Anonymize kumpara sa Pseudonymize: €20M ang Nakataya
Itinatakda ng Article 83 ang pinakamataas na multa sa €20 milyon o 4% ng taunang kita sa buong mundo. Isang legal na tanong ang nagdadala ng panganib na iyon: naaangkop ba ang batas sa iyong dataset?
Ang anonymization ay nag-aalis ng saklaw. Ang pseudonymization ay hindi. Ang agwat na iyon ay malaki.
Ang Dalawang Kahulugan sa Plain Terms
Itinatakda ng Recital 26 ang pamantayan para sa anonymization. Ang isang tao ay dapat na "hindi o hindi na ma-identify." Ang pagsubok ay malawak. Sinasaklaw nito ang bawat paraan na "makatwirang malamang na gagamitin." Kasama rito ang controller. Sinasaklaw din nito ang anumang processor at anumang third party.
Inilalarawan ng Article 4(5) ang pseudonymisation. Ang mga rekord ay pseudonymized kapag ang isang susi ay maaaring i-reverse ang mga ito. Alisin ang susi, at mayroon ka pa ring datos. Ang karagdagang datos na iyon ay dapat manatiling hiwalay. Hindi ito anonymization.
Ang mga pseudonymized na rekord ay personal na rekord pa rin. Ang batas ay naaangkop nang buo. Walang exemption sa saklaw. Punto.
Ano ang Halaga ng Maling Label
Ang pagtrato sa isang pseudonymized na dataset bilang anonymous ay lumilikha ng limang problema nang sabay-sabay:
- Maling mga entry sa ROPA sa ilalim ng Article 30
- Walang proseso sa karapatan ng paksa para sa access, pagtanggal, o portability
- Walang schedule ng pagpapanatili — walang trigger sa pagtanggal
- Walang mga safeguard sa paglilipat para sa cross-border na trabaho
- Walang landas na pagtanggal para sa mga kahilingan sa karapatang burahin
Ang bawat agwat ay isang hiwalay na paglabag. Lahat ng lima ay maaaring nasa isang pipeline.
Ang Signal ng Pagpapatupad ng 2025
Noong 2025, nagpatakbo ang EDPB ng joint enforcement exercise. Pinangalanan ng ulat ang isang paulit-ulit na kabiguan: "hindi epektibong mga teknik sa anonymization na ginagamit bilang kahalili sa pagtanggal." Ang mga DPA ay nag-o-audit na ngayon ng kalidad ng anonymization. Sinusuri nila nang higit pa sa kung may hakbang lamang. Ang hakbang ay dapat gumana.
Ang isang tokenized na dataset na may lookup table ay pseudonymized. Hindi ito anonymous. Mayroon itong susi. Ang susi ay maaaring i-reverse ito. Ang pagtawag dito na anonymous ay eksaktong ang kabiguan na tina-target ng ulat ng 2025.
Pagpili ng Tamang Pamamaraan
Tunay na anonymization — nasa labas ng saklaw. Gumamit ng Redact. Ang PII ay wala na nang walang link pabalik. Maaari ka ring Mag-hash ng mga high-entropy na halaga nang walang preimage path. I-dokumento ang batayan. Walang legal na tungkulin na naka-attach sa output.
Pseudonymization — nasa loob ng saklaw. Gumamit ng Replace, Mask, o Encrypt. Ang batas ay naaangkop nang buo. Binabawasan ng pseudonymization ang pinsala mula sa isang paglabag. Hindi nito binabawasan ang mga legal na tungkulin.
Kontroladong reversibility — pananaliksik o audit. Gumamit ng Encrypt na may mga client-held key. Ang key custody ay dapat matugunan ang mga tuntunin ng key separation ng EDPB 05/2022. Itala ang domain sa DPIA.
Isang Tunay na Kaso ng Paggamit
Nagbebenta ang isang kumpanya ng "anonymized" na rekord ng customer sa mga mananaliksik. Inilalapat nila ang pamamaraang Redact. Wala na ang PII. Walang token table. Walang hash preimage. Ang re-identification ay walang landas.
Isinusulat ito ng DPO sa DPIA. Pamamaraang ginamit. Mga uri ng identifier. Bakit hindi ito maaaring i-undo. Antas ng residual risk. Ang output ay nasa labas ng saklaw. Ang mga karapatan ng paksa at mga tuntunin sa paglilipat ay hindi naaangkop sa mga research copy.
Ang pamamaraan ay tumutugma sa claim. Iyon ang tamang proseso. Ito ay nakakatagal sa isang audit.
Bakit Mahalaga ang Rekord
Hindi maaaring basta-basta umangkin ng anonymization ang isang kumpanya. Ang claim ay dapat may rekord. Ang DPIA ay dapat magpakita ng apat na bagay. Kung aling mga identifier ang nasasaklaw. Kung aling pamamaraan ang ginamit. Bakit walang landas ang re-identification. Ano ang antas ng residual risk.
Nang wala ang rekord na iyon, itinuturing ng isang audit ang dataset bilang nasa saklaw. Ang buong hanay ng mga tungkulin ay naaangkop. Ang entry sa ROPA ay dapat mayroon. Ang mga safeguard sa paglilipat ay dapat mayroon. Ang landas na pagtanggal ay dapat mayroon. Walang tungkulin na mawawala nang walang patunay.
Para sa kung paano nakikipag-ugnayan ang mga karapatan sa pagtanggal sa mga anonymized na rekord, tingnan ang GDPR right to erasure and the EDPB 2025 guidance. Para sa mga tuntunin sa paglilipat kapag nagbabahagi ng mga rekord sa cross-border, tingnan ang data transfer compliance and the TikTok fine.