title: "ไม่เปิดเผยตัวตน vs Pseudonymize: เสี่ยง €20 ล้าน" description: "GDPR ปฏิบัติต่อข้อมูลที่ไม่เปิดเผยตัวตนและข้อมูลที่ผ่านการ pseudonymize แตกต่างกันโดยพื้นฐาน การไม่เปิดเผยตัวตนที่แท้จริงลบขอบเขต GDPR ออกทั้งหมด การ pseudonymize ยังคงอยู่ในขอบเขต GDPR" category: gdpr-compliance publishedAt: 2026-04-22 tags:
- ไม่เปิดเผยตัวตน vs pseudonymization
- ค่าปรับ GDPR €20 ล้าน
- Recital 26
- Article 83
- DPIA readingTime: 8
ไม่เปิดเผยตัวตน vs Pseudonymize: เสี่ยง €20 ล้าน
มาตรา 83 กำหนดค่าปรับสูงสุดที่ 20 ล้านยูโร หรือ 4% ของรายได้ทั่วโลกประจำปี คำถามทางกฎหมายหนึ่งข้อขับเคลื่อนความเสี่ยงนั้น: กฎหมายบังคับใช้กับชุดข้อมูลของคุณหรือไม่?
การไม่เปิดเผยตัวตนลบขอบเขตออก การ pseudonymization ไม่ใช่ ช่องว่างนั้นใหญ่มาก
คำจำกัดความสองข้อในภาษาธรรมดา
Recital 26 กำหนดเกณฑ์สำหรับการไม่เปิดเผยตัวตน บุคคลต้อง "ไม่หรือไม่อีกต่อไปสามารถระบุตัวตนได้" การทดสอบนั้นกว้าง มันครอบคลุม "ทุกวิถีทางที่มีโอกาสสมเหตุสมผลที่จะใช้" ซึ่งรวมถึงผู้ควบคุม รวมถึงผู้ประมวลผลและบุคคลที่สาม
มาตรา 4(5) กำหนด pseudonymisation บันทึกถูก pseudonymize เมื่อกุญแจสามารถย้อนกลับได้ ลบกุญแจออก คุณยังมีข้อมูล ข้อมูลพิเศษนั้นต้องเก็บแยกต่างหาก มันไม่ใช่การไม่เปิดเผยตัวตน
บันทึกที่ผ่านการ pseudonymize ยังคงเป็นบันทึกส่วนตัว กฎหมายบังคับใช้อย่างเต็มที่ ไม่มีข้อยกเว้นขอบเขต จุดสิ้นสุด
ค่าใช้จ่ายของการติดป้ายผิด
การปฏิบัติต่อชุดข้อมูลที่ผ่านการ pseudonymize เหมือนเป็นชุดข้อมูลไม่ระบุตัวตนสร้างปัญหาห้าอย่างพร้อมกัน:
- รายการ ROPA ผิดพลาด ภายใต้มาตรา 30
- ไม่มีกระบวนการสิทธิ์ของเจ้าของ สำหรับการเข้าถึง การลบ หรือการโพรตา
- ไม่มีตารางการเก็บรักษา — ไม่มีตัวกระตุ้นการลบ
- ไม่มีการคุ้มครองการถ่ายโอน สำหรับงานข้ามพรมแดน
- ไม่มีเส้นทางการลบ สำหรับคำขอสิทธิ์การลบ
ช่องว่างแต่ละอย่างเป็นการละเมิดแยกต่างหาก ทั้งห้าสามารถอยู่ใน pipeline เดียวกัน
สัญญาณการบังคับใช้ปี 2025
ในปี 2025 EDPB ดำเนินการบังคับใช้ร่วมกัน รายงานระบุความล้มเหลวที่เกิดซ้ำหนึ่งอย่าง: "เทคนิคการไม่เปิดเผยตัวตนที่ไม่มีประสิทธิภาพที่ใช้แทนการลบ" DPA ตอนนี้ตรวจสอบคุณภาพของการไม่เปิดเผยตัวตน พวกเขาตรวจสอบมากกว่าแค่ว่ามีขั้นตอนหรือไม่ ขั้นตอนต้องทำงานได้
ชุดข้อมูลที่ถูก tokenize พร้อมตาราง lookup คือ pseudonymized มันไม่ใช่ไม่ระบุตัวตน มันมีกุญแจ กุญแจสามารถย้อนกลับได้ การเรียกมันว่าไม่ระบุตัวตนเป็นความล้มเหลวที่รายงานปี 2025 มุ่งเป้าไปที่
การเลือกวิธีการที่ถูกต้อง
การไม่เปิดเผยตัวตนที่แท้จริง — อยู่นอกขอบเขต ใช้ Redact PII หายไปโดยไม่มีความเชื่อมโยงกลับ คุณยังสามารถ Hash ค่า entropy สูงโดยไม่มีเส้นทาง preimage บันทึกพื้นฐาน ไม่มีหน้าที่ทางกฎหมายติดกับผลลัพธ์
Pseudonymization — อยู่ในขอบเขต ใช้ Replace, Mask หรือ Encrypt กฎหมายบังคับใช้อย่างเต็มที่ Pseudonymization ลดความเสียหายจากการละเมิด แต่ไม่ลดหน้าที่ทางกฎหมาย
การย้อนกลับที่ควบคุม — การวิจัยหรือการตรวจสอบ ใช้ Encrypt พร้อมกุญแจที่ถือโดยลูกค้า การดูแลกุญแจต้องตรงตามกฎการแยกกุญแจ EDPB 05/2022 บันทึกโดเมนใน DPIA
กรณีการใช้งานจริง
บริษัทขาย "บันทึกลูกค้าที่ไม่เปิดเผยตัวตน" ให้นักวิจัย พวกเขาใช้วิธี Redact PII หายไป ไม่มีตาราง token ไม่มี hash preimage การระบุตัวตนใหม่ไม่มีทาง
DPO เขียนสิ่งนี้ใน DPIA วิธีการที่ใช้ ประเภทตัวระบุ เหตุใดจึงไม่สามารถยกเลิกได้ ระดับความเสี่ยงที่เหลือ ผลลัพธ์อยู่นอกขอบเขต สิทธิ์ของเจ้าของและกฎการถ่ายโอนไม่บังคับใช้กับสำเนาการวิจัย
วิธีการตรงกับคำกล่าวอ้าง นั่นคือกระบวนการที่ถูกต้อง มันผ่านการตรวจสอบ
เหตุใดบันทึกจึงสำคัญ
บริษัทไม่สามารถยืนยันการไม่เปิดเผยตัวตนได้เพียงอย่างเดียว คำกล่าวอ้างต้องมีบันทึก DPIA ต้องแสดงสี่สิ่ง ตัวระบุใดที่ถูกครอบคลุม วิธีการใดที่ใช้ เหตุใดการระบุตัวตนใหม่ไม่มีทาง ระดับความเสี่ยงที่เหลือเป็นอย่างไร
หากไม่มีบันทึกนั้น การตรวจสอบจะปฏิบัติต่อชุดข้อมูลเหมือนอยู่ในขอบเขต หน้าที่ทั้งหมดบังคับใช้ รายการ ROPA ต้องมี การคุ้มครองการถ่ายโอนต้องมี เส้นทางการลบต้องมี ไม่มีหน้าที่ใดหายไปโดยไม่มีหลักฐาน
สำหรับวิธีที่สิทธิ์การลบมีปฏิสัมพันธ์กับบันทึกที่ไม่เปิดเผยตัวตน ดูสิทธิ์การลบ GDPR และแนวทาง EDPB 2025 สำหรับกฎการถ่ายโอนเมื่อแบ่งปันบันทึกข้ามพรมแดน ดูการปฏิบัติตามการถ่ายโอนข้อมูลและค่าปรับ TikTok