PDF《结构式数據的去识别化指引》

5 同上,见第

195 页.

6 关於如何将处於记者风险的数ナ侗鸹钠渌敢,可参阅 El Emam 著的?Guide to the De- identification of Personal Health Information?.

7 参见安大略省 Order P-1880 号司法覆核中关於是否可以在记录中披露个人资料的考查 (Attorney General) v. Pascoe,

2002 CanLII

30891 (ON CA), para. 14-15..

4 去识别化定义为:移除(i)任何可识别个人的资料的处理,或(ii)任何能被合理 地认定为可单独地或在结合其他资料后用於识别个人身份的资料的处理. 去识别化 这一术语在本指引中,将以上述定义的不同面貌呈现.它可以 用於指去除识别过程中所涉及的一系列步骤、考虑因素和可能的结果,它亦可用作 指识别资料的移除,阅读时应根衔南吕砝蠢斫庹飧鍪跤锉皇褂檬钡恼嬲. 按 合理性标准 来定义个人资料,意味著必须审视内容以去除当中的识别 资料.将数ナ侗鸹,必须疏理及考虑包括下列的各种问题: ? 不同的发放模式.通过去识别化,数梢酝ü牍(或称 为 准公开 )或非公开的模式发放.以公开方式发放时,数尢 件供任何人下载或使用,这种发放模式提供最大的可利用性,但却最少 的保护. 相比之下,非公开式的数⒎乓话慊峤睦,限定为一定数 目的确定接收者.作为接收数奶跫,接收者必须同意相关数乃 隐和安全合约条款(通常在数蚕硇橹卸┒).这种发放模式提供 最少的实用性,然而,保护程度却较高. 数部梢允褂猛卑头枪街忠氐陌牍椒⒎.使 用半公开方式发放时,数晒┤魏稳讼略,但是,作为接收数 条件,接收方必须向发放数淖橹⒉,并(通常透过使用协议的 形式)承诺遵守处理和分享数南拗. 虽然可以在半公开式数⒎诺氖褂眯橹,附加额外的私隐和安全措 施,但由於发放属开放性质,相关措施较难执行.因此,以这种模式发 放的数峁┑谋；

こ潭扔邢.进行去识别化所需的程度,根 使用的发放模型的不同而可能有所差异. ? 不同种类的识别资料.在进行去识别化时,需要移除直接识别个人身份 的资料,以及那些能被合理认定为可单独地、或与其他资料结合后用於 识别个人身份的资料.前一类识别资料称为直接识别资料,后者则称为 间接 或 准 识别资料.

5 ? 不同的再识别攻击.数腥ナ侗鸹璧某潭,取决於对手尝试 将其内的一个或多个个人进行身份再识别的可能性.因此,需要考虑不 同的对手类型,并根褂玫姆⒎拍Ｊ,对再识别攻击的种类进行分 析.例如,对於公开式的数⒎,应假设有人会尝试对数竟攻 击,而对於非公开式的数⒎,则应评估来自於机构内部人员及因数 孤┧钩傻耐. ? 不同的去识别化技术.一旦掌握了再识别风险水平,以及测量出必要的 去识别化程度后,就必须从数谝瞥嘤κ康淖柿.为此,可以 使用不同的方法 - 通过掩蔽、泛化和抑制等技术进行. ? 不同类型的披露.去识别化技术可以防止个人身份,以及与个人身份连 系的其他资料的披露.然而,它并不防止与个人群体相关的、可能被标 签化的属性的披露.虽然在发放已去除识别的数,必须防个人 身份的泄露,但作为最佳做法,还应考虑防相关的属性被披露.要达 至此,就需要对数贫┮桓龊遣偈厣蟛榈闹卫砟Ｊ.

四、 去识别化的利用 去识别化的首要目的是保护个人私隐.一个包含任何数量或种类的个人资料 的数,不能被视为已去识别化. 与此同时,发放已去识别化的数闹饕蛑,是供人有机会以研究 为目的,对原始数募壑导靶灾式蟹治.因此,去识别化在保护个人私隐的同 时,也应致力於保留资料的最大效用. 去识别化的这种双重目的,使其在包括开放数,查阅资料请求,以及机构 内部和机构之间的数蚕淼榷嗍榭鱿,成为有用的重要方法.