「個資」不只是「屬於你的資訊」

在意數位權利、隱私、監控的人，這類事情很值得追。建佑律師這篇prompt跟眉批也很精準

照字面看，「個資」似乎是「附著於個人的資訊」，但即使根據我國個資法，它其實是指「可供識別個人的資訊」。
所以信用評分、照片metadata、甚至AI模型與你互動的模式，其實都是個資。

在「可識別本人」的概念下，隱私與個資的核心，是 linkbility。它的定義如下：

Linkability of two or more items of interest (IOIs) (e.g., subjects, messages, actions, ...) from an attacker’s perspective means that within the system (comprising these IOIs), the attacker can distinguish whether these IOIs are related or not (e.g., whether they were caused by the same subject) sufficiently better than just randomly guessing. *

在一個給定的系統中，如果具有特定背景知識的資料處理者，能夠判定兩個以上的「關注目標（IOI，例如兩筆上網紀錄、一個假名與一個真實姓名、一次打卡紀錄和一個使用痕跡」出自同一個人、或屬於同一個事件序列），且準確率顯著高於「隨機猜測」，則這些關注目標之間具有連結性 (Linkability)。

如果你還記得高中教的條件機率，你很快就會注意到兩件事：

1. 個資的範圍，隨數位化的程度，以及神經網絡識別能力的增加，而單調遞增

2. 世上有個東西叫做不在場證明。無關於你的資訊，也會是與你有關的個資。

在此就先不說「個資法在邏輯上勢必管轄到AI」的有趣引理，先說一些反直覺的趣事就好：

1. 要保護隱私與資料安全，紙本時代很多直觀概念都不再適用，包括

• 「當事人可以自己保管個資」(你一輩子沒看過的東西，是要怎麼保管)

• 「只要獲得使用者的同意與授權，企業就能合法使用收集到的資料」(你根本沒擁有的東西，是要怎麼授權給企業)

• 「經過破壞性壓縮的資料，就可以安心使用」(只要拿來比對就能識別本人，甚至還原脈絡)

2. 個資與資料治理的議題，非常需要邏輯、計算機科學、數學的功夫；但同時又很需要法律、公共行政、經濟、政治的流程與經驗。只偏任何一邊的說法，很可能在另一邊是小孩子都知道的胡扯。

對於喜歡抽象思考、跨領域；或者在意基本權利與基本自由的人，這當然是個絕佳領域。
但大概這麼複雜的領域，也註定整個世界不會照著理性走。

ref.

1. Pfitzmann, A., & Hansen, M. (2010, August). A terminology for talking about privacy by data minimization: Anonymity, unlinkability, undetectability, unobservability, pseudonymity, and identity management.