根据个人信息保护法第七十三条,去标识化( de-identification ),是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。国家标准《个人信息安全规范》同时强调,去标识化建立在个体基础之上,保留了个体颗粒度,采用假名、加密、哈希函数等技术手段替代对个人信息的标识。
《个人信息去标识化指南》对此注释为「去除标识符与个人信息主体之间的关联性」。
《个人信息保护法》第五十一条规定,个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:
1. 制定内部管理制度和操作规程;
2. 对个人信息实行分类管理;中华人民共和国个人信息保护法
3. 采取相应的加密、去标识化等安全技术措施;
......
据此,去标识化作为一种安全技术措施是个人信息处理者处理个人信息时必须考虑的步骤,具体应用场景有如下几方面。
1. 收集个人信息后去标识化
《个人信息安全规范》中明确,收集个人信息后,个人信息控制者宜立即进行去标识化处理,并采取技术和管理方面的措施,将可用于恢复识别个人的信息与去标识化后的信息分开存储并加强访问和使用的权限管理。
2. 个人信息展示时去标识化
涉及通过界面展示个人信息的(如显示屏幕、纸面),个人信息控制者宜对需展示的个人信息采取去标识化处理等措施,降低个人信息在展示环节的泄露风险。
3. 个人信息共享、转让时去标识化
《个人信息安全规范》明确,个人信息控制者共享、转让个人信息时,应充分重视风险。共享、转让个人信息,非因收购、兼并、重组、破产原因的,应符合以下要求:
事先开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施;
向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型以及可能产生的后果,并事先征得个人信息主体的授权同意共享、转让经去标识化处理的个人信息,且确保数据接收方无法重新识别或者关联个人信息主体的除外;
据此,若企业不具备条件进行个人信息安全影响评估并征得个人信息主体告知同意,则共享、转让个人信息时务必进行去标识化处理,并需要确保数据接收方无法重新识别或关联到个人信息主体。
1. 去标识化目标
《个人信息去标识化指南》明确了去标识化的目标为:
对直接标识符和准标识符进行删除或变换,避免攻击者根据这些属性直接识别或结合其他信息识别出原始个人信息主体;
控制重标识的风险,根据可获得的数据情况和应用场景选择合适的模型和技术,将重标识的风险控制在可接受范围内,确保重标识风险不会随着新数据发布而增加,确保数据接收方之间的潜在串通不会增加重标识风险;
在控制重标识风险的前提下,结合业务目标和数据特性,选择合适的去标识化模型和技术,确保去标识化后的数据集尽量满足其预期目的(有用)。
在这里需要首先厘清几个概念,首先是便标识符分类。
① 标识符分类
个人信息去标识化处理的原始数据集(如医疗数据、金融数据等)采取记录集的方式组成,其中每一条记录对应一个数据主体,每一条记录又包含多个属性值。在这些属性中,能够直接用于识别或结合其他信息识别出数据主体的属性包括以下两种。
直接标识符:利用该属性能直接识别出数据主体,如姓名、身份证号码等。
准标识符:仅利用该属性不能直接识别出数据主体,但联合其他属性或结合背景数据后,能识别出数据主体,如邮编、生日、性别等联合起来在数据集中就可能识别出具体的数据主体,这些属性就是准标识符。
例如,某个学习成绩数据集中,每一条记录包括{姓名,年龄,性别,班级,成绩}等属性,其中{姓名}为直接标识符,{年龄,性别,班级}为准标识符。
② 重标识
其次还需要了解重标识。重标识 re-identification ,即把去标识化的数据集重新关联到原始个人信息主体或一组个人信息主体的过程。常见的用于重标识的方法如下:
筛选:基于是否能唯一确定一个个人信息主体,将属于一个个人信息主体的记录筛选出来;
关联:将不同数据集中关于相同个人信息主体的信息关联;推断:通过其他属性的值以一定概率推断出一个属性的值。
③ 有用性
有用性 usefulness ,是指数据对于应用有着具体含义、具有使用意义的特性。因为去标识化数据应用广泛,每种应用将要求去标识化数据具有某些特性以达到应用目的,因此在去标识化后,需要保证对这些特性的保留。
综上,进行个人信息去标识化的目标便是在对直接标识符和准标识符进行删除或变换的情况下,将重标识的风险控制在可接受范围内,并保证数据的有用性。
2. 去标识化原则
对数据集进行去标识化,应注意遵循以下原则:
合规原则:应满足我国法律、法规和标准规范对个人信息安全保护的有关规定,并持续跟进有关法律、法规和标准规范;
个人信息安全保护优先:应根据业务目标和安全保护要求,对个人信息进行恰当的去标识化处理,在保护个人信息安全的前提下确保去标识化后的数据具有应用价值;
技术和管理相结合:根据工作目标制定适当的策略,选择适当的模型和技术,综合利用技术和管理两方面措施实现最佳效果。包括设定具体的岗位,明确相应职责;对去标识化过程中形成的辅助信息(例如密钥、映射表等)采取有效的安全防护措施等;
充分应用软件工具:针对大规模数据集的去标识化工作,应考虑使用软件工具提高去标识化效率、保证有效性;
持续改进:在完成去标识化工作后应进行评估和定期重评估,对照工作目标,评估工作效果(包括重标识风险和有用性)与效率,持续改进方法、技术和工具。并就相关工作进行文档记录。
3. 去标识化过程
去标识化过程通常可分为确定目标、识别标识、处理标识以及验证审批等步骤,并在上述各步骤的实施过程中和完成后进行有效的监控和审查。如图
① 确定目标
(1)确定目标步骤包括确定去标识化对象、建立去标识化目标和制定工作计划等内容。
确定去标识化对象,指确定需要去标识化的数据集范围,宜根据以下要素确定哪些数据属于去标识化对象:
a 法规标准。了解国家、地区或行业的相关政策、法律、法规和标准,待采集或发布数据是否涉及去标识化相关要求。
b 组织策略。了解数据是否属于组织列入的重要数据或敏感数据范畴,数据应用时是否存在去标识化的要求。
c 数据来源。了解这些数据采集时是否做过去标识化相关承诺。
d 业务背景。了解数据来源相关信息系统的业务特性,了解业务内容和业务流程,披露数据是否涉及个人信息安全风险。
e 数据用途。了解待发布数据的用途,是否存在个人信息安全风险。
f 关联情况。了解数据披露历史和去标识化历史情况,待披露数据是否和历史数据存在关联关系。
(2)建立去标识化目标,具体包括确定重标识风险不可接受程度以及数据有用性最低要求。
需要考虑的因素包括:
a 数据用途。了解数据去标识化后的用途,涉及业务系统的功能和特性,考虑数据去标识化的影响,确定数据有用性的最低要求。
b 数据来源。了解数据获取时的相关承诺,以及涉及哪些个人信息。
c 公开共享类别。若为数据发布实施个人信息去标识化,需了解数据是完全公开共享、受控公开共享还是领地公开共享,以及对数据在浏览和使用方面的安全保护措施。
d 风险级别。了解数据属性和业务特性,拟采用的重标识风险评估模型及设定的风险级别。
e 去标识化模型和技术。了解数据适用的保护或去标识化标准,以及可能采用的去标识化模型和技术。
(3) 制定个人信息去标识化的实施计划。
包括去标识化的目的、目标、数据对象、公开共享方式、实施团队、实施方案、利益相关方、应急措施以及进度安排等,形成去标识化实施计划书。
确定相关内容后,去标识化实施计划书应得到组织高级管理的批准和支持
2. 识别标识
识别标识符的方法包括查表识别法、规则判定法和人工分析法。
① 查表识别法指预先建立元数据表格,存储标识符信息,在识别标识数据时,将待识别数据的各个属性名称或字段名称,逐个与元数据表中记录进行比对,以此识别出标识数据。
建立的标识符元数据表,应包括标识符名称、含义、格式要求、常用数据类型、常用字段名字等内容。查表识别法适用于数据集格式和属性已经明确的去标识化场景,如采用关系型数据库,在表结构中已经明确姓名、身份证号等标识符字段
② 规则判定法是指通过建立软件程序,分析数据集规律,从中自动发现标识数据。
组织可分析业务特点,总结可能涉及直接标识符和准标识符的数据格式和规律,确立相关标识符识别规则,然后通过运行程序,自动化地从数据集中识别出标识数据。如可依据 GB11643—1999 建立身份证号码识别规则,并通过自动化程序在数据集中自动发现存在的身份证号码数据。
③ 人工分析法是通过人工发现和确定数据集中的直接标识符和准标识符。
3. 处理标识
处理标识步骤分为预处理、选择模型技术、实施去标识化三个阶段工作。
① 预处理
预处理是在对数据集正式实施去标识化前的准备过程。一般地,预处理是对数据集施加某种变化,使其有利于后期进行处理。
预处理阶段可以进行规范化数据、数据抽样减小数据集的规模,以及增加或扰乱数据,改变数据集的真实性等几个方面工作。组织可以根据数据集的实际情况选择预处理措施,或选择不预处理。
② 选择模型技术
不同类型的数据需要采用不同的去标识化技术,所以在去标识化的早期阶段,重要的一步是确定数据的类型和业务特性,考虑去标识化的影响,选择合适的去标识化模型和技术,在可接受的重标识风险范围内满足数据有用性的最低要求。选择的参考因素包括但不限于
a 是否需要对重标识风险进行量化;
b 聚合数据是否够用;
c 数据是否可删除;
d 是否需要保持唯一性;
e 是否需要满足可逆性;
f 是否需要保持原有数据值顺序等方面。
③ 实施去标识化
实施去标识化即根据选择的去标识化模型和技术,对数据集实施去标识化。主要工作包括根据数据特点和业务特性设定去标识化的顺序、选择相应的工具或程序、设置工具或程序的属性和参数、依次执行去标识化工具或程序以获得结果数据集等。
④ 常用去标识化技术
△《信息安全技术个人信息去标识化指南》
1. 重标识风险
采取适当技术对准标识符进行处理后便去除了数据和数据主体之间的关联关系,使得攻击者不能从发布的数据中识别出数据主体。
然而,攻击者可以采用数据关联、概率推理等手段试图获知已被去除的数据主体身份,即把去标识化的数据集重新关联到原始数据主体,这个过程称为重标识或重标识攻击。
重标识风险是指攻击者成功实施重标识攻击的风险,即使数据集已经被最新的去标识化技术处理过,仍然存在重标识风险。
因此,在完成上述个人信息去标识化流程后,企业还应注意对去标识化效果进行评估,以防范重表识风险。
2. 验证审批与评估
对数据集去标识化后应当进行验证,以确保生成的数据集在重标识风险和数据有用性方面都符合预设的目标。
在验证满足目标过程中,需对去标识化后重标识风险进行评估,计算出实际风险,与预期可接受风险阈值进行比较,若风险超出阈值,需继续进行调整直到满足要求。
由于重标识技术和重标识攻击的能力在迅速演变,需要由内部专业人员或权威的外部组织定期展开验证评估。
最后,企业在评估个人信息匿名化和去标识化效果时,可充分考虑以下要素:
个人信息匿名化和去标识化过程的规范性,所采用技术的通用性;
匿名化后的个人信息是否为统计型结果;
去标识化后的个人信息是否能够达到使用目的;
匿名化和去标识化后的个人信息使用场景;
如委托第三方进行去标识化或匿名化时,需评估其采用的方案及数据安全保障能力;
能否在公开渠道或数据交易组织获得类似的个人信息;
未经去标识化或匿名化处理保留的个人信息类型和内容的特殊性。
怎样进行个人信息去标识化?
作者:张琪琦来源:iLaw合规

根据个人信息保护法第七十三条,去标识化( de-identification ),是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。