• 安策数据加密保护-如何进行匿名处理,以平衡个人信息保护和数据要素流动的需求?

    欧盟数据保护委员会(EDPB)对匿名化的界定是:不能和任何人关联的信息才属于匿名化信息,要切断一切可能的合理的关联,并且强调持续跟踪;美国主要使用去标识化的概念,一般不使用匿名化的概念,例如在HIPPA法案中,认为去掉标识符,经专家判断没有再识别的可能,就不属于HIPPA规定的可识别自然人的健康信息,美国也趋向于要对匿名化效果进行持续跟踪。新加坡《基础匿名化指南》

    认为匿名化是一个基于风险管理的过程,并给出了数据匿名的五步指引:识别数据、对数据进行去标识化、应用匿名化技术、评估重识别风险、管理数据重识别与泄露风险。

    在标准化方面,国际标准组织在多项标准中给出定义。ISO19731:2017《用于市场,观点和社会研究的数字分析和网络分析-词汇和服务要求》中对匿名化给出的定义是:删除、模糊、聚合或更改标识符的过程,目的是防止识别与数据最初相关的个人。ISO/IEC29100:2011《信息技术-安全技术-隐私框架》中对匿名化的定义是:PII被不可逆转的改变的过程,并且PII主体不能被直接或间接的标识,无论是被PII控制者单独标识还是联合其他方。并且,ISO/IEC29100:2011在正文中对匿名化的含义进行了补充,即在匿名化过程中,身份信息要么被擦除,或者别名被破坏,并且与别名相关的分配函数或表也被破坏。目前,ISO其他标准中普遍采用了29100中匿名化的定义。

    匿名化有争议或失败的案例有:

    案例1:2006年,为了学术研究,美国在线公司(AOL)公开了一些做了去标识和脱敏处理的匿名化的搜索记录。但是《纽约时报》通过这些记录,找到了真实世界中对应的一个人。后来AOL遭到起诉,为此赔偿了大概总额高达500万美金的罚款。

    案例2:美国某州的医疗部门发布医疗数据集,把患者的姓名和地址数据删除,保留了邮编、生日、性别,另外一个部门发布了选民登记表,包括邮编、生日、姓名、性别,最后研究人员发现可以通过发布数据中的同类型字段将两个数据集进行关联。

    被认可的匿名化案例有:

    案例1:美国人口普查局用差分隐私创建合理准确的会计人口普查数据,Chrome浏览器用差分隐私收集用户计算机运行进程名称和用户主页的汇总统计信息,通过差分隐私随机化之后无法确定特定用户的进程或主页,被监管当局认可。

    案例2:2015年,爱沙尼亚的一个研究机构研究大学期间工作和不能按时毕业之间的关联,将1000万个可识别的税务记录与60万个可辨认的教育记录相关联后进行分析,并使用安全多方计算(MPC)进行统计分析。数据保护局在研究了该方案的技术和组织控制措施后,给出结论是未处理任何个人数据。

    在开放空间里高维关联之下是没有办法做到彻底的匿名化,彻底的匿名化仅是理论上的定义,在现实中“不存在”,这里的不存在是指无法通过科学方法求证得出确定结论。

    版权声明: SafePloy安策利用网络资源获取的信息安全资料加上公司技术人员的理解整理产出的技术交 流文档,如有版权意见,请及时告知安策公司,我们将及时查证纠正错误,谢谢支持。有问题请及时电邮 market@ SafePloy.com

    来源:安策科技、 | 关键词:密钥安全实践  数据安全性  云信任   | 受欢迎指数(

与我们一起实践安全的客户代表