东盟数据匿名化指南

Contents 执行摘要...............................................................................................................................11) 引言............................................................................................................................. 42) 术语和关键概念...................................................................................................... 83) 匿名化过程................................................................................................................ 15附录A：基本数据匿名化技术...................................................................................... 28附录B：概述K- 匿名,L多样性和T- 接近性. 44 附件 C ： 匿名化的常见误解. 48 附件 D ： 匿名化工具. 执行摘要 The东盟数据匿名指南(this “指南“) 是一本面向技术和应用的个人数据匿名化入门指南。 第 1 部分 ： 导言 第1部分介绍了本指南的目的和范围。具体而言，本指南旨在为东盟成员国（Association ofSoutheast Asian Nations，ASEAN）内的政策制定者、监管机构以及行业组织提供基本数据匿名化信息和指导，这些组织可以参考本指南来进行相关工作。东盟）。由于成员国越来越采用数据保护法律，本指南可能特别有用，可以作为适应其特定管辖区域的基础。为此，它概述了匿名化过程的一般介绍以及一些常见的匿名化技术。 数据匿名化是一种基于风险的过程，通过应用相关技术和结合治理措施，将个人数据转换为无法单独或与其它信息结合使用以识别特定个体的数据。是否可以认为一组数据不再能够识别个体，取决于重新识别的风险水平以及适用的数据保护法律法规。尽管在东盟地区的许多数据保护法律中，数据匿名化未必是特定的法律要求，但实施数据匿名化可以有助于保护个人数据、促进遵守适用的数据保护法律法规，并提供额外的好处（例如，在不泄露个人信息的情况下安全共享和协作）。 第 2 部分 ： 关键概念和术语 第二部分讨论了关键概念和术语的基础层面，可以作为有用参考，并促进东盟各司法管辖区在数据匿名化实践中的和谐。例如，它界定了数据属性的定义，并说明了在匿名化处理前如何将其分类为直接标识符、间接标识符或目标属性。同样地，它解释了可识别性和相关概念，这有助于有效分类数据属性、应用匿名化技术及进行风险评估。此外，它描述了典型的匿名化应用场景（也称为用例），如内部和外部数据共享，以展示匿名化处理后的结果。 本指南的附件对以下各种概念提供了更详细和技术的解释 ： • 附件 A ： 基本数据匿名化技术 • 附件 B ： 概述K- 匿名 •附件 C ： 匿名化的常见误解 • 附件 D ： 匿名化工具 第三部分 ： 匿名过程 第三部分提供了对匿名化技术本质的概述，简要总结了文档记录的良好实践，并列出了可以在匿名化过程中采用的关键匿名化步骤。根据具体需求调整这些步骤或重复某些步骤以更好地实现匿名化，取决于用例和数据复杂性等因素。 匿名化步骤 下图总结了本指南中的匿名化步骤1: 为免生疑问 ， 步骤 “应用匿名化技术 ” 和“ 计算风险 ”(上面的步骤 3 和 4) 可以是迭代过程 (因此在循环中表示) 。 STEP 1 Step 1（了解您的数据）涉及理解数据是否适合进行匿名化处理，以及匿名化是否适用于预期的应用场景。存在多种因素需要考虑。 需要考虑的因素包括数据使用性质和披露程度。应遵循最小化数据原则，排除任何不必要的数据属性，并在可能的情况下将数据限制为记录样本而非完整数据集。 STEP 2 第二步（去标识化数据）涉及从数据中移除直接标识符，并可选地使用可逆的伪匿名化方法，以便能够在（匿名化的）数据集中将每条记录重新链接回唯一个体以及原始数据库。 STEP 3 第三步（应用匿名化技术）涉及对去标识化数据集中间接标识符的应用匿名化技术，以确保这些标识符无法轻易与其他可能包含额外信息的數據集结合以重新识别个体。 STEP 4 第4步（计算风险）涉及确定匿名化的风险阈值，并应用程序以确定是否已达到足够的匿名化水平。如果未达到风险阈值，则应重复第3步（应用匿名化技术）。最终的风险评估应进行，剩余风险需审查，因为这将影响在下一步第5步中需要应用的额外风险管理和控制措施。特别是在最终匿名化水平不足以满足法律阈值（即相关数据保护要求）的情况下，这一点尤为重要。 STEP 5 第五步（管理风险）涉及对匿名数据实施控制/措施，以进一步降低重新识别数据的风险。此类措施通常具有合同性、行政性和/或技术性的性质。 PART 1: INTRODUCTION 本指南的目的 该指南的目的是提供关于基本数据匿名化概念和技术的信息和指导。它主要面向处理个人数据并位于东盟成员国的政府和行业组织，以及这些组织内的工作人员。该指南也将惠及那些从事风险评估和合规工作的人士，他们可能需要理解其特定领域内匿名化技术的能力和局限性。 数据匿名化可能并非各种国家的数据保护法律中的具体要求。然而，匿名化数据通常不被视为个人数据，因此不受数据保护法律的约束。此外，匿名化个人数据还将使组织能够享受第1.2段总结的实用好处。 匿名化是一种基于风险的过程，通过应用相关技术并将治理措施结合起来，将个人数据转换为无法单独或与其他信息结合使用来识别特定个体的数据。是否可以认为一组数据已无法用于识别个体，将取决于重新识别的风险水平和适用的数据保护法律。要实现匿名化所需的具体类型和数量的技术以及治理控制措施，将取决于数据本身的敏感性、匿名化数据的预期用途，以及对这类数据的评估风险和潜在攻击。 适当的风险评估有助于确定用于数据匿名化的资源投资量，以在数据的实用性和匿名性之间找到合适的平衡。简而言之，匿名化是一个基于风险的过程，需要理解预期用途的需求并评估相关风险。 匿名化的好处 从事个人数据的匿名化有几个主要好处。这些包括 ： (a) 建立对组织数据保护做法的信任 ； (b) 在分析和研究过程中通过共享匿名数据与合作伙伴共同进行，在确保数据安全使用的同时保留数据的实用价值并保护个人隐私。 (c)促进数据共享与协作，因为匿名化数据可以在确保个人隐私不被侵犯的情况下安全地与第三方及跨辖区进行共享。 展示良好的数据治理能力，并增加消费者对其个人数据在企业间及跨境共享时受到保护的信心； (e)增强个人隐私保护和防范数据滥用与exploitation，特别是在与治理措施/控制相结合以最小化未经授权的数据访问时； (f)减少数据泄露事件对个人的影响或伤害 ， 包括身份盗窃。 本指南的范围 本指南概述了匿名化过程和一些常见的匿名化技术2这些匿名化技术适用于每条记录中的数据仅涉及并代表单个个体的情况。此外，本指南中描述的匿名化过程假设应用匿名化技术的数据是完整和准确的，或者已经进行了预处理，使其足够完整和准确以进行匿名化。由于数据预处理（有时称为数据清洗）是一个独立的重要话题，因此超出了本指南的范围。 此指南专注于表格及其类似结构的数据，这些数据通常存储在Excel工作表、SQL数据库、JSON格式、CSV格式等中，因为这些是最常用的存储和处理数据集的格式。 东盟的数据保护格局 在东盟地区，成员国越来越多地采用数据保护法律法规。目前，新加坡、马来西亚、泰国、菲律宾、印度尼西亚和越南均已制定出全面的数据保护法律。3此外 ， 截至 2024 年 12 月 ， 文莱 2为了获取更多信息和资源，请参考如ISO/IEC 20889:2018《增强隐私的数据去识别术语和分类》以及ISO/IEC 27559:2022《信息安全、网络安全和隐私保护——增强隐私的数据去识别框架》等国际标准。 3查看新加坡《个人数据保护法》2012年版；马来西亚《个人数据保护法》2010年版；泰国《个人数据保护法》第B.E. 2562（2019年）版；菲律宾共和国第10173号《数据隐私法》2012年版；印度尼西亚第27/2022号《个人数据保护法》；以及越南第13/2023/ND-CP号《个人数据保护法令》。 达鲁萨兰国和柬埔寨正在制定自己的数据保护法4. 基于对东盟成员国进行的调查，大约一半的东盟成员国拥有相关法律、法规和指导方针。5，或者涉及数据匿名化标准的相关事宜，以及东盟成员国中多数国家观察到，在其管辖范围内，私营或政府组织进行数据匿名化是常见（且可行）的做法。虽然简单的匿名化技术如字符遮掩和去标识化主要被采用，但有时也会使用更为复杂的匿名化技术。 重要说明：这本指南主要是一个“技术性和应用导向”的介绍，旨在阐述个人数据保护法律背景下常见的去标识化概念。东盟成员国的数据保护法律各不相同，因此，《指南》中关于“去标识化数据”和其他概念的法律定义和处理方式也可能在不同司法管辖区有所差异。然而，《指南》旨在提出一种基于风险的方法来指导去标识化过程，该方法可以作为东盟各国的参考（然后可以根据各自的具体要求进行调整）。 2) 术语和关键概念 第 2 部分 ： 术语和关键概念 2.1 关键条款 匿名化概念对许多组织来说相对较新。因此，当不同组织使用某些关键术语时，其含义可能会与数据保护法律中特定的含义有所不同。为了便于理解本指南的内容，以下表格提供了本指南中使用的关键术语定义。6: 2.2 标识符和目标属性 进行匿名化处理之前，理解用于匿名化过程的数据属性如何分类是非常重要的。这有助于正确执行风险评估并实现预期结果。数据属性通常按以下方式分类： (a)直接标识符： 直接标识符(也称为 “唯一标识符 ”7通常被视为“高风险”属性的是唯一标识个体的数据属性，这些数据能够用于识别特定个体。由于一个人可能仅凭一个直接标识符即可被识别，因此在去标识化过程中必须移除所有直接标识符。 (b)间接标识符：间接标识符（也称为“准标识符”）通常被视为具有“中等风险”的属性。这些是数据属性，虽然单独来看不唯一标识某个个体，但与其他间接标识符结合时可以潜在地识别出特定个体。许多数据匿名化技术主要关注处理间接标识符，以达到足够的匿名化水平。 (c)目标属性目标属性通常包含数据集的主要用途（即，它们是有用的信息片段，与个体相关）。从潜在重新识别相关个体的角度来看，它通常被视为一个“低风险”属性，因为它通常是不公开或不易获取的信息。 对他人而言易于获取。然而，此类属性可能具有敏感性，若披露可能会对个人造成较高的潜在负面影响。 任何给定数据属性的适当分类取决于该数据属性所处的更广泛的上下文。例如，在大数据库中通常被视为间接标识符的数据属性，在小数据库中可能会变成直接标识符（例如，一个小群体中每个人的年龄信息）。因此，数据属性的分类通常不是一个简单的过程，往往需要一些斟酌。 以下是一些典型的数据属性分类示例。为免疑义，这些示例无意作为任何东盟成员国法律中的法律定义或分类。 2.3 识别、取消识别和重新识别 为了将给定数据集的属性或标识符正确地归入上述三个类别之一，重要的是要理解“识别”、“去标识化”和“再标识化”的过程，以及个体从数据集中“可识别”的含义。这些术语可以理解为以下几点： (a)识别, 可识别在行动中，“识别”和“标识”指的是从数据中