您的瀏覽器不支援JavaScript功能,若網頁功能無法正常使用時,請開啟瀏覽器JavaScript狀態
進入內容區塊

內政部警政署保安警察第一總隊全球資訊網

::: 回首頁 / 網站導覽 / English
小 中 大
進階搜尋
:::
:::

資安訊息

發布日期:115-04-10

發布單位:保安警察第一總隊

隱私強化技術與應用—資料時代下安全釋放資料價值的全新路徑
一、緒論
        在人工智慧與大數據技術加速演進的全球浪潮下,公部門、研究機構乃至私人企業對資料應用的需求與日俱增,資料已成為當代最具戰略價值的核心資源之一。人工智慧系統的開發與優化高度仰賴海量資料的驅動,資料的規模與多樣性直接決定模型的效能上限;然而,如何在推動資料創新應用的同時兼顧個人隱私保護,始終是這場技術躍進中難以迴避的核心議題。於合規前提下有效運用個人資料(以下簡稱個資),確保隱私不受侵害,安全實踐資料去識別化處理與流程,為隱私強化技術(Privacy-Enhancing Technologies, PETs)發展目標。

二、去識別化核心概念
(一) 法遵合規需求
        我國參酌歐盟《一般資料保護規則》(GDPR)相關規範,修訂《個人資料保護法》(下稱個資法),就個人資料的蒐集、處理及利用建立完整規範架構,旨在防範人格權遭受侵害,同時促進個人資料的合理流通與應用。依個資法第 2 條第一款,個人資料係指涵蓋一切能與特定個人建立連結的多元形式資訊。個資法亦明定公務機關於蒐集、處理及利用個資時,除須明確告知當事人資料蒐集標的與使用目的外,應採行適當的去識別化措施,切斷資料與特定個人之關聯,並遵循相關法規的稽核要求。尤其,公務機關若欲基於業務需要將機敏資料另作統計分析或學術研究,依個資法第 16 條目的外利用規定,其第五款明確要求資料須經處理至「無從識別特定當事人」,方得應用於上述用途。
(二) 去識別化目標與技術層次
        為達上述「無從識別特定當事人」之要求,去識別化旨在透過明確目的導向的資料處理,在保留資料分析效用的同時,最大程度降低資料與特定個人之間的可連結性。實務上,去識別化技術依其保護強度,大致可區分為假名化與匿名化兩大類別,假名化(pseudonymization)係將個人機敏資料以替代識別符號取代,雖能降低資料與真實個體直接連結,但仍存在透過串接其他資料集而間接還原個人身份的可能性。
        匿名化(anonymization)則進一步破壞或移除資料中足以辨識真實個體的資訊,使資料在理論與實務上均無從回溯至特定當事人。
(三) 重新識別風險
        值得注意的是,假名化在法規定義上並不等同於匿名化,即便已採行去識別化處理,資料仍可能因外部資訊的串接而遭到重新識別,因此法規要求應竭盡所能降低此類風險,方能達到匿名化的法遵效力。為系統性量化去識別化後資料的重新識別風險,實務上可採用 Anonymeter 工具,依據歐盟匿名化技術評估標準,從三個核心面向進行保護力評估:
1. 指認性(singling out):資料集是否存在足以唯一鎖定特定個體的欄位組合
2. 連結性 (linkability):是否能跨資料集串接並歸因至同一當事人
3. 推斷性(inference):是否能由現有欄位推導出當事人未揭露的隱藏資訊

三、隱私強化技術 (PETs)
(一) 技術範疇與核心理念
        若說去識別化概念奠定了個資保護的法遵基礎,PETs 則將這一基礎進一步延伸,構築出更全面的資料保護框架。PETs 泛指一系列旨在保護個人隱私的技術集合,其核心價值不僅在於防範資料洩漏,更在於使跨機構資料分析成為可能,將資料最小化原則的效益發揮至最大。
        聯合國對 PETs 的定義,精準揭示了其三大核心特質:資料最小化使用(僅處理達成目的所必要的最少量資料)、最大化資料安全(在整個資料生命週期中維持高強度保護)、以及個人資料賦權(還原當事人對自身資料的自主掌控能力)。這三項特質共同構成 PETs 有別於傳統去識別化技術的關鍵優勢,不僅消極地「降低風險」,更積極地「創造安全流通的條件」。
(二) 資料生命週期的多重防護
        資料從蒐集、處理到結果發布,貫穿完整的生命週期,隱私風險亦隨之在不同節點以不同形式浮現。PETs 依據保護介入的時機,將隱私保護需求區分為輸入隱私與輸出隱私兩大類別,分別對應資料生命週期的上下游,形成首尾呼應的雙重防護機制。
        輸入隱私(input privacy)強調「資料可用但不可見」,目的是確保個人原始資料在參與運算的過程中,不會以任何形式暴露於非授權方,使資料的分析價值得以實現,而原始內容始終受到屏障。輸出隱私(output privacy)則聚焦於資料生命週期的末端,著重於實踐「結果可用但不可逆推」,即便分析結果對外發布,非預期使用者亦無法從中反推出原始機敏資訊,防止資料價值的釋放成為隱私洩漏的缺口。
(三) PETs 綜合比較
        四個常用 PETs 特點、適用場景與優缺點整理、比較如表1,各 PETs 因應不同資料特性、資料分析與隱私需求而有不同特性。

表1 PETs綜合比較表
PETs比較表


四、PETs 的實證部署與應用推展
        開發 PETsARD(Privacy Enhancing Technologies Analysis, Research, and Development)程式套件,針對合成資料的產製與評估流程提供自動化支援,將原本高度仰賴人工判斷的技術流程,轉化為可重複、可驗證的標準化作業,合成資料可產生貼近真實之資料,又可避免侵犯隱私,如內政部統計處以合成資料技術,重塑人房地資料模擬資料產製流程方式,釋出「人口、建物與地利資訊模擬資料」,提供產官學界作為分析基礎。

資料來源:國家資通安全研究院資安週報重點節錄、數位發展部(2024)。隱私強化技術應用指引