程驗證要求及控制措施』」一文中,綜合整理我國政府為因應大數據發展所提出之相關政策措施。
資策會科技法律研究所於2020年7月輔導國網中心通過去識別化追查驗證
孫鈺婷指出,2015年我國政府為推動開放資料,由經濟部標檢局研擬,參照我國與國際標準(ISO)調和成國家標準CNS 29100及CNS 29191,作為最初個資去識別化驗證標準相關規範,由台灣電子檢驗中心擔任驗證單位,並以其所擬定之「個人資料去識別化過程驗證要求及控制措施」作為驗證依據。財政部財政資訊中心於2015年通過去識別化驗證,成為第一家示範案例;而後,衛生福利部、財團法人國家高速網路中心則分別於2016年及2018年通過驗證。
|
|
資策會科法所團隊長期研析資料共享再利用相關法制議題,並實際投入去識別化驗證輔導,亦與個資保護與資安專家、同時也是標準修訂核心人物的文化大學資工系蔡敦仁教授,保持良好的互動交流,掌握目前去識別化最新標準驗證與技術趨勢。透過輔導以上機關組織通過驗證,建構符合CNS 29100、CNS 29191標準之個資去識別化管理制度。其中,國家高速網路中心更是由資策會科法所從2018年至2020年為期兩年間,完整輔導通過驗證與2次追查。輔導過程中曾歷經2019年1月資通安全管理法施行,由於國網中心涉及關鍵基礎設施,資策會科法所也協助其配合資安通報及應變機制規定,透過相關程序文件調整,整合通報流程與應變處理,並於2020年7月輔導國網中心順利通過最後一次追查。 |
我國目前個人資料去識別化規範現況,於標檢局擬定去識別化驗證相關規範後,致力於將規範調整為國家標準,並於2019年9月24日正式公告為「CNS 29100-2:2019資訊技術-安全技術-個人資訊去識別化過程管理系統-要求事項」。CNS 29100-2遵循我國個人資料保護法及施行細則,並參酌CNS 29100與CNS 29191 標準,及各先進國家指引與實務作法完成,使組織能建立個人資訊去識別化過程管理系統(PIDIPMS),作為維護並改善個資去識別化過程,及良好實務作法之參考框架。在此框架下,係以個資生命週期作為保護基礎,評估各階段可能產生之風險,並提供附錄表格作為組織自我評估參考,將驗證要求及控制措施更加具體化地呈現,協助產業有效落實去識別化管理工作。
