香港私隱專員公署以及澳門個人資料保護局,聯同來自澳洲(維多利亞省)、加拿大(聯邦及英屬哥倫比亞省)、日本、韓國、新西蘭及新加坡的七個私隱或資料保障機構,於早前舉行的「第63屆亞太區私隱機構論壇」一致通過發布《個人資料匿名化入門指南》。
什麼是匿名化?將個資轉化為無法識別資料
私隱公署指,匿名化一般是指將個人資料轉化為無法再用作識別個人身分的資料。署方去年發布《人工智能(AI):個人資料保障模範框架》,協助機構在採購及使用AI,包括生成式AI時,遵守《私隱條例》,當中建議機構可在適當情況下,將個人資料輸入至其AI模型前,先進行匿名化處理。
《匿名化指南》介紹匿名化基本概念,並概述機構進行匿名化處理資料的建議步驟。《指南》亦透過個案分析,闡釋機構如何在實際運作中應用匿名化步驟,包括:
- 第一步(了解你的資料):機構在進行匿名化處理前,須識別資料的類型,包括:直接標識符:可直接識別個人身分的資料,例如姓名及身份證號碼;間接標識符:資料本身未必具有獨特性,但與其他資料結合後可識別個人身分,例如出生日期及性別。
- 第二步(移除直接標識符):從數據集中移除直接標識符。
- 第三步(應用匿名化技術):使用匿名化技術處理間接標識符,以防他人透過結合間接標識符及其他資料以識別個人身分。
- 第四步(評估再識別風險):評估已匿名化的資料是否仍存在識別個人身分的風險,並根據評估結果判斷匿名化是否足夠。如未能符合相關要求,應重複上述步驟。
- 第五步(管理再識別風險):針對應用匿名化技術處理資料後仍然存在的風險,應採取相應的風險緩減措施,例如限制資料用途及僅限授權人員存取等。
鍾麗玲:匿名化提升安全 同時保留資料實用性
私隱專員鍾麗玲表示,隨著越來越多港澳機構在日常營運中使用AI,在使用及/或分享資料時將個人資料匿名化不但可以提升AI安全及數據安全,亦同時保留資料實用性。因此,香港私隱公署與澳門個人資料保護局合作,並聯同其他七個司法管轄區的私隱或資料保障機構共同編撰《個人資料匿名化入門指南》,旨在為港澳地區有意使用匿名化技術處理個人資料的機構提供切實可行的入門指引。為方便機構參考《匿名化指南》,公署與澳門個人資料保護局更將《匿名化指南》翻譯成中文文本,讓讀者更易於理解。
澳門個人資料保護局局長楊崇蔚表示,個人資料匿名化措施在一定程度上降低了個人資料數據洩露的風險,是解決新技術應用中保護個人資料數據安全的積極措施。澳門個人資料保護局參與此次《匿名化指南》的編撰與聯合翻譯工作,充分履行了作為亞太區私隱機構傳訊工作組組長的國際合作責任,充分體現了港澳雙方在簽署合作備忘錄後的更緊密合作關係。希望未來將持續推動港澳在個人資料私隱領域方面的緊密合作,以促進粵港澳大灣區的個人資料私隱保護工作。
請按此下載《個人資料匿名化入門指南》。(葡文譯本將於稍後上載至澳門個人資料保護局網頁)
