今年七月初寫過一篇閱讀The Engine Room:Navigation guide on digital data in human rights research初稿的筆記。TER在六月底完成了回饋意見的收集，不到二個月的時間，正式對外公佈這份資源文件的成果。本文即是再對此份正式版資源手冊，作了一點個人的閱讀整理與反思。



從其目錄架構扣除掉前面的暖身與後面的資源整理，要擅用數位型資料/數據進行人權研究或倡議，得先掌握基本原則性方針大抵有二個重點：
verification/ documentation
responsible data consideration
中間再穿插實際案例應用（如政府資料、預算資料、法庭證據等）發展出來的技巧技術，來介紹數位化資料/數據對於人權工作的潛在推進助力。 我個人對於所謂的「responsible data 」比較好奇，故本文重點會放在該該章節的整理（其實是偷懶，只有認真讀這一章而已:p）。

responsible data consideration:
這一章分成4大部份：
1)real life safety risk
數位時代中，數據資料以指數等級急速生産，類比技術或印刷術型式的資料早已難以望其項背。過去手工式、機械化對資料直接一手的收集整理再作使用，如今的研究者或人權組織則可以大量節省過往傳統的案例收集或文件記錄的時間與成本。當資料的處理或使用者與資料的收集者並非同一個人的時候，前者往往會因為未曾與當事人有過直接之接觸，故可能在面對資料上的慎重態度大打折扣。所謂的資料保護，不單指對「資料」的處理使用採取資訊安全的保護作法（另見下面Are your digital tools safe部份），更必須包括對於原當事人人身安全與潛在脅威考量之責任。

2)responsible data
從第1點當必須將原當事人人身安全與潛在脅威考量放入後，則代表間接資料，再次取得當事人同意之必要，以及如何保護資料當事人之責任，以免對當事人造成實質財務或精神面傷害成了通則性的基礎條件。除了「知情同意」（informed consent）外，還建議最好「資料最小化」（data minimisation）， 個人資料盡可能地去識別去連結、敏感性資料高強度的安全意識以及對於資料本身隱性偏見偏差的審慎。
讀到這裏，讓我忍不住翻出在台灣所謂「個人資料保護法」當中對個人資料之收集、處利、使用與國際傳輸等方面的保護規定，與此文件對人權工作在資料處理應用上善盡責任之標準二者的比較。要提醒的是，該手冊所指的資料並非一定是個人資料，其涉指的敏感性資料也不一定是敏感性個資。一般而言，這幾種資料的類別，其需要保護的強度可能是：敏感性資料（含敏感個資）>個人資料>資料。

台灣《個人資料保護法》
第九條
公務機關或非公務機關依第十五條或第十九條規定蒐集非由當事人提供之個人資料，應於處理或利用前，向當事人告知個人資料來源及前條第一項第一款至第五款所列事項。
有下列情形之一者，得免為前項之告知：
一、有前條第二項所列各款情形之一。（見下方）
二、當事人自行公開或其他已合法公開之個人資料。## 原公開之目的與後來收集使用之目的是二回事，見手冊第64頁的打臉。
三、不能向當事人或其法定代理人為告知。##確定死亡、失踪、失聯？？事由不明確，但“不能”卻成了倚天劍。試想若兩造發生此爭端，則在法官面前，是否得由原告（個資受不當使用者）對此提出𡒊證之責？
四、基於公共利益為統計或學術研究之目的而有必要，且該資料須經提者處理後或蒐集者依其揭露方式，無從識別特定當事人者為限。##以去身份識別連結為擋箭牌，但它理應是原則上就要去識別化，而不是因為去識別化了之後反而就可以理直氣壯的收集。
五、大眾傳播業者基於新聞報導之公益目的而蒐集個人資料。 ##原來台灣記者們老用複製截圖臉書動態，卻不會花點時間直接求證與採訪，更別提深入調查，這就是他們的「法律依據」啊
第一項之告知，得於首次對當事人為利用時併同為之。

個資法第八條第二項得免告之情況
一、依法律規定得免告知。
二、個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要。 ##有點看不懂這一款和上一款之間的區別，但憺心多開一道後門
三、告知將妨害公務機關執行法定職務。
四、告知將妨害公共利益。##這裏應是屠龍刀，再次把個資保護砍得片甲不留
五、當事人明知應告知之內容。
六、個人資料之蒐集非基於營利之目的，且對當事人顯無不利之影響。##這有點類似該份手冊所謂的數位資料在人權研究的應用，但人家強調的是責任面向的善用故告之與取得知情同意是基本原則，而個資法卻成了閃避責任的藉口。果然台灣的標準真是好寬啊

又在個資法第六條對於所謂敏感個資的保護規範上：

有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料，不得蒐集、處理或利用。但有下列情形之一者，不在此限：
一、法律明文規定。
二、公務機關執行法定職務或非公務機關履行法定義務必要範圍內，且事前或事後有適當安全維護措施。
三、當事人自行公開或其他已合法公開之個人資料。
四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的，為統計或學術研究而有必要，且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
五、為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內，且事前或事後有適當安全維護措施。
六、經當事人書面同意。但逾越特定目的之必要範圍或其他法律另有限制不得僅依當事人書面同意蒐集、處理或利用，或其同意違反其意願者，不在此限。
依前項規定蒐集、處理或利用個人資料，準用第八條、第九條規定；其中前項第六款之書面同意，準用第七條第一項、第二項及第四項規定，並以書面為之。

咦，這些文字好像根本就是從第八條、九條複制貼上再小小地修改編輯，根本看不到對於所謂「敏感性個人資料」保護密度的強化，反而一整個low到和一般個資同樣水平的眾多例外方便之門啊＠＠

如按照我前面所建議不同資料類別所需要保護的強度排列來看（敏感性資料>個人資料>資料），顯然人權團體所建議的資料使用問責低標，還要高過個資法法律保障的密度啊！

3) Are your digital tools safe ?
資料收集使用者的良善管理義務，故在挑選數位工具，如何確保這些資料數據的安全，故在軟體/數位服務的選擇上不妨先自問：
a. What does “secure” really mean? －這裏應該是導入威脅模型的現況環境分析
b. Has the software been independently audited? --所以說支持開源自由軟體很重要啊
c. Who owns the data–and for how long?
d. Does the software offer protection from the particular threats you face?導入威脅模型中的應對策略設計
e. Will your use of the software or service expose you? 這裏也塵該算是威脅模型的現況環境分析，尤其是最壞狀況
f. Is it practical for you to adopt this service or software?
g. Are you adopting this application for the right reasons?
（一整個覺得我需要好好地了解「Threat Modeling」啊）

4) Secondary Trauma and PTSD
這一節可能是比較偏向當資料收集者直接面對了當事人，尤其是從人權受害者直接採訪、收集資料，而可能會發生的感同式創傷（vicarious traumatization）反應，該如何來避免或療癒。

最後的感想
自己雖然是完全的局外人，但看著這份文件從粗胚到成品，讓我覺得好想自己也來用個什麼開源編輯軟體Scribus來好好地編一份文件或手冊哦（完全劃錯重點）

human rights privacy