SH

Soloharness

概念 · 辨析 · Agent

← 返回概念辨析

Concept Contrast Fable

匿名化和假名化

匿名化是把身份信息彻底打碎,打碎到任何人都拼不回去。假名化是把真实姓名换成一个代号,但代号和真名之间有一把钥匙锁在别处。一把是不可逆的粉碎,一把是可控的切换。在合规审计中,这个区别直接决定一条数据受不受 GDPR 管辖。

寓言

撕碎名单和换名字

市医院的档案室有一份病人名单,上面写着姓名、身份证号、病史和用药记录。医院要做一项回顾性研究,需要把这份名单交给大学的研究团队。

档案管理员老唐有两种处理方式。第一种:把姓名和身份证号从名单上彻底删除,甚至用碎纸机把原始对照表也碎了。第二种:把姓名替换成编号「P001」「P002」,然后锁好一本对照本,只有老唐自己有钥匙。

老唐觉得两种方式差不多——反正研究团队拿到的数据里都看不到真人姓名。他选了第二种,因为万一研究结果需要通知病人,他还能拿钥匙开柜子对上号。研究团队拿到了编号化的数据,顺利发表了论文。

半年后,医院信息安全审计。审计员指着那份编号化的数据问:对照本还在你柜子里吗?老唐说在。审计员在报告里写了一行字:该数据集为假名化数据,包含重标识可能,仍属个人数据,受数据保护法规管辖。

老唐急了:我把名字都换成编号了,怎么还算个人数据?审计员解释:匿名化的标准看的是任何人还能不能把数据对应回具体的人,光删掉名字远远不够。你的对照本还在柜子里,你就仍然掌握着把编号变回真名的能力,这条数据在法律上就不是匿名的。

老唐去查了法规原文,发现法律对「匿名化」的要求比他想象的高得多——不仅要删除直接标识符,还要评估间接标识符的组合是否可能导致重标识。而「假名化」只要求把直接标识符替换掉,允许保留对照表,在法律上仍算个人数据,只是降低风险的一种技术手段。

老唐回去改了他的数据处理流程。凡是需要法律意义上「匿名」的数据,他把整份原始名单和对照本全部销毁,不留任何恢复路径。凡是需要后续随访的数据,他走假名化流程,但标注清楚:此数据集为假名化数据,对照表存放于档案室保险柜,仅管理员可访问。

后来医院的数据合规培训上,老唐把碎纸机和保险柜并排摆在讲台上。他说:碎纸机后面的数据,法律上不是你的责任了。保险柜后面的数据,仍然是你的责任,只是风险小了。

匿名化

将个人数据中的标识信息彻底且不可逆地移除,使数据无法再关联到具体个人。经有效匿名化处理后的数据不再属于个人数据,不受数据保护法规(如 GDPR)管辖。

假名化

将个人数据中的直接标识符替换为一个或多个人工标识符(假名),但保留对照表的能力。假名化数据仍属个人数据,受数据保护法规管辖,但作为一种降低风险的技术措施被法规鼓励使用。

故事对应

  • 碎纸机粉碎原始名单:匿名化——彻底不可逆地断开数据和身份的联系。
  • 编号替换加保险柜对照本:假名化——标识符被替换,但恢复路径依然存在。
  • 审计员判定仍属个人数据:法律标准关注的是重标识的可能性而非表面形式。
  • 老唐查法规:匿名化的门槛远高于「去掉名字」,要评估间接标识符的组合风险。
  • 碎纸机和保险柜并排:两种处理方式对应的法律后果完全不同。

落到项目里

处理用户数据前先确认法律定位:如果目标是让数据脱离法规管辖,必须做到真正的匿名化——不仅要删直接标识符,还要评估间接标识符(IP、设备指纹、行为模式)的组合风险。如果目标是降低风险但保留追查能力,走假名化并明确标注,同时控制对照表的访问权限和审计日志。在隐私问卷上把两个词分列选项,避免把假名化当成匿名化来承诺。