GDPR欧盟《通用数据保护条例》数据的匿名化和假名化 anonymization pseudonymization

Events 未分类

GDPR(欧盟的通用数据保护条例):https://gdpr-info.eu/

CELEX_32016R0679_EN_TXT

文件下载 http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679

Youtube相关介绍:https://www.youtube.com/watch?v=ImU7alYn_rk

一、匿名化数据(anonymous information)

仔细阅读GDPR序言(26)发现其提供了匿名化的概念定义,这一点在WP29有关匿名化措施的意见中得到验证。其表示要匿名化数据,必须去除数据中足够的元素,以使数据主体无法再被识别。更准确地说,必须以这样的方式处理数据:不再通过控制者或第三方使用“可能合理使用的所有手段”将其用于识别自然人。一个重要因素是处理必须是不可逆的,但文本并未阐明如何执行这种取消识别的过程。其次,匿名化数据的重点在于结果,即数据应避免通过“所有”“可能”和“合理”的方式识别数据主体,对于何为合理的手段,GDPR强调应在当时的技术水平下综合考虑识别的成本和时间。

其次,WP29工作组在意见中澄清,假名化不属于匿名化的方法,二者应当区别开来。GDPR序言26条给出的是匿名化数据的定义(anonymous information),即合理可能的无法识别。

“To determine whether a natural person is identifiable, account should be taken of all the means reasonably likely to be used, such as singling out, either by the controller or by another person to identify the natural person directly or indirectly. To ascertain whether means are reasonably likely to be used to identify the natural person, account should be taken of all objective factors, such as the costs of and the amount of time required for identification, taking into consideration the available technology at the time of the processing and technological developments. The principles of data protection should therefore not apply to anonymous information, namely information which does not relate to an identified or identifiable natural person or to personal data rendered anonymous in such a manner that the data subject is not or no longer identifiable.”

“数据保护原则应适用于已识别或可识别自然人的相关信息。通过使用附加信息可对自然人恢复识别的假名化数据应被视为可识别的自然人数据。为确定自然人是否可识别,应考虑所有可能使用的合理手段,例如由控制者或其他人可以直接或间接地筛选识别出某个自然人。为了确定是否使用合理的手段来识别自然人,应将所有的客观因素都纳入考虑,例如识别所需的成本和时间,同时需要考虑到彼时的处理技术和科技发展水平。因此,数据保护原则不应适用于匿名化数据,即与已识别或可识别自然人无关的数据,或经匿名化处理后以对数据主体而言不可识别或不再可识别的方式提供的个人数据。因此,本法规不适用于此类匿名化数据的处理,包括用于统计或研究目的。”

此外,电子隐私指令也引用了“匿名化”和“匿名数据”,涉及到的条文如下主要有序言26条:

“在提供服务之后,也应删除用于营销通信服务或用于提供增值服务的交通数据或将其匿名化”。(anonymous)

正文第6条第(1)款规定:(anonymous)

“由公共通信网络或公共可用电子通信服务的提供者处理和存储的与订户和用户有关的业务数据,在出于不影响本款规定的目的而不再需要用于传输通信的情况下,必须予以删除或匿名化。第2条,第3条和第5条以及第15条第(1)款。”

此外,根据第9条第1款:

“在可以处理与公共通信网络或公共可用电子通信服务的用户或订户有关的交通数据以外的位置数据的情况下,此类数据只能在匿名的情况下或在用户或订户的同意下进行处理在提供增值服务所需的范围和期限内。”

二、假名化数据(pseudonymisation)

与匿名化措施相区别,假名化技术也是保障措施的一种,与匿名化不同的是假名化具有再识别的可能性,且GDPR规定假名化之后的信息仍属于可识别信息。就数据利用率而言,由于匿名化数据不属于可识别数据,因此利用率高于假名化数据。具体而言GDPR正文第4条(5)给出假名化的定义,即不借助额外信息的无法识别,且额外信息应分开储存,且采取技术及管理措施予以保护。

“‘pseudonymisation’ means the processing of personal data in such a manner that the personal data can no longer be attributed to a specific data subject without the use of additional information, provided that such additional information is kept separately and is subject to technical and organisational measures to ensure that the personal data are not attributed to an identified or identifiable natural person.”

三、匿名化数据与假名化数据澄清

在GDPR全文检索关键词“pseudonymisation”,其统共出现在六个条文中。分别为正文第4条(5)对假名化的定义,第6条关于目的兼容测试的影响因素,32条数据处理的安全性,其中列举的技术措施包括假名化,第40条表示可以制定假名化技术的行为准则,第89条以及序言156条针对公共利益、科学或历史研究或统计目的可采取的技术保障措施,其以假名化为例。

与此同时在GDPR全文检索关键词“anonymous”匿名化,除序言26条即匿名化数据定义条文外,再无其它对应规则。

如前所述,GDPR对匿名化的定义为合理可能的无法识别,而假名化措施仅为不借助额外信息的无法识别,二者在可识别程度上相差甚远。经过本文的对比分析,发现GDPR除去在序言处介绍了匿名化措施以外,在正文的其它部分说明何为可行的安全加密措施时,引导举例的全部都是假名化措施。然而一些有关GDPR的中文译本,却将“假名化”译为“匿名化”,在一些重要的条文比如目的兼容测试的影响因素中,虽然只差一字但其影响却十分重大。比如在判断数据预期处理目的(进一步处理)是否与初始目的兼容时,预期处理是否“具有加密与假名化措施等恰当保护措施”是判断预期处理是否与初始目的兼容的因素之一,若将此处的假名化措施替换做匿名化措施,无疑是抬高了目的兼容的认定标准。此外,若根据GDPR第89条的规定,若数据处理是为了实现公共利益、科学或历史研究或统计目的的,其在满足目的兼容测试的基础上,还需要对后续处理行为采取技术安全保障措施,比如假名化。同样,若此处替换做匿名化安保措施,也无疑是增加了处理使用此类数据的难度,从而导致相关条文的技术安保标准过高,为相关实践应用带来许多难题。

具体条文详情如下:

l 第6条处理的合法性

4.当处理的目的并非建立在个人数据收集时数据主体所同意的基础上,或者不是根据欧盟或成员国的法律基础上为了保护23(1)条所提到目的而采取民主社会中的必要与恰当措施时,控制者为了确定为另一目的而进行的处理是否与其初始收集的目的相容,应当考虑包括 但不限于如下的因素:

(e) 是否具有加密与假名化措施等恰当保护措施;

l 第32条 处理的安全

1.在考虑了最新水平、实施成本、处理的性质、处理的范围、处理的语境与目的之后,以及处理给自然人权利与自由带来的伤害可能性与严重性之后,控制者和处理者应当采取包括但不限于如下的适当技术与组织措施,以便保证和风险相称的安全水平:

(a) 个人数据的假名化和加密;

l 第40条 行为准则

2.协会以及其它代表某类控制者或处理者的实体为了对适用本规则进行细化,可以起草行为准则,或修正或延长此类准则,例如,它们可以起草涉及到如下事项的准则:

(d)对个人信息进行假名化处置

l 第 89 条 为了实现公共利益、科学或历史研究或统计目的处理中的安全保障与克减 (序言156与此表达为同义)

1.为了实现公共利益、科学或历史研究或统计目而处理,应当采取符合本条例的恰当防护措施,保障数据主体的权利与自由。这些防护措施应当确保,为了保证数据最小化原则,已经采取技术与组织性的措施。这些措施可以包括假名化,如果匿名化也能实现上诉目的。如果在进一步处理中实现对数据主体无法识别也可以实现上诉目的,那就应当采取这种方式处理。