【专栏】匿名化还是去标识?个人信息合规处理详解
肖飒 · 零壹财经 2022-02-10 16:40:44 阅读:22964
作者:肖飒法律团队 来源:肖飒lawyer
随着去年11月份《个人信息保护法》的正式实施,对于个人信息的保护日趋完善,各大厂商也逐渐更新自家的用户协议与隐私协议,以符合现行个人信息保护体系的要求。
而在个人信息处理者处理所收集的个人信息时,有两个值得关注的概念,即匿名化与去标识化。飒姐团队今日文章便结合此前已经生效的《信息安全技术个人信息安全规范》(下称《规范》)为大家简要介绍一下匿名化以及去标识化在个人信息保护中的作用和应用。
一、匿名化与去标识化的定义
《个人信息保护法》中对匿名化以及去标识化均进行了定义,其中,去标识化指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程,而匿名化则指个人信息经过处理无法识别特定自然人且不能复原的过程。
显然,在《个人信息保护法》的定义下,匿名化与去标识化的最大区别便在于,去标识化后的信息在借助其他信息后能够产生识别特定自然人的效果,而匿名化后的信息则不能具备此效果,处理后的信息不能识别特定自然人也不能复原。
这种效果也体现在《个人信息保护法》对于个人信息的定义中,其第四条规定,个人信息是“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”。换言之,去标识化处理后的信息仍然属于个人信息。
而在《规范》中,去标识化被定义为“通过对个人信息的技术处理,使其在不借助额外信息的情况下,无法识别或者关联个人信息主体的过程”,匿名化则被定义为“通过对个人信息的技术处理,使得个人信息主体无法被识别或者关联,且处理后的信息不能被复原的过程”。显然,相较于《个人信息保护法》,《规范》中的去标识化与匿名化要求更高,经处理后的信息不仅不能识别到特定自然人,而且不能关联到相关个人信息主体。
在此基础上,《规范》指出,去标识化建立在个体基础之上,保留了个体颗粒度,采用假名、加密、哈希函数等技术手段替代对个人信息的标识。因此只要知道该技术手段的运作方式,去标识化处理的个人信息仍然可以进行还原,因此从根本上区别于不能还原的匿名化处理后的信息,故仍属于个人信息的范畴。
二、匿名化及去标识化处理的应用
针对匿名化以及去标识化处理的应用,《个人信息保护法》仅仅在第五十一条中将去标识化作为一种安全技术措施以此确保个人信息处理活动符合法律法规的规定,而并未进行较为详细的说明,因此仅凭《个人信息保护法》很难为诸多个人信息处理者明确适用匿名化和去标识化处理的场景。
而《规范》则对匿名化以及去标识化处理明确了几类应用场景。
(一)匿名化处理的应用
匿名化处理的应用首先被规定在《规范》第6.1条有关个人信息存储时间最小化的规定上。该条指出,对于个人信息的存储应当存在一个存储期限,该存储期限取决于实现个人信息主体授权使用的目的所必需的最短时间,而在超出该最短时间后,就应当对个人信息进行删除或匿名化处理。
其次,根据《规范》第6.4条的规定,在个人信息控制者停止运营后,个人信息控制者不仅应当及时停止继续收集个人信息,同时对其原来持有的个人信息也应当进行删除或匿名化处理。
再次,在个性化展示的使用上,根据《规范》第7.5条的规定,当个人信息主体选择退出或关闭个性化展示模式时,应当向个人信息主体提供删除或匿名化定向推送活动所基于的个人信息的选项。
最后的应用场景是个人信息主体注销账户时。根据《规范》第8.5条的规定,个人信息控制者在个人信息主体注销账户后,应及时删除其个人信息或进行匿名化处理。同时,如果在注销账户的过程中需要收集个人敏感信息核验其身份,应明确对该信息的处理方式,其中包括达成目的后进行删除或匿名化处理等。
根据上述各种应用场景,可以发现,匿名化处理与删除往往同时出现,这意味着两者在个人信息处理中有着相同的作用,即在特定情况下去除对于个人信息处理者不必要的个人信息。无论是超出存储期限,还是注销账户亦或是控制者停止运营,在上述情形下,个人信息控制者所收集的个人信息对于控制者而言均属于非必要的个人信息,因此为贯彻最小必要原则,个人信息控制者均需要对这些信息进行删除或匿名化处理,而不能继续持有该个人信息。因此,匿名化处理与删除在个人信息处理上具有相似性。
但删除的个人信息无法继续发挥作用,而匿名化处理的不同之处在于其仍然能为个人信息控制者服务。尽管该信息不再属于个人信息亦不能联系到特定主体,但是该信息仍然可以为个人信息控制者提供一定作用,以此来改进和提高自身的各项能力。
因此,若所采集的个人信息匿名处理后能够发挥作用,个人信息控制者应当在严格把握匿名化处理的方式,进而合法合理运用匿名化处理后的信息。
(二)去标识化处理的应用
去标识化处理的应用场景首先出现在有关征得授权同意的例外的规定中。根据《规范》第5.6条的规定,在个人信息控制者为学术研究机构,出于公共利益开展统计或学术研究所必要,且其对外提供学术研究或描述的结果时,其收集或使用个人信息不必征得授权同意,但必须对结果中所包含的个人信息进行去标识化处理。
其次,在个人信息的存储上,根据《规范》第6.2条的规定,在收集个人信息后,个人信息控制者宜立即进行去标识化处理,并采取技术和管理方面的措施,将可用于恢复识别个人的信息与去标识化后的信息分开存储并加强访问和使用的权限管理。需要注意的是,此处的去标识化处理要求并非强制性要求,个人信息控制者也可以不对所收集的个人信息进行去标识化处理。同时必须将去标识化后的信息与可用于恢复识别个人的信息分别存储,否则去标识化处理便失去了它应有的效果,仅仅只是简单的加工。
再次,该技术可以用于个人信息的展示上。根据《规范》第7.2条,涉及通过界面展示个人信息的,个人信息控制者宜对需展示的个人信息采取去标识化处理等措施,降低个人信息在展示环节的泄露风险。与上一个应用场景相同,采取去标识化处理并非强制要求。
最后,该技术还能应用在个人信息的共享和转让上。根据《规范》第9.2条,在个人信息控制者共享、转让个人信息时,应当将相关信息告知个人信息主体,同时事先征得该主体的授权同意。但是如果该信息是去标识化的信息,且确保数据接收方无法重新识别或者关联个人信息主体的,那么就无须告诉相应信息,也无需事先征得同意。实际上,由于事先确保了数据接收方无法重新识别或者关联到个人信息主体,对于数据接收方而言,该去标识化的信息实际上与匿名化信息并无区别,因此自然不需要经过个人信息主体的授权同意。
显然,与匿名化处理不同,去标识化处理更多的是起到保护个人信息的目的。经过去标识化处理的个人信息能够有效防止个人信息的泄露,在行为人仅仅获得去标识化处理后的信息的情况下,由于缺乏相应的信息,行为人并不能将该信息联系到个人信息主体,因此能够更好保护个人信息主体的个人信息。
此外,在不提供可用于恢复识别个人的信息的情况下,去标识化信息在效果上等同于匿名化信息,因此也能使得个人信息控制者更加方便地使用去标识化的信息而无需事先取得个人信息主体的授权同意。但是,该种使用方式仍然应当以相关法律法规明确规定为宜,以避免可能出现的违法风险。
三、写在最后
尽管《个人信息保护法》在个人信息保护领域起到了举足轻重的作用,但对于其内各项原则、制度的落实,各大个人信息处理者仍然应该从相关文件出发,以此完善自身的处理规则,合理合法处理个人信息。
相关文章
用户评论
所有评论
他的文章 ( 866 )
资讯排行
- 48h
- 7天
专题推荐
more
第四届中国零售金融发展峰会(共15篇)
《陆家嘴》交流会第6期(共14篇)
2022第一届中国数字科技投融资峰会(共43篇)
2019年数字信用与风控年会(共15篇)
-
首页
-
评论
-
回顶部
游客
自律公约