重新識別 (Re-identification)

重新識別是將已依《個人資料保護法》第2條第1款規定，經過去識別化處理後，使其無法直接或間接識別特定個人的資料，重新回復至可識別狀態的過程。此過程通常涉及將匿名或假名化資料與其他內外部資訊進行比對、組合或推斷，從而再次鎖定資料所屬的具體個人。

台灣企業若未能有效防止資料被重新識別，等同於個資外洩。依據2023年修正的《個人資料保護法》，對於情節重大者，罰鍰已提高至最高新台幣1,500萬元，並須對受害者負擔損害賠償責任。 這不僅嚴重衝擊商譽，更可能違反與國際客戶（如半導體、汽車供應鏈）的合約要求，喪失訂單與市場信任。

主要相關標準與法規包括： 1. **ISO/IEC 27701 (PIMS):** 作為ISO 27001的隱私擴展，此標準要求組織實施適當的控制措施來管理個資風險，而去識別化與防範重新識別是其核心技術要求之一。 2. **歐盟 GDPR:** Recital 26明確指出，若資料被匿名化至無法重新識別當事人，則不受GDPR規範；反之，若存在重新識別的合理可能性，該資料仍被視為個人資料，必須遵循所有保護要求。 3. **美國 NIST SP 800-122:** 此份由美國國家標準暨技術研究院發布的指南，提供了保護個人可識別資訊(PII)機密性的具體指引，其中包含去識別化技術的應用，其目的就是為了對抗重新識別的風險。

積穗科研是全台最早整合企業風險管理(ERM)、工業工程、科技法律與資料科學的顧問公司。我們由具預防法學背景的創辦人帶領，團隊擁有科技法律師、ISO主導稽核員及AI技術專家，能協助企業從法規遵循、技術防護到流程優化，建立深度防禦機制。我們不僅協助導入PIMS，更能將其與公司治理、內控垂直整合，為半導體到金融業的客戶提供避免疊床架屋的客製化解決方案，有效管理重新識別風險。