本文以個人資料再識別化為中心,探討巨量資料交易之法律風險與管理意涵。本文對我國各級法院關於個人資料去識別化之判決進行全面的實證研究,發現我國司法判決仍誤以為刪除部分直接識別標誌即可去識別化,毫無再識別風險之概念。在「學生資料案」中,大學意識到個人資料去識別化後具有再識別之風險,然很可惜法院認為此點無再加論述之必要,錯失一次審理再識別風險的絕佳機會。在「健保資料案」中,最高行政法院將審理重點擺在應由資料提供者抑或資料接收者進行去識別化程序之問題,否決原告所提驗證再識別化風險之聲請。本文淺見認為,運用已掌握幾位特定人之部分資料來驗證是否能辨識出該特定人,進而獲取該特定人之全部資訊,是相當好的再識別風險之驗證方法,最高行政法院於判決中全盤否定原告所提證據方法,恐有值得商榷之處。對於降低再識別風險之可能機制,本文認為對於大多數研究而言,著實沒有追求資料絕對精準之必要,概括處理應是平衡個人資料隱私保護與資料可用性最理想之去識別化方法。資料提供者為確保去識別化是否能完全斬除或至少大幅降低再識別風險,進而降低侵權風險,在交易前應對去識別化之效果進行驗證。巨量資料去識別化是否確實之驗證,應該挑選個人已知的幾筆資料,確認是否由這幾筆資料即可識別出特定人。