聚合資料 (Aggregated Data)

聚合資料是將個人資料經過去識別化處理，使其無法再識別特定個人後，所形成的統計性資料集。台灣《個人資料保護法》第6條允許為統計或學術研究目的蒐集敏感個資，但前提是處理後「無從識別特定之當事人」。 此概念與歐盟GDPR精神一致，處理後的資料因不具個資屬性，應用較不受限。

若聚合過程的「去識別化」技術不足，仍有重新識別個人的風險，將被視為處理個資，面臨主管機關重罰，例如違反歐盟GDPR最高可罰2000萬歐元或全球營業額4%。對半導體等高科技產業而言，若聚合資料包含客戶或研發數據，處理不當更可能引發營業秘密外洩或客戶索賠的商業風險。

主要相關標準包括： - **ISO/IEC 27701 (隱私資訊管理系統):** 條款 7.4.5 (2019年版) 要求組織應將PII去識別化，使其無法再識別資料主體。 - **ISO/IEC 27001 (資訊安全管理系統):** 附錄 A.18.1.4 強調對個人可識別資訊(PII)的保護。 - **歐盟 GDPR:** 第89條闡明為統計目的處理個資的保障措施，強調資料最小化與假名化等去識別化技術。

積穗科研是全台最早整合企業風險管理(ERM)、資料科學與科技法律的顧問公司。我們由具預防法學背景的創辦人帶領，團隊包含資料科學家、科技法律師與ISO主導稽核員，能從法遵、技術、管理制度三個維度，協助企業建構真正有效的資料去識別化流程，並將其無縫整合至ISO 27701等管理體系與內控制度，避免疊床架屋。