大数据的匿名化

1、英国数据ICO监察机构政策主管Steve Wood,最近辩称匿名化在数据革命中扮演了重要角色。事实上，许多事都已经写到了关于大数据所能提供的机 会一从防止诈欺和医疗研究到政党选票一但对数据保护的挑战是没有很多的数 据分析以及监管机构的调整。鉴于在处理那些被认为是个人的数据时有效的法律限制，这对那些没有认 识其风险的人来说是一片潜在的监管雷区。ICO要提供实际的指南来促进更好 的数据保护并在最近发布了匿名化中的代码练习以管理数据保护风险。代码的 目的是为组织机构在如何使个人数据成功的匿名化提供指南，以及如何评估在使 用匿名化后被定义为个人数据的风险。匿名化数据吸引人的地方在于这些数据不再是个人数

2、据，因此就超出了数据 保护条例1998的范围。确保数据被正确的匿名化，并不只是遮盖起来，在实践 操作中很难完成，尤其是在科技不断的进化中。关键的挑战是确保匿名化后的数 据不能够被重新确认。匿名化的过程组织机构经常不确定匿名化过程本身的法律依据，以及匿名化数据是否构成 了个人数据。代码解决了许多问题。特别有趣的一点事在如何处理匿名化数据重新定义的 风险指南。鉴于风险可能随着时间变化，特别是随着科技的进步，ICO建议进 行定期评估风险。它推荐组织机构应该使用侵入动机测试。这一测试需要组织机构考虑个人是 否能够从匿名化的数据中重新确认出来，被那些合理的主管，有权进入资源， 如互联网并应采用调查技术，

3、如询问人们是否能够确定数据主题的额外的知 识。侵入动机并不能假定具有任何专业知识。如果组织重新定义个人信息而没有经个人了解或同意，那么这样的收集可能 是非法的并且可能承受执法诉讼，包括最高至的50万美元罚款处分。而且，在一些疑似案件中，重新确定个人信息的后果是很严重的一比如，重 新确认信息可能导致个人遭受伤害或痛苦-代码敦促组织寻求数据对象同意披 露的数据，解释其可能的后果，并采取更严格形式的风险分析和一个更强的匿名 化技术。作为提醒，ICO的执法能力超过了安全漏洞，最近ICO对于一家公司处以5 万美元的罚金，并不是因为安全漏洞，而是因为未能保持正确的数据记录，这毫 无意义。如果匿名化过程不会

4、导致无保证的伤害或痛苦，那么代码得出结论不需征得 同意，这与其他欧洲数据保护权益违背，这同样是毫无意义的。信息管理和安全保护代码提供了组织机构使用匿名化技术时在信息管理结构和安全保护方面期 待落实的详细指南，推荐任命一名高级信息风险所有者，员工培训，识别程序， 尤其当匿名化和隐私影响评估困难时。在这种背景下，不但有参考作用，还能够扮演可信的第三方够授权给几个组 织机构来匿名个人数据，使数据集连接到可利用的由可信任第三方应用的标识 符，并被这一团体共享。当其中一个参与者能够重新识别这些数据时，这些策略需要被仔细考虑。在 他们手中这些数据将不再是个人的，普通的数据保护义务需要得到满足。ICO的指南陈列了推荐规范的好的实践，这些应该被组织机构采纳用来提供 合理程度的可信度，对于公布和分享匿名化的数据不会导致个人信息不适当 的披露”。虽然没有法律约束力，遵守代