CPPA:确定取消识别规定背后的难以理解的含义和政策

的 消费者隐私保护法 (CPPA)将对加拿大的隐私法做出重大修改。如前所述,该法案包括了 个人信息保护和电子文件法 (PIPEDA),还有更多。在先前的帖子中, CPPA:将个人信息传输给服务提供商,我研究了有关向服务提供商转让个人信息的新规定。

在这篇文章中,我将研究与法律相关的重大修改建议,因为这些修改与已“取消身份识别”的个人信息有关。术语“取消标识”通常用作通用术语,包括将个人信息呈现为“匿名”或“假名”的隐私和安全过程。 “假名化”通常是指一种去除身份的方法,该方法从数据集中删除或替换直接标识符,保留可用于间接识别人的数据。此数据通常仍受隐私法约束。[1] 相比之下,“匿名化”通常是指一种更强的去识别形式(取决于形式),使得不可能,合理地不可能或无法合理地期望重新识别。通常认为此数据不属于一般隐私法义务。[2]

的 proposed “de-identification” changes to 皮派达 are of considerable concern. 的y appear to treat all de-identified 信息 as being subject to the CPPA. 通过 failing to calibrate the law to 地址 the significant differences between anonymized and pseudonymized data, the CPPA risks stultifying uses of anonymized data for many economically and socially beneficial uses. 的y are a departure from the highest internationally recognized standards, could impair the interoperability of our laws across the 国家 and with those of our major trading partners, and hurt our competitiveness domestically and internationally.

皮派达下的取消身份识别

皮派达 does not expressly 地址 whether personal 信息 that has been anonymized (or rendered sufficiently anonymized) is still subject to the Act. However, as a matter of statutory construction it is clear that when personal 信息 is permanently stripped of identifying 信息 it is no longer subject to the Act.

皮派达 defines personal 信息 as “information 关于 an 可识别的 individual”. Thus, when 信息 is “not 关于” an individual that can be identified, it is not personal 信息. Decisions interpreting 皮派达 and other similarly worded federal and provincial privacy laws have confirmed this.

唯一有点模棱两可的问题是,在信息被视为匿名之前,必须对其进行何种级别的匿名处理。从历史上看,联邦隐私保护专员提出了进行身份验证或重新身份验证测试的“严重可能性”,以确定个人信息何时变为匿名。[3] 最近在评论 COVID通知应用程序的隐私含义,专员说:

从技术上讲,真正的匿名性要求完全永久性地取消正在运行的数据过程,这可能会泄露个人信息的来源并因此重新识别个人。换句话说,为了使数据真正地匿名,必须去除所有与个人的潜在链接

的 weight of federal and provincial authority, however, has adopted the more practical “reasonable expectations” test. Under this formulation, 信息 is still 关于 an “identifiable” individual “if it is reasonable to expect that an individual can be identified from the 信息 in issue including when combined with 信息 from sources otherwise available”.[4] 如果不是,则PIPEDA的合规义务不适用。

皮派达 does not expressly 地址 whether the process for anonymizing personal 信息 requires consent. On one view, this is a use of personal 信息 and so requires a consent. 的 consent may, arguably, be one that is implied or may be considered to be included in the purposes for which consent has been given. On another view, no consent is needed since the process of de-identification is not a use as it results in 信息 that is not subject to the Act. 的 decisions which have considered whether anonymized 信息 is subject to the law implicitly accept that the process of anonymizing personal 信息 is not a use, or at least not a use that requires an additional consent.

皮派达也未明确处理已被假名化的个人信息的状态。根据“合理预期”测试,此信息很可能仍将是“个人信息”,并受PIPEDA约束,因为“合理预期可以从相关信息中识别出一个人,包括与信息结合时”来自其他可用来源”。

需要改革

Government studies related to privacy reform in Canada have noted the desirability for reforming the law related to personal 信息 de-identification to 地址 privacy concerns. 的 government has also recognized the desirability of doing so while also enabling innovation and using similar approaches to what exists in other jurisdictions to help with interoperability concerns, and to bring greater certainty to individuals and organizations, especially in the cross-border context.[5]

法律领域的改革对于使加拿大组织(如欧盟和美国的同行组织)能够使用匿名和假名化的个人信息非常重要。已经确定了许多有益的用途,包括例如机器学习,开放数据计划,包括协作研究在内的研究和开发,为预测分析创建大型数据集,数据信任,数据池和货币化。毫无疑问,还有许多其他用途甚至无法想象。[6] For a relatively small 国家 as Canada, being able to pool and share data for collaborative research and development purposes is critically important to 地址 data asymmetries between Canadian organizations and much larger ones in other countries such as the United States, members of the European Union, and China.

取消身份识别的国际标准

GDPR 

的 GDPR expressly 地址es whether anonymized personal data is subject to the Regulation.[7] 它不是。不可逆且有效地匿名化的个人数据不是“个人数据”,并且不必针对此类数据遵守数据保护原则。[8] 组织不必为了证明匿名化技术成功而必须证明无法识别任何数据主题。相反,GDPR应用了“合理可能”检验。 如果可以证明,鉴于个案的情况和技术水平,很可能无法确定数据主体,则可以认为该数据是匿名的。[9]

根据GDPR,匿名数据处理无需新的同意。在匿名化过程能够可靠地产生匿名化信息的条件下,匿名化被认为与处理的原始目的兼容。此类处理的进一步法律依据可能是同意的“合法利益”例外。[10]

仅被假名化的个人数据仍受该法规的约束。此过程被视为一种良好的安全措施。[11] 但是,GDPR允许出于公共利益,科学研究或历史研究目的或统计目的出于存档目的进行处理,如果个人数据已被假名化的话。[12] 此外,在为收集个人数据的目的以外的目的而进行处理的情况下,为了确定用于其他目的的处理是否与最初收集个人数据的目的兼容,除某些例外情况,“存在考虑到适当的保护措施,其中可能包括加密或假名”。 [13]

注册会计师

的 《 2018年加州消费者隐私法》,  as amended (CCPA)[14] 将个人信息定义为“识别,关联,描述,能够与特定消费者或家庭直接或间接关联或合理链接的信息”,并包括所涵盖信息的特定示例。该法律明确排除“已被识别的消费者信息或汇总的消费者信息”。它还规定,企业承担的义务并不限制企业的能力,除其他外“收集,使用,保留,出售或披露已被识别的消费者信息或汇总的消费者信息”。[15]

注册会计师对“已识别”一词的定义如下:

“已识别”是指不能合理地识别,关联,描述,能够与特定消费者直接或间接关联或链接到特定消费者的信息,但前提是使用已识别信息的企业:

(1) 已实施技术保护措施,禁止重新标识可能与该信息有关的消费者。

(2) 已实施了专门禁止重新标识信息的业务流程。

(3)  已实施业务流程,以防止无意识地释放身份不明的信息。

注册会计师还包含禁止重新标识或试图重新标识已标识身份的个人信息的一般禁止。但是,它会受到某些例外的约束,例如出于某些治疗和健康案例的目的,公共卫生活动,研究,[16] 进行测试,分析或验证身份验证或相关统计技术,或在法律要求的情况下。[17]

因此,与欧盟一样,加利福尼亚州的企业可以取消标识和使用此类信息,而不受原本适用于个人数据或个人信息的限制。[18] 但是,根据GDPR和CCPA制定的规则仍在实践中施加了较高的标准,以真正对个人信息进行身份识别。[19]

CPPA关于匿名的立场

的 CPPA would leave unamended the definition of personal 信息 in 皮派达 as meaning “information 关于 an 可识别的 individual”. However, it would add the following new definition of “de-identify”:

取消识别 指通过使用技术过程来确保个人信息不识别个人或不能在合理可预见的情况下单独或与其他信息结合使用以识别个人的信息,以修改个人信息或从个人信息中创建信息。 ‍(人格化者)

CPPA第20条还将阐明,无需重新同意即可取消个人信息的识别:

取消识别个人信息

20 组织可以在个人不知情或同意的情况下使用个人的个人信息来取消识别该信息。

CPPA还将包括禁止重新标识信息的新禁令。

禁酒令
75 
组织不得单独使用取消标识的信息,也不能与其他信息结合使用以识别个人,除非是为了测试组织为保护信息而实施的安全防护措施的有效性。

禁止重新识别个人信息的禁令越来越普遍。安大略省的第11.2条也有类似的规定 个人健康信息保护法. However, the prohibition contains a number of exceptions which permit re-identification by health custodians and others. That Act also permits other organizations to be added by via regulations, a good idea that 地址es the need for flexibility, but which is lacking in the CPPA. 的 prohibition against re-identification in the CPPA also does not include the much longer list of beneficial exceptions that are available under the 注册会计师 (treatment and health cases purposes, public health activities, research, to conduct testing, analysis, or validation of deidentification, or related statistical techniques, or where required by law).

CPPA的新规定允许取消对个人信息的身份识别,仅通过查看这些修订,就会大体上确认PIPEDA的现有解释。如此解释后,它们通常也会与GDPR和CCPA中的规定保持一致,因为它们将确认组织可以匿名处理个人信息并在新的隐私法之外使用它。现在,将用于将数据匿名化的去身份识别标准已被编码为“合理可预见的”,而不是 “reasonable to expect” or “serious possibility”, of re-identification tests. In this respect, the test now somewhat departs from the generally understood (reasonable to expect) wording adopted across the 国家, which raises questions as to whether the government intends this wording to be different and to create somewhat different standards across the 国家 for data to become anonymous, and why.

但是,看起来似乎已被取消识别的信息仍受CPPA约束。 ISED的官员(珍妮弗·米勒(Jennifer Miller)和查尔斯·泰勒费尔(Charles Taillefer))在2020年11月27日向商会创新与知识产权委员会成员的通报中表示,这是意图。 CPPA的起草也表明了这种可能性。与GDPR和CCPA不同,没有明确声明取消标识的信息不受CPPA约束。其他拟议的修正案也暗示了这一点。

Sections 21, 22(1) and 39(1) contain new exceptions for research and development, prospective business transactions, and 社会公益目的s.

研究与开发

21 如果在使用个人信息之前就对其进行了身份识别,则该组织可能会在未经其知情或同意的情况下使用其个人信息进行组织的内部研究和开发。

预期业务交易

22 (1) 准商业交易的当事方可以在不知情或未同意的情况下使用和披露个人的个人信息。

(一个) the 信息 is de-identified before it is used or disclosed and remains so until the transaction is completed;

(b)  the organizations have entered into an agreement that requires the organization that receives the 信息

(i)仅出于与交易有关的目的使用和披露该信息,

(ii)通过适合于信息敏感性的安全保护措施来保护信息,以及

(iii)如果交易未进行,则在合理的时间内将信息返回给披露该信息的组织或进行处理;

(C) the organizations comply with the terms of that agreement; and

(d) the 信息 is necessary

(i)确定是否继续进行交易,以及

(ii)-如果确定要继续进行交易,请完成交易。

完成业务交易

(2) If the business transaction is completed, the organizations that are parties to the transaction may use and disclose the personal 信息 referred to in subsection (1) without the individual’s knowledge or consent if

(一个) the organizations have entered into an agreement that requires each of them

(i)仅在交易完成之前收集或允许使用或披露信息的目的而使用和披露其控制下的信息,

(ii)通过适合于信息敏感性的安全保护措施来保护该信息;以及

(iii)使根据本款作出的任何同意撤回生效 17(1);

(b)  the organizations comply with the terms of that agreement;

(C) the 信息 is necessary for carrying on the business or activity that was the object of the transaction; and

(d) one of the parties notifies the individual, within a reasonable time after the transaction is completed, that the transaction has been completed and that their 信息 has been disclosed under subsection (1).

例外

(3)  Subsections (1)和(2)不适用于主要目的或结果是购买,出售或以其他方式获取或处置或租赁个人信息的商业交易。

具有社会效益的目的

39 (1) 组织可以在不知情或未同意的情况下披露个人的个人信息,如果

(一个) 个人信息在进行披露之前被取消识别;

(b)  披露给

(一世) 加拿大的政府机构或政府机构的一部分,

(ii) 加拿大的医疗机构,专上教育机构或公共图书馆,

(iii) any organization that is mandated, under a federal or provincial law or by contract with 加拿大的政府机构或政府机构的一部分, to carry out a 社会公益目的, or

(iv) 任何其他订明实体;和

(C) the disclosure is made for a 社会公益目的.

的定义 社会公益目的

(2)就本条而言, 社会公益目的 指与健康,提供或改善公共设施或基础设施,保护环境或任何其他规定目的有关的目的。

如果不能识别或不能用于识别个人的信息不受CPPA其他条款的约束,则没有理由排除这些例外。

CPPA还将制定新的比例标准,以考虑到要取消识别个人信息的目的以及个人信息的敏感性,评估为消除识别个人信息而采取的措施是否足够。它指出:

取消个人信息识别
技术和行政措施的比例
74 
取消识别个人信息的组织必须确保对信息应用的任何技术和管理措施均与取消识别信息的目的和个人信息的敏感性相称。

如果个人信息不打算受到CPPA的约束,也没有理由将其排除在外。此外,如果该例外适用于所有去识别信息的使用,则不确定如何将测试应用于该信息的新的非限制使用。但是,如果仅出于新的例外目的才能取消识别信息,那么该取消识别的目的和个人信息的敏感性可能会有所不同,因此该规定可能具有相关性。

CPPA被认为适用于匿名信息,将使其与GDPR和CCPA不一致,并使加拿大组织难以对个人信息进行经济和社会效益使用,因为所有公平信息实践原则都将适用于此数据。 Mike Hintze和Khaled El Emamet撰写的论文描述了这些后果 比较GDPR下的假名化和匿名化的好处:

根据GDPR,大多数不适用于匿名个人数据的义务将适用于CPPA下适用的加拿大类似物。虽然CPPA规定的隐私义务可能是明智的,以保护个人对假名数据的合理隐私期望,但匿名数据的相同理由或者至少不存在,或者至少被大大削弱了。

的 increased burdens and practical obstacles that are created when anonymized data is subject to all of the same obligations as personal 信息 cannot be justified. For example, artificial intelligence, and in particular, machine learning applications, require very large data sets to train their algorithms. Privacy law rules that limits collection of personal 信息 to minimal amounts or that require data to be deleted could undermine the uses of the data. 的y could also interfere with other developing norms including the new CPPA requirement that organizations be able to explain predictions, recommendations, or decisions made 关于 an individual using an automated decision system. It may be argued that the proposed exception for using de-identified 信息 for research and development adequately 地址es these problem. But, it does not because while such 信息 can be used for R&出于目的,数据仍然受所有其他适用的CPPA要求的约束,这可能会破坏例外的有用性。

被解释为适用于匿名数据的CPPA将是PIPEDA的根本变化,并且会偏离最高的国际隐私标准。尽管加拿大的主要贸易伙伴可以不受限制地使用匿名的个人信息,但是加拿大组织只能出于新提议的例外中规定的有限目的使用匿名的个人信息。 CPPA有可能阻碍匿名数据用于许多有益用途的风险。有关取消身份识别的规定将带来沉重的合规成本,即使在CCPA之下,欧盟或美国也没有。有关取消身份识别的新规则还可能损害我们的联邦隐私法与省级法律以及与主要贸易伙伴的法律的互操作性,并损害我们在国内外的竞争力。

尽管可以将CPPA解释为适用于假名或匿名的个人信息的原因,但也有理由相信CPPA仅打算对假名信息进行法律约束。如上所述,CPPA对于将去标识的信息用于研发,预期的业务交易以及某些对社会有益的用途有例外。如果将这些例外应用于匿名信息,则几乎没有实际意义,也没有什么价值。与已匿名处理的个人信息不同,仅经过假名化的个人信息允许组织保留其他数据集,这些数据集将使该信息得以重新标识,只要它受到技术和组织措施的约束,以确保不对个人信息进行限制。归因于已识别或可识别的人。寻求依赖例外的组织将极不可能仅匿名化其个人信息,以便他们可以参与这些例外。公开信息作为拟议的业务交易的一部分就是一个明显的例子。新的比例原则也很可能只打算用于假名信息。修订的这种构造通常也将与GDPR保持一致,GDPR包含仅被假名化(出于公共利益的存档目的,科学研究或历史研究目的或统计目的以及一般分析目的)的个人数据的特定例外。但是,与GDPR或CCPA不同,CPPA不包含该术语的定义,术语“去识别”的定义使这一解释成为一个挑战。起草最多是模棱两可的。

结论性意见

Privacy laws are designed to strike a balance between different interests. On the one hand, individuals and the public have reasonable expectations that their privacy will be protected. 的 importance of the right has been repeatedly emphasized by the Supreme Court. To the extent that 信息 retains the characteristics of being “personal 信息” 名称ly, that it is 关于 an 可识别的 individual, then it is subject to a balance that includes other legitimate uses of the 信息. 的 overall intended balance of the CPPA is reflected in s.5:

目的
5
 该法案的目的是建立一个在数据不断跨越国界和地域边界,重要的经济活动依赖于个人信息的分析,流通和交换的时代,以某种方式管理个人信息保护的规则。承认个人在其个人信息方面的隐私权,以及组织出于合理的人认为适当的目的而收集,使用或披露个人信息的需要。

In respect of de-identified data, when the risk is high that de-identified personal 信息 can be re-identified or is foreseeably likely to be re-identified, then the privacy interests of protecting it apply. When the risk of re-identification is low or when the 信息 becomes (theoretically) impossible to re-identify then the rationale for continuing to protect the 信息 under privacy laws, at the expense of other important interests, is either attenuated, severely attenuated, or ceases to exist. 的re may be other policy reasons for limiting the uses of such 信息, but the privacy interests decline as one moves along a sliding scale of 信息 being 关于 an “identifiable” individual to when it is impossible to identify an individual.

与在隐私法下保护匿名信息的减弱的兴趣相反,与匿名数据相关的非常重要的经济和社会利益用途。

法律还有一项长期政策,就是不对信息的使用施加不合理的限制。例如,版权对原创作品和其他主题的使用施加了限制,但这些限制受到最高法院为促进公众对信息的使用而称为“使用权”的众多例外。[20] 法律还防止某些有害的信息传播形式,例如诽谤性信息或构成仇恨言论的信息。但是,由于《宪章》规定的言论自由权,这些限制受到宪法的限制。必须谨慎地设计禁止使用信息的禁令,以免损害权利的程度不超过必要,并且在目标和法律所采取的措施之间以及法律的有益效果和有害效果之间必须成比例。[21] 最高法院裁定,《宪章》还限制了隐私法可能损害言论自由的程度。[22] 这些原则也适用于评估CPPA在潜在限制可用于使用已识别信息的用途方面的平衡。

的 federal government, as noted above, has recognized the need to take a risk based approach to dealing with anonymized and pseudonymized data. 的 CPPA does not expressly 地址 the latter category and is ambiguous as to how it applies to the former. Perhaps this is just technical drafting rather than a failure to take the risk based approach that had been considered. Either way, these provisions need fixing.

本文最初发布于 www.barrysookman.com.

__________________

[1] 该术语在 通用数据保护条例 (GDPR):“假名”是指以以下方式处理个人数据:在不使用附加信息的情况下,不再可以将个人数据归因于特定数据主体,但前提是此类附加信息应单独保存并且受技术和技术约束。确保个人数据不归属于已识别或可识别自然人的组织措施;”以及《 2018年加州消费者隐私法》(CPPA),如下所述:“假名化”或“假名化”是指对个人信息的处理,使得在不使用其他信息的情况下,不再将个人信息归于特定消费者,前提是这些附加信息应单独保存并受技术和组织措施的约束,以确保个人信息不会归因于已识别或可识别的消费者。”

[2] 参见Mike Hintze等 比较GDPR下的假名化和匿名化的好处,隐私分析,2017年8月。

[3] See, 皮派达案例摘要#2009-018

“Information will be 关于 an 可识别的 individual if there is a serious possibility that someone could identify the available 信息. 她评论道,没有必要证明某人一定会竭尽全力做到这一点。 因此,如果可以随后将已取消标识的数据链接回可识别的个人,则已取消标识的数据将不会构成“真正的匿名信息”。”

也, 戈登诉加拿大(健康)案, 2008 FC 258:

“Counsel for the Privacy Commissioner, the Intervener, urged the adoption of the following test in determining when 信息 is 关于 an 可识别的 individual:

Information will be 关于 an 可识别的 individual where there is a serious possibility that an individual could be identified through the use of that 信息, alone or in combination with other available 信息.

我很满意前述内容是适用文本的适当声明。”

[4] See, 加拿大(信息专员)诉加拿大运输事故调查& Safety Board,2006年FCA 157解释 隐私法:

这两个词是“关于”和“关心的”,但很少说明与个人有关的信息的确切性质,只是说,以任何形式记录的信息如果与“个人”有关,并且允许或导致对个人的识别,则是相关的。有司法权威认为,将“可识别的”个人视为与所提供信息结合使用时可以从所讨论的信息中识别出合理预期的人(Colin H. H. McNairn和Christopher D. Woodbury,  政府信息: 访问 and Privacy (多伦多:卡斯韦尔,1992年),第7‑5页; 安大略省(总检察长)诉安大略省(信息和隐私专员) (2001), 2001 CanLII 32755(在SCDC上), 39管理员L.R. (3d)112(Ont。Div。Ct。); affd [子标称安大略省(总检察长)诉帕斯科] (2002), 2002 CanLII 30891(加拿大), C.P.R. 22 (第4)447(安大略省)。


萨斯喀彻温卫生局(再), 2019 CanLII 44080(SK IPC)解释FOIP

如我办公室的 豁免指南(在我的办公室的网站上可以找到),对于要确定身份的个人,必须合理地期望,如果信息被披露,则可以识别该个人。该信息必须具有合理的识别特定个人的能力,因为它可以直接识别一个人,或者与其他可用信息源结合使用时,或者由于记录中信息的上下文,可以对他们的身份做出准确的推断……

删除能够识别特定个人的信息的过程称为 de-identifying 信息。取消身份识别用于保护隐私,尽管其目标是确保无法识别个人,但仍可能存在重新识别的固有风险。取消身份识别并不能保证匿名,但是,如果使用适当的取消身份识别方法,则重新识别的风险将降至最低。取消标识保护隐私仍然是保护隐私的可接受且合理的过程。


萨斯喀彻温省(教育)(再), 2014 CanLII 47639(SK IPC)

为了符合条件,必须合理地期望,如果信息被披露,则可能会识别出一个人。  的 健康信息保护法 (HIPA)定义了充分的信息去识别意味着:

2(d) “de-identified 个人健康信息” 指个人健康信息,从该信息中可以合理预期会识别出个人身份的信息已被删除;


黑斯廷斯和爱德华王子区学区委员会(重新), 2008 CanLII 24747(在IPC上)

符合条件 个人信息,必须合理地预期,如果信息被披露,可以识别出一个人[第PO-1880号命令,在 安大略省 (总检察长)诉Pascoe2002 CanLII 30891(加拿大), [2002] O.J. No. 4300(C.A.)]。

同样的效果 渥太华(市)(再), 2016 CanLII 68086(在IPC上)

另请参阅IPC 结构化数据的去识别准则

As noted above, de-identification is the process of removing personal 信息 from a record or data set. “Personal 信息” is defined in FIPPA and MFIPPA as “recorded 信息 关于 an 可识别的 individual.” 的 Office of the Information 和隐私 Commissioner of 安大略省 (IPC) and the courts have elaborated on this definition, specifically on the meaning of “identifiable,” in various orders and reviews. Based on these, de-identification may be defined more precisely as the process of removing any 信息 that (一世) identifies an individual, or (ii) for which there is a reasonable expectation that the 信息 could be used, either alone or with other 信息, to identify an individual.

Applying a “reasonableness standard” to the definition of personal 信息 means that you must examine the context to 取消识别 信息. When 取消识别 a data set, you must navigate and consider a number of issues, including: • Different release models. In de-identification, a data set may be released publicly, semi-publicly (also called “quasi-public”) or non-publicly.

《个人健康信息保护法》, 2004, S.O. 2004,

就个人的个人健康信息而言,“去识别”是指删除任何可识别该个人的信息,或在可以单独或与其他信息一起使用的情况下合理地预见的信息,以识别个人,“取消身份识别”具有相应的含义; (“匿名者”)

[5] See, 加强数字时代的隐私,ISED, 现代化的建议 个人信息保护和电子文件法:

  • “Under 皮派达, personal 信息 is defined as 信息 关于 an 可识别的 individual. According to the Federal Court of Canada, “信息 will be 关于 an ‘identifiable individual’ where there is a serious possibility that an individual could be identified through the use of that 信息, alone or in combination with other 信息.” “About” means that the 信息 is not just the subject of something but also relates to or concerns the subject. Generally speaking, the definition of personal 信息 is given a broad and expansive interpretation. In the era of Big Data, however, when vast amounts of data are being created every day, this potentially means that any piece of data could be considered to be 关于 an 可识别的 individual. Moreover, there are increasingly sophisticated means to re-identify 信息 that ostensibly appears to be non-personal. 的 idea that the anonymization of 信息, which would render such 信息 outside the scope of privacy legislation, is practically attainable, is unlikely. That said, a risk-based approach, in which de-identified 信息 could be defined and its use allowed in certain specified circumstances, with penalties for re-identification, could be taken to both 地址 privacy concerns and enable innovation.
  • 诸如假名信息之类的概念已被并入其他隐私法律中,这是因为认识到需要使用不一定需要个人识别但仍可识别的信息,并且需要对此类信息进行保护。可以将假名信息的概念合并到同意例外中,以澄清尽管该信息可能不会被“识别”,但仍保留了隐私权,必须予以保护……。”
  • “其他国家/地区已经认可了去识别/伪加密数据的概念,这是在具有适当条件的情况下实现创新和保护隐私的一种方式。采用其他辖区中存在的类似方法也将有助于解决互操作性问题,并将为个人和组织带来更大的确定性,尤其是在跨境的情况下。”

司法部, 为加拿大人和政府带来更大的确定性:界定《隐私法》的轮廓并定义重要概念

  • “一个重要的定义性问题是,《隐私法》是否应识别个人信息的新子集,以便于应用更灵活和上下文相关的规则集。例如,为了创建类似于“数据信任”的东西,区别在于其对可识别和反识别信息的处理,重要的是要能够有效,足够确定地确定哪个规则集适用于哪些数据元素。当前对个人信息的“输入或输出”方法无法适应可能围绕不同风险级别组织并促进合规性的更细微差别的规则。定义去识别,匿名和化名的信息可以支持制定新的合规激励措施,允许对某些规则进行更有针对性和细微差别的应用,并有助于缓解当前方法下实际应用中遇到的一些困难……”
  • “目前,其他数据保护机制在使用已识别身份的个人信息方面发挥了重要作用,并限制了采用加密时的某些义务。例如,在GDPR中,有几项规定激励数据控制者使用取消标识,假名或加密方法,这可能会对义务的应用方式产生影响,甚至可以减轻某些义务的负担。”

[6] See, for example, 您需要了解的9个数据匿名化用例 , 加拿大匿名网络,常见问题 (最新更新:2020年1月15日)。

[7] ‘personal data’ is defined to mean “any 信息 relating to an identified or 可识别的 natural person (‘data subject’); an 可识别的 natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a 名称, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person”.

[8] 参见GDPR的独奏(26):

的 principles of data protection should apply to any 信息 concerning an identified or 可识别的 natural person. Personal data which have undergone pseudonymisation, which could be attributed to a natural person by the use of additional 信息 should be considered to be 信息 on an 可识别的 natural person. To determine whether a natural person is 可识别的, account should be taken of all the means reasonably likely to be used, such as singling out, either by the controller or by another person to identify the natural person directly or indirectly. To ascertain whether means are reasonably likely to be used to identify the natural person, account should be taken of all objective factors, such as the costs of and the amount of time required for identification, taking into consideration the available technology at the time of the processing and technological developments. 的 principles of data protection should therefore not apply to anonymous 信息, 名称ly 信息 which does not relate to an identified or 可识别的 natural person or to personal data rendered anonymous in such a manner that the data subject is not or no longer 可识别的. This Regulation does not therefore concern the processing of such anonymous 信息, including for statistical or research purposes.

[9] 请参阅爱尔兰数据管理局, 指导说明:匿名化和假名化指南 June 2019

“不可取而有效地匿名数据不是“个人数据”,并且不必遵守此类数据保护原则。假名化的数据仍然是个人数据。如果在准备“匿名化”数据的同时未删除源数据,则可以使用源数据从“匿名化”数据中识别个人,则可以将数据视为仅“假名化”,因此仍然“个人数据”,但要遵守相关的数据保护法规。 从数据保护的角度来看,当数据主体没有被识别或可识别时,可以考虑到数据控制者或任何其他人合理或直接或间接地用于识别数据主体的所有方法,因此可以将数据视为“匿名”…

“可识别性”的概念与匿名化过程紧密相关。即使从数据集中剥离了所有直接标识符,这意味着未在数据中“识别”个人,但如果可以将任何数据主体链接到数据集中的相关信息,则该数据仍将是个人数据给他们。 GDPR第26条规定,在确定某人是否可识别时,“ […]应考虑所有合理可能使用的手段,例如由控制者或另一人单独识别该行为。自然人直接或间接”,并且在确定是否“合理地可能使用”手段识别个人时,“ […]应考虑所有客观因素,例如识别的成本和所需的时间,并考虑到处理和技术发展时的可用技术。”引言26还阐明了数据保护原则不适用于匿名信息。

因此,为了确定何时出于数据保护目的而使数据匿名化,必须检查什么方法和可用数据集可用于重新标识数据主体。组织不必为了证明匿名化技术成功而不可能证明任何数据主题都可以被识别。相反,如果可以证明,鉴于个别案件的情况和技术水平,不太可能识别出一个数据主体,那么该数据可以被认为是匿名的。”

英国 ICO 假名数据还是个人数据?

“What 关于 anonymised data?

GDPR不适用于匿名的个人数据。第26节解释说:

“…The principles of data protection should therefore not apply to anonymous 信息, 名称ly 信息 which does not relate to an identified or 可识别的 natural person or to personal data rendered anonymous in such a manner that the data subject is not or no longer 可识别的. This Regulation does not therefore concern the processing of such anonymous 信息, including for statistical or research purposes.”

这意味着已匿名的个人数据不受GDPR约束。因此,匿名化可以成为限制您的风险以及为数据主体带来收益的一种方法。因此,建议尽可能匿名化数据…

为了根据GDPR进行真正的匿名处理,您必须删除个人资料中足够多的元素,这意味着无法再识别该个人。 但是,如果您随时可以使用任何合理可用的方式来重新标识数据所引用的个人,则该数据将不会被有效匿名,而只会被假名化。这意味着,尽管您尝试进行匿名化,您仍将继续处理个人数据。”

[10] 看到, 根据GDPR,匿名或取消身份识别是否需要征得同意? Quoting from the 意见05/2014 第29条匿名技术工作组会议

“工作组认为,匿名化作为进一步处理个人数据的一个实例,可以被认为与处理的原始目的兼容,但前提是匿名化过程应能够可靠地产生本文所述意义上的匿名信息纸。”

[11] U.K. ICO 假名数据还是个人数据吗?

“假名化是一种替换或删除识别个人身份的数据集中的信息的技术。

GDPR将假名定义为:

“……以以下方式处理个人数据:在不使用附加信息的情况下,不再可以将个人数据归于特定数据主体,但前提是此类附加信息应单独保存,并受技术和组织措施的约束,以确保个人数据未归因于已识别或可识别的自然人。”

Pseudonymisation may involve replacing 名称s or other identifiers which are easily attributed to individuals with, for example, a reference number. Whilst you can tie that reference number back to the individual if you have access to the relevant 信息, you put technical and organisational measures in place to ensure that this additional 信息 is held separately.

将个人数据假名化可以减少数据主体的风险,并帮助您履行数据保护义务。

但是,假名实际上只是一种安全措施。它不会将数据状态更改为个人数据。陈述26明确指出,假名个人数据仍然是个人数据,并且在GDPR范围内。

“……经过假名化的个人数据,可以通过使用其他信息而归于自然人,应被视为有关可识别自然人的信息……””

[12] See:

独奏会,29 (为了鼓励在处理个人数据时采用假名化措施,在允许进行一般分析的同时,假名措施应可在同一控制人内进行,前提是该控制人已采取必要的技术和组织措施以确保相关处理实施了法规,并且将用于将个人数据归于特定数据主体的其他信息分开保存。处理个人数据的控制器应指示同一控制器内的授权人员。)

演奏会156 (出于公共利益,科学研究或历史研究目的或统计目的,出于存档目的处理个人数据,应根据本法规对数据主体的权利和自由采取适当的保障措施。这些保障措施应确保技术和组织上的为确保公共利益,科学研究或历史研究目的或统计目的,出于归档目的对个人数据的进一步处理应在控制者评估后进行。通过处理不允许或不再允许识别数据主体的数据来实现这些目的的可行性,前提是存在适当的保护措施(例如,对数据进行假名化)。

第89条 (出于公共利益,科学研究或历史研究目的或统计目的而为存档目的而进行的处理,应根据本条例受制于数据主体的权利和自由,并受到适当的保障。这些保障应确保技术和组织上的尤其是为了确保尊重数据最小化原则而采取的措施,这些措施可以包括假名,条件是可以以这种方式实现这些目的;而那些目的可以通过不允许或不再允许的进一步处理来实现。允许识别数据主体,则应以这种方式实现这些目的。)

[13] GDPR Art. 6.4.

[14] CCPA将进一步修订 加州隐私权法 (CPRA).

[15] See, 1798.145.

[16] “研究”的定义是指“科学,系统的研究和观察,包括符合公共利益并遵守所有其他适用的道德和隐私法的基础研究或应用研究,或在公共领域进行的符合公共利益的研究健康。在消费者与企业的服务或设备进行交互时出于其他目的而从消费者那里收集的个人信息的研究应为:

(1) Compatible with the business purpose for which the personal 信息 was collected.

(2)随后进行假名化,去身份化或去身份化,并进行汇总,以使该信息无法合理地识别,关联,描述,能够与特定消费者直接关联或间接链接或链接到特定消费者。

(3) Made subject to technical safeguards that prohibit reidentification of the consumer to whom the 信息 may pertain.

(4) Subject to business processes that specifically prohibit reidentification of the 信息.

(5)受制于业务流程,以防止意外发布身份不明的信息。

(6)防止任何重新识别尝试。

(7)仅用于与收集个人信息的环境相适应的研究目的。

(8)不得用于任何商业目的。”

[17] s. 1798.148.

(一个) A business or other person shall not reidentify, or attempt to reidentify, 信息 that has met the requirements of paragraph (4) of subdivision (一个) of Section 1798.146, except for one or more of the following purposes:

(1) 由受保实体或业务伙伴代表受保实体并在其书面指导下进行的治疗,付款或医疗保健操作。就本款而言,“治疗”,“支付”,“医疗保健操作”,“受保护实体”和“业务伙伴”的含义与《联邦规章》第45篇第164.501条所定义的含义相同。

(2) 联邦法规法典第45篇第164.512节中描述的公共卫生活动或目的。

(3)  根据《联邦规章法典》第45篇第164.501条的规定进行的研究,是根据《联邦规章法典》第45篇第46部分,《联邦保护人类受试者政策》进行的规则。

(4) Pursuant to a contract where the lawful holder of the deidentified 信息 that met the requirements of paragraph (4) of subdivision (一个) of Section 1798.146 expressly engages a person or entity to attempt to reidentify the deidentified 信息 in order to conduct testing, analysis, or validation of deidentification, or related statistical techniques, if the contract bans any other use or disclosure of the reidentified 信息 and requires the return or destruction of the 信息 that was reidentified upon completion of the contract.

(5) 如果法律另有要求。

(b)  In accordance with paragraph (4) of subdivision (一个) of Section 1798.146, 信息 reidentified pursuant this section shall be subject to applicable federal and state data privacy and security laws including, but not limited to, the Health Insurance Portability and Accountability Act, the Confidentiality of Medical Information Act, and this title.

(C) Beginning January 1, 2021, any contract for the sale or license of deidentified 信息 that has met the requirements of paragraph (4) of subdivision (一个) of Section 1798.146, where one of the parties is a person residing or doing business in the state, shall include the following, or substantially similar, provisions:

(1) 声明出售或许可的身份不明信息包括身份不明的患者信息。

(2) 根据本节的规定,禁止由信息的购买者或被许可人重新标识和尝试重新标识已取消标识的信息的声明。

(3)  除非法律另有要求,否则身份不明信息的购买者或被许可人不得将身份不明信息进一步透露给任何第三方的要求,除非第三方受相同或更严格的限制和条件约束合同约束。

(d) 就本节而言,“重新识别”是指取消识别技术的过程,包括但不限于添加特定的信息或数据元素,这些信息或数据元素可单独或组合用于唯一地识别个人或使用任何统计方法,功能,计算机软件或具有将已识别信息与特定可识别个人相关联的其他方式的使用。

(由2020年统计,第172章,第3节添加。)(AB 713)自2020年9月25日起生效。

[18] See, 取消身份验证CCPA风格:加利福尼亚州的企业可以从GDPR指南中学到什么?隐私权常见问题解答:CCPA是否适用于已取消标识的信息?

[19] For the 注册会计师 see, 注册会计师下的“去识别”数据-注意事项

“是否正在确定CCPA合规性的答案?

Maybe, they ask, can businesses escape some of the burdens of the law by “de-identifying” the 信息 they have 关于 their customers? (“Aggregated” 信息 is, essentially, an average of 信息 关于 a group of customers – something else entirely. See Cal.Civ. Code § 1798.140(a).)

Unfortunately, there are reasons to be skeptical that de-identification will be useful in significantly mitigating 注册会计师 obligations. One key reason is that the law defines “不明身份” in an extremely stringent way. For a business to count 信息 it has collected 关于 consumers as de-identified, the following criteria must be met:

  • 信息“无法合理地识别,关联,描述,能够与特定客户直接关联或间接链接;或”和
  • 企业必须实施禁止重新识别的技术保障和业务流程;和
  • 业务部门必须已经实施了业务流程,以防止意外释放已识别的数据;和
  • 企业不得尝试重新识别信息。

校准文明代码§1798.140(h)。

第一个要求将特别难以满足。很难看到企业如何做出“合理性”的必要判断,因为法律没有定义任何指标来决定重新识别数据的难度。在这一点上,数据科学家越来越聪明地找出实现这一目标的方法。”

[20] Théberge诉Petit Champlain画廊。, 2002 SCC 34 at paras 31-32.

[21] Dagenais诉加拿大广播公司, [1994] 3 S.C.R. 835,第p。 8

[22] 艾伯塔省(信息和隐私专员)诉当地的联合食品和商业工人 401, 2013 SCC 62

s

订阅

保持联系

Get the latest posts from this 博客

Please enter a valid 电子邮件 地址