英国信息专员’办公室(ICO)发布了有关管理匿名化风险的良好做法守则。英国信息专员克里斯托弗·格雷厄姆(Christopher Graham)认为,这是任何欧洲数据保护机构都会发布的第一个匿名操作规范,但列支敦士登在今年早些时候发布了匿名和化名指南。

随着公开数据的迅速增长和“大数据”的兴起,匿名化是“帮助社会在保护个人隐私的同时提供丰富数据资源的重要工具”。对于希望出于研究目的发布数据的组织,它具有特别的价值。

该规范是根据《欧洲数据保护指令》(第95/46 / EC号指令)第26条发布的,该条规定“保护原则不适用于匿名数据,以致无法确定数据主体的方式。”经过适当匿名处理的数据可确保不再能识别个人身份,从而导致此类数据超出了欧洲数据保护法的范围。但是,匿名化并不总是那么简单,因为可以通过多种方式来识别个人,这可能导致从匿名数据和从其他来源汇总的数据的组合中重新识别个人的可能性。 ICO认识到难以确定匿名数据是否仍归类为个人数据,并认为在这种情况下应做出明智的判断。

《准则》建议数据控制人员对可能发生的重新识别进行定期风险评估,因为这种风险可能会随着时间而改变。它进一步警告说,即使有效地进行了匿名化,也不一定能保护个人数据免于将来再次被识别。在不确定是否可以重新识别的极端情况下,敦促组织寻求个人的同意进行披露,并采取更为严格的风险分析和匿名化形式。

ICO称,匿名数据的披露无需征得同意,“只要匿名的可能性不引起不必要的损害或困扰,那么就无需获得同意作为合法化处理的手段。” ICO还承认,同意不仅可能很繁重,而且可能无法获得,即使获得同意,ICO通常也认为使用或披露匿名数据更安全。

信息专员确实建议增加组织的官僚机构和成本,方法是建议风险评估策略构成组织更广泛的治理结构的一部分,并任命“高级信息风险负责人”,该人负责授权和监督匿名化过程。