根据《网络安全法》第四十二条第一款规定“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外”,确立了我国个人信息保护“告知”与“同意”的基础规则,同时作出除外的情形限定,即“经过处理无法识别特定个人且不能复原的除外”,这也是让个人信息数据实现正当共享使用路径的基础。
对个人信息匿名化处理的具体规则和技术要求等,本条未作具体规定,应当遵守有关标准和技术规范要求[1]。为了保护个人信息安全,同时促进数据的共享使用,2020年3月1日,《信息安全规范个人信息去标识化指南》(GB/T 37964-2019)(简称“《个人信息去标识化指南》”)正式施行,这是个人信息领域最为重要的国家标准之一,旨在借鉴国内外个人信息去标识化的最新研究理论,提炼业内当前通行的最佳实践,研究个人信息去标识化的目标、原则、技术、模型、过程和组织措施,提出科学有效地抵御安全风险、符合信息化发展需要的个人信息去标识化指南。
一、去标识化的概念及其与匿名化、脱敏的区别
谈到个人信息的保护、正当使用,构建兼顾隐私保护和数据利用的有效路径,在探讨如何消除用户身份信息、敏感信息达到保护隐私的目的,如何同时让数据价值最大化的过程中,我们经常可以看到“去标识化”、“匿名化”、“脱敏”等概念。
(一)去标识化
根据《个人信息去标识化指南》中所载术语和定义,“去标识化”是指通过对个人信息的技术处理,使其在不借助额外信息的情况下,无法识别个人信息主体的过程,去除标识符与个人信息主体之间关联性。
(二) 匿名化
根据《信息安全技术个人信息安全规范》(GB/T 35273-2017)(简称“《个人信息安全规范》”)第3.14条规定,匿名化是指通过对个人信息的技术处理,使得个人信息主体无法被识别或者关联,且处理后的信息不能被复原的过程。而且《个人信息安全规范》在匿名化的定义后面特别注释“个人信息经匿名化处理后所得的信息不属于个人信息”。这意味着该等信息不适用《个人信息安全规范》的相关原则和安全要求(如知情同意原则、目的限制原则、最小化原则等),并且由于匿名化处理后的信息与特定个人信息主体无关联,个人信息控制者也无需为个人信息主体的权利的实现进行义务支撑[2]。
【去标识化与匿名化的差别】
去标识化和匿名化都属于保护个人隐私的技术防护手段,主要区别在于去标识化后的信息如果与其他额外信息结合,可以识别个人信息主体,通常也称为重标识,所以去标识化后的信息也属于个人信息;但如果对个人信息的处理达到匿名化的标准,匿名化后的信息不再具有人格属性,其无法与额外信息结合复原,进而再次被识别出个人信息主体,故该等信息不再属于个人信息。
(三)脱敏
脱敏,是指为了保护敏感隐私数据,按照脱敏规则对敏感信息采取特殊变形处理。
【去标识化与脱敏的差别】
笔者理解,两种定义所应用的领域存在差别。去标识化和脱敏的核心都是通过技术手段对标识信息或敏感数据进行处理,实现对敏感信息数据的保护,通常脱敏的范围则更大,某种意义上包含去标识化。隐私安全是在数据安全基础之上对个人敏感信息的安全防护,脱敏是数据安全领域的技术手段,针对的对象主要是敏感数据,去标识化是隐私安全领域的技术手段,针对的对象主要是带有标识的信息[3]。
二、去标识化的原则
去标识化是现阶段退而求其次的选择,可以有效帮助企业降低收集、处理个人信息的合规风险,控制个人信息泄露的危害。根据《个人信息去标识化指南》,对数据集进行去标识化,应遵循以下原则:
(一)合规
应满足我国法律法规和标准规范对个人信息安全保护的有关规定,并持续跟进有关法律法规和标准规范。
(二)个人信息安全保护优先
应根据业务目标和安全保护要求,对个人信息进行恰当的去标识化处理,在保护个人信息安全的前提下确保去标识化后的数据具有应用价值。
(三)技术和管理相结合
根据工作目标制定适当的策略,选择适当的模型和技术,综合利用技术和管理两方面措施实现最佳效果。包括设定具体的岗位,明确相应职责;对去标识化过程中形成的辅助信息(比如密钥,映射表等)采取有效的安全防护措施等。
(四)充分应用软件工具
针对大规模数据集的去标识化工作,应考虑使用软件工具提高去标识化效率、保证有效性。
(五)持续改进
在完成去标识化工作后须进行评估和定期重评估,对照工作目标,评估工作效果(包括重标识风险和有用性)与效率,持续改进方法、技术和工具。并就相关工作进行文档记录。
三、去标识化的可行方式
2017年12月29日中国国家标准化管理委员会正式发布《个人信息安全规范》,2018年5月1日开始实施,明确了要保护的个人隐私信息的范围,并介绍了个人信息在保存、共享时应采取数据脱敏进行保护。相应地,此后的《个人信息去标识化指南》在资料性附录中更具体地介绍了常用去标识化技术、常用去标识化模型,以及进行去标识化的技术和模型的选择特性分析。
(一)技术和模型的选择特性分析
(二)常见的去标识化操作方式参考
常用的标识符包括姓名、身份证号、银行卡号、地址、电话等,另外还有数值型标识符、日期、地理位置等。
比如对于姓名,常见的去标识化方法可能包括泛化编码(使用概括、抽象的符号来表示,如使用“姓氏+先生/小姐”或使用“姓氏+某某”)、抑制屏蔽(删除姓名或使用统一的“*”来表示)、随机替代(使用随机生成的汉字来取代姓名)、假名化(构建常用人名字典表,并从中选择一个来表示)以及可逆编码(采用密码或其他变换技术,将姓名转变成另外的字符,并保持可逆特性)。
我们身份证号的结构分为地址码+出生日期码+顺序码+校验码,银行卡号结构类似,也是按照一定规则进行编码的,发卡行标识代码+自定义位+校验码。身份证号和银行卡号常见的去标识化方法包括抑制屏蔽、部分屏蔽(如一部分数字采取****方式屏蔽)、可逆编码、数据合成(采用重新产生的数据替代原身份证号/卡号,如使用数据集中的记录顺序号替代原身份证号/卡号,或随机产生新身份证号/卡号代替原值)等等。
四、结语
随着大数据行业的发展,越来越多的数据产生并公布,机构、企业甚至普通个人都可能获取到大量数据资源,个人信息被赋予了显著的财产属性和资源属性,对个人隐私、信息安全、经济发展等方面产生的重大影响使得个人信息的保护愈发受到关注。
越来越多的行业代表性企业愿意主动公开各自的隐私政策、数据保护、信息安全技术等,让公众更直观了解企业或组织在保护个人信息所做出的努力,另一方面,他们也积极参与到国家标准、行业规范的制定工作中。
相信未来在各界共同努力下,隐私保护和数据利用相关的法律规范、国家标准和行业规范将得到进一步的完善。
注释
[1] 《中华人民共和国网络安全法解读》,杨合庆主编,中国法制出版社,2017。
[2] 《从2020版<个人信息安全规范>看匿名化和去标识化的区别与应用场景》,孙艳华,微信公众号:大眼睛观察。
[3] 《浅谈个人信息去标识化》, 张旭刚,微信公众号: 网安前哨。
初识个人信息的去标识化
作者:李佳慧 盖皓来源:兰台律师事务所

根据《网络安全法》第四十二条第一款规定“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。