【IT168 资讯】英国数据ICO监察机构政策主管Steve Wood，最近辩称“匿名化在数据革命中扮演了重要角色”。事实上，许多事都已经写到了关于大数据所能提供的机会—从防止诈欺和医疗研究到政党选票—但对数据保护的挑战是没有很多的数据分析以及监管机构的调整。

　　鉴于在处理那些被认为是“个人”的数据时有效的法律限制，这对那些没有认识其风险的人来说是一片潜在的监管雷区。ICO要提供实际的指南来促进更好的数据保护并在最近发布了“匿名化中的代码练习”以管理数据保护风险。代码的目的是为组织机构在如何使个人数据成功的匿名化提供指南，以及如何评估在使用匿名化后被定义为个人数据的风险。

　　匿名化数据吸引人的地方在于这些数据不再是个人数据，因此就超出了数据保护条例1998的范围。确保数据被正确的匿名化，并不只是遮盖起来，在实践操作中很难完成，尤其是在科技不断的进化中。关键的挑战是确保匿名化后的数据不能够被重新确认。

　　匿名化的过程

　　组织机构经常不确定匿名化过程本身的法律依据，以及匿名化数据是否构成了个人数据。

　　代码解决了许多问题。特别有趣的一点事在如何处理匿名化数据重新定义的风险指南。鉴于风险可能随着时间变化，特别是随着科技的进步，ICO建议进行定期评估风险。

　　它推荐组织机构应该使用侵入动机测试。这一测试需要组织机构考虑个人是否能够从匿名化的数据中重新确认出来，被那些“合理的主管，有权进入资源，如互联网”并应采用“调查技术，如询问人们是否能够确定数据主题的额外的知识”。侵入动机并不能假定具有任何专业知识。

　　如果组织重新定义个人信息而没有经个人了解或同意，那么这样的收集可能是非法的并且可能承受执法诉讼，包括最高至的50万美元罚款处分。

　　而且，在一些疑似案件中，重新确定个人信息的后果是很严重的—比如，重新确认信息可能导致个人遭受伤害或痛苦--代码敦促组织寻求数据对象同意披露的数据，解释其可能的后果,并采取更严格形式的风险分析和一个更强的匿名化技术。

　　作为提醒，ICO的执法能力超过了安全漏洞，最近ICO对于一家公司处以5万美元的罚金，并不是因为安全漏洞，而是因为未能保持正确的数据记录，这毫无意义。

　　如果匿名化过程不会导致无保证的伤害或痛苦，那么代码得出结论不需征得同意，这与其他欧洲数据保护权益违背，这同样是毫无意义的。

　　信息管理和安全保护

　　代码提供了组织机构使用匿名化技术时在信息管理结构和安全保护方面期待落实的详细指南， 推荐任命一名高级信息风险所有者，员工培训，识别程序，尤其当匿名化和隐私影响评估困难时。

　　在这种背景下，不但有参考作用，还能够扮演可信的第三方够授权给几个组织机构来匿名个人数据，使数据集连接到可利用的由可信任第三方应用的标识符，并被这一团体共享。

　　当其中一个参与者能够重新识别这些数据时，这些策略需要被仔细考虑。在他们手中这些数据将不再是个人的，普通的数据保护义务需要得到满足。

　　ICO的指南陈列了推荐规范的好的实践，这些应该被组织机构采纳用来提供“合理程度的可信度”，对于公布和分享匿名化的数据不会导致“个人信息不适当的披露”。

　　虽然没有法律约束力，遵守代码将被视为一个“非常好的实践”，并可能会影响执行。对于那些想利用可供支配的任何个人资料，这都确定是个有用的资源。