寓言
面具和整容
城西有一家健康档案馆。馆长签了一份数据处理合同,条款里写了两件事:第一,展示给第三方看的数据必须「去身份化」;第二,存入长期研究库的数据必须「匿名化」。馆长签完字,让技术团队统一做了一套脱敏处理,把所有姓名、身份证号、电话号码用星号替换掉,交了上去。
半年后,审计组来了。审计师先看了展示给第三方的数据集,点点头:姓名脱掉了,身份证号遮住了,满足「去身份化」的要求,没问题。接着审计师看了长期研究库的数据集,眉头皱了起来。
审计师把馆长叫到会议室,屏幕上同时打开了「去身份化」后的数据和一份地图。审计师点了几下鼠标,把数据里的出生日期、性别和邮政编码三个字段组合起来,地图上出现了几个清晰的标记点。审计师说:姓名遮住了,但通过这三个字段,在大部分街区里可以唯一锁定到具体个人。这叫「面具掉了」。
馆长这才意识到,他的团队做的只是遮蔽——把直接标识符用星号替换,但数据行本身包含的间接信息(出生日期、性别、邮编、职业、就诊记录组合)仍然可以重新识别出具体的人。这套操作对短期展示勉强够用,但面对长期研究库里的大规模数据交叉分析,根本挡不住重识别攻击。
审计师解释了两者的区别。遮蔽是戴面具:原始数据还在后面,只是用某种方式挡住了直接标识符。面具可以摘,也可以被别的信息拼回来。匿名化是整容:数据经过了泛化、扰动、聚合或差分隐私处理,以至于即使结合外部信息,也无法以合理手段追溯到具体个人。整容之后,原来的那张脸不存在于数据里了。
馆长回去以后,把技术团队的工作流程拆成了两条线。一条专做遮蔽,用于需要短期展示的业务场景,处理速度快,但数据仍有重识别风险,不能离开受控环境。一条专做匿名化,用于需要长期存储或对外发布的研究数据,多花时间做泛化和聚合,确保即使结合外部数据也无法反推个人。
三个月后,第二次审计顺利通过。审计师在报告里特别表扬了一句话:该馆已区分遮蔽和匿名化的应用场景,并将两条处理链路分开管理。
馆长在周会上总结了一句话:戴面具的人走进人群,熟悉他的人还是能认出来。整过容的人,亲妈也得靠 DNA 才能确定。