不只台灣在開放政府、開放資料這條路上遇到個人隱私的問題,連領先多年的歐盟、美國也對這問題傷透腦筋。
在荷蘭,阿姆斯特丹大學資訊法律研究機構(Institute for Information Law)的研究員Bart van der Sloot,針對這個問題寫了一篇文章,刊在資訊民主與開放政府電子期刊(eJournal of eDemocracy and Open Government)。
在我們閱讀這篇文章前需注意的是──Bart的文章是以歐盟的個人資料保護指令(Data Protection Directive )為前提,其與台灣目前尚未執行的個人資料保護法可能不一樣。
文中提到由於文化上的不同,歐美兩者的態度就就像在光譜的兩端:美國的法律偏向開放,而歐盟則傾向保護個人資料。而這兩大政治體對於存取、使用,和「再使用」也有不同的見解。美國認為這三者的概念是一體的,但在歐盟,「存取」是屬於基本人權的一部份,然而「使用」與「再使用」,則是基於競爭還有智慧財產這兩大原則。
Bart認為完全去除可供辨識個人的資料是難以達成的任務,因我們仍可以從多份號稱排除「直接描述」個資的資料中,互相比對、推論出某幾筆「非直接描述」的資料,是在描述同一個人。
然而就算真的完全匿名化成功,該資料的價值也會大幅損失。因此Bart認為透過設定個人的隱私權限是一個可行的作法。這邊根據其內容約略整理為五大點。
1 設定自己的隱私權
就像是到政府所設立的專頁,選取自己認為適合的隱私資料授權方式。在個人資料保護指令的前提下,公民必須實際填寫(數位)表格,明確表示其個人資料是否可以拿來「再使用」,不要用「預設公開」的模式,這樣會讓公民一不小心就同意了。
2 明確的授權
公民可以明確選擇:
- 可再使用的對象──其他公民、營利機構、非營利機構、他國政府…等。
- 可再使用的目的──是否可用於商業用途?
- 可再使用的區域──是否只有在台灣登記的機構才能使用,或是公民的資料是否可以傳輸到其他國家?哪些國家可以,哪些國家不行?
- 可再使用的資訊──哪些資訊是可被第三方所使用?公民可能會自己比較敏感程度,只公開部份關於自己的資訊。
- 可再使用的資料庫──公民可以選擇健保局、國稅局、中央部會、或是只存在地方政府機關中的某個資料庫的個人資料,而不公開其他的資料庫。
3 完整告知
政府到底對這個公民收集了什麼資料?哪些企業曾存取這些資料?公民需知道他的資料中,哪些被存取過,被用於什麼目的。
透過一些通知系統,像是電子郵件,當有第三方要再使用該資料時,公民可以立即知道。並且當公民發現他的資料被不喜歡的機構使用時,公民可以拒絕,甚至可以馬上關閉自己之前原本設定可分享的資料。公民會定期收到通知,確定目前的隱私權設定,是否能反應當時的意願。
4 判別所涵蓋的資訊
政府公開前要先辨識文件中所包含的個人資訊有哪些,姓名、生日、住址、犯罪行為,與健康相關的等等,這些屬於比較簡單的資訊。
或是比較特別的像是統計資訊:例如一份文件內含65歲以上的老年族群,代表所有在1946年前出生的人都被提到,那這份文件所包含的直接相關、部份相關的資訊就需要被判斷是否合適。
在掃描這些文件,將之數位化時都是需要政府來執行這令人痛苦的工作,其工資應當由那些申請使用的第三方來支付,而不是全體民眾。
5 利潤分配
我們可以提供固定比例的利潤,給分享個資的公民,利潤可以從再使用的第三方所得來分配,或是經由政府收取的手續費而分配。這樣一來,對自己個資不在乎的公民可以提供各種資料給許多公司,用在許多地方,並得到相對應的利潤;在乎隱私的公民也可以保護自己的個人資料。
----
龐大的資料一直是學術研究者的寶物,請問一個碩士研究生要如何才能針對人類這個研究對象,採集到上萬、數十萬的樣本數?甚至是接近母體總數的樣本數?唯一最可能的來源就是政府。學術機構對於這項來源垂涎不已,更別說是營利機構了。
對於企業來說,個人資料就是科技現代的石油,否則我們也不會發明資料採礦(data mining)這個名詞。一間企業如果能掌握全國人民,甚至他國人民的生活習慣、喜好等資訊。就可以執行「精準打擊」式的行銷,提高在商場上的戰勝率、存活率。
我似乎扯遠了。
希望台灣政府看到公開資料的利潤時,別忘了開放政府的意義,還有別輕易地把公民(的資料)給賣了。
參考資料:
Sloot, B. van der. (2011). On the fabrication of sausages, or of Open Government and Private Data. JeDEM - eJournal of eDemocracy and Open Government, 3(2), 136–151.
沒有留言:
張貼留言
為避免垃圾訊息,留言需檢視後會才會顯示,請見諒。