大數據的匿名化

1、英國數據ICO監(jiān)察機構政策主管Steve Wood,最近辯稱匿名化在數據革命中扮演了重要角色。事實上，許多事都已經寫到了關于大數據所能提供的機 會一從防止詐欺和醫(yī)療研究到政黨選票一但對數據保護的挑戰(zhàn)是沒有很多的數 據分析以及監(jiān)管機構的調整。鑒于在處理那些被認為是個人的數據時有效的法律限制，這對那些沒有認 識其風險的人來說是一片潛在的監(jiān)管雷區(qū)。ICO要提供實際的指南來促進更好 的數據保護并在最近發(fā)布了匿名化中的代碼練習以管理數據保護風險。代碼的 目的是為組織機構在如何使個人數據成功的匿名化提供指南，以及如何評估在使 用匿名化后被定義為個人數據的風險。匿名化數據吸引人的地方在于這些數據不再是個人數

2、據，因此就超出了數據 保護條例1998的范圍。確保數據被正確的匿名化，并不只是遮蓋起來，在實踐 操作中很難完成，尤其是在科技不斷的進化中。關鍵的挑戰(zhàn)是確保匿名化后的數 據不能夠被重新確認。匿名化的過程組織機構經常不確定匿名化過程本身的法律依據，以及匿名化數據是否構成 了個人數據。代碼解決了許多問題。特別有趣的一點事在如何處理匿名化數據重新定義的 風險指南。鑒于風險可能隨著時間變化，特別是隨著科技的進步，ICO建議進 行定期評估風險。它推薦組織機構應該使用侵入動機測試。這一測試需要組織機構考慮個人是 否能夠從匿名化的數據中重新確認出來，被那些合理的主管，有權進入資源， 如互聯網并應采用調查技術，

3、如詢問人們是否能夠確定數據主題的額外的知 識。侵入動機并不能假定具有任何專業(yè)知識。如果組織重新定義個人信息而沒有經個人了解或同意，那么這樣的收集可能 是非法的并且可能承受執(zhí)法訴訟，包括最高至的50萬美元罰款處分。而且，在一些疑似案件中，重新確定個人信息的后果是很嚴重的一比如，重 新確認信息可能導致個人遭受傷害或痛苦-代碼敦促組織尋求數據對象同意披 露的數據，解釋其可能的后果，并采取更嚴格形式的風險分析和一個更強的匿名 化技術。作為提醒，ICO的執(zhí)法能力超過了安全漏洞，最近ICO對于一家公司處以5 萬美元的罰金，并不是因為安全漏洞，而是因為未能保持正確的數據記錄，這毫 無意義。如果匿名化過程不會

4、導致無保證的傷害或痛苦，那么代碼得出結論不需征得 同意，這與其他歐洲數據保護權益違背，這同樣是毫無意義的。信息管理和安全保護代碼提供了組織機構使用匿名化技術時在信息管理結構和安全保護方面期 待落實的詳細指南，推薦任命一名高級信息風險所有者，員工培訓，識別程序， 尤其當匿名化和隱私影響評估困難時。在這種背景下，不但有參考作用，還能夠扮演可信的第三方夠授權給幾個組 織機構來匿名個人數據，使數據集連接到可利用的由可信任第三方應用的標識 符，并被這一團體共享。當其中一個參與者能夠重新識別這些數據時，這些策略需要被仔細考慮。在 他們手中這些數據將不再是個人的，普通的數據保護義務需要得到滿足。ICO的指南陳列了推薦規(guī)范的好的實踐，這些應該被組織機構采納用來提供 合理程度的可信度，對于公布和分享匿名化的數據不會導致個人信息不適當 的披露”。雖然沒有法律約束力，遵守代