加州消费者隐私法案(CCPA)中规定了去标识化的数据就不再属于个人信息,而不是国内的个保法及欧洲的GDPR要求的匿名化。通过上一篇文章,我们知道匿名化是一种基本上无法实现的理想状态,而去标识化作为一种手段,是有落地的可行性的。
CCPA中对去标识化的要求,比个保法要更多,它的定义中明确约定
去标识化是指信息无法在合理地被直接或间接的被识别/关联到某个具体的消费者,同时使用去标识化数据的组织
1)实施了技术措施来禁止去标识化数据的再识别;
2)实施了业务流程来禁止去标识化数据的再识别;
3)实施了业务流程阻止去标识化数据的疏忽泄漏;
4)不尝试重新识别去标识化数据
所以,它包含了去标识化这样的数据处理过程,也要求有足够的手段来防止数据再识别(等同于个保法中的“复原”,意指重新连接上或转化出个人身份识别符)。第一点的技术措施应该是指可复原的难度,比如用了2048位的加密算法,暴力破解可行性低。第二和第三点可以通过与合作伙伴的商务合同条款来进行约定,不允许对方进行再识别及大规模披露。第四点更像是主观意愿,应该通过SOP及内部培训来规范。
在美国的国家层面的健康医疗安全法案(HIPAA)中,对数据去标识化的定义和要求也是类似的。 它明确约定了数据在去标识化后,不再被认为是需要被保护的医疗信息(PHI-Protected Health Information),不再受HIPAA中隐私条款的约束。
针对医疗数据的去标识化,HIPAA给出了指导,明确要求删除如下18类个人身份识别符
Names — 姓名
All geographic subdivisions smaller than a state — 精确到州以下级别的地址信息
Any dates (except year) directly related to an individual — 可直接关联个人的日期数据(精确到年以下)
All dates including the year for those over the age of 89 - 可关联到89岁以上人群的日期数据(包括只到具体某一年)
Telephone numbers — 电话
Vehicle serial numbers and identifiers — 车牌号
Fax numbers - 传真
Device serial numbers and identifiers — 设备号
Email addresses - 邮箱地址
Universal resource locators (URLs)
Social security numbers — 身份证号
Internet Protocol (IP) address — IP
Medical record numbers — 医疗纪录编号
Biometric identifiers including voice and fingerprints — 生物识别符,包括指纹和声纹
Health plan beneficiary numbers — 医疗计划编号/社保卡号
Full-face pictures or images - 人脸照片
Account numbers — 银行账号
Certificate or license numbers — 证书编号
我们可以用这个列表做一个参考,在实际操作中哪类数据字段是要执行去标识化的。第一种是敏感的个人生物信息,指纹/声纹/人脸,这一类高风险的敏感信息在任何场景下,都要考虑第一时间进行加密或去标识化。 第二种是强识别符,也就是在各类系统中的唯一编号,社保号是医疗系统的编号,电话号码和手机设备号是通信系统的唯一编号等。第三类是弱识别符,包括姓名,IP,地址等。针对日期数据,可以不做删除,而是进行泛化,把精度保留到年这一个级别。
最后做一个总结:
为了促进数据的流通,美国的隐私法规认为去标识化的数据不再是受保护个人数据,并给了操作指引,便于落地实施。为了防止去标识化后数据的复原,法规要求同时有技术措施和业务流程进行保障。
网友评论