來源:資料信任與治理
僅供學習,如有侵權,請聯絡刪除!
導讀
2025年1月17日,歐洲資料保護委員會(European Data Protection Board,下稱“EDPB”) 釋出了《關於假名化的指南 01/2025》( Guidelines 01/2025 on Pseudonymisation for public consultation,下簡稱《指南》)。《指南》詳細介紹了 《通用資料保護條例》(下稱“GDPR”) 下假名化的定義、法律分析、技術措施和實際應用示例。《指南》強調,假名化可以減輕資料主體的風險並有助於遵守資料保護原則,但也指出假名化可以被逆轉,因此需要謹慎的控制和安全措施。《指南》建議控制者如何實施假名化,包括確定目標、選擇資料以及選擇方法和保障措施。指南還強調了告知資料主體有關假名的重要性以及涉及假名化的安全漏洞的影響。
以下是《指南》全文的中譯本,供讀者參考。為保證閱讀的流暢性,本文對腳註及附錄內容有刪減。
後附原文連結
《指南》做出了兩個重要的法律澄清:
首先,假名化資料仍然是與可識別自然人相關的資訊,儘管這些資料可能無法直接識別個體。只要資料控制者或其他人能夠透過附加資訊將資料重新關聯到特定個人,這些資料依然被視為個人資料。
其次,假名化可以有效降低資料使用的風險,並在符合GDPR其他要求的前提下,使得資料使用者更容易以合法利益作為處理的法律依據(GDPR 第6(1)(f)條)。同時,假名化還可以幫助確保資料處理與原始處理目的的一致性(GDPR 第(6)(f)條)。
此外,指南還探討了假名化如何協助組織履行 GDPR 中關於資料保護原則(第5條)、隱私設計和預設保護(第25條)以及資料安全(第32條)的相關義務。
最後,指南分析了使用假名化時需要採取的技術措施和保障措施,以確保資料的機密性,並防止未經授權的個人識別。
該指南將在2025年2月28日之前開放公眾諮詢,允許利益相關者提出意見,併為今後的法律發展提供參考。
1 引言
《指南》旨在澄清資料控制者和處理者使用假名化的方式及其好處。
GDPR在歐盟法律中首次定義了“假名化”一詞,並多次提到假名化是一種可以適當且有效滿足資料保護義務的保障措施。歐盟及成員國的法律在要求或推薦使用假名化時,依據這一定義,例如歐盟第2023/2854號條例第17(1)(g)條和歐盟委員會《歐洲健康資料空間條例草案》第44(3)條。
GDPR第4(5)條定義了假名化為一種處理方式,並規定了實現其效果所需採取的措施。
假名化的目標是透過限制某些人員或各方對個人資料的歸屬能力,從而控制個人資料與特定資料主體的關聯。GDPR並未明確規定這些人員或各方應為誰,因此,在沒有其他歐盟或成員國法律特別要求的情況下,資料控制者可以自行決定。第29項解釋性條文明確指出,當假名化操作發生在同一資料控制者內部時,其效果可能僅限於該控制者組織的某些特定部分。
為了實現假名化的預期效果,控制者需要採取三項措施。首先,他們需要修改或轉換資料。其次,控制者需將可用於將個人資料歸屬於特定資料主體的附加資訊與資料主體分開儲存,即與那些需要防止歸屬行為的人或各方分開儲存。最後,控制者需要採取技術性和組織性措施,確保個人資料不會被歸屬於已識別或可識別的自然人。特別是,控制者需要防止附加資訊的未經授權使用,並儘可能控制假名化資料的流動。
作為一種保護個人隱私的技術措施,假名化已存在多年。傳統上,假名化通常指用假名替代個人的識別符號,且這些假名應選擇得不能揭示被分配者的身份。然而,GDPR提供的法律定義在三個方面與這一傳統理解有所不同。
首先,法律定義更加全面地看待假名化的效果。即,假名化後的資料不再可能在沒有附加資訊的情況下歸屬於特定資料主體。這需要審視個人資料的各個部分,而不僅僅是假名。
其次,GDPR的定義並不明確要求直接識別符號必須被假名替代。儘管明確規定,如果資料不能歸屬於個體,必須刪除直接識別符號,但GDPR第4(5)條允許保留附加資訊,以便在授權情況下實現資料與個體的歸屬。在歸屬過程中,這些附加資訊通常會將資料或資料的部分與個體的識別符號聯絡起來,這一過程通常會從插入資料中的假名開始,目的是在授權情況下實現資料歸屬。
第三,假名化不僅僅要求資料的轉換,還需要額外的技術和組織性措施,確保個人資料不能歸屬於已識別或可識別的自然人。通常,這些措施包括限制對保留附加資訊(如金鑰或假名錶)的訪問,並控制假名化資料的流動。
《指南》首先將詳細探討假名化的法律定義及其中使用的術語。什麼是“歸屬”?什麼是“附加資訊”?透過對這些問題的分析,《指南》突出了控制者在設計假名化流程時的靈活性,他們可以根據自身的目標定製假名化流程。指南還引入了一個新概念——“假名化域”,以體現這種靈活性:即確定哪些人員或組織應被排除在將假名化資料歸屬於個體之外。
在第二部分,《指南》將展示資料控制者和處理者如何利用假名化滿足資料保護要求。雖然假名化是一項有效且重要的措施,但檔案指出,它始終需要與其他措施配合使用。《指南》強調了假名化的優勢,特別是在隱私保護設計和預設保護方面的作用,並說明它有助於確保資料處理所需的安全性水平,尤其是在與處理風險相關的安全性要求方面。在這種情況下,假名化的效果必須與未經授權的人員或組織的能力進行對比。
第三部分,《指南》將討論如何實施假名化。具體來說,如何將個人資料轉換為假名化資料?如何防止未經授權的歸屬行為?如何將不同的假名化資料集進行關聯,且如何控制這種關聯過程?
通常,考慮到資料共享的風險,假名化不僅僅侷限於單一資料控制者的組織內。個人資料在與其他控制者或處理者共享之前,常常會先進行假名化,以減少共享過程中可能帶來的風險。來自不同控制者的假名化資料可能需要匯聚並進行關聯,或者相反,不同的資料集需要以某種方式進行假名化,確保它們無法被關聯。
《指南》的最後部分總結了假名化的實施程式,這些程式並非強制要求,而是為控制者和處理者提供的指導,幫助他們確保實施的假名化措施是有效的。
在指南的附錄中,讀者可以找到一些實際場景中的示例,展示如何透過假名化來減少資料主體面臨的風險。
2 定義與法律分析
2.1 假名化的法律定義
根據GDPR第4(5)條,假名化被定義為“以某種方式處理個人資料,使得這些個人資料無法再透過不使用附加資訊的方式歸屬於特定資料主體,前提是這些附加資訊被單獨儲存,並且採取技術性和組織性措施以確保個人資料不會被歸屬於已識別或可識別的自然人。”
將資料歸屬於特定(已識別的)個人,意味著確認資料與該人相關聯。而將資料歸屬於可識別的個人,意味著將資料與其他資訊相連結,透過這些資訊可以識別出該自然人。這種關聯可以基於一個或多個識別符號或識別屬性建立。
假名化通常需要應用假名化轉換過程。這是一個修改原始資料的程式,使得結果——假名化資料——在沒有附加資訊的情況下,無法歸屬於特定資料主體。假名化轉換通常會替換部分原始資料,用一個或多個假名——新的識別符號,這些識別符號只有在使用附加資訊時才能與資料主體關聯。具體細節請參見第3.1.1節。《指南》將稱那些使用假名化作為保障措施並根據GDPR第4(5)條修改原始資料的控制者為“假名化控制者”。處理者使用類似術語。
附加資訊是指能夠透過其使用使假名化資料與已識別或可識別的自然人關聯的資訊。附加資訊的生成或使用是假名化轉換的一部分。
這包括作為假名化過程一部分保留的資訊,用於確保不同的個人資料項在關聯到同一資料主體時的一致性假名化,以及為以後可能的假名化逆轉而保留的資訊。此類附加資訊可能包括將假名與其替代的識別屬性對應的表格,也可能包括加密金鑰。假名化控制者或處理者所保留的附加資訊必須採取技術性和組織性措施,確保這些個人資料不會被歸屬於已識別或可識別的自然人。特別是,附加資訊不得被處理假名化資料的人員獲取或使用。這些附加資訊本身也可能是個人資料,因此同樣需遵守GDPR的相關規定。
附加資訊也可能存在於假名化控制者或處理者直接控制之外。假名化控制者或處理者應在評估假名化效果時考慮這些資訊,尤其是在合理預期這些資訊可能被獲取的情況下。例如,來自公開渠道的資訊,如社交媒體帖子或線上論壇內容,可能有助於將假名化資料歸屬於特定資料主體。透過這樣的評估,控制者可以判斷是否需要採取額外措施,以避免資料被誤歸屬。
如果假名化資料可以透過使用附加資訊歸屬於自然人,那麼這些資料應被視為已識別的自然人資訊,因此屬於個人資料。這一點同樣適用於假名化資料和附加資訊不在同一方手中的情況。如果假名化資料和附加資訊能夠透過控制者或其他方合理可能使用的手段結合,那麼這些假名化資料仍然屬於個人資料。即使假名化控制者所保留的所有附加資訊都已被刪除,假名化資料僅在符合匿名條件時才能被視為匿名資料。
假名化是一種技術性和組織性措施,可以幫助控制者和處理者降低資料主體的風險,並履行其資料保護義務,例如GDPR第25條或第32條的要求。因此,如果控制者在處理個人資料時應用假名化,那麼該個人資料的處理操作的法律依據將擴充套件到所有為應用假名化轉換所需的處理操作。
歐盟或成員國法律可能要求在特定情況下對個人資料進行假名化處理,例如,在根據GDPR第6(1)(c)或第6(1)(e)條提供法律依據時,或在根據GDPR第9(4)條的進一步條件下進行處理。在這種情況下,法律可能還會規定假名化過程或結果必須滿足的具體要求,或者假名化應當實現的目標。
當缺乏此類特定的假名化要求時,控制者可以自行定義假名化應當實現的目標。這些目標可以與控制者自身打算執行的處理活動相關,或者與接收這些資料的第三方對假名化資料的後續處理相關。
2.2 假名化的目標與優勢
根據GDPR第28條的解釋,假名化資料有助於減少資料主體的風險,同時支援資料的廣泛分析。
2.2.1 風險減少
當假名化有效實施時,它能夠有效減少保密風險,這要求第20段中提到的附加資訊必須採取GDPR第4(5)條所規定的相關措施。假名化透過兩種方式來降低風險:首先,它能防止將資料主體的直接識別符號洩露給部分或所有合法接收假名化資料的主體;其次,如果發生未經授權的資料披露或訪問,假名化可以減少由此帶來的保密風險的嚴重性,特別是在防止接收資料的人員訪問附加資訊的情況下,從而減輕資料主體受到的不良影響。
假名化還可以減少功能蔓延的風險,即避免個人資料被進一步處理,且這種處理與原始收集目的不相符。因為處理者或在控制者或處理者授權下行事的人員,即使能訪問假名化資料,也無法將這些資料用於需要歸屬資料主體的目的,特別是那些需要與資料主體直接互動的目的。
最後,根據所使用的技術,如果為具有相似識別屬性的個人分配差異較大的假名,不僅能夠增強資料的保密性,還能減少資料準確性風險,從而降低錯誤歸屬資料或物品給錯誤資料主體的風險。
假名化實施的有效性決定了資料主體的風險減少程度,以及控制者可以從中獲得的利益,包括履行GDPR第24、25和32條規定的資料保護義務,詳見下文第2.4.1和2.4.2節。
2.2.2 假名化資料分析與計劃性歸屬
假名化資料通常可以進行有意義的分析,因為在很大程度上,原始資料的內容仍然可以被評估。此外,假名的引入使得可以在無需使用附加資訊的情況下,將與同一人相關的多個假名化資料記錄進行關聯。
在完成分析後,假名化可以部分或完全逆轉,方法包括:
a. 識別資料主體;
b. 將假名化資料與原始資料進行關聯;
c. 使用控制者為此目的保留的附加資訊,從假名化資料中重建原始資料(計劃性歸屬)。這一逆轉操作應當由專門授權的人員執行,參見GDPR第29條。在相同條件下,假名化在個別情況下也可以因特定情況的適用而被逆轉,同時繼續預設以假名化方式處理大部分資料,參見附錄中的示例3。
此外,使用附加資訊可能有助於將不同的假名化資料集進行關聯,即使這些資料集在最初確定處理目的和手段時並未規劃關聯。進行此類資料集關聯的處理也應當僅由專門授權的人員執行。
需要注意的是,本節中提到的所有處理操作(包括資料集關聯)必須遵守GDPR的規定,特別是需遵循GDPR第5條所列的資料保護原則,並且,特別是,需要有GDPR第6條規定的合法依據。
2.3 假名化領域與可用的歸屬手段
資料控制者可以根據風險評估定義假名化的上下文,在該上下文中,假名化應當防止資料被歸屬於特定的資料主體。控制者需要對附加資訊採取技術性和組織性措施,確保在該上下文中操作的人員無法將假名化資料歸屬於資料主體。這意味著,能夠實現資料歸屬的附加資訊應當與假名化資料分開儲存。《指南》將該上下文(包括其中操作人員、物理和組織結構,以及可用的IT資產)稱為“假名化領域”。
假名化領域可以由假名化控制者根據需要與預定的合法接收者集合重合,即假名化資料的合法接收方。
此外,假名化控制者在定義假名化領域時,可以選擇將非合法接收者納入其中,儘管這些人可能並非合法接收者,但他們仍有可能嘗試訪問資料。控制者這樣做的目的是為了減輕這些人員未經授權訪問資料所帶來的負面影響。
總結來說,根據假名化的目標和風險評估,控制者可以定義假名化領域的範圍,例如僅包括控制者的一個組織單位、一個外部接收者、所有授權的合法接收者、或者一系列外部實體,這些實體可能嘗試在未經授權的情況下訪問資料。
為了在單一組織單位或一組合法接收者範圍內有效實施假名化,所有相關的控制者和處理者應選擇適當的技術性和組織性手段——如果可以有效執行,可能還包括法律保障措施(例如合同)——確保假名化資料不會離開假名化領域,否則可能會繞過假名化所提供的保護,詳見第3.2.2節。
處理假名化資料的控制者應當採取相應措施,確保假名化領域內的人員無法逆轉假名化過程。為此,控制者可以選擇限制處理假名化資料所需的資源,並確保允許將資料歸屬於資料主體的附加資訊不會進入假名化領域。
如果假名化領域由一組已定義的接收者組成,並且在該領域內有效執行和維護了前述措施,那麼只需要考慮在計劃的處理上下文中可用於將假名化資料歸屬於資料主體的手段。具體而言,如果資料在假名化後仍由同一控制者處理,那麼假名化領域的範圍並不包括整個控制者,而僅包括在其授權下處理假名化資料的人員(這些人員的例外情況是那些被授權使用附加資訊將假名化資料歸屬於個人的人)、他們掌握的資訊以及他們使用的系統和服務。
如果控制者或處理者希望透過假名化降低來自某些或所有未經授權的第三方的機密性風險,他們應將這些第三方納入假名化領域,並評估其可能合理使用的歸屬手段。相關的第三方不僅包括網路犯罪行為者,還包括那些以個人利益為主,而非根據控制者指示行事的員工或維護服務提供者。在考慮具體情境和實際情況時,建議考慮那些本著誠信行動的行為以及那些具有犯罪意圖的行為。
例如,假名化可能會在資料傳輸到處理者或第三方之前進行,這些接收方可能只提供一種安全級別,這種級別對於處理原始資料來說不合適,但對於處理無法歸屬到資料主體的資料所涉及的風險來說是適當的。在這種情況下,需要考慮所有可能被未經授權方在接收方(授權接收方)處理假名化資料時使用的手段。
2.4 使用假名化滿足資料保護要求
控制者和處理者可以有效地使用假名化來滿足某些資料保護要求。然而,需要注意的是,儘管假名化是一種有價值的工具,但通常在配合其他措施時效果更佳。控制者需要評估所採取的所有措施的適當性,以確定這些措施是否足以滿足相關的資料保護要求。評估假名化在防止將假名化資料歸屬於資料主體方面的有效性,是這一評估的重要組成部分。
2.4.1 假名化作為資料保護設計與預設實施的有效措施
控制者和處理者可以將假名化作為多個技術性和組織性措施之一,以實現《通用資料保護條例》第25條第1款規定的資料保護原則,特別是資料最小化和保密性原則。假名化還可以有助於保障合法性、公正性、目的限制和準確性等原則。以下段落詳細說明了假名化在實現這些目標中的應用,既包括內部處理假名化資料的情形,也包括將其傳輸給其他方的情況。
2.4.1.1 內部處理中的資料最小化、保密性和目的限制
對於控制者自身的處理,假名化可以作為一種適當的措施,當處理的資料在特定目的下不需要歸屬於資料主體時。在這種情況下,假名化允許在需要處理特殊情況或為了其他目的的後續處理時將資料與資料主體關聯起來。有關此類假名化使用的示例,請參見附錄中的示例1和示例2。
在內部處理的情況下,只要處理假名化資料的人員符合以下條件,假名化可以有效地幫助實施上述原則:
-
他們不能重構在假名化過程中被省略或轉換的屬性的原始值。 -
他們不能將假名化資料與其他與同一資料主體相關的資料進行關聯(除非資料在第一次處理時已“始終一致”地進行了假名化)。 -
他們不能根據處理假名化資料所獲得的資訊單獨識別出資料主體。
2.4.1.2 針對預定義的接收方的資料最小化、保密性和目的限制
當資料需要傳輸給外部接收方並由其處理時,無論是處理者還是控制者,假名化也可以作為實施資料最小化、保密性以及可能的目的限制原則的適當措施。其典型目標是防止接收方及其授權人員獲取他們在當前資料處理過程中不需要的識別資訊。此外,還可以確保資料主體在計劃處理範圍外不會因接收到的資料而受到不同對待。另一個目標可能是防止資料被傳輸後,由接收方用於某些不相容的目的(如個性化廣告),這些目的需要在接收方手中進行資料關聯,而這一點正是透過假名化加以防範的。在這種情況下,假名化控制者需要設定假名化領域,將所有預定接收方包括在內。
需要注意的是,原始控制者透過假名化也有助於作為接收方的控制者履行其資料保護義務,特別是在資料最小化原則、資料保護預設設定以及保持適當安全級別方面。
只要採取了相應的保障措施(包括合同或法律行為),限制假名化資料的披露範圍在定義的接收方內,假名化便能有效地有助於實施上述三項原則,前提是所有接收方滿足上述條件。
對於外部處理,即在處理者的指示下進行處理或傳輸給獨立的控制者,可能需要更多的措施和風險評估,以防止資料歸屬於資料主體。特別是,所有預定接收方必須能夠明確保證,假名化資料不會被洩露給定義領域之外的未經授權的接收方。對於處理者,根據GDPR第28條,還可以透過審計等附加工具支援這一保證。
假名化資料的傳輸也可能發生在合作的控制者之間,這些控制者可能希望防止某些組織單元的成員在訪問假名化資料時能夠將資料歸屬於資料主體,即使在這些控制者授權下的其他人員可能具備進行歸屬的能力。在這種情況下,假名化領域應由這些組織單元組成,而不是控制者本身。參與的控制者需要明確確保他們可能訪問的任何相關附加資訊不會洩露給定義領域之外的未經授權的接收方,並且只有授權人員才能進行假名化逆轉。為此,可能需要採取技術性和組織性措施以及法律保障措施。
同樣,假名化也可以作為處理個人資料的適當措施,特別是在公共利益、科學或歷史研究目的或統計目的下進行存檔處理時,旨在確保遵守資料最小化原則(GDPR第89條第1款)。這一應用在附錄中的示例5中有所說明。
2.4.1.3 合法性、公平性和準確性原則
某些歐盟或成員國的法律可能要求特定資料進行假名化,以確保其處理合法性,從而使假名化成為實現合法性原則的必要措施。
在基於GDPR第6條第1款第(f)項規定的合法利益進行處理的情況下,除公共權力機關履行其職能外,控制者可以考慮假名化所帶來的對資料主體權利和自由風險的減少(就像其他有效的保障措施一樣)。例如,在評估其合法利益是否被資料主體的基本權利和自由所優先時,可以考慮使用假名化。附錄中的示例7說明了這一目的的應用。
在考慮進一步處理是否屬於“相容目的”時,假名化也可能是一項適當的保障措施,因為它可以根據《通用資料保護條例》第6條第4款(d)和(e)項限制進一步處理對資料主體可能產生的後果。附錄中的示例7和8展示了這一應用。
在實施公平性原則時使用假名化的例子,請參見附錄中的示例10。
最後,考慮到風險降低,適當的假名化程式也能有助於實現準確性原則,附錄中的示例4對此作了說明。
2.4.2 確保適應風險的安全級別
假名化可以作為若干措施之一,幫助實現與資料處理活動風險相匹配的安全級別,符合GDPR第32條第1款的要求。假名化可以降低未經授權訪問資料所產生後果的嚴重程度。在假名化領域內,任何未經授權訪問假名化資料的人員都不應能夠輕易地利用這些資料對資料主體造成不利影響,除非他們還能夠非法訪問用於歸屬的相關附加資訊。控制者和處理者仍需提供適當的安全保障,以應對處理假名化資料過程中剩餘的風險。對於處理者,根據GDPR第28條第1款的要求,他們需要提供充分的保障,確保實施適當的技術和組織措施,以確保這一安全級別。附錄中的示例6展示了使用假名化來降低安全風險的例項。
為了使假名化成為有效的安全措施,足以將假名化資料歸屬到可識別的自然人所需的附加資訊應該僅在假名化領域之外可用。因此,控制者或處理者需要確定假名化資料應當保護的物件,並評估這些物件是否有合理手段訪問與資料主體相關的附加資訊。根據這一評估,控制者需要設計假名化程式,確保歸屬所需的附加資訊超出了這些選定物件所擁有的,或超出了他們透過合理努力可以獲得的範圍。
然後,控制者需要採取技術和組織措施,防止假名化領域內的相關人員使用附加資訊。這不僅包括應用或撤銷假名化轉換所需的資訊,還包括如果保留原始個人資料或從中衍生的其他資料,這些資料繼續儲存的安全性。透過假名化所實現的安全級別取決於假名化資料和相關附加資訊的安全性。如果未經授權的人員容易獲得相關附加資訊,那麼假名化的安全效益就會非常有限,甚至可能被忽略或喪失。
由於有效的假名化可以減輕資料洩露的不利影響,因此在評估控制者根據GDPR第33條和第34條的義務時,也可以考慮假名化的應用。特別是,它可以被視為一種適當的技術和組織措施,幫助限制個人資料洩露的影響,符合第34條第3款(a)項的要求。然而,未經授權訪問的資料內容仍然可以被訪問者分析。因此,在這種情況下需要進行仔細分析,以確定假名化是否足夠減輕資料洩露帶來的風險,從而使得不需要將洩露事件通報給受影響的主體,符合GDPR第34條第1款和第3款的要求。
2.4.3 假名化作為第三國資料傳輸的補充措施
假名化可以作為一種“補充措施”,幫助確保遵守GDPR第44條和第46條第1款的規定。如果沒有依據GDPR第45條第3款作出的決定,控制者或處理者僅在提供適當保障並確保資料主體的可執行權利和有效法律救濟措施可用的情況下,才可以將個人資料傳輸到第三國或國際組織。然而,由於第三國的立法或實踐,適用的適當保障(例如具有約束力的企業規則、標準合同條款)可能無法有效執行,第三國公共機關可能無法排除訪問傳輸資料的可能性。在這種情況下,假名化可以作為一種有效的措施,保護傳輸到第三國的個人資料,防止該國公共機關的不當訪問,前提是滿足《(EDPB)2020年1號推薦》附錄2第85段中列出的條件。附錄中的示例9展示了這種應用場景。
這些條件包括:
-
將假名化資料歸屬給特定資料主體需要使用附加資訊,而接收國的公共機關既不擁有,也無法透過合理手段獲取這些附加資訊; -
附加資訊僅由資料出口方持有,並與成員國或信賴的EEA內實體(或提供與EEA內保障等效保護水平的司法管轄區內的實體)分開儲存; -
公共機關無法透過假名化資料和他們能合理獲取的資訊,在與一群人的互動中單獨識別出資料主體。
這意味著,如果外國法律或實踐允許公共機關訪問假名化資料,那麼這些公共機關必須受到假名化領域的框架限制。
因此,設計假名化程式時,首先需要評估接收國的公共機關可以預期掌握或透過合理手段獲取哪些資訊,即便這些手段可能違反第三國的法律規範。必須假定這些資訊會在假名化領域內可用。
作為額外的補充措施,所有持有附加資訊的實體應向資料出口方提供充分的保障,並透過合同或法律行為(例如職業保密義務)約束其不得洩露附加資訊。此外,如果進口方能夠訪問用於儲存附加資訊的出口方技術基礎設施,出口方需要對該基礎設施保持獨立的法律和行政控制,並確保附加資訊的訪問僅限於其自身員工。
最後,資料出口方或任何持有(部分)附加資訊的實體必須透過適當的技術和組織保障,防止附加資訊的洩露或未經授權使用。
綜合來看,這些措施可以確保資料出口方對將假名化資料歸屬到特定資料主體的控制。
類似地,假名化也可能是GDPR第49條第1款第二句中提到的適當保障。在這種情況下,如果假名化能夠顯著降低資料主體的風險,使得這些風險不再超過控制者的合法利益,那麼假名化也可作為符合該條款的適當保障。
2.5 假名化資料的第三方傳輸
假名化的控制者需要考慮,在資料傳輸到第三方時,假名化所帶來的風險降低是否仍然有效。在這種情況下,至少需要識別和考慮接收方用以將資料歸屬到特定資料主體的手段。這一點尤其重要,特別是當資料的傳輸只有在接收方保持資料假名化狀態時才是合法的。
在傳輸假名化資料之前,控制者還應根據資料最小化原則評估,是否有必要傳輸完整的假名化資料,包括假名。假名可能在將不同時間傳輸的相關資料記錄合併時需要使用,或者在需要將傳輸的個人資料或其處理結果返回給傳送方時使用。如果沒有這些必要原因,則不應傳輸假名。
此外,控制者需要評估是否應在傳輸前修改或替換假名,以最小化可能出現的風險,包括資料洩露所帶來的風險,這些風險可能會出現在他們繼續持有的資料和已傳輸的資料被不合法地或未經授權的第三方結合時。控制者應將此視為一個新的假名化過程,要求進行與原始假名化相同型別的分析和步驟,特別是要為新轉化的假名化資料定義適當的假名化領域,並建立相應的保障措施,確保這些資料不會離開該領域。如果接收方是獨立的控制者,則接收方應向傳送方通報其處理過程中的固有風險,並協助確定傳送方如何執行假名化轉換過程。
接收方可能希望依賴假名化所帶來的風險降低。歐盟或成員國的法律也可能規定他們僅以假名化形式處理個人資料。在這種情況下,接收方應確保傳送方(或任何其他持有附加資訊的實體)對附加資訊採取技術和組織措施,防止其被用於將接收的資料歸屬到已識別或可識別的自然人。假名化領域應包括接收方、其處理者及所有在接收方或其處理者授權下行動的人,至少在他們能夠訪問假名化資料的範圍內。為此,接收方可以考慮適用於傳送方的任何法律義務,例如適用於附加資訊的職業保密規則。若需要確保傳送方或任何其他持有附加資訊的實體適當處理附加資訊,接收方應與這些方簽訂具有法律約束力的協議,以確保此類處理得以執行。
傳輸的一個特殊情況是,當多個控制者希望合併不同集的假名化資料時,無論是單獨操作還是合作操作。顯然,他們必須為此操作,包括涉及的任何傳輸以及後續的處理,提供合法的基礎。除此之外,每個參與方的假名化目標應保持不變,並且在將資料進行連結或合併時,應考慮到可能導致的資料歸屬風險。因此,每個方設計的假名化領域可能需要重新評估和更新,尤其是在這種處理最初沒有預見到的情況下。有關隱私保護的連結技術方法,請參見第3.3節。
最後,控制者可能還需要考慮是否傳輸他們持有的附加資訊,這些資訊能夠將假名化資料歸屬到特定資料主體。如果附加資訊以個人資料的形式存在,當然,所有關於個人資料處理的義務都應適用。這不僅包括資料在應用假名化轉換之前的原始狀態,還包括與假名和資料主體識別符號匹配的表格等內容。無論如何,任何附加資訊的傳輸都可能對假名化的有效性產生影響,控制者需要對此進行評估。特別是,任何此類傳輸應防止附加資訊進入假名化領域。如果必要,控制者可能需要與接收方簽訂具有約束力的協議。
2.6 對資料主體權利的影響
由於假名化資料可以透過附加資訊歸屬到自然人,因此這類資料仍然屬於個人資料,適用GDPR第三章中規定的資料主體權利。
根據GDPR第11條,控制者可能無法證明自己能夠識別資料主體,包括其持有的假名化資料。如果控制者無法獲得(或不再獲得)允許歸屬的附加資訊,且無法合法獲取此類資訊,或者在另一控制者的協助下無法逆向解密假名化資料,則可能出現這種情況。因此,除非資料主體提供附加資訊,使其能夠被識別,否則第11(2)條或第12(2)條中列舉的資料主體權利將不適用。在這種情況下,控制者應根據GDPR第11(2)條的規定,儘可能地告知資料主體。
例如,如果資料主體能夠提供儲存其資料的假名或多個假名,並證明這些假名確實屬於其本人,則控制者應該能夠識別該資料主體。由此,資料主體的權利應適用於這種情況。
因此,為了充分保障資料主體的權利,控制者應在根據GDPR第11(2)條向資料主體提供的資訊中,說明資料主體如何獲取與其相關的假名,並說明如何利用這些假名證明其身份。在這種情況下,控制者可能需要提供假名化資料來源或假名化控制者的身份和聯絡資訊。
2.7 未經授權的假名化逆轉
任何導致未經授權的假名化逆轉的安全漏洞都構成個人資料洩露,因此,控制者可能需要根據GDPR的規定,向監管機構報告此類資料洩露,除非該事件不太可能對自然人的權利和自由造成風險。
如果未經授權的假名化逆轉可能對資料主體造成高風險,控制者需要向資料主體通報資料洩露的性質,以及GDPR第34(2)條規定的其他資訊。如果控制者由於缺乏足夠的直接識別資訊(儘管假名化已被逆轉)而無法與資料主體進行溝通,且其他溝通方式(例如,利用擁有足夠資訊的控制者的服務)涉及的不成比例的努力,則控制者需要透過公開通知或其他同等有效的措施進行通報。
根據GDPR第29條,處理者或在控制者或處理者授權下的人員如果逆轉假名化,違反了控制者的指令,則其行為屬於非法,尤其是在他們為了執行與控制者委託的目的無關的任務時。
3 假名化的技術措施和保障措施
3.1 假名化轉換
3.1.1 假名化轉換的結構
為確保假名化的有效性,假名化資料中不得包含直接識別符號(如國民身份證號),尤其是當這些直接識別符號在假名化域中能夠輕鬆地將資料歸屬於資料主體時。因此,這些識別符號會在假名化轉換過程中被移除。然而,直接識別符號可以被新的識別符號替代,這些新識別符號只有透過使用附加資訊才能歸屬於資料主體,這些新識別符號稱為假名。
假名化轉換實現了這一替代過程。為了確保假名化能夠達到預期效果,轉換過程中還可能修改其他屬性,例如移除、概括或新增噪聲等。
為了防止未經授權地將假名化資料與資料主體關聯,假名化轉換通常會涉及機密資料。控制者可以在執行轉換之前選擇這些資料,也可以在執行轉換過程中選擇或生成這些資料。這些資料通常是加密金鑰(用於加密或單向函式)或匹配假名和其所替代的個人資料的表格。此後,這些資料將被稱為“假名化機密”。
由於假名化機密可以用於將假名化資料歸屬於資料主體,因此它們屬於GDPR第4條第5款所定義的附加資訊。因此,控制者需要將這些機密資料與其他資料分開儲存,並採取技術和組織措施確保其保密性,防止未經授權的使用。
3.1.2 假名化轉換的型別
常見的兩種假名化轉換方式是加密演算法和查詢表。
在假名化領域內,不應能夠透過已知的識別符號將假名化資料與特定的資料主體關聯。這種關聯可以透過對識別符號應用假名化轉換,獲取假名,然後查詢與該假名關聯的假名化資料來完成。因此,轉換過程中需要包含控制者保密的資訊,且未經授權的人無法使用這些資訊。只有擁有這些秘密資訊的人,才能根據識別符號計算出相應的假名。為了降低成功猜測或暴力破解的可能性,這些秘密資訊應具有足夠的熵。對於第一類轉換,即加密演算法,這些資訊通常表現為秘密引數或金鑰;對於第二類轉換,即查詢表,控制者需將這些表格保密。
第一類轉換是加密演算法。適用的演算法包括加密單向函式,如訊息認證碼(MAC)或加密演算法。通常建議優先使用單向函式,因為即使秘密引數已知,它們的逆向計算也極為困難。然而,特定使用場景可能要求在授權情況下能夠輕鬆逆向假名化,這時可能需要使用加密演算法。如果雜湊函式作為加密單向函式的構建塊應用於假名化轉換,建議使用專門為安全密碼認證設計的雜湊函式。
加密演算法中涉及的秘密引數或金鑰即為假名化秘密。透過適當選擇演算法以及對假名化秘密應用的技術和組織措施,可以使得僅憑原始識別符號很難計算出假名並定位與特定資料主體相關的資料。此外,這樣做還能確保沒有訪問假名化秘密的人無法透過暴力破解計算出原始識別符號。
需要注意的是,來自該類的程式和引數選擇可能會面臨被突破的風險,尤其是隨著密碼分析和技術進步。因此,控制者應制定計劃,在演算法被認定為弱時進行替換。該計劃應包括在可能的情況下,透過在假名化領域內進行操作來替換已經生成的假名。最佳做法是預見一種在不需要恢復原始個人資料的情況下進行更換的程式。在許多情況下,新的假名可以透過應用第二個函式(如帶金鑰的單向函式或加密演算法)來生成,這一函式對舊假名仍然保持安全。
第二類轉換是透過建立查詢表,將識別符號與替換後的假名一一對應。在此過程中,遇到新識別符號時,會生成一個唯一的假名,並將替換後的識別符號和假名一起新增到表中。如果透過少量觀察值的猜測可以預測生成的假名,並將其與資料主體關聯,控制者則需要考慮採用更安全的假名生成方式,例如使用有效的硬體隨機數生成器或加密安全的偽隨機數生成器。
需要注意的是,涉及查詢表的程式要求至少儲存每個資料主體的記錄。查詢表本身就是個人資料,因為它允許識別資料主體。由於查詢表屬於假名化秘密的一部分,因此必須保護它們免受未經授權的訪問和使用。因此,控制者需要權衡安全儲存這一可能龐大的個人資料集合的缺點,考慮到與第一類程式相比,這種方法在避免密碼分析攻擊方面的優勢,尤其是在需要長期保障假名化不可逆性的情況下。
3.1.3 假名化目標所需的原始資料修改
在決定哪些屬性需要被假名化轉換替換或修改時,控制者應根據他們希望透過假名化實現的目標,確定假名化領域,選擇將在該領域應用的技術和組織措施,並明確可用於將資料歸屬到資料主體的手段。
在這一過程中,控制者應考慮到,這些手段不僅可能應用於單個假名化記錄,也可能應用於與同一資料主體相關的記錄連結結果。此類連結可能發生在同一資料集內,或在與其他透過相同或類似方式假名化的資料進行關聯時。連結後的資料可能會比單獨的資料記錄提供更多的屬性,從而能夠將資料歸屬於特定的人。因此,控制者應評估連結的範圍,首先要根據假名化轉換的設計來決定(見第3.3.1節),其次,技術和組織措施應有效地確保不應連結的資料集被分開。
控制者可以從潛在的權衡中受益:假名化領域越小,並且對假名化資料和其他相關資訊源的訪問越嚴格,通常來說,修改原始資料的需求就越小。
3.1.3.1 直接識別屬性的確定、替換和刪除
為實現有效的假名化,必須替換或刪除直接識別屬性。替換還是刪除這些屬性的選擇取決於處理目的和假名化的目標(見第2.2節)。
對於不需要記錄關聯的處理,資料保護設計要求刪除個體的“長期”識別符號(例如“健康服務ID”),同時將事務性或“短期”識別符號(如“病例編號”)替換為假名。
然而,如果需要記錄關聯,例如在進行長期事件分析時整理記錄,那麼可能需要將長期識別符號替換為假名,而其他識別符號則被刪除。此類長期假名僅在處理目的需要時使用。
涉及跨假名化資料集進行關聯的目的,需要使用兩個資料集中的識別符號作為假名化轉換的基礎。
3.1.3.2 闡明和處理準識別符號
將資料歸屬到自然人身上的一種方式是透過檢視資料中多個屬性,這些屬性揭示了資料主體的身體、心理、基因、經濟、文化或社會身份。如果這些屬性的組合足以將至少部分假名化資料歸屬於資料主體,則這些屬性被稱為準識別符號。人口統計資料是這種屬性的典型例子,包括年齡、性別、語言、婚姻或家庭狀況、職業、收入等。如果資料涉及員工,還可能包括其結構角色、工作小時數、工齡等。處理假名化資料的人員可能知道某些資料主體的這些屬性值,這使得他們能夠在不使用假名化秘密的情況下,將資料歸屬於這些人員,即無需逆向假名化轉換。
防止基於準識別符號的歸屬的最直接方式是刪除這些屬性。第二種方法是透過泛化和隨機化來修改這些屬性。
第三種方法,特別適用於假名化資料由假名化控制者內部處理的情況,是透過最小化可用資訊,減少需要被視為準識別符號的屬性數量,從而減少假名化領域內的準識別符號。這可以透過將假名化領域限制為少數員工,並採用技術控制來限制他們可以訪問的資訊來實現。如果評估顯示假名化資料與其他資訊關聯的風險微不足道,那麼可以保留準識別符號。
需要注意的是,當假名化旨在防止外部未經授權的第三方對資料進行安全風險攻擊時,後兩種方法不可行。
3.1.4 資料收集過程中的假名化
在資料收集過程中引入假名化有兩種方式:
a. “假名化代理”:所有相關的輸入資料首先由專門的獨立團隊進行處理。只有經過授權的人員(根據《GDPR》第29條)才能進行假名化的逆向操作,恢復原始資料以進行處理。當個別案件的特殊情況需要時,假名化會被逆轉,原始收集的資料將被交給相應部門進行處理。
b. “源頭假名化”:資料來源頭的控制者在將資料傳送給處理假名化資料的實體之前,已經對資料進行了假名化。
如果在採用第二種方式時,對資料來源的可信度存在疑慮,則可以採用加密方法,允許在後續請求時驗證在假名化過程中省略或轉換的屬性。
3.2 防止未授權將假名化資料歸屬於個人的技術和組織措施
為了防止未授權將假名化資料歸屬於個人,應從三個方面採取措施:首先,假名化轉換應透過合適的設計進行保護,確保對假名化秘密的適當安全級別;其次,應妥善處理準識別符號(見3.1.3.2節);最後,資料控制者應確保其對假名化領域的範圍、假名化資料的使用以及相關資訊源的可訪問性的假設是正確的。以下將詳細討論這些要點。
3.2.1 防止假名化轉換的逆轉
為確保假名化的有效性,必須確保僅憑其輸出,無法透過合理的努力逆轉所選擇的假名化轉換。當使用查詢表進行假名化轉換時,只需隨機生成假名即可。當使用加密演算法時,適合的構建塊包括(帶金鑰的)抗預影像的單向加密函式(如HMAC)或保證密文不可區分的加密方案(如適當模式下使用的對稱塊加密)。
如果使用查詢表或可逆的加密演算法,顯然,假名化秘密需要保密。(為了增加安全性,這些秘密也可以透過分割,例如透過秘密共享,儲存在不同的實體中。)然而,這一保密要求適用於所有型別的假名化秘密,並需要擴充套件到防止未經授權使用這些秘密的措施,因為未經授權的使用可能會構建出允許逆轉假名化的查詢表。
因此,執行假名化轉換的系統及其介面的訪問需要嚴格控制。必須確保處理系統和服務的完整性與保密性。適當的技術措施可能包括網路分段、將秘密金鑰儲存在硬體安全模組中、為API訪問提供安全認證、以及對假名化轉換的執行(特別是其逆向應用)進行速率限制和日誌記錄。適當的組織措施包括聘用經過審查並具備專門授權的人員來操作用於執行假名化轉換的系統並存儲假名化秘密。控制者應確保這些員工,以及所有與資料主體互動並訪問假名化資料的員工(例如,為了授權資料主體行使權利)接受適當的培訓。
如果假名化資料或附加資訊儲存在資料主體使用的裝置上(例如,為了使資料主體能夠行使其權利、增強透明度或減少資料的集中儲存),控制者應採取技術措施,以確保維持對資料可訪問性和流動性的假設。由於控制者通常無法控制這些裝置,因此這些措施可能特別涉及加密技術的應用或利用裝置中存在的安全元件。還應對裝置功能進行有效性評估,因為裝置生產商在設計和範圍上可能採取不同的做法。
3.2.2 確保假名化領域的安全
為了確保假名化的有效性,假名化域需要得到妥善的保護並與其他資訊進行隔離。應採取適當的措施,確保其他資訊不會進入假名化域。同樣,也應採取適當的措施,確保假名化資料不會離開該域,尤其是在資料僅限於原始控制者或明確規定的接收方時。
與所有個人資料一樣,假名化資料的流動應受到嚴格控制。持有假名化資料的控制者應明確資料應披露給誰,以及披露的範圍。應建立訪問控制系統,並確保API免受未經授權的使用。資料的副本應在不再需要時及時刪除。假名化資料傳輸到其他實體時,應僅在授權下進行,確保資料永遠不會被傳出已設定的假名化域。
為了有效應對未授權行為者,控制者需要確保用於處理其他資訊或假名化資料的處理系統和服務的保密性、完整性和韌性持續得到保障。
當假名化域由一組特定的接收方組成時,應透過協議明確所有相關方的責任,最好以合同形式體現。該協議應反映保持假名化資料在假名化域內,並限制資訊流入或訪問的需要,防止這些資訊可能使假名化資料與資料主體關聯,包括接收方之間。此外,相關協議還應規定在需要調整關於假名化域假設時應遵循的流程。然而,僅有這些協議不足以確保假名化域與其他資料的有效隔離,還需要相應的有效執行措施。
3.3 假名化資料的關聯
3.3.1 控制假名化資料關聯的範圍
為了實現將多個假名化資料片段關聯到同一資料主體,並使用相同的假名,通常會對假名化轉換進行確定性處理。根據假名化的目標,控制者需要明確哪些個人資料集應當進行一致的假名化。例如,控制者可能決定將同一天收集的所有資料進行一致的假名化,從而允許將兩條屬於同一資料主體且收集於同一天的資料記錄關聯起來,但同時避免將不同日期收集的資料記錄進行關聯。更一般地說,只有當原始資料來自同一資料集並且都與同一資料主體相關時,兩個假名化資料片段才可以關聯起來。通常,有三種廣泛使用的方式來安排假名化資料的受控關聯:人物假名、關係假名和交易假名。然而,需要注意的是,還可以採用其他方式對假名化資料進行分段,這些方式可能適用於特定的使用場景。
一位或多位控制者可能選擇對所有與同一資料主體相關的資料進行一致的假名化。相應的假名通常稱為人物假名。使用這種假名化需要長期儲存假名化金鑰。如果在某些情況下需要將不同的假名化資料片段關聯到同一資料主體,則只有在這種情況下,才可以使用這種假名化。此種情況下,未經授權的歸屬風險相對較高。因此,這種型別的假名化可能無法顯著減少與假名化資料未經授權或非法披露相關的風險。
控制者還可以選擇對其計劃處理的所有資料進行一致的假名化,這些資料涉及資料主體與控制者之間的某種特定關係。例如,資料主體可能會根據他們與控制者的關係(如員工或客戶)被分配不同的假名。在這種情況下,假名化金鑰(或其部分)只會在資料主體與控制者的關係持續期間儲存。所生成的假名被稱為關係假名。只有在需要將不同的假名化資料片段關聯到同一資料主體在與控制者的相同關係中的情況下,才可以使用這種假名化。這一條件通常在只有一個共同目的,或多個目的相容的情況下成立。
為了透過加密演算法生成關係假名,需要根據關係的型別或涉及的夥伴選擇金鑰或金鑰值。如果關係假名儲存在查詢表中,它們應當根據關係型別生成並存儲在單獨的表中。
最後,控制者可以選擇對每個資料主體的單獨交易進行不同的假名化。例如,控制者可能會使用時間依賴的金鑰對每次記錄車輛與智慧交通系統服務的互動進行假名化,從而使得同一輛車在每次互動中都有不同的假名。這種假名化生成的假名被稱為交易假名。在適用的情況下,這種型別的假名化最有助於資料最小化和預設資料保護,因為它透過不同的假名防止了在交易間非法或未經授權地將假名化資料關聯起來。此外,這種假名化形式非常適合減輕與非法或未經授權披露假名化資料相關的風險。
為了透過加密演算法生成交易假名,假名應基於每個交易唯一的識別符號進行計算。如果交易假名儲存在查詢表中,它們應當為每次交易重新隨機生成並存儲。
為了遵循資料最小化原則和預設資料保護原則,控制者應當儘可能定義要一致假名化的資料集,確保其最小化。特別是,在與處理的性質、範圍、背景和目的相一致的情況下,控制者應優先選擇交易假名,而非其他型別的假名。
3.3.2 連結不同控制者假名化的資料
在某些情況下,兩個或多個控制者可以合法地將他們持有的不同假名化資料集進行關聯,目標是將關聯的資料集以假名化的形式處理,並在一個新的假名化領域內進行處理。
有幾種實施假名化轉換的方法可以實現不同控制者持有的假名化資料的受控關聯:控制者之間共享假名化金鑰、共同使用一個可信服務提供商來執行假名化,或兩者的結合。在這種結合中,部分假名化金鑰由控制者和可信服務提供商分開儲存,且服務提供商不能得知資料主體的身份。最後,加密技術還可以計算出公共假名,而無需洩露直接識別符號或自然人的長期假名,這些自然人是某一方持有的假名化資料的主體,而不是另一方(私有集交集)。
需要注意的是,在所有這些情況下,有兩個先決條件:
a. 所有控制者使用的假名化轉換必須一致;
b. 每個控制者派生的假名必須基於不同資料集中的資料主體的原始識別符號。
第一個也是最簡單的方法是使用加密演算法進行假名化轉換,並在所有參與的控制者之間共享用於一致假名化所需的假名化金鑰。然而,計劃使用假名化保護資料不被未經授權地歸因於特定資料主體的控制者,需在根據GDPR第25、32、35和36條進行風險評估時考慮此方法的缺點:
a. 假名化金鑰儲存在多個位置,這增加了未經授權訪問或使用的風險;
b. 所有控制者不僅能夠將自己假名化的資料記錄歸因於特定資料主體,還能歸因於其他控制者假名化的資料記錄;
c. 金鑰更新的複雜性增加,這在假名化資料長期使用並且特別是假名化金鑰被洩露時尤為重要。因此,這種方法通常不被推薦。
第二種方法要求控制者之間簽訂合同,並分別與可信服務提供商簽訂合同。該服務提供商可以作為每個貢獻控制者的處理者執行任務。如果服務提供商被賦予獨立的決定權,能夠基於法律或倫理考慮決定是否對單個數據記錄進行假名化或逆假名化,那麼它也可以作為控制者。處理者或可信第三方只需要知道資料主體的識別符號,這些識別符號將用來計算假名,而不需要其他資料。因此,控制者應當僅傳送包含識別符號的記錄,並與臨時編號一起傳遞。服務提供商對識別符號進行統一的假名化轉換,得到假名,並返回這些假名以及相應的記錄編號。隨後,假名可以透過記錄編號與資料記錄關聯,然後刪除記錄編號。
結果是,所有與同一資料主體相關的假名化資料在所有控制者處都包含相同的假名,從而實現所需的關聯。如果稍後控制者希望將假名化資料歸因於指定的資料主體(前提是控制者在法律上有權這樣做),則可以反向執行該過程。這種方法的優點是,如果給定控制者訪問關聯的資料集,它最多隻能將其貢獻的關聯記錄歸因於相應的資料主體。
第三種方法是第二種方法的一種變體,並且需要與前一種方法相同的合同保證。它避免了在資料主體面臨重大風險或成員國法律(例如有關維護職業機密的規定)禁止此類披露的情況下,向可信服務提供商披露識別符號的必要性。該程式包括幾個步驟:在設定階段,控制者就共同的假名化金鑰達成一致。他們使用此共同金鑰計算出第一層假名,如第125段所述。之後,他們將其傳送給可信服務提供商,後者使用其自己的假名化金鑰計算第二層假名,該假名用於資料的關聯及後續使用。此方法的優點是,可信服務提供商無法(也不能)得知識別符號。此外,使用兩個假名化金鑰並將它們儲存在不同的實體中,使得未經授權時逆假名化轉換變得更加困難。
最後,可以並且更優先地從已經假名化的資料中計算公共假名,而不重新構造透過假名化金鑰得到的標識屬性。在這種情況下,控制者持有的假名化資料將用於他們自己的處理目的。如果需要進行資料關聯,則其私有假名將直接轉化為共同的假名。
3.4 假名化程式總結
計劃實施假名化的控制者應首先明確其實施該措施的目標,以便定義假名化的範圍並決定哪些資料集應當一致處理,具體請見第2.3節和第3.3.1節。然後,控制者應執行以下步驟:
在確定處理手段時,控制者應分析資料,並確定:
-
哪些個人資料屬性可以單獨或組合使用來直接識別資料主體(識別符號); -
哪些屬性應使用加密演算法或查詢表與假名進行關聯,並按照第3.3.1節的標準應用; -
應採用何種方法將這些屬性替換為假名,特別是:在假名化過程中將使用哪些引數(例如,組大小或加密演算法的金鑰長度); -
應保留哪些額外資訊,以便在必要時將假名化資料歸屬於特定資料主體; -
是否以及哪些個人資料屬性可以單獨或組合使用,在假名化領域內直接或間接地將某些資料歸屬於資料主體,考慮到可以透過合理努力從領域內訪問的資訊; -
應使用何種方法來修改或刪除這些屬性,以確保在未使用額外資訊的情況下,個人資料無法歸屬於已識別或可識別的自然人,同時保留對結果假名化資料進行一般分析的能力。可用的方法包括省略、概括和隨機化等; -
哪些方(控制者、處理者或受託的專門第三方)將執行假名化轉換(單獨或共同執行),並且 -
誰將儲存哪些假名化金鑰或其他額外資訊,採用哪些技術和組織措施以確保這些資訊不能從假名化領域內被使用,並確保其完整性和機密性得以維護,只有在授權的情況下,才可以將假名化資料歸屬於資料主體。
重要的是,在定義假名化轉換後,控制者還需要評估假名化領域內的歸因風險,並確保該風險可以忽略不計。
在應用假名化轉換時,控制者應:
-
(可選)確認哪些資料記錄屬於同一資料主體,併為這些資料記錄分配相應的唯一識別符號; -
按照之前確定的方法,用假名替換所選屬性及之前新增的唯一識別符號(如有),並去除所有其他識別符號,將生成或衍生自此過程的任何假名化金鑰單獨儲存,與假名化資料分開; -
應用預定方法修改或刪除準識別符號。所有參與的控制者應應用計劃中的技術和組織措施,對他們保留的額外資訊進行保護,以便在合法需要時將假名化資料歸屬於資料主體,或在其他情況下保留這些資訊,以便進行歸屬。特別是,他們應限制對假名化金鑰的訪問和使用。
所有相關的資料控制者,應對他們保留的額外資訊採取計劃的技術和組織措施,這些額外資訊在有合法需要時用於將假名化資料歸因於資料主體,或者他們以其他方式保留並且可能能夠進行這種歸因。特別是,他們限制對假名化機密資訊的訪問和使用。
所有接收方應採取適當的技術和組織措施,確保假名化資料不會離開假名化領域,並確保沒有任何已知的能使資料歸屬的資訊進入該領域。
最後,控制者應將假名化資料的處理限制在必要的範圍內,以減少任何可能出現的假名化逆轉風險。
原文請見:
https://www.edpb.europa.eu/system/files/2025-01/edpb_guidelines_202501_pseudonymisation_en.pdf
全部AI及資料中譯本及資訊請加入