熱門文章

【重磅】手機號碼已經不可逆Hash過了,居然還是個資? —從WhatsApp被罰7,500萬歐元看個資「去識別化」

撰文:    斌 博士

審閱:葉奇鑫 律師

王慕民 律師

 

全文約3900字,閱讀約需14分鐘

 

Hash過後,還是個資

2021年8月20日,全球即時通訊軟體業者WhatsApp,被愛爾蘭的個資保護主管機關資料保護委員會(Data Protection Commission,DPC)處罰2.25億歐元,其中的7,500萬歐元,針對的是WhatsApp蒐集用戶手機通訊錄裡的「非用戶聯絡人手機號碼」,卻沒有依歐盟GDPR關於間接蒐集個資的規範,「通知」這些非用戶(註1)

 

我們在此前一篇文章中,已為大家分析過,愛爾蘭DPC認為,單純的手機號碼(沒有姓名、email或其他資訊),由於能夠作為聯絡方式直接指向號碼主人,自身「內建」可識別性。而我國的主管機關,也傾向於認為單獨掌握的非用戶手機號碼,也是個人資料。

 

如果以上見解已經出乎你的意料,那這份裁罰的另一個結論更會讓你大跌眼鏡:WhatsApp把非用戶手機號碼進行不可逆Hash(雜湊)運算後立即刪除,得出的Hash值雖然未與原本手機號碼逐一對應,仍然是個人資料

 

有趣的是,愛爾蘭DPC在裁罰決定草案中,認為這些Hash值並不構成個資(註2)。但其他會員國主管機關對這一結論提出異議後,歐盟個人資料保護委員會(European Data Protection Board,EDPB)作出有拘束力的決定(註3),推翻DPC的結論,認定Hash後的非用戶手機號碼仍是個資

 

為什麼會這樣?

 

我們透過這篇文章,幫你解讀歐盟主管機關的法律見解,並分析我國個資法是否將得出不同結論

 

GDPR的「假名資訊」與「匿名資訊」

在我們進入WhatsApp裁罰的個案事實前,先來瞭解一點背景知識:

 

依歐盟個資法General Data Protection Regulation(GDPR)判斷一項資訊是不是個資時,「假名」與「匿名」是一組重要概念

 

所謂「假名資訊」,是指該資訊自身無法識別到特定個人,要與其他資訊結合後,才能實現識別。因此,「假名資訊」能夠間接識別特定個人,屬於個人資料,適用GDPR規定的個資保護要求。對此,GDPR還定義了「假名化處理」的概念,也就是把個資處理到假名狀態,並把實現識別所需的其他資訊另行存放、採取措施確保該假名資訊不致識別特定個人(註4)

 

相較之下,「匿名資訊」則是無論直接或間接,都無法識別出特定個人的資訊。匿名資訊不是個人資料,因此不適用個資保護規範。GDPR在立法理由中明確指出,其不適用於已處理到匿名狀態的個資(註5)

 

回到WhatsApp裁罰案,非用戶手機號碼的Hash值是否構成個資,應是判斷其識別性。且考量Hash值自身應無法直接識別當事人,問題的核心其實是:不可逆Hash過後,手機號碼是否仍具有間接識別性

 

WhatsApp的Lossy Hashing:不僅不可逆,還不對應特定手機號碼

WhatsApp之所以會對非用戶手機號碼進行Hash處理,是為了提供聯絡人功能,讓用戶能夠分辨手機通訊錄裡的哪些聯絡人也已經是WhatsApp用戶,以便使用WhatsApp互相通訊(註6)

  • 如果用戶A啟用這個功能,WhatsApp將存取用戶A手機通訊錄的全部手機號碼(只取得手機號碼),其中包含WhatsApp的用戶或非用戶。之所以要取得「非用戶B」的手機號碼,是為了之後B也開始使用WhatsApp時,WhatsApp可以馬上更新(通訊錄裡存有B的手機號碼的)其他用戶的WhatsApp通訊錄,讓他們知道B也開始使用WhatsApp
  • 在取得非用戶B的手機號碼時,WhatsApp僅在數秒內便將該號碼刪除。WhatsApp在這數秒內:(1)存取用戶手機裡通訊錄裡的所有手機號碼;(2)將這些手機號碼傳輸至WhatsApp伺服器;(3)伺服器收到這些手機號碼後,在幾毫秒內以不可逆的Lossy Hash演算編碼;(4)將原本的手機號碼不可逆地刪除
  • WhatsApp無法將Lossy Hash演算後的數值還原成原始手機號碼,而且,Hash數值和手機號碼也非一一對應,最多會有16組手機號碼「共用」一個數值。WhatsApp將Hash值儲存在伺服器裡的一份「非用戶清單」,每個Hash值都跟用戶A連結
  • 若日後非用戶B開始使用WhatsApp服務,其手機號碼將在Lossy Hash後與非用戶清單作比對,用以需要通知的既有用戶範圍。此後,在用另一個Notification Hash演算非用戶B和相關既有用戶通訊錄中的手機號碼,對比演算結果後,確定通知用戶A

 

基於Hash運算不可逆、一個Hash值對應多個手機號碼的特性,WhatsApp主張,非用戶手機號碼經Hash運算後,已「真正且不可逆地匿名化」。愛爾蘭DPC在其裁罰決定草案中也認為,由於一個Hash值對應多個手機號碼,且WhatsApp並非利用這些Hash值識別特定用戶,只是用以限縮Notification Hash的運算範圍,非用戶的手機號碼經Hash後,不再是個人資料

 

Lossy Hash後,資料還有識別性嗎?歐盟EDPB的解讀

EDPB基於下列理由,認為依照GDPR的規定,非用戶的手機號碼經Lossy Hash後,仍具有可識別性,屬於個人資料(註7)

 

1. 識別性是風險的客觀判斷,不考慮控管者意圖

如同愛爾蘭DPC判斷非用戶手機號碼時一樣,EDPB也首先指出,依GDPR對個人資料的定義以及其立法理由,要評估自然人是不是「可識別」,必須考量控管者或其他人用來直接或間接識別自然人的所有合理、可能方法,客觀判斷識別特定自然人的潛在風險。而所謂「合理、可能的方法」,則要考量所有客觀要素,例如識別自然人所需的費用、時間,以及當下可得的技術

 

EDPB進一步指出,識別性的判斷,並不考量控管者或其他人的意圖或動機。換句話說,本案中WhatsApp想不想、願不願、會不會將Hash後的手機號碼用以識別非用戶,不會影響識別性的判斷

 

2. Hash處理只是提升識別難度,並未把識別風險降至幾近於零

在以上前提下,EDPB認為,考量WhatsApp可用的方法及所掌握的資料,非用戶身分被識別的風險並未降至「幾近於零」(greater-than-zero)

 

EDPB首先指出,判斷識別性時,並不能僅考量Lossy Hash的單一處理步驟,而是應對處理的背景環境作整體判斷

 

雖然理論上一個Hash值可對應16個手機號碼,但實際上每個Hash值對應的手機號碼有多有寡,有些甚至僅對應一個手機號碼。而由於一個人可能有多個手機號碼,每個Hash值對應的個資當事人數量可能更少

 

WhatsApp有巨量使用者,且很可能每名使用者都至少有一個「非用戶」聯絡人。作為非用戶的關聯用戶,這些使用者的手機號碼也將被存在WhatsApp伺服器的非用戶清單中。WhatsApp可利用使用者的手機號碼,排除某一Hash值對應的手機號碼。例如,若某一Hash值可由16個手機號碼產生,而其中15個被確認屬於使用者,那麼剩下的一個非使用者的號碼即會被識別出來

 

EDPB進一步指出,Lossy Hash這種「一對多」的處理方式,雖可避免將某一筆個資對應的Hash值單獨挑選出來,但無法排除透過對比、推測而識別當事人的風險

 

例如,WhatsApp至少可以推測,某一Hash值所代表的非用戶是某一使用者的聯絡人。巨量WhatsApp使用者電話號碼和非用戶手機號碼Hash值彼此關聯,組成巨大且獨特的數據網絡,WhatsApp可對此進行拓撲分析。隨著使用者和非用戶手機號碼Hash值數量不斷累積,WhatsApp識別非使用者手機號碼的風險也顯著提高

 

考量以上因素,EDPB得出結論,非用戶被識別的風險無法忽略不計。非用戶手機號碼的Hash值與相關使用者手機組成的「非用戶清單」,構成個人資料

 

我國個資法下,結果是否會不同?

我國個資法雖未明確區分「假名」與「匿名」資訊。實務中,主管機關多認可,個資經「去識別化」處理後,即不再適用個資法

 

1. 我國主管機關也認同,Hash並不保證去識別

2019年1月以前,法務部是主責我國個資法解釋的機關,也曾面對「個資經演算法轉換為不可逆之特徵值後,是否仍有個資法適用」的問題。對此,法務部認為,所謂「去識別化」,是指「透過一定程序的加工處理,使個人資料不再具有直接或間接識別性而言」。個資經依演算法處理,轉換為不可逆之特徵值後,若已無從直接或間接識別該特定個人,即非屬個人資料,不在個人資料保護法適用範圍(註8)

 

因此,Hash後的個資是否仍屬個人資料,我國個資法和歐盟GDPR的判斷邏輯是一致的,都是以Hash後是否仍有(間接)識別性為基準

 

Hash自身未必有去識別化的效果,而是要評估處理的整體作業。例如,若WhatsApp將非用戶手機號碼進行一對一Hash,且不把原本手機號碼刪除,則一對一Hash後的數值,在我國個資法和歐盟GDPR下,都屬於個人資料

 

2. 我國個資法關於識別性的判斷,趨向GDPR的「風險客觀判斷」模式

接下來的問題是,我國個資法認定「間接識別」的門檻,是否會比歐盟GDPR更高?換句話說,會不會依歐盟GDPR認定有間接識別性的資訊,在我國個資法下被認為不具間接識別性

 

雖然我國個資法未如GDPR立法理由一樣,說明間接識別性的判斷,是以「控管者或其他人」客觀上可用的所有合理、可能方法為基礎,但當前個資法解釋機關國家發展委員會(國發會)的最新函釋,已經明確呈現出GDPR「識別風險客觀判斷」的趨勢(註9):某公司僅掌握一名民眾的電話號碼,未掌握其他資訊的情形下,因該電話號碼「得透過其所屬電信公司所保有之資料對照、組合、連結」,而得以識別這名民眾,故具有間接識別性,屬個人資料

 

以前面提到的一對一Hash為例,若WhatsApp把一對一Hash值提供給外部廠商,而外部廠商並未掌握其他可識別當事人的資料。依國發會前開函釋之見解,該Hash值對外部廠商而言,也屬於個人資料。

 

另一方面,間接識別之認定,是事實判斷。從WhatsApp裁罰案中DPC裁罰決定草案和EDPB的最終結論可以看出,在涉及複雜技術事實時,主管機關對間接識別的判斷,也可能有不同見解。因此,WhatsApp Lossy Hash過後的非用戶手機號碼,在我國個資法下是否可能被認為不具間接識別性,可能視主管機關對事實的不同解讀,而有得出不同結論的空間

 

Hash過後還是個資,個資法遵如何執行?

WhatsApp從使用者手機聯絡簿讀取的非用戶手機號碼,以及最終保留的Hash值,都是非用戶的個人資料。因此,WhatsApp需要履行GDPR規定的個資保護義務,包括依據透明化原則,通知非用戶其個資已被蒐集,並提供蒐集目的等法定資訊。WhatsApp蒐集手機號碼,依GDPR要如何「通知」這些非用戶?我們將在後續文章加以解讀,歡迎大家後續關注

 


 

註1:Irish DPC, Decision of the Data Protection Commission made pursuant to Section 111 of the Data Protection Act, 2018 and Articles 60 and 65 of the General Data Protection Regulation in the matter of WhatsApp Ireland Limited (DPC Inquiry Reference: IN-18-12-2, 20 August 2021) (hereinafter the “Irish DPC Decision”): https://edpb.europa.eu/system/files/2021-09/dpc_final_decision_redacted_for_issue_to_edpb_01-09-21_en.pdf.

註2:Irish DPC Decision, para. 107.

註3:EDPB, Binding decision 1/2021 on the dispute arisen on the draft decision of the Irish Supervisory Authority regarding WhatsApp Ireland under Article 65(1)(a) GDPR (28 July 2021) (hereinafter the “EDPB Binding Decision”): https://edpb.europa.eu/system/files/2021-09/edpb_bindingdecision_202101_ie_sa_whatsapp_redacted_en.pdf.

註4:GDPR, Article 4(5).

註5:GDPR, Recital 26.

註6:Irish DPC Decision, paras. 33, 40, 42.

註7:EDPB Binding Decision, paras. 144-156.

註8:法務部,民國107年08月30日,法律字第10703513050號函。

註9:國家發展委員會,民國109年07月24日,發法字第1090015912號函。

 

※歡迎註明出處後轉載。

更多詳情請洽 達文西個資暨高科技法律事務所
service@davinci.idv.tw