个人信息去标识化如何评估风险?全国信安标委拟出台规范
4月12日,全国信息安全标准化技术委员会发布《信息安全技术 个人信息去标识化效果分级评估规范》(以下简称“规范”)征求意见稿,公开意见征求时间截止到2021年6月11日。
图:全国信息安全标准化技术委员会官网截图
专家分析认为,规范保护了那些愿意合规合法、正当利用数据的企业,有助于建立企业合规体系。此外,他建议,在个人信息保护法中充分采纳规范对于“去标识化”的风险区分原则,进一步明确“去标识化”后续处理行为的法律含义。
文|孙朝
绕过“告知-同意”原则的另一条“合规之路”
何为去标识化?据了解,去标识化是通过对个人信息的技术处理,使其在不借助额外信息的情况下,无法识别或者关联个人信息主体的过程。比如将电话号码88888888进行部分打码,变成88****88,也是去识别化的方式之一。
实际上,个人信息保护法草案对个人信息处理者提出了应采取相应的加密、去标识化等安全技术措施的义务。去年10月起正式实施的推荐性国家标准《信息安全技术 个人信息安全规范》也指出,收集个人信息后,个人信息控制者宜立即进行去标识化处理。
已于2017年施行的《网络安全法》规定,未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。由于完全实现匿名化的难度较大,去标识化往往被业界认为是可以绕过告知—同意”原则的另一条“合规之路”。
上海交通大学数据法律研究中心执行主任何渊在分析大数据行业的发展困局时曾直言,对于大数据交易中心来说,目前最需要的就是明确去标识化的标准。同样,如何有效、合规地对个人信息进行去标识化处理也成为业界关注的焦点之一。
南都记者注意到,于2019年8月发布的《信息安全技术 个人信息去标识化指南》明确了去标识化过程,即确定目标、识别标识、处理标识及验证审批等步骤,并在此过程中进行监控审查。
而本次规范重点在于提出了个人信息标识度分级和评定方法,从而在保护个人信息安全的前提下促进数据的共享使用,也可细化不同分级个人信息的安全措施。
个人信息标识度分为4级,隐私面单或为2级数据
根据重标识(把去标识化的数据集重新关联到原始个人信息主体的过程)的风险从高到低,规范将个人信息标识度分为4级。具体而言,1级包含姓名、手机号、身份证号等直接标识符的数据,在特定环境下能够直接识别出个人信息主体。
图:个人信息标识度分级
随着快递行业个人信息泄露事件时有发生,各大快递公司开始推行“隐私面单”来保护个人信息,即在快递面单上用“星号”或“笑脸”代替部分手机号码、用户姓名等个人信息。
图:快递盒上的“隐私面单”
北京清律律师事务所首席合伙人熊定中分析认为,目前运用较广泛的去标识化数据为2级数据,类似于“隐私面单”这种形式。不过此类数据可能存在一些安全隐患,比如通过大数据对比、“撞库”攻击等方式,依然可以重新识别到个人信息主体。
规范指出,重标识风险阈值高于设定阈值的数据为2级数据,风险阈值低于设定阈值的数据则定为3级。如果对数据进行汇总分析得出的聚合数据,不再包含个例数据,将定为4级,如:最大值、最小值、平均值等。也就意味着,4级数据能够重新关联到原始个人信息的风险最低。
评估分级后,数据的用途会受到限制吗?熊定中认为,此举不仅不会限制数据的用途,反而保护了愿意合规合法、正当利用数据的企业,较为明确的国家标准有助于建立企业合规体系,与此同时也需注意规范在数据应用行业的切实落地。
此外,他认为,个人信息保护法可以充分采纳上述规范对于“去标识化”的风险区分原则,进一步明确“去标识化”后续处理行为的法律含义。
熊定中建议,在法律中设置专门条款——如果个人信息处理者能证明其去标识化技术手段足以使得重标识风险较低,不具备识别特定自然人的能力,则有权与处理“匿名化”信息一样,对“去标识化”后的信息进行处理,挖掘数据潜能。“适当放宽缺乏执行可能性的高频知情同意要求,让个人信息的保护落到实处。”