重新識別

重新識別是指，已透過匿名化或假名化等技術處理、移除直接識別符的資料，遭有心人士透過其他公開或私有資料集進行比對、連結或推斷，最終得以重新辨識出特定個人的過程。 依據我國《個人資料保護法》第二條第一款定義，只要資料能「間接方式識別該個人」，仍屬個資。 因此，若去識別化的程度不足，導致重新識別的風險過高，該資料仍將被視為個人資料而受個資法規範。

首先是法規壓力，若企業自認已將個資「去識別化」而任意使用，一旦遭重新識別，將被認定為違反《個資法》，依第四十八條，主管機關可處新臺幣二萬元以上二百萬元以下罰鍰，若未限期改正，更可按次處十五萬元以上一千五百萬元以下罰鍰。 其次，在全球化的供應鏈中，如台積電、聯發科等半導體或汽車產業，其歐美客戶會要求供應商必須符合GDPR等國際法規，對重新識別風險有極高要求。若無法有效管理此風險，可能痛失國際訂單，甚至面臨天價求償與商譽損失。

在ISO標準方面，最直接相關的是 ISO/IEC 27701（隱私資訊管理系統），它作為 ISO/IEC 27001 的延伸，提供了保護個人可識別資訊（PII）的框架，其控制措施中即包含對去識別化與重新識別風險的管理要求。此外，ISO/IEC 29100（隱私框架）與 ISO/IEC 20889（隱私增強數據去識別化技術）也提供重要指引。在國際法規方面，歐盟的《一般資料保護規則》（GDPR）Recital 26 明確指出，若假名化資料能被重新識別，則仍應視為個人資料，是評估匿名化是否成功的關鍵條款。

積穗科研是全台最早整合企業風險管理（ERM）、工業工程、科技法律與資料科學的顧問公司。我們的跨域團隊包含具預防法學背景的創辦人、科技法律師、ISO主導稽核員及AI技術專家，能從法遵、技術、流程三大面向，提供一站式解決方案。我們不僅協助企業導入ISO 27701等認證，更能將其與公司治理、內部控制及資安制度垂直整合，避免疊床架屋，確保去識別化技術真正有效，徹底管理重新識別風險，深受半導體、金融、醫療等頂尖企業信賴。