关于去标识化、匿名化等概念简析及思考.docx

《关于去标识化、匿名化等概念简析及思考.docx》由会员分享，可在线阅读，更多相关《关于去标识化、匿名化等概念简析及思考.docx（8页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、关于去标识化、匿名化等概念简析及思考近年来，数据和人工智能技术的深入融合应用已深刻且广泛地影响着各行各业，数据价值的释放有力推动了社会生产力的发展。然而，大数据在带来机遇的同时，也伴生着各类安全隐患，如个人信息非法采集、隐私窃取等非法牟利行为层出不穷，大数据杀熟、数据歧视等侵害消费者权益的问题凸显。2021年11月，一部重量级的法律条款中华人民共和国个人信息保护法（以下简称个人信息保护法）正式施行。个人信息保护法对保护公民隐私和个人信息安全提出了明确要求，其中提到了“去标识化”“匿名化”等与个人信息处理相关的术语定义。本文将对“去标识化”“匿名化”等相关概念进行简要分析，并提出一些思考总结供大

2、家参考。一、个人信息分类根据个人信息保护法对“个人信息”这一概念的表述，我们可以简单认为，个人信息是指以电子或者其他方式记录的，能够单独或者与其他信息结合识别特定自然人身份，或者反映特定自然人活动情况的各种信息。一般而言，按照信息可识别性，个人信息大致可以划分为直接标识符和间接标识符两类，直接标识符信息是指可以直接识别的包含个人识别符号的信息，如基因序列、生物特征、护照号码、驾照号码、居民编号、法律规定的其他可以识别个人的符号；间接标识符信息是指信息中所包含的姓名、生日及其他可以间接识别特定个人的信息。个人信息保护既包括对直接标识符信息的安全保护处理，也包括对间接标识符信息的保护。二、匿名化根

3、据个人信息保护法第七十三条，匿名化是指个人信息经过处理无法识别特定自然人且不能复原的过程。中华人民共和国网络安全法第四十二条规定，个人信息匿名化至少满足以下要求：一是个人信息必须经过技术处理存储，二是被处理后的个人相关数据无法识别到特定个人，三是不能通过处理后的数据复原原始个人信息。另外，个人信息安全规范再次明确了匿名化的“不可复原性”，并明确了匿名化后的信息将不再属于个人信息范畴，如将具体年龄属性值“20”“22”等值匿名化为区间值“2030”，具体地址位置匿名化为“XX市XX区”，具体薪资或纳税额值2118、19080等匿名化为“10001万”“1万10万”等。匿名化有两个注意要点：一是重

4、识别的主体囊括所有个人信息处理者，既包括完成个人信息匿名化处理的个人信息控制者，也包括其他接触到匿名化数据的处理者。二是匿名化处理后的个人数据不可逆，即要求在任何情况下都无法通过自身存储或其他渠道获得的额外信息完成特定个人主体识别或者关联，也无法复原出原始个人信息。常见的匿名加工方法大致可以分为随机化和一般化两类。随机化匿名加工是指通过随机化技术修改原始数据的真实值，打乱不同主体之间的属性，打破数据和数据主体之间的链接，使数据本身的属性不能准确反映特定个体，但保留数据属性值的整体分布。一般化（也称“泛化”）匿名加工是通过泛化技术改变数据属性的规模或数量级，如从个体到群组，从而实现对数据主体的泛

5、化隐匿，这些泛化技术包括K-匿名(k-anonymity)、L-多样性(l-diversity)、T-相近(t-closeness)、差分隐私等。三、去标识化根据个人信息保护法第七十三条，去标识化是指个人信息经过处理，使其在不借助额外信息的情况下无法识别特定自然人的过程。去标识化的目标是通过对直接标识符或间接标识符进行删除或变换，使得攻击者无法根据去标识化个人数据识别出特定主体。以身份证号去标识化为例，具体身份证号“440401202201011768”可以使用“440401*1768”或者“GG44M6801”替代，变换前后的编码标识是可逆的。去标识化示意如图1所示。图1 去标识化示意从图1

6、可以看出，虽然匿名化和去标识化均对个人信息进行保护处理，但两者关注的重识别主体和处理后信息的性质有着根本的不同：一是去标识化强调在“不借助额外信息”的情况下无法重识别特定个人主体，因为个人信息控制者本身在去标识化过程中可以存储额外的信息用于还原原始个人信息，因此评判可否重识别主要针对个人信息控制者以外的其他信息接收者，不包括个人信息控制者本身。二是去标识化后的个人数据仍属于个人信息，正因为任何信息处理者有可能获取还原标识符的“额外信息”，进而反向复原或重识别出特定个人，因此仍需保证去标识化数据的安全。从某种意义上来说，去标识化所规定的“无法重新识别”仅限定在个人信息控制者以外的主体在未能获取可

7、用于还原的“额外信息”的条件下，这就要求个人信息控制者对“额外信息”分开存储和特殊保护，在个人信息安全规范和个人信息去标识化指南相关规定中也体现了这一点。综上所述，去标识化没有匿名化的要求严格，实现匿名化的加工方法都可以满足去标识化的要求。此外，去标识化还有统计技术、密码技术、拟制技术、假名化技术等其他技术手段。四、关于个人信息保护的几点思考1.监管合规方面数字经济新业态下，客户个性化需求持续增长，使得商业银行对个人数据“共享畅连”的需求日益旺盛，不断引入大量的外部数据，但随着中华人民共和国数据安全法个人信息保护法等法律的颁布实施，安全合规已成为挖掘数据要素价值的必要前提。按照个人信息保护法的

8、规定，匿名化信息不再属于个人信息，其他可能使用数据的参与方不再需要重新授权，不受“授权同意”的严格限制。但值得注意的是，在当前缺乏自动化检测和评估手段的前提下，现有匿名化技术对数据的匿名化效果仍很难评估，且随着新技术发展或者在某些特殊条件下，存在个人主体被重识别的可能性，在实际应用中很难保证绝对的匿名化。因此，在具体实践中，建议将授权同意与去标识化和匿名化有机融合在一起，以大大降低数据流通全流程中的合规风险。2.标准指引方面目前，个人信息保护法对匿名化、去标识化的阐释还没有统一标准，在不同场景可能会有不同的解释。个人信息去标识化指南指明了数据去标识操作的实施指引，个人信息处理相关方可参照其中的

9、风险评估方法检验去标识化效果，可操作性较强，但在匿名化处理方面，目前尚未有相关匿名化技术指南和评估标准，导致实践中较难评估处理后的数据是否满足匿名化要求。因此，建议相关部门尽快制定出台相应的标准和技术指南，并统筹考虑落地实施的可操作性，将匿名化作为个人信息保护的一种“合理保证”，而非“绝对保证”。对于银行业等强监管行业而言，联合各方力量有针对性地出台行业级个人信息匿名化指引，将有利于金融机构在实践中更好地落实个人信息保护要求，提升全行业的监管合规水平。3.技术实现方面近年来，我国隐私计算技术快速发展，在保护个人信息安全的前提下为数据流通创造了新的可能性。隐私计算是一种应用秘密分享、同态加密、混淆电路、不经意传输、零知识证明等大量密码理论以期实现数据“可用不可见”“可控可计量”的技术。在应用外部数据的过程中，商业银行可将隐私计算与其他传统去标识化、访问控制等技术相结合，形成综合解决方案，更有效地实现对个人信息的去标识化、匿名化等处理，使数据流通过程中的所有计算都基于特殊处理后的数据完成，并通过技术手段拦截试图关联或者还原个人信息的高危行为，保障数据在非受控环境下无法重识别，实现在一定条件下的匿名化，从而强化对个人信息的保护。8