《中华人民共和国个人信息保护法》(下称“个人信息保护法”)已生效实施半年有余,其第51条明确规定去标识化的安全技术措施。就企业如何合规落地去标识化要求,我们整理出常见的十个问题,并作出相应解答,供业内人士交流探讨。
一问:个人信息去标识化的合规义务来源是什么?
答:主要是《个人信息保护法》第51条规定,“个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:……(三)采取相应的加密、去标识化等安全技术措施;……”。
二问:什么是去标识化?
答:《个人信息保护法》第73条规定,去标识化是指“个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程”。值得关注的是,欧盟《一般数据保护条例》(下称“GDPR”)未使用“de-identification(去标识化)”的概念,GDPR第4条定义的“Pseudonymisation(假名化)”一定程度上类似于我国《个人信息保护法》下的“去标识化(De-identification)”。
三问:去标识化“去”的是什么?
答:《个人信息保护法》去标识化的定义未明确“去”的是什么。国家标准《信息安全技术 个人信息安全规范》(GB/T 35273-2020,下称“个人信息安全规范”)第3.15条注释,“去标识化建立在个体基础之上,保留了个体颗粒度,采用假名、加密、哈希函数等技术手段替代对个人信息的标识。”根据上述规定,去标识化“去”的是“标识”,对于“标识”的理解,可以参考《信息安全技术 个人信息去标识化指南》(GB/T 37964-2019,下称“个人信息去标识化指南”)第3.3条在定义去标识化时的注释,即“去除标识符与个人信息主体之间的关联性”。标识符可以实现对个人信息主体的唯一识别。
四问:哪些个人信息需要去标识化?
答:《个人信息去标识化指南》将标识符分为直接标识符和准标识符。在去标识化活动中,直接标识符和准标识符是需要重点考虑的,常见的直接标识符和准标识符如下图:
五问:常用去标识化技术有哪些?
答:参考《个人信息去标识化指南》,常用去标识化技术如下图:
六问:去标识化和加密的关系是什么?
答:《个人信息保护法》第51条的安全技术措施同时列出加密和去标识化,但未具体定义“加密”。加密通常适用于个人信息传输和存储环节,如安全传输协议、数据库加密。根据《个人信息去标识化指南》的规定,密码技术本身也可能是去标识化技术的一种,如确定性加密、保序加密、保留格式加密、同态加密等。加密和去标识化既有重叠又有不同,都是企业合规处理个人信息可采取的重要安全技术措施。
七问:去标识化的操作步骤有哪些?
答:《个人信息去标识化指南》将去标识化过程分为确定目标、识别标识、处理标识、验证审批和监控审查,并载明如下示图。
? 确定目标包括确定去标识化对象、建立去标识化目标和制定工作计划等内容。
? 识别标识符的方法包括查表识别法、规则判定法和人工分析法。
? 处理标识可以分为预处理、选择模型技术、实施去标识化三个阶段。
? 验证结果确保生成的数据集在重标识风险和数据有用性方面都符合预设的目标。
? 监控审查为确保去标识化的各个步骤都实现预定目标。
八问:什么时候开展去标识化?
答:参考《个人信息安全规范》,①收集个人信息后,宜立即开展去标识化处理,采取技术和管理措施,分开存储可用于恢复识别的信息及去标识化后的信息;②涉及通过界面(如显示屏幕或纸面)展示个人信息时,开展去标识化降低展示环节可能的个人信息泄露风险。
值得留意的是,《个人信息安全规范》第9.2条规定共享、转让个人信息时应履行告知义务并经过个人信息主体授权同意,但经过去标识化处理且“确保数据接收方无法重新识别或者关联个人信息主体”的除外。而《个人信息保护法》第23条并未规定对外提供时取得个人同意的豁免情形。因此,企业在参考适用《个人信息安全规范》第9.2条上述但书时需谨慎考虑。
九问:去标识化效果如何评估?
答:去标识化的效果主要和重标识风险的大小有关。全国信息安全标准化技术委员会秘书处于2021年4月21日公布的《信息安全技术 个人信息去标识化效果分级评估规范(征求意见稿)》根据重标识风险高低,将个人信息标识度划分为4级。
? 1级:能直接识别主体的数据,包含直接标识符的数据,在特定环境下能直接识别个人信息主体。
? 2级:消除直接标识符的数据,删除了直接标识符,但包含准标识符的数据,或者对直接标识符进行了处理,使其不再能直接(单独)标识个人身份,且重标识风险高于设定阈值的数据。
? 3级:重标识风险可接受数据,消除了直接标识符,且重标识风险低于设定阈值的数据。
? 4级:聚合数据,对数据进行汇总分析得出的聚合数据,不再包含个例数据。
十问:去标识化和匿名化有什么区别?
答:经过去标识化处理后的信息原则上属于个人信息,其仍具有一定的识别性。而《个人信息保护法》规定的匿名化指“无法识别特定自然人且不能复原”的处理过程,根据《个人信息保护法》第4条,匿名化处理后的信息不属于个人信息,匿名化信息完全不具有识别性。一般而言,匿名化处理信息的有用性低于去标识化处理信息。二者在识别性和有用性对比示意如下图。
结
语
我国《个人信息保护法》下的去标识化更多的是一种合规义务,因去标识化处理后的信息仍然属于个人信息,去标识化后的信息和原始个人信息无本质区别,且去标识化后的信息的可用性受限,因此难以调动企业自发采取去标识化的积极性。但在《个人信息保护法》第51条明确规定的情况下,企业还需积极落地该项合规义务。
*以上仅供交流探讨,不构成隆安律师事务所或作者出具的法律意见或建议,如有法律服务需要,可与隆安律师事务所或作者联系。
苗凯
北京市隆安律师事务所上海分所 律师
miaokai@longanlaw.com
张波
北京市隆安律师事务所上海分所 律师
zhangbo@longanlaw.com
地址:上海市徐汇区虹桥路1号港汇恒隆广场办公楼1座11层
