EDPB的2025年执法行动
欧洲数据保护委员会的2025年协调执法框架(CEF)行动针对GDPR第17条——删除权。32个欧盟和欧洲经济区的数据保护机构同时调查了组织如何响应删除请求。协调的方法旨在识别系统性失败,而不是个别异常案例。
调查结果识别出七个反复出现的合规挑战:
- 对处理删除请求的内部程序记录不充分
- 对合法请求的拒绝过于宽泛(过于广泛地使用允许的例外)
- 对个人提交删除请求时施加不当负担
- 在处理删除请求时无法定位所有系统中的个人数据
- 在处理请求时超出GDPR的30天响应窗口的过度延迟
- 对数据主体关于其请求结果的沟通不足
- 使用低效的匿名化技术作为删除的替代方案——特别标记为组织使用技术上有缺陷的“匿名化”,使数据可重新识别
九个数据保护机构根据CEF的调查结果启动了正式调查。第七个反复出现的挑战——低效的匿名化——与使用匿名化作为其主要数据最小化策略的组织直接相关。
删除的匿名化替代方案
GDPR的删除权并不要求在所有情况下都进行删除。第65条说明,当删除在技术上不可行时,可以通过匿名化来实现删除(例如,在备份磁带或集成分析系统中,单个记录的删除需要系统重建)。
EDPB的CEF调查结果表明,这种替代方案正在被滥用:组织声称“匿名化”是数据转换,但留下的数据在技术上可重新识别——使用这个词是为了避免实际删除的操作负担,而不是为了实现匿名化应提供的数据保护结果。
EDPB所划分的区别:真正的匿名化——数据与个人之间的链接无法通过数据控制者或任何第三方可用的手段重新建立——将数据从GDPR的范围中移除,并满足删除请求。伪匿名化——在适当的密钥下可以重新识别——不满足删除请求;数据主体的个人数据仍然存在,必须被删除或密钥必须被销毁。
实际合规策略
对于在分析系统中使用匿名化作为删除替代方案的组织:
正确的架构将数据摄取(原始个人数据)与数据分析(匿名化衍生物)分开。摄取层中的个人数据受到删除请求的影响——当数据主体行使第17条权利时,摄取层中的个人数据被删除。分析层中的匿名化衍生物——如果匿名化是全面且不可逆的——则无需修改,因为它们不再是个人数据。
该架构要求在摄取与分析之间的边界上的匿名化在技术上是可靠的:不可逆(不是令牌化)、全面(所有标识符类别都得到处理)和有记录(组织可以向数据保护机构证明匿名化方法符合EDPB的标准)。在分析处理之前对客户购买历史进行匿名化的零售公司,用可逆加密替换姓名和联系信息的令牌,已经对数据进行了伪匿名化(而不是匿名化)——分析数据集仍包含个人数据,需受到删除请求的影响。
来源: