编辑决策
在保护敏感数据时,你面临一个基本选择:
永久编辑: 数据被不可逆转地删除。无法恢复。
可逆加密: 数据被加密。可以在适当授权下解密。
这个选择对合规性、法律发现、研究和审计有影响。选择错误,你可能会发现自己无法遵守法院命令或监管请求。
GDPR:匿名化与伪匿名化
GDPR 明确区分了两种方法:
匿名化(第26条)
无法再归因于特定个人的数据不属于个人数据。GDPR 不适用。
要求:
- 不可逆(无法重新识别)
- 不能有额外信息使重新识别成为可能
- 真正的匿名数据不在 GDPR 范围内
伪匿名化(第4条第5款)
标识符被替换为可以用额外信息逆转的令牌的数据。
关键点:
- 在 GDPR 下仍被视为个人数据
- 作为安全措施(第32条)
- 在泄露情况下降低风险
- 允许用于研究的数据处理(第89条)
| 方法 | GDPR 状态 | 可逆 | 使用案例 |
|---|---|---|---|
| 匿名化 | 非个人数据 | 否 | 公开数据集 |
| 伪匿名化 | 个人数据(受保护) | 是 | 内部处理 |
为什么永久编辑可能会有问题
1. 法律发现
法院可以命令提供未编辑的文件:
- 特权主张可能会受到质疑
- 法官可能会进行内部审查
- 对方律师可能会争议编辑内容
- 上诉可能需要原始证据
如果你永久删除了信息,你将无法遵守。
真实案例: 一家律师事务所永久编辑了文件中的客户姓名。当法院质疑特权主张时,他们无法提供原件。随后受到制裁。
2. 监管审计
审计员可能会要求完整记录:
- 财务审计需要交易细节
- 医疗审计需要患者记录
- GDPR 审计可能会检查处理活动
“我们永久删除了该信息”几乎从来不是一个可接受的答案。
3. 研究重新识别
纵向研究需要随着时间的推移链接数据:
- 医学研究跟踪患者结果
- 学术研究有后续阶段
- 质量改进需要趋势分析
永久匿名化阻止了合法研究。
4. 商业需求
组织通常需要逆转编辑:
- 客户请求其原始文件
- 内部审查需要完整信息
- 商业决策需要完整背景
何时使用每种方法
在以下情况下使用永久编辑:
| 场景 | 示例 |
|---|---|
| 公开发布 | 开放数据倡议 |
| 不需要重新识别 | 发布的统计数据 |
| 法规要求 | 某些泄露通知 |
| 存储最小化 | 不应该保留的数据 |
在以下情况下使用可逆加密:
| 场景 | 示例 |
|---|---|
| 法律发现 | 电子发现制作 |
| 内部处理 | 分析、报告 |
| 研究 | 纵向研究 |
| 客户服务 | 文档管理 |
| 审计准备 | 合规证据 |
可逆加密的工作原理
anonym.legal 使用 AES-256-GCM 加密进行可逆编辑:
加密过程
原始:"John Smith, SSN 123-45-6789"
↓
[检测 PII]
↓
实体:PERSON("John Smith"), SSN("123-45-6789")
↓
[生成加密密钥]
↓
[加密每个实体]
↓
输出:"[PERSON_abc123], SSN [SSN_def456]"
解密过程
输入:"[PERSON_abc123], SSN [SSN_def456]"
↓
[加载加密密钥]
↓
[解密令牌]
↓
输出:"John Smith, SSN 123-45-6789"
密钥安全
加密密钥是:
- 在客户端使用 CSPRNG 生成
- 从未传输到 anonym.legal 服务器
- 存储在你的加密密钥库中
- 受你的身份验证保护
没有密钥,解密在数学上是不可能的。
竞争对手比较
| 工具 | 可逆 | 密钥管理 | 审计跟踪 |
|---|---|---|---|
| Amazon Comprehend | 否 | 不适用 | 有限 |
| Microsoft Presidio | 否 | 不适用 | 否 |
| Private AI | 否 | 不适用 | 有限 |
| Google DLP | 否 | 不适用 | 是 |
| anonym.legal | 是 | 客户端 | 是 |
大多数工具仅提供永久编辑。这限制了它们在法律、研究和合规用例中的效用。
实施指南
第一步:分类你的用例
问问自己:
- 我是否会需要原始数据?
- 法院是否可能命令提供原件?
- 研究是否需要重新识别?
- 审计员是否需要完整记录?
如果任何答案是“是” → 使用可逆加密。
第二步:配置操作符
在 anonym.legal 中,按实体类型选择你的方法:
| 实体类型 | 操作符 | 结果 |
|---|---|---|
| PERSON | 加密 | [PERSON_abc123] |
| SSN | 掩码 | *--6789 |
| 替换 | [EMAIL_1] | |
| CREDIT_CARD | 编辑 | [REDACTED] |
根据你的需求混合方法。
第三步:管理密钥
对于可逆加密:
- 在第一次加密时生成密钥
- 安全存储密钥(anonym.legal 密钥库或导出)
- 记录哪个密钥保护哪些文件
- 控制密钥访问(谁可以解密?)
第四步:维护审计跟踪
anonym.legal 记录:
- 加密/编辑了什么
- 处理发生的时间
- 检测到哪些实体
- 使用的配置
这支持合规证据要求。
示例:法律发现工作流
一家律师事务所在诉讼中制作文件:
没有可逆加密
- 永久编辑特权信息
- 向对方律师提供文件
- 法院质疑特权主张
- 无法提供原件
- 可能的制裁
使用 anonym.legal
- 加密特权信息(可逆)
- 提供加密版本
- 法院质疑特权主张
- 解密并提交进行内部审查
- 法院对特权作出裁决
- 提供适当版本
关键区别:你保持控制,可以遵守任何法院命令。
企业需求的定价
可逆加密包含在所有计划中:
| 计划 | 令牌/月 | 密钥库 | 价格 |
|---|---|---|---|
| 免费 | 200 | 1 | €0 |
| 基本 | 2,000 | 1 | €3/月 |
| 专业 | 10,000 | 3 | €15/月 |
| 商业 | 50,000 | 10 | €29/月 |
| 企业 | 自定义 | 无限 | 联系 |
结论
永久编辑与可逆编辑之间的选择不仅仅是技术问题——它对以下方面有实际影响:
- 法院合规
- 监管审计
- 研究能力
- 商业灵活性
大多数工具仅提供永久编辑,当情况变化时限制了你的选择。
anonym.legal 提供两者:
- 可逆加密 适用于大多数用例
- 永久编辑 在需要时
为每种情况选择正确的方法:
来源: