二年前,國際上最老牌的民間國際援助發展非政府組織Oxfam公佈其「以權利為基準的盡責資料政策」(A rights based approach to responsible data),宣誓其在設計推動援助合作計畫時,要以負責的態度尊重地對待資料原當事人,以及對其資料的收集、處理、利用與分享等程序。而在今年三月底,他們再進一步分享此「盡責資料管理」政策推動以來,累積經驗與案例所作成的訓練教育資源與工具包Responsible Data Management training pack,讓合作伙伴或是一般人能更了解為何要對「資料」採取如何慎重的態度與嚴謹守則。我自己讀了這十來頁的入門介紹,受用不少,尤其從去年開始聽聞「responsible data」一辭,比起現在流行的什麼大數據、開放資料風潮,我個人倒覺得台灣本地欠缺的,反而是從研究工作倫理、法治原則、人性尊嚴和權利保護等面向來理解、對待資料數據,更別說研究方法與基礎認知上忽視(或曰無知地不識)數據資料本身的重重限制或是收集取得過程的缺陷和偏見。我個人稍憂心的是,當眾人樂觀地把各種「已放在那裏的」數據資料加以後製加工成為各種應用或資訊揭露,卻不去過問理解原始資料的取得過程,這樣不只是其推論與呈現結果可能會被誤導,也白白浪費了許多精力和資源。故姑且把該份文件中所探討,從最前端的規劃初始到資料收集的執行等階段過程,先做了一點簡單的中文摘要以及補充一些國際間相關討論的社群資料,作為給自己個人現在和日後在閱讀了解此議題進展變化的參考。
盡責數據資料管理的基本步驟
English Responsible Data Lifecycle
Make a plan 作好計畫,明確定義資料收集的目的,其預期效益和可能潛在風險之間必須符合比例原則,評估各種使用的方法和工具,挑選能達成上述目標和原則最佳的方式。其中是否要進行資料保護/隱私影響評估也可能是選項之一。敏感的個人資料尤其要慎重,或許需要分開儲存或加以去連結匿名處理。 當計畫正式執行時,要確保完善的知情同意,以讓對像對方了解此次資料收集的目的。不忘檢查計畫當所針對的社群或是研究執行方法是否有偏頗的危險,例如何如檢查資料的精確度。
Do a risk assessment 資料被收集者可能面臨潛在的危險,故盡量避免對其造成負作用。必要時諮詢專家以解某些問題,例如若發生資料外洩被駭時要怎麼辦。
Train Enumerators 對於資料收集人員的培訓
Informed consent 知情同意並不只是勾選單的練習,而以尊重尊嚴態度以及合法的行為對待資料提供者。讓對方明白其資料將如何被利用、目的。如何被儲存、和哪些人共享這個資料(以及如何確保不會超過原本預設的資料使用者,再被其它人拿去分享利用) 。資料當事人改變心意時如何處理?他們如何連繫相關人員。 讓當事人有可以退出的選項。
Manage the data
a. transfer 傳送:考量「加密」是否必要
b. access 取用:使用者的權限分級,每一位使用者都其資料有盡責管理之義務
c. store 數位與實體的資料保管要如何妥善設計與落實
d. sahre : 建立明確的分享條款協定,明定資料處理原則。但共享之前,要先有取得原資料當事人的知情同意
use data to do something 當組織企圖利用這些資料的結果採取進一步行動(如遊說、倡議或是改變原項目時)記得想清楚這些資料數據代表了誰?這些資料是否考慮了性別平衝,是否在決策時有所偏失拘限。
Ownership and feedback 如何提高資料原所有人的掌有權?除了再次向他們查實資料的結果確保其觀點能適當地被代表、呈現。也給予其結果的回饋。
retain/ dispose 一開始計畫之初前要大致掌握需保留資料多久的時間--其實資料的相關性、時效流失得很快,故不應死硬地一直保留資料。
以上這幾個步驟,算是整個從打算展開資料收集到實際進行採集過程、處理、利用(再利用)等種種過程的提醒與善盡良善管理人應遵守之原則。
其它responsible data資源
responsible data forum/ maillist /newsletter (電子報編得很有趣,但近期沒能準確發刊,不妨參與其郵件討論群組,偶而不少重要的資訊和觀點交流)
NYU govlab Mapping and Comparing Responsible Data Approaches - GovLab