个人信息“匿名化”后的安全风险评估图
从风险管理的角度来看,有一种风险管理“匿名化”判断方法值得商榷。比如银行达到什么样的安全水平,就可以进行交易,或者当异常交易的比例低于阈值时,就可以认为交易是安全的;另一个例子是,一个非常敏感的数据采用了一个通用的密码算法进行加密,可以认为数据是安全的,除了排除国家级威胁源可能使用超级计算机破解和个人习惯导致密钥泄露的问题。以上两个例子,交易安全保护个人财产权益,数据加密保护个人或组织利益。目前,这种做法已经得到认可。匿名的目的是什么?无非是个人权益。只要个人权益能得到保障,匿名边界的讨论有那么重要吗?
因此,当该组织声称它采取了匿名措施时,它不能纠结于它是否符合匿名的概念,而是通过确定它是否采取了足够的措施来确定匿名措施的有效性(是否达到了匿名的效果)。对于风险判断,首先可以明确数据处理场景,然后从技术要素(技术恢复的可能性、成本等)、管理要素(处理过程的标准化、参与者的可靠性、是否通过购买网络保险转移风险等)、法律要素(合同约定,重点识别相关行为本身是否被禁止,是否有能力救济等),分析对个人权益的影响和安全风险,采取的措施是否适应风险。
就上述评估而言,GB/T39335年《个人信息安全影响评估指南》提供的个人权益影响和风险评估方法可供参考。事实上,这个标准是在A.四人信息匿名化和去标识化效果评价提供指导,供参考。
如果评估认为存在以下风险,则可以认为匿名措施不足。包括但不限于:1)现有实际案例证明,技术措施不能切断数据集与个人的关系;2)已确定或与特定个人相关的同类型方案;3)新的攻击形式导致原技术措施失败,如针对TEE侧信道攻击、差异隐私技术差异攻击等。;4)原本认为匿名数据在应用过程中仍对相应的个人权益产生不利影响;5)匿名数据作为模型输入数据,间接影响个人权益。
如果需要对匿名后的风险值进行定量评估,则可以通过重标识风险的定量来判断单个数据集匿名后的风险值。然而,对匿名多数据集的风险评估缺乏共识。
即使匿名,也需要考虑数据处理的合法性基础。例如,匿名数据可能构成重要数据,需要严格限制数据使用、跨境等场景,遵守相关法律法规的要求。
个人信息“匿名化”后的风险与数据利用存在的风险有何关联?如何让“匿名化”后的风险程度与数据利用的风险程度相适应?