物聯網的隱私設計問題

我國個資新法於105年3月15日公布施行,並配合開放政府、開放資料議題,包括比較敏感之財稅、醫療等資料,vTaiwan曾召開多次「個資利用與去識別化」討論公聽會,公務機關深怕開放資料後,未善盡民眾個資保護責任而違反個資法,上述的討論也大都僅針對公務機關開放資料之範疇。

一般個資案例,大都是在違反個資之負面事件發生後,再行討論處理,屬事後補救措施。除公務機關外,涉及產業發展之非公務機關,雖已納入個資法規範,但產業發展與隱私個資如何相輔相成,受重視程度仍然甚為不足,隱私保護會成為相關服務系統的一大負擔嗎?

目前歐盟積極推動隱私設計(Privacy by Design: PbD)、隱私優化技術(Privacy Enhancing Technology: PET)等作法,擬對大規模資料收集的產業生態鏈體系,於開始規劃設計時即導入隱私保護相關措施,尤其是物聯網產業。本文擬探討IoT與隱私設計議題,供我國公務及非公務機關推動個資保護及IoT產業參考。

物聯網、大數據與隱私保護

這一波物聯網(IoT)之所以會影響深遠的主要原因,是由諸多技術發展同時匯合而成,這些技術包括:

  • 感應器快速小型化(Miniaturization)、

  • 運算成本大幅降低(Computing Economics)、

  • IP網路持續快速普及(Widespread Adoption of IP-based Networking)、

  • 無所不在連結需求(Ubiquitous Connectivity)、

  • 雲端運算崛起(the Rise of Cloud Computing)、

  • 大數據分析智慧化(Advances in Data Analytics)等。

物聯網經由收集大量即時資料,儲存於雲端,並經大數據分析之智慧決策與產出,提供有感之體驗服務而創造價值;如無雲端平台及大數據分析,物聯網價值即不易展現。物聯網節點數、資料收集量大到某一數量後,大數據分析就逐漸產生無可替代的價值,例如Google地圖導航查詢(同時使用人數到一定量之後,就會有道路塞車與否之查詢資訊出現)、電商推荐購物、適性廣告推播等。

這種依循摩爾定律,延伸至橫跨不同產業IoT應用成指數成長現象的快速發生,由量變產生應用價值的質變,將益發明顯。

隱私保護是一種挑戰,也是一個機會。在開始設計階段即融入隱私設計原則,即能取得消費者信任。

全球互聯網協會(ISOC)於2015年10月提出一份物聯網的發展分析報告,指出物聯網五個關鍵挑戰領域,包括新經濟與發展(emerging economies and development)、互通性與標準(interoperability and standards)、安全(security)、隱私(privacy)、法律規範與權利(legal, regulatory, and rights)等。

隱私保護是一種挑戰,也是一個機會。假如在物聯網的大數據生態系統(本文所稱IoT係指其收集大量數據,與大數據分析之隱私議題相似)中,能夠在使用者與大數據產業之間建立信任關係,讓大數據系統在開始設計階段即融入隱私設計原則,並在其價值鏈的不同階段,適當採用隱私優化技術,支持資料控制(Data Controller)者可以盡資料保護義務,即能取得消費者信任。

沒有隱私就沒有大數據、就沒有物聯網。在效用、隱私相容兼顧下,期望從大數據對抗隱私(Big Data versus Privacy),轉為大數據調和隱私(Big Data with Privacy),讓大數據分析價值與個人資料隱私保護取得平衡發展,期望能夠建構一個永續發展的物聯網健康生態系統。

隱私設計(Privacy by Design, PbD)

在IoT系統開始規劃設計之初,即考慮利用隱私優化相關技術,將隱私個人資料保護原則融入整體系統設計之中,此即隱私設計概念之精神。2014年歐盟網路與資訊安全總署(ENISA)提出隱私與資料保護設計文件,包括八項隱私設計策略:

  1. 最小化(Minimize):個人資料收集量應最小化。

  2. 隱藏化(Hide):個人資料及彼此關係,應避免明文及可視。

  3. 區隔化(Separate):個人資料應盡可能採分散及分隔處理。

  4. 聚集化(Aggregate):個人資料應採最高等級的聚集處理及最小可能的細部處理。

  5. 通知(Inform):當處理個人資料(透明)時,資料主體者應該適時地被足夠的通知。

  6. 控制(Control):資料主體應提供個人資料處理之代理管理(不一定自我管理)控制機制。

  7. 強化(Enforce):與法規相容的隱私政策,應該到位並強化執行。

  8. 展示(Demonstrate):資料控制者必須能展示隱私政策及法規遵循性。

依上述隱私設計策略來檢視大數據價值鏈(Big Data Value Chain),可以看出可能的建置過程中採取之ㄧ些措施,如下表所述:

大數據價值鏈之隱私設計策略

隱私優化技術(Privacy-Enhancing Technologies)

係指凡是可以協助保護隱私之各項工程技術。上述大數據價值鏈之隱私設計策略中所採取之ㄧ些建置措施,即應用隱私優化技術來強化隱私保護。

本文不詳細描述各項PET技術,僅強調隱私設計中的PET技術,可以在系統規劃設計之初,即可以考量如何兼顧相容隱私保護;即使很簡單的欄位資料加密或個資資料移除程序,都會對後續的個資利用、處理產生很大效果。

各項PET技術,屬工程技術手段,會隨著技術進步而異,目前主要涵蓋的項目包括:

  1. 匿名技術: 將個資資料修正處理致無法再辨識個人之技術,統稱匿名技術或去識別化技術。大數據分析要兼顧效用價值及匿名再辨識要求,使用的技術主要包括: K-Anonymity、遮罩及合成等。

  2. 加密技術: 包括資料庫加密、對稱式搜尋加密、公鑰搜尋加密、隱私保留運算等。

  3. 安全、當責與控制: 細粒度存取控制、及時安全偵測監控、分散式資料儲存、加密安全傳輸等。

  4. 透明與存取: 圖像式表示法(非冗長政策而是容易知悉個資如何被處理之方式)、資料可移性(變更資料控制者)等。

  5. 同意、所有權與控制: 讓使用者全權管理其個資之方法,包括友善同意或撤銷同意機制、隱私偏好、個資管理(保留或刪除)等。

我國IoT產業發展之隱私保護建議

我國IoT產業之發展,目前仍僅在強調IoT創新經濟與發展面向,對如何建構一個完整IoT生態體系,所會面臨的安全、隱私、與法規挑戰等,仍著墨甚少。

新導入的IoT服務系統在設計之初,也應能及時導入隱私設計及隱私優化技術。

我國因應個資保護要求,已通過最新個資法修正,並推動個資管理制度驗證,包括BS-10012(個資管理制度)、ISO 29100(隱私權框架)、ISO29191(部分匿名及部分去連結鑑別要求事項)之制度建立及驗證。這些標準要求事項及框架,大致上是相當完整;對公務機關持有與人民敏感性資料之關鍵系統,如ETC(國道電子收費系統)、健保系統、電子報稅系統等,亦皆已要求進行個資驗證事宜。

惟涉及收集大量個資的民間企業所建構的IoT系統,如YouBike系統、居家老人照護服務、穿載式健身服務系統、社區或警政或居家安全監控服務系統、居家自動化系統、智慧城市系統等之相關應用,希能重新檢視系統隱私保護之設計措施;新導入的IoT服務系統在設計之初,也應能及時導入隱私設計及隱私優化技術,相容隱私與效用原則進行開發,讓IoT系統擴大規模成為永續的健康服務生態系統,並奠定IoT產業具競爭力的紮實基礎。

下列建議可供IoT產業發展相容隱私設計之參考:

  1. IoT系統設計之初,即應導入隱私設計及優化技術,相容系統效用與隱私原則。

  2. 較大規模IoT系統皆應進行隱私衝擊分析(PIA),讓潛在隱私風險可以被管控。

  3. 較大規模IoT廠商適時導入如ISO 27001(資安管理制度)、BS-10012(個資管理制度)或ISO 29100(隱私權框架)、ISO 29191 (部分匿名及部分去連結鑑別要求事項)之個資管理制度及驗證作業。

  4. 政府適時研訂隱私設計及PET技術參考指引或規範,供發展IoT系統廠商參考。