寓言
撕碎名单和换名字
市医院的档案室有一份病人名单,上面写着姓名、身份证号、病史和用药记录。医院要做一项回顾性研究,需要把这份名单交给大学的研究团队。
档案管理员老唐有两种处理方式。第一种:把姓名和身份证号从名单上彻底删除,甚至用碎纸机把原始对照表也碎了。第二种:把姓名替换成编号「P001」「P002」,然后锁好一本对照本,只有老唐自己有钥匙。
老唐觉得两种方式差不多——反正研究团队拿到的数据里都看不到真人姓名。他选了第二种,因为万一研究结果需要通知病人,他还能拿钥匙开柜子对上号。研究团队拿到了编号化的数据,顺利发表了论文。
半年后,医院信息安全审计。审计员指着那份编号化的数据问:对照本还在你柜子里吗?老唐说在。审计员在报告里写了一行字:该数据集为假名化数据,包含重标识可能,仍属个人数据,受数据保护法规管辖。
老唐急了:我把名字都换成编号了,怎么还算个人数据?审计员解释:匿名化的标准看的是任何人还能不能把数据对应回具体的人,光删掉名字远远不够。你的对照本还在柜子里,你就仍然掌握着把编号变回真名的能力,这条数据在法律上就不是匿名的。
老唐去查了法规原文,发现法律对「匿名化」的要求比他想象的高得多——不仅要删除直接标识符,还要评估间接标识符的组合是否可能导致重标识。而「假名化」只要求把直接标识符替换掉,允许保留对照表,在法律上仍算个人数据,只是降低风险的一种技术手段。
老唐回去改了他的数据处理流程。凡是需要法律意义上「匿名」的数据,他把整份原始名单和对照本全部销毁,不留任何恢复路径。凡是需要后续随访的数据,他走假名化流程,但标注清楚:此数据集为假名化数据,对照表存放于档案室保险柜,仅管理员可访问。
后来医院的数据合规培训上,老唐把碎纸机和保险柜并排摆在讲台上。他说:碎纸机后面的数据,法律上不是你的责任了。保险柜后面的数据,仍然是你的责任,只是风险小了。