By George Curta · Last updated 2026-04-07
可链接性
技术机制使得在系统之间重新识别和追踪个人成为可能
定义: 将两条信息连接到同一个人的能力。
浏览器指纹识别
将设备属性链接成唯一身份——屏幕、字体、WebGL、画布结合成一个识别90%以上浏览器的指纹。
删除:完全移除指纹贡献值消除算法组合成唯一标识符的数据点。
GDPR第5条第1款(c)数据最小化,电子隐私指令跟踪同意
准标识符重新识别
仅通过邮政编码 + 性别 + 出生日期即可识别87%的美国人口。Netflix奖项数据集通过IMDB关联被去匿名化。
哈希:确定性SHA-256哈希确保跨数据集的参考完整性,同时防止从原始值重新识别。
GDPR第26条可识别性测试,第89条研究保护
元数据关联
在没有内容的情况下链接谁/何时/何地——'我们根据元数据杀人'(前NSA局长)。
删除:完全移除元数据字段防止关联攻击,将通信模式链接到个人。
GDPR第5条第1款(f)完整性和保密性,电子隐私指令元数据限制
电话号码作为PII锚点
通过150多个国家的强制SIM注册将加密通信链接到现实身份。
替换:用格式有效但无功能的替代品替换电话号码,保持数据结构的同时移除PII锚点。
GDPR第9条在敏感背景下的特殊类别数据,电子隐私指令
社交图谱暴露
联系人发现映射整个关系网络——个人、专业、医疗、法律、政治。
删除:从文档中移除联系人标识符防止从文档集合构建社交图谱。
GDPR第5条第1款(c)数据最小化,第25条设计时数据保护
行为风格分析
写作风格、发布日程、时区活动即使在完美的技术匿名化下也能唯一识别用户。500个单词的准确率超过90%。
替换:用匿名化的替代品替换原始文本内容,破坏写作分析算法依赖的风格指纹。
GDPR第4条第1款个人数据扩展到间接识别信息,包括写作风格
硬件标识符
MAC地址、CPU序列号、TPM密钥——刻入硬件,跨OS重装持久存在,终极cookie。
删除:完全移除文档和日志中的硬件标识符消除持久追踪锚点,这些锚点在OS重装后仍然存在。
GDPR第4条第1款设备标识符作为个人数据,电子隐私第5条第3款
位置信息
4个时空点唯一识别95%的人。用于追踪堕胎诊所访客、抗议者、军人。
替换:用一般化的替代品替换位置信息,保持地理上下文的同时防止个体追踪。
GDPR第9条当位置揭示敏感活动,第5条第1款(c)最小化
实时竞价广播
实时竞价广播位置 + 浏览 + 兴趣给数千家公司,每个欧洲用户每天376次。
删除:在进入广告管道之前移除PII防止个人信息每天376次广播。
GDPR第6条合法基础,电子隐私指令跟踪同意,第7条同意条件
数据经纪人聚合
Acxiom、LexisNexis结合数百个来源——财产记录、购买、应用SDK、信用卡——形成全面的个人档案。
删除:在数据离开组织边界之前移除标识符,防止对跨源聚合档案的贡献。
GDPR第5条第1款(b)目的限制,第5条第1款(c)最小化,CCPA选择退出权
权力不对称
数据主体与数据控制者之间的控制不平衡,削弱了有意义的同意
定义: 收集者设计系统,从收集中获利,制定规则,并游说法律框架。
黑暗模式
一键同意,15步删除。研究表明,黑暗模式将同意从约5%提高到80%以上。设计上的不对称。
删除:通过同意界面输入的个人数据匿名化减少通过黑暗模式提取的价值。
GDPR第7条同意条件,第25条设计时数据保护
默认设置
Windows 11默认启用遥测、广告ID、位置、活动历史。每个默认设置代表数十亿用户的PII被收集,因为他们没有选择退出。
删除:从默认启用设置传输的数据中移除跟踪标识符,减少通过隐私敌对配置收集的PII。
GDPR第25条第2款默认数据保护,电子隐私第5条第3款
监视广告经济学
Meta的12亿欧元GDPR罚款相当于约3周的收入。罚款是商业成本,而不是威慑。GDPR罚款中位数低于10万欧元。
删除:在个人数据进入广告系统之前进行匿名化,减少可用于监视资本主义的个人数据。
GDPR第6条合法基础,第21条反对直接营销的权利
政府豁免
最大的PII收集者(税务、健康、犯罪记录、移民)将自己排除在最强保护之外。GDPR第23条允许限制'国家安全'的权利。
删除:在文档中匿名化政府颁发的标识符,防止超出原始收集上下文的使用。
GDPR第23条国家安全的限制,第9条特殊类别数据
人道主义胁迫
难民必须交出生物识别信息才能获得食物。最极端的权力不平衡:交出你最敏感的PII,否则无法生存。
删除:在处理后从人道主义文档中移除识别信息,保护脆弱人群。
GDPR第9条特殊类别数据,UNHCR数据保护指南
儿童的脆弱性
在一个人能拼写'同意'之前就建立了PII档案。学校发放的Chromebook全天候监控。监考软件对未成年人使用面部识别。
删除:在教育记录中匿名化儿童的PII,防止在获得有意义的同意之前的数据收集导致终身追踪。
GDPR第8条儿童同意,FERPA学生记录,COPPA父母同意
法律基础切换
公司在您撤回同意时从'同意'切换到'合法利益'。继续在不同法律依据下处理相同的PII。
删除:在法律依据变更时匿名化个人数据,防止继续使用在撤回同意下收集的PII。
GDPR第6条合法基础,第7条第3款撤回同意的权利,第17条删除权
难以理解的政策
平均4000多个单词达到大学阅读水平。每年需要76个工作日来阅读所有内容。在互联网规模上'知情同意'是法律虚构。
删除:在提交的文档中匿名化PII,减少通过无人阅读的政策放弃的个人数据。
GDPR第12条透明信息,第7条同意条件
跟踪软件
消费者间谍软件捕获位置、消息、通话、照片、按键记录。由施虐者安装。行业价值数亿,处于监管真空中。
删除:在设备数据导出时进行匿名化,移除跟踪软件捕获的PII,使受害者能够安全地记录虐待行为。
GDPR第5条第1款(f)完整性和保密性,家庭暴力立法
验证障碍
要删除PII,您必须提供更敏感的PII——政府ID、公证文件。删除所需的验证比创建所需的更多。
删除:在删除请求完成后匿名化验证文件,防止敏感身份数据的积累。
GDPR第12条第6款数据主体身份验证,第17条删除权
知识不对称
隐私工程师与用户之间的信息差距导致实施失败
定义: 已知与实践之间的差距。
开发者误解
'哈希=匿名化'被数百万开发者相信。哈希邮件在GDPR下仍然是个人数据。大多数计算机科学课程没有隐私培训。
哈希:通过经过验证的管道进行适当的SHA-256哈希确保一致、可审计的匿名化,符合GDPR要求。
GDPR第26条可识别性测试,第25条设计时数据保护
数据保护误解
组织在不理解epsilon的情况下采用差分隐私。DP并不使数据匿名,不防止聚合推断,不保护所有攻击。
删除:在应用DP之前匿名化基础PII提供深度防御——即使epsilon设置不正确,原始数据也受到保护。
GDPR第26条匿名化标准,第89条统计处理保护
隐私与安全混淆
用户相信防病毒软件保护PII。但谷歌、亚马逊、Facebook通过正常授权使用收集PII。主要威胁是合法收集,而不是未经授权的访问。
删除:在安全日志中匿名化PII解决安全与隐私之间的差距——安全工具保护系统,但PII需要匿名化。
GDPR第5条第1款(f)完整性和保密性,第32条处理安全
VPN欺骗
'军用级加密'来自记录一切的公司。PureVPN尽管宣传'无日志',仍向FBI提供日志。免费VPN被发现出售带宽。
删除:在文档级别匿名化浏览数据提供独立于VPN声明的保护——无论VPN是否记录,PII已经被匿名化。
GDPR第5条第1款(f)保密性,电子隐私元数据条款
研究与行业差距
差分隐私于2006年发布,首次重大采用在2016年。MPC和FHE在几十年后仍然主要是学术性的。研究到实践的转移管道缓慢且损失严重。
哈希:提供生产就绪的匿名化弥补了学术研究出版与行业采用之间的10年差距。
GDPR第89条研究保护,第25条设计时数据保护
用户对范围的无知
大多数人不知道:ISP可以看到所有浏览,应用程序与经纪人共享位置,电子邮件提供商扫描内容,'隐身'并不能防止跟踪。数十亿人同意他们不理解的收集。
删除:在任何系统中输入个人数据之前进行匿名化解决意识差距——保护在用户不理解收集范围时仍然有效。
GDPR第13-14条知情权,第12条透明沟通
密码存储
bcrypt自1999年起可用,Argon2自2015年起可用。明文密码存储在2026年仍然在生产中发现。超过130亿个被泄露的账户,许多来自轻易可避免的错误。
加密:对凭证进行AES-256-GCM加密展示了正确的方法——行业标准加密,而不是明文存储。
GDPR第32条处理安全,ISO 27001访问控制
未使用的加密工具
MPC、FHE、ZKP可以解决主要的PII问题,但仍停留在学术论文中。理论解决方案等待实际部署数十年。
删除:今天提供实用、可部署的匿名化解决方案解决了差距,同时MPC/FHE/ZKP仍处于学术开发中。
GDPR第25条设计时数据保护,第32条先进措施
假名化混淆
开发者认为UUID替换=匿名化。但如果映射表存在,数据在GDPR下仍然是个人数据。这一区别具有数十亿美元的法律后果。
删除:真正的删除完全从GDPR范围内移除数据——解决了假名化与匿名化之间数十亿美元的区别。
GDPR第4条第5款假名化定义,第26条匿名化标准
操作安全失败
举报人从工作浏览器中寻找SecureDrop。用户调整Tor浏览器窗口大小。开发者提交API密钥。一次粗心的时刻永久去匿名化。
删除:在共享之前匿名化代码和文档中的敏感标识符,防止一次粗心的操作安全失败。
GDPR第32条安全措施,欧盟举报人指令来源保护
管辖权碎片化
跨境的法律和监管冲突造成保护差距和合规挑战
定义: PII在毫秒内全球流动。
美国联邦法律缺失
在世界上最大的科技经济体中没有全面的联邦隐私法。HIPAA、FERPA、COPPA和50个州法律的拼凑。数据经纪人在监管真空中运作。
删除:在所有美国监管类别中使用单一平台匿名化PII消除拼凑合规问题。
HIPAA隐私规则,FERPA学生记录,COPPA,CCPA消费者权利
GDPR执行瓶颈
爱尔兰DPC处理大多数大型科技公司的投诉。3-5年的延迟。noyb提交了100多个投诉——许多仍未解决。被EDPB多次推翻。
删除:在PII成为监管争议的对象之前进行匿名化消除执行瓶颈——匿名数据不在GDPR范围内。
GDPR第56-60条跨境合作,第83条行政罚款
跨境冲突
GDPR要求保护与CLOUD法案要求访问与中国NSL要求本地化之间的矛盾。造成不可能的同时合规。
加密:AES-256-GCM加密实现组织控制与管辖灵活性——加密数据受到保护,免受未经授权的政府访问。
GDPR第五章转移,美国CLOUD法案,中国PIPL数据本地化
全球南方法律缺失
只有约35个非洲国家拥有数据保护法。执行不一致。电信、银行、政府收集的PII没有约束。
删除:在电信、银行和政府收集的数据中进行匿名化,防止在缺乏数据保护法的情况下的滥用。
非洲联盟马拉博公约,存在时的国家数据保护法
电子隐私僵局
自2017年以来,关于智能手机通信的规则在智能手机之前就已存在。行业游说造成九年的僵局。2002年指令仍然有效。
删除:无论电子隐私状态如何,匿名化跟踪数据提供不依赖于解决九年监管僵局的保护。
电子隐私指令2002/58/EC,提议的电子隐私法规,GDPR第95条
数据本地化困境
非洲/中东/亚洲的PII存储在美国/欧盟的数据中心。受CLOUD法案约束。但在法治薄弱的国家本地存储可能减少保护。
删除:在收集时进行匿名化消除本地化困境——匿名数据不需要本地化。
GDPR第44条转移限制,国家数据本地化要求
举报人管辖权购物
五眼情报共享绕过每个国家的保护。来源于A国,组织在B国,服务器在C国——三个法律制度,最弱者胜出。
删除:在文件跨越管辖区之前匿名化源识别信息,防止最弱环节的利用。
欧盟举报人指令,新闻自由法,五眼协议
数据保护监管不确定性
没有监管机构正式认可差分隐私满足匿名化要求。组织在法律地位不确定的情况下投资于DP。
删除:使用已建立的方法匿名化PII提供法律确定性,而DP目前缺乏这种确定性——监管机构认可匿名化,但不认可DP。
GDPR第26条匿名化标准,第29条工作组意见
监视技术出口
NSO集团(以色列)在45个国家出售Pegasus——沙特阿拉伯、墨西哥、印度、匈牙利。出口管制薄弱,执行更弱,问责为零。
删除:在监视研究文档中进行匿名化,防止识别目标和调查间谍软件扩散的记者。
欧盟双重用途法规,瓦森纳协议,人权立法
政府购买PII
ICE、IRS、DIA从经纪人那里购买位置信息。购买他们无法合法收集的东西。第三方原则漏洞将商业数据转化为政府监视。
删除:在位置数据到达商业数据集之前进行匿名化,关闭第三方原则漏洞——机构无法购买匿名化的数据。
第四修正案,GDPR第6条,提议的第四修正案不出售法案
下载所有案例研究
访问所有40个案例研究,组织成4个综合PDF文档。每个PDF包含10个隐私挑战的详细分析和现实世界示例。
关于隐私晶体管框架
隐私晶体管框架根据其基础机制和潜在解决方案将隐私挑战分类为不同类型:
- 坚固晶体管(T1,T6)代表可以通过更好的工程、工具和教育来解决的技术挑战。
- 结构性限制晶体管(T3,T7)代表根植于权力不平衡和监管差距的系统性问题,需要政策干预。
这项研究帮助组织理解PII匿名化工具如anonym.legal可以在哪些地方提供保护(坚固挑战)以及在哪些地方需要更广泛的系统性变革(结构性限制)。
常见问题
什么是隐私晶体管框架?
隐私晶体管框架根据其基础机制将隐私挑战分类为不同类型。坚固晶体管(T1,T6)是可以通过工程和工具解决的技术挑战。结构性限制晶体管(T3,T7)是需要政策干预的系统性问题。
隐私案例研究的4个类别是什么?
40个案例研究分为4个类别:T1 可链接性(重新识别和追踪机制),T3 权力不对称(同意和控制不平衡),T6 知识不对称(导致实施失败的信息差距),T7 管辖权碎片化(跨境法律冲突)。
anonym.legal如何帮助解决坚固隐私挑战?
anonym.legal通过PII检测和匿名化来解决坚固挑战(T1 可链接性,T6 知识不对称)。通过检测和移除浏览器指纹、准标识符和元数据等标识符,组织可以防止这些案例研究中涉及的重新识别风险。
坚固晶体管和结构性限制晶体管之间有什么区别?
坚固晶体管代表可以通过更好的工具、工程实践和教育解决的技术挑战。结构性限制晶体管代表根植于权力不平衡(黑暗模式、监视资本主义)或监管差距(GDPR执行延迟、跨境冲突)的系统性问题,需要政策变更。
我在哪里可以下载完整的案例研究PDF?
所有4个案例研究PDF可在anonym.community免费下载。每个PDF包含10个详细的案例研究(每个文档约37页),涵盖现实世界的隐私挑战及其分析和示例。
About this page
We update this page when our platform or the law changes.
Read our founder note for how we work.
Each change shows up in the timestamp at the top.
Related reading
- Common questions
- Glossary
- How tokens work
- Security posture
- Where we comply
- What we detect
- Case studies
- Release notes
We follow these rules
- GDPR (EU 2016/679).
- ISO/IEC 27001:2022.
- NIS2 (EU 2022/2555).
- HIPAA safe harbor under 45 CFR § 164.514(b)(2).
Our promise
We do not sell your data.
We do not train models on your text.
We store your files in Germany.
You can delete your account at any time.
You own your work.
Where we run
Our servers live in Falkenstein, Germany.
We use Hetzner. They hold ISO 27001 certification.
All data stays in the EU.
Backups run every day.
Need help?
Email support@anonym.legal.
We reply within one business day.
How we test
We run a full check suite on every release.
Each surface gets its own sweep script and report.
Human reviewers spot-check the output each week.
We track recall and precision on a labelled set.
Bad runs block the deploy.
What we never do
- We never sell your information to third parties.
- We never train models on what you upload.
- We never keep your work after you delete it.
- We never share keys with any outside firm.
- We never run ads inside the product.
Plans in plain words
We sell credits, not seats.
One credit covers one short job.
Long jobs use a few credits each.
You can top up at any time.
Unused credits roll over each month.
Read the plans page for current rates.
Who built this
A small team of engineers and lawyers built this.
We ship from Europe and work in the open.
Our founder note spells out why we started.
Where to start
- Open the web app and try a sample file.
- Learn how credits get counted.
- See current plans and limits.
- Meet the team behind the product.
How the parts fit
A browser add-on cleans text inside Chrome.
A Word plug-in handles drafts in Office.
A small desktop tool works on whole folders.
An agent protocol link feeds large models safely.
All four share one core engine and one rule set.
Words from our team
We started this work after a lunch about cookies.
One friend kept getting odd ads on her phone.
We asked why a court file leaked through a draft.
We sketched the first build on a napkin that week.
By month three we had a tiny demo for a friend.
She used it on her first case the next day.
Common questions we hear
Can the tool read scanned PDFs? Yes, with OCR.
Does it work on long files? Yes, in small chunks.
Can I roll my own rule set? Yes, save it as a preset.
Does it run offline? The desktop build runs offline.
Do you keep my files? No, the cloud build wipes after each run.
Will it learn from my work? No, we never train on inputs.
A short tour of the workflow
Upload a file or paste a snippet of prose.
Pick the entities you want gone from the draft.
Choose a method: replace, mask, hash, encrypt, or redact.
Press run and watch the side panel show each hit.
Skim the result and tweak any rule that misfired.
Save the cleaned file or send it to a teammate.