假名化是一种去身份化过程,由于 GDPR 的采用而获得动力,其中它被设计为一种安全和数据保护机制。
塞尔吉奥·维加拉
塞尔吉奥·维加拉
2022 年 12 月 13 日——阅读 5 分钟
假名化的最佳实践和技术
岛崎空摄
假名化或去身份化的应用,特别是在电子病历中,旨在保护患者隐私和数据机密性。根据 GDPR,如果正确应用假名,可以在一定程度上放松数据控制者的法律义务。
尽管假名化是 GDPR 和 HIPAA 的核心技术,但所生成数据的法律地位存在显着差异。根据 GDPR,假名数据仍然是个人数据,而根据 HIPAA,只要正确的数据字段被假名化,就可以共享。
假名的定义
GDPR 第 4 条将假名化定义为“在不使用附加信息的情况下,个人数据无法再归属于特定数据主体的方式处理个人数据”。然而,该条例指出,数据去识别化过程并非不可逆转,并须遵守诸如“此类附加信息单独保存,并须采取技术和组织措施以确保个人数据不会归因于已识别或可识别的自然人。”
应该指出的是,假名化与匿名化不同,ISO/TS 25237:2017将匿名化定义为“以无法再直接或间接识别数据主体的方式不可逆转地更改个人数据的过程。无论是数据控制者单独进行还是与任何其他方合作。”
下图最好地体现了这两个术语之间的区别。
假名化与匿名化。
假名化的好处
假名化最明显的好处是在特定数据处理操作的背景下向任何第三方隐藏数据主体的身份。
数字化医疗保健和患者护理服务的激增促进了有益 卢森堡手机号码列表 研究的实施,这些研究和研究结合了来自多个来源的大型复杂数据集。去识别化过程有可能减轻个人的隐私风险,因此可用于支持数据的二次使用,以进行基准测试、政策评估、科学研究、个性化医疗和其他与健康相关的分析。
此外,GDPR 将正确的假名数据视为:
有助于确保新数据处理兼容性的保障措施(第 6 条)
一种技术和组织措施,旨在通过设计和默认帮助执行数据最小化原则并遵守数据保护义务(第 25 条)
一种安全措施,有助于使数据泄露“不太可能对自然人的权利和自由造成风险”,从而减少数据泄露的责任和通知义务(第 32、33 和 34 条)
假名技术
欧盟网络安全局(ENISA)最近的一份报告探讨了可以支持实践中实施假名化的技术解决方案。
原则上,假名化为假名分配标识符(即姓名、IP 地址、电子邮件地址等)。要使假名化功能有效,只有一个基本要求:它必须验证与标识符 id1 对应的假名pseudo1 与与标识符id2 对应的假名pseudo2 不同。否则,标识符的检索将是不明确的,我们无法确定pseudo1是否对应于id1或id2。然而,如果可以逆转此操作,则同一标识符可以与多个假名相关联。
在所有情况下,假名与原始标识符的关联都是通过所谓的假名化秘密来完成的。由于其对于假名化操作的有效性的重要性,相应的秘密必须通过适当的技术和组织措施来保护。假名秘密必须与数据集隔离,否则数据窃贼很容易恢复标识符。此外,强大的访问控制策略应确保只有授权人员才能访问此机密。最后,如果以数字方式存储,则必须对假名秘密进行加密,这需要适当的密钥管理和存储要求。