EDPB 2025 年 1 月的澄清
欧洲数据保护委员会在 2025 年 1 月发布的假名化指南 01/2025 引入了几个澄清,这对使用数据匿名化工具的组织具有重要的合规影响。
最重要的澄清:该指南引入了“假名化域”的概念——假名化数据仍然可以与真实个人关联的各方集合。对于假名化域内的任何一方(持有假名化密钥或能够推导出密钥的各方),假名化数据在 GDPR 下仍然是个人数据。该指南明确指出,假名化数据的个人数据状态没有改变——即使对域外各方看起来不具识别性,它仍然受到所有 GDPR 义务的约束。
这一澄清影响了那些认为“令牌化”或“带密钥的假名化”已将其数据排除在 GDPR 范围之外的组织。根据 2025 年 1 月的指南,实际上并没有。持有假名化密钥的组织仍然是假名化数据的 GDPR 数据控制者。
工具营销差距
许多被宣传为“匿名化”工具的工具实际上生成的是假名化数据。区别在于:
真正的匿名化(不可逆转):任何一方都无法通过任何现有或未来可用的手段逆转该转化。真正的匿名化完全将数据排除在 GDPR 范围之外。
假名化(可逆转):该转化可以通过密钥、查找表或单独持有的附加信息进行逆转。假名化并未将数据排除在 GDPR 范围之外——对于持有或能够推导出密钥的各方,它仍然是个人数据。
基于令牌的系统(用一致的令牌替换 PII 并维护映射表)、基于加密的系统(用加密值替换 PII 并维护解密密钥)以及格式保留加密都生成假名化数据。根据 EDPB 2025 年 1 月的指南,这些数据仍然是个人数据。
哈希(对 PII 值应用单向哈希函数)更接近于匿名化——如果哈希函数是密码学上安全的,并且没有可行的前像查找——但 EDPB 的指南指出,低熵数据(如姓名或常见标识符的短字符串)的哈希容易受到彩虹表攻击,可能不构成真正的匿名化。
新指南下的合规策略
数据保护官需要根据 EDPB 2025 年 1 月的指南重新评估其数据分类策略:
对于被分类为“匿名化”(不在 GDPR 范围内)的数据:重新评估该转化是否真正不可逆转。如果任何一方,包括数据控制者本身,都可以逆转它,则它是假名化的,GDPR 仍然适用。
对于必须保持在 GDPR 范围外的数据(用于分析、归档或研究):使用不可逆的匿名化方法——编辑(永久删除)、用不可恢复的值进行掩码,或对高熵数据进行密码哈希。记录该方法和匿名化决定的依据。
对于受控可逆性有益的数据(需要重新联系的研究、审计跟踪、发现义务):明确分类为假名化个人数据,维持所有 GDPR 义务,根据 EDPB 的密钥分离要求记录假名化密钥的保管安排。
明确的五种方法框架——替换、编辑、掩码、哈希、加密——直接映射到此分类:替换、掩码和加密生成假名化数据(GDPR 仍然适用)。编辑和哈希(高熵数据)接近真正的匿名化(需进行完整性和熵分析)。
来源: