2000 万欧元的区别
GDPR 第 83 条规定,对于最严重的违规行为,最高罚款为 2000 万欧元或全球年收入的 4%,以较高者为准。匿名化与伪匿名化之间的区别决定了 GDPR 是否适用于某个数据集——以及是否适用最高罚款。
GDPR 序言第 26 段定义了匿名化的门槛:“因此,数据保护原则不应适用于匿名信息,即与已识别或可识别的自然人无关的信息,或以使数据主体不再可识别的方式处理的个人数据。” 关键短语是:“不再可识别”——通过数据控制者、任何处理者或任何第三方合理可能使用的任何手段。
GDPR 第 4 条第 5 款定义了伪匿名化:“以某种方式处理个人数据,使得在不使用额外信息的情况下,无法将个人数据归因于特定的数据主体,前提是这些额外信息被单独保管。” 伪匿名化的数据显然不是匿名的——它“在不使用额外信息的情况下无法归因”。伪匿名化的数据在 GDPR 下仍然是个人数据。
实际的含义是:一个认为其分析数据集是“匿名的”(不在 GDPR 适用范围内),但实际上是“伪匿名的”(在 GDPR 适用范围内)的组织,可能会有不正确的第 30 条 ROPA 条目、数据主体权利程序不足、保留期限不当、缺少跨境分析处理的数据传输保障,以及没有响应删除请求的机制。这些缺陷中的每一个都是独立的 GDPR 违规行为。
CEF 执法信号
EDPB 的 2025 年协调执法框架特别指出“作为删除替代方案使用的低效匿名化技术”是一个反复出现的合规失败。这一发现表明,数据保护机构正在评估匿名化的质量,而不仅仅是评估是否存在匿名化步骤。
荷兰数据分析公司案例说明了正确的方法:一家向第三方研究人员提供“匿名化”客户数据集的公司使用 Redact 方法(永久删除 PII,没有令牌映射)。生成的数据集没有重新识别的途径——没有密钥,没有令牌表,没有哈希前像——符合 GDPR 序言第 26 段的门槛。数据保护官在 DPIA 中记录了这一决定:使用的方法、涵盖的标识符类型、不可逆性基础、剩余重新识别风险评估。该数据集不在 GDPR 的适用范围内。GDPR 的义务(包括数据主体权利、保留限制和传输保障)不适用于第三方研究副本。
按合规目标选择方法
不在 GDPR 适用范围内(真正的匿名化): 使用 Redact(永久删除)或 Hash(高熵、不可猜测的值)。记录匿名化的基础。输出不适用 GDPR 义务。
在 GDPR 适用范围内且风险降低(伪匿名化): 使用 Replace、Mask 或 Encrypt。所有 GDPR 义务继续适用。伪匿名化降低了未经授权访问造成的损害风险,但并未消除 GDPR 的适用范围。
可控的可逆性(研究、审计、发现): 使用 Encrypt 和客户持有的密钥。GDPR 适用。密钥保管安排必须符合 EDPB 指南 05/2022 的密钥分离要求。记录伪匿名化域。
来源: