安策数据加密保护-目前，国内各行业、领域对个人信息匿名化的态度如何？趋势是什么？

2021年7月15日，几位欧盟隐私保护专家针对欧盟立法中对于匿名化的不一致性做出了评判和分析，并为欧盟相关机构的下一步工作提出了意见。报告中指出，完全匿名化数据几乎是不可能的，重新识别的可能性仍然存在，并针对匿名化的下一步解决方案给出如下建议：1）放弃匿名化接受假名化；2）认为重识别的风险足够小就可达到匿名化；3）依靠受信任的第三方；4）采用新兴技术方案。

美国主要采用去标识化和假名化的概念，很少使用匿名化的概念，比如，NISTTR8053《个人信息去标识化》中就明确说明：由于匿名化概念的不统一，所以本文档里面不用匿名化的概念，用去标识化的概念，去标识化有时可以重标识，有时不能重标识。

我国虽然在《个人信息保护法》中明确了匿名化的概念，但是由于缺乏证明做到绝对的“无法识别”的标准，比较通行的做法是：在大部分仍需针对个体提供服务的场景下，企业会使用去标识化来表述所采取的措施。在统计相关的处理场景下，企业才可能使用匿名化的表述。

对于何种数据处理方式可达到被认可的匿名化，在发布的规章、规范性文件、标准等文件中，提供了以下较为明确的观点：

国家互联网信息办公室等5部门发布的《汽车数据安全管理若干规定（试行）》第八条明确指出，因保证行车安全需要，无法征得个人同意采集到车外个人信息且向车外提供的，应当进行匿名化处理，包括删除含有能够识别自然人的画面，或者对画面中的人脸信息等进行局部轮廓化处理等。事实上，即使做到将个人的人脸彻底抠除，也有可能通过画面中的其他信息，如衣服、环境、时间等因素，与其他数据集进行对照（如附近监控信息）找出某个人的身份，只是难度极大、概率极低。

CCSA广告子组团标《互联网广告匿名化实施指南》提出了基于“技术环境+合规环境+管理环境”的匿名化实施路径，广告行业作为个人信息密集利用的行业，该指南希望能在合法、合规的前提条件下，制定能平衡安全合规和市场需求的标准，为广告行业匿名化方案提供指导，也为其他领域的匿名化活动提供参考。

信安标委（TC260）在研国标《信息安全技术个人信息去标识化效果评估指南》中将去标识化后的个人信息，能以多大概率识别个人信息主体的角度由高到低分为4级，其中3级数据是“消除了直接标识符，但包含准标识符，且重标识风险低于设定阈值”，4级数据是“不包含任何标识符（包括直接标识符和准标识符）。从去标识化效果的角度分析是否达到匿名化也是一条可行的路径。

从趋势来看，各国均可能会在相关文件中对匿名化或者等同匿名化的场景作出和更进一步的解释，还有部分国家通过实际的案例来逐步框定匿名化的具体边界，阐明何种处理将达到匿名化的效果，以促进匿名化措施的落地。否则，匿名化概念的提出将没有意义。

版权声明: SafePloy安策利用网络资源获取的信息安全资料加上公司技术人员的理解整理产出的技术交 流文档，如有版权意见，请及时告知安策公司，我们将及时查证纠正错误，谢谢支持。有问题请及时电邮 market@ SafePloy.com

来源：安策科技、 | 关键词：数据安全性  云信任  密钥安全实践   | 受欢迎指数（）