英国ICO《匿名化、假名化及隐私增强技术指南草案》解读
英国信息专员办公室ICO发布了《匿名化、假名化及隐私增强技术指南草案》(Draft Anonymisation, Pseudonymisation and Privacy Enhancing Technoligies Guidance)征求稿。项目从2021年5月开始,到2021年11月28日结束。该草案一共包含了四章内容,本文将简要总结一些草案中的重要观点。
原文链接:
第一章:匿名化概述 《Introduction to anonymisation》
第二章:如何保障匿名化技术的有效性 《How do we ensure anonymisation is effective?》
第三章:假名化 《pseudonymisation》
第四章:责任和治理 《Accountability and governance》
第一章:匿名化概述
1.1 个人数据(personal data)定义:任何可用于标识自然人的信息。主要包括两类:
- 标识符:比如姓名、身份证号码、位置信息、在线ID(QQ、微信等)
- 与个人的身体、生理、基于、心理、经济、文化或社会身份相关的各种信息
上述定义,只保护活着的个体的隐私,不保护死人的信息(该定义来自DPA2018,不同法律法规保护范围可能不一样)。
1.2 匿名化定义:匿名化是指将个人数据移除可识别个人信息的部分,并且通过这一方法,数据主体不会再被识别(不管是基于匿名化数据本身,还是其它附加数据,数据都无法再被重建)。 匿 名 化 数 据 不 属 于 个 人 数 据 , 匿 名 化 数 据 不 再 纳 入 法 律 法 规 的 保 护 范 围 。 \textcolor{red}{匿名化数据不属于个人数据,匿名化数据不再纳入法律法规的保护范围。} 匿名化数据不属于个人数据,匿名化数据不再纳入法律法规的保护范围。
当然,100%的匿名化手段是很难实现的。隐私保护法律法规也没有要求匿名化手段是完全无风险的。你需要根据使用数据的场景来仔细地评估个人数据被反推出来的风险,并尽可能减少此风险。
1.3 匿名化是一种数据处理的手段,因此在对数据进行匿名化的时候,需要遵守关于数据处理的相关规定。你需要明确定义匿名化的目标,并详细说明为实现该目标而打算实施的技术和组织措施。
1.4 假名化定义:对于数据进行处理后,在不使用附加信息的情况下,不能再把数据跟任意特定主体联系起来。比如,将个人数据与非识别数据交换,并且需要其他信息来重新创建原始数据。此外,附加信息应单独保存。 假 名 化 数 据 仍 然 属 于 个 人 数 据 , 受 隐 私 保 护 法 规 的 约 束 。 \textcolor{red}{假名化数据仍然属于个人数据,受隐私保护法规的约束。} 假名化数据仍然属于个人数据,受隐私保护法规的约束。
第二章:如何保障匿名化技术的有效性
第二章可以用两张图概括:
第一张图:如何区分匿名化数据和个人数据
2.1 区分匿名化数据和个人数据的关键在于身份是否可识别,可通过以下三个方面来考虑:
- 是否可分离(singling out): 即是否能够将某个人或某些人的数据从数据库中分离出来。
- 是否可链接(linkability):即是否通过与其他数据库结合,能识别出来个体身份。
- 是否可推断(infernce):是否能利用已知信息推断出个体的某些信息。
第二张图:在我们决定发布匿名化数据的时候,为了确保匿名化技术的有效性,需要考虑如下因素:
2.2 数据集发布到不同环境中所面临的风险是不一样的,发布到开源环境所面临的风险大得多,比如我们可能完全无法追踪数据的流向。发布特定地方比如给某个组织,风险更小,因为我们能控制访问数据的权限,但也并不是完全没有风险。
2.3 由于100%的匿名化技术是很难达到的,所以我们应该评估匿名化技术的风险,我们应该防范的是实际环境中很有可能发起的攻击"resonably likely",而不是假想的攻击“conceivably likely”。
- 需要结合实际环境考虑 攻 击 的 成 本 \textcolor{red}{攻击的成本} 攻击的成本。比如破解某人的信息需要耗费倾国之力,那么针对我们这种普通人隐私的攻击就可以认为是"conceivably likely",但美国国防部针对基地组织拉登的攻击就是"resaonably likely"。
- 需要考虑当前的技术,比如某些匿名化技术在当前电子计算机时代是有效的,但以后到了量子计算机时代可能就不再是有效的了。所以我们应该 阶 段 性 地 \textcolor{red}{阶段性地} 阶段性地评估匿名化技术的风险。
- 由于风险评估不一定是准确的,并且受当前技术限制,所以应该对你的评估结果进行理论上的验证, 并 文 档 化 地 记 录 下 来 \textcolor{red}{并文档化地记录下来} 并文档化地记录下来,以供未来参考。
2.4 一种进行风险评估的有效的方法是进行”主动入侵者“”motivated intruder“测试。
- 考虑这样一个”motivated intruder“:首先他有动机去识别某些人的身份;其次他可以接触一些资源,比如互联网、图书馆;第三,他可以进行一些调查,比如去询问可能知道额外信息的人。但是,他没有特别专业的技能(比如专业的黑客技术)、也无法访问一些特殊的数据库。
- 只简单考虑“相对不熟练”的公众发起的攻击的难度<”motivated intruder“攻击的难度<具有重要专业知识、先验知识的人发起的攻击的难度。
第三章:假名化
第三章介绍了假名化的概念、假名化与匿名化的不同、假名化的意义、应该如何实施假名化等。
3.1 假名化的意义在于可以保障更大程度的数据可用性(与匿名化相比),又能降低个人身份被识别的风险。
3.2 使用假名化技术可以遵守以下步骤:
- 明确目标(比如想用假名化数据做什么,你需要什么格式的假名化数据)。
- 详细分析可能面临的风险(可能来自的攻击种类,谁有可能会发起攻击)。
- 决定使用的假名化技术(该技术应该是考虑了数据可用性和数据泄露风险的tradeoff)。
- 决定由谁来实施假名化技术(你自己、代表你的公司或其他公司)。
- 记录假名化过程(包括你做上述分析的过程、以及假名化技术实施的过程)。
第四章:责任和治理
当你使用匿名化技术的时候,应该承担起相应的责任,包括:
- 找到一个可以对匿名化过程负责的上级Senior Information Risk Owner(SIRO)。他会对匿名化的关键过程负责,也可以向你们提供建议。
- 进行风险评估Data Protection Impact Assessment,尤其是对于重大项目、创新的匿名化方法(比如差分隐私)、来自于多种渠道的组合数据。
- 匿名化数据的发布有两种,一种是面向大众的,另一种是面向特定群体的(limited access),对于后者,你应该承担起保护数据不被其他第三方获取的责任。
- 对于匿名化数据,一旦出现个人数据泄露的情况,应及时做出响应,比如改进匿名化技术等。
- 应该使匿名化过程透明,包括:
- 解释你为什么要对个人数据匿名化
- 描述你所使用的技术
- 说明你为了减少风险所使用的安全防范手段
- 公开说明该匿名化技术所面临的风险,以及可能产生的后果
- 向公众解释你发布匿名化数据的原因
上述匿名化过程有助于提高公众信任,并降低处理过程中可能出现的任何负面舆论的风险。
险所使用的安全防范手段
- 公开说明该匿名化技术所面临的风险,以及可能产生的后果
- 向公众解释你发布匿名化数据的原因
上述匿名化过程有助于提高公众信任,并降低处理过程中可能出现的任何负面舆论的风险。