什麼叫數據匿名化處理

㈠ 深圳經濟特區數據條例

第一章總則第一條為了規范數據處理活動，保護自然人、法人和非法人組織的合法權益，促進數據作為生產要素開放流動和開發利用，加快建設數字經濟、數字社會、數字政府，根據有關法律、行政法規的基本原則，結合深圳經濟特區實際，制定本條例。第二條本條例中下列用語的含義：

（一）數據，是指任何以電子或者其他方式對信息的記錄。

（二）個人數據，是指載有可識別特定自然人信息的數據，不包括匿名化處理後的數據。

（三）敏感個人數據，是指一旦泄露、非法提供或者濫用，可能導致自然人受到歧視或者人身、財產安全受到嚴重危害的個人數據，具體范圍依照法律、行政法規的規定確定。

（四）生物識別數據，是指對自然人的身體、生理、行為等生物特徵進行處理而得出的能夠識別自然人獨特標識的個人數據，包括自然人的基因、指紋、聲紋、掌紋、耳廓、虹膜、面部識別特徵等數據。

（五）公共數據，是指公共管理和服務機構在依法履行公共管理職責或者提供公共服務過程中產生、處理的數據。

（六）數據處理，是指數據的收集、存儲、使用、加工、傳輸、提供、開放等活動。

（七）匿名化，是指個人數據經過處理無法識別特定自然人且不能復原的過程。

（八）用戶畫像，是指為了評估自然人的某些條件而對個人數據進行自動化處理的活動，包括為了評估自然人的工作表現、經濟狀況、健康狀況、個人偏好、興趣、可靠性、行為方式、位置、行蹤等進行的自動化處理。

（九）公共管理和服務機構，是指本市國家機關、事業單位和其他依法管理公共事務的組織，以及提供教育、衛生健康、社會福利、供水、供電、供氣、環境保護、公共交通和其他公共服務的組織。第三條自然人對個人數據享有法律、行政法規及本條例規定的人格權益。

處理個人數據應當具有明確、合理的目的，並遵循最小必要和合理期限原則。第四條自然人、法人和非法人組織對其合法處理數據形成的數據產品和服務享有法律、行政法規及本條例規定的財產權益。但是，不得危害國家安全和公共利益，不得損害他人的合法權益。第五條處理公共數據應當遵循依法收集、統籌管理、按需共享、有序開放、充分利用的原則，充分發揮公共數據資源對優化公共管理和服務、提升城市治理現代化水平、促進經濟社會發展的積極作用。第六條市人民政府應當建立健全數據治理制度和標准體系，統籌推進個人數據保護、公共數據共享開放、數據要素市場培育及數據安全監督管理工作。第七條市人民政府設立市數據工作委員會，負責研究、協調本市數據管理工作中的重大事項。市數據工作委員會的日常工作由市政務服務數據管理部門承擔。

市數據工作委員會可以設立若干專業委員會。第八條市網信部門負責統籌協調本市個人數據保護、網路數據安全、跨境數據流通等相關監督管理工作。

市政務服務數據管理部門負責本市公共數據管理的統籌、指導、協調和監督工作。

市發展改革、工業和信息化、公安、財政、人力資源保障、規劃和自然資源、市場監管、審計、國家安全等部門依照有關法律、法規，在各自職責范圍內履行數據監督管理相關職能。

市各行業主管部門負責本行業數據管理工作的統籌、指導、協調和監督。第二章個人數據第一節一般規定第九條處理個人數據應當充分尊重和保障自然人與個人數據相關的各項合法權益。第十條處理個人數據應當符合下列要求：

（一）處理個人數據的目的明確、合理，方式合法、正當；

（二）限於實現處理目的所必要的最小范圍、採取對個人權益影響最小的方式，不得進行與處理目的無關的個人數據處理；

（三）依法告知個人數據處理的種類、范圍、目的、方式等，並依法徵得同意；

（四）保證個人數據的准確性和必要的完整性，避免因個人數據不準確、不完整給當事人造成損害；

（五）確保個人數據安全，防止個人數據泄露、毀損、丟失、篡改和非法使用。第十一條本條例第十條第二項所稱限於實現處理目的所必要的最小范圍、採取對個人權益影響最小的方式，包括但是不限於下列情形：

（一）處理個人數據的種類、范圍應當與處理目的有直接關聯，不處理該個人數據則處理目的無法實現；

（二）處理個人數據的數量應當為實現處理目的所必需的最少數量；

（三）處理個人數據的頻率應當為實現處理目的所必需的最低頻率；

（四）個人數據存儲期限應當為實現處理目的所必需的最短時間，超出存儲期限的，應當對個人數據予以刪除或者匿名化，法律、法規另有規定或者經自然人同意的除外；

（五）建立最小授權的訪問控制策略，使被授權訪問個人數據的人員僅能訪問完成職責所需的最少個人數據，且僅具備完成職責所需的最少數據處理許可權。

㈡ 誰有深度整理的歐盟《一般數據保護法案》（GDPR）核心要點中文內容

前言：

整理本文的原因有三：

1、 網上很多關於GDPR的文章並不全面，甚至有誤

2、 以此機會在公司內部開展關於GDPR的專項培訓

3、 青蓮雲的部分客戶業務在未來會受到GDPR的影響

之後，我們計劃編寫一系列相關文章，更多的是站在企業角度來思考法案對物聯網行業的影響以及應對措施，一來希望與同行企業可以就GDPR進行更多的互動討論；二來也是希望傳播國際法案對於安全和隱私的態度，共同提高物聯網安全意識。

以下您將了解到：

1、 什麼是GDPR（重要）

2、 GDPR的發展歷程

3、 GDPR的關鍵術語定義（重要）

4、 GDPR會影響哪些企業（重要）

5、 GDPR不適用於哪些情況

6、 GDPR約束了哪些數據（重要）

7、 GDPR中數據主體的權利（重要）

8、 GDPR中處理個人數據的基本原則（重要）

9、 GDPR中對合法處理數據的定義

10、 GDPR中針對兒童數據的處理規定

11、 GDPR中數據控制者與數據處理者的義務（重要）

12、 GDPR中針對特別類型個人數據的處理規定

13、 GDPR中關於數據主體被遺忘權的規定（重要）

14、 GDPR中關於數據主體可攜帶權的規定（重要）

15、 GDPR中關於個人數據泄露通知的規定（重要）

16、 GDPR中關於設立數據保護官的規定

17、 GDPR關於執法和處罰的規定（非常重要）

18、 總結

什麼是GDPR

2016年4月14日，歐洲議會投票通過了商討四年的《一般數據保護法案》（General Data Protection Regulation (GDPR)），新法案由11章共99條組成，該法案將於2018年5月25日正式生效，將取代現有的《數據保護指示》（Data Protection Directive 95/46/EC），統一歐盟成員國關於數據保護的法律法規。

此外，GDPR新規是在28個歐盟成員國統一實施生效的，這將使28個歐盟及歐洲經濟共同體成員國的隱私保護法更具有一致性和現代性。

GDPR作為一套用來保護歐盟公民個人隱私和數據的新法規，其頒布意味著歐盟對個人信息的保護及監管達到了前所未有的高度，堪稱史上最嚴格的數據保護法案

GDPR的發展歷程

（圖片來自網路）

GDPR的關鍵術語定義

個人數據：是指任何指向一個已識別或可識別的自然人（數據主體）的信息。該可識別的自然人能夠被直接或間接地識別，尤其是通過參照諸如姓名、身份證號、定位數據、在線身份識別這列標識，或者是通過參照針對該自然人一個或多個如物理、生理、遺傳、心理、經濟、文化或社會身份的要素。

處理：是指針對個人數據或個人數據集合的任何一個或一系列操作，諸如收集、記錄、組織、建構、存儲、自適應或修改、檢索、咨詢、使用、披露、傳播或其他利用、排列、組合、限制、刪除或銷毀，無論此操作是否採用自動化手段。

匿名化：是一種使個人數據在不使用額外信息的情況下不指向特定數據主體對待個人數據的處理方式。該處理方式將個人數據與其他額外信息分別存儲，並且使個人數據因技術和組織手段而無法指向一個可識別和已識別的自然人。

數據控制者：能單獨或聯合決定個人數據的處理目的和方式的自然人、法人、公共機構、行政機關或其他非法人組織。

數據處理者：是指為數據控制者處理個人數據的自然人、法人、公共機構、行政機關或其他非法人組織。

數據接受者：只是接收到被傳遞的個人數據的主體，無論其是否是第三方的自然人、法人、公共機構、行政機關或其他非法人組織。政府因在歐盟或其成員國法律框架內特定調查接收到的個人數據，不得視為「數據接受者」。

個人數據外泄：是指個人數據在傳輸、存儲或進行其他處理時的由安全問題引發的個人數據被意外或非法破壞、損失、變更、未經授權披露或訪問。

GDPR會影響哪些企業

歐盟GDPR法案具有域外效應。也就是說，GDPR賦予了歐盟在個人信息安全方面的域外管轄權。

主要受影響的企業為以下四類：

l 設立在歐盟境內的企業（控制者、處理者）

l 未在歐盟境內設立，但向歐盟境內的數據主體（自然人）提供產品和服務的企業（控制者、處理者）

l 未在歐盟境內設立，但涉及監控歐盟境內數據主體（自然人）行為的企業（控制者、處理者）

l 未在歐盟境內設立，但在歐洲成員國法律適用的地方設立的企業（控制者、處理者）

總結來說，GDPR不僅適用於位於歐盟境內的企業組織機構，也適用於位於歐盟以外的企業組織機構，無論機構所在地位於哪裡，只要其向歐盟數據主體提供產品、服務或者監控相關行為，或處理和持有居住在歐盟境內的數據主體的個人數據，都將受到GDPR法案的監管。

GDPR法案同樣適用於「數據控制者」和「數據處理者」。如果是數據處理者涉案，數據控制者也無法免除責任，GDPR規定控制者需要承擔更多的責任，以確保和數據處理者之間的合同能夠嚴格遵守GDPR的規定。

GDPR不適用於哪些情況

GDPR更多的是監管企業對數據的使用行為。以下4個方面的數據使用情況不適用於GDPR：

l 為了預防、調查、偵查或起訴刑事犯罪，主管當局為執行刑事處罰目的而產生的數據處理行為

l 基於國家安全目的而產生的數據處理行為

l 自然人在純粹的個人或家庭活動中產生的數據處理行為

l 歐盟法律規定范圍之外的活動過程中產生的數據處理行為

GDPR約束了哪些數據

個人數據：

可以通過某個標識直接或間接識別某一自然人的信息。

不管是採用自動化手段還是人工進行歸類的數據，包括按時間順序排列的包含個人數據的記錄集合。

已經被匿名化的個人數據，取決於用已有標識來識別特定個體的困難程度。

敏感個人數據：

也被稱為「特殊種類的個人數據」。

包括揭示種族或民族出身、政治觀點、宗教或哲學信仰、工會成員的個人數據。

包括遺傳數據和經過處理可以唯一識別個體的生物特徵數據。

不包括涉及刑事定罪和罪行的個人數據，但該類數據的處理和保存有特殊要求。

GDPR中數據主體的權利（第三章）

l 知情權

l 訪問權

l 反對權

l 可攜帶權

l 糾正權

l 刪除權/被遺忘權

l 限制處理權

l 免受數據畫像影響

GDPR中處理個人數據的基本原則

l 合法、正當、透明

l 處理數據的目的是有限的

l 僅處理為達到目的的最少數據

l 確保數據准確、及時更新

l 存儲數據的期限不得長於為達到目的所需要的時間

l 採取技術和管理措施以保護數據的安全

l 數據控制者有責任並應能夠證明做到了以上幾點

GDPR中對合法處理數據的定義

至少滿足一下中的某一項，處理數據才是合法的

l 數據主體同意為了特定目的處理其數據

l 處理數據是為了簽訂或履行合同的需要

l 處理數據是為了遵守法定義務的需要

l 處理數據是為了保護數據主體或其他自然人的至關重要的利益

l 處理數據是為了公共利益或形式政府授受的權力

l 處理數據是為了追求數據控制者的合理利益，但不得損害數據主體的利益

GDPR中針對兒童數據的處理規定

處理16歲以下兒童的個人數據，必須獲得該兒童父母或監護人的同意或授權。各成員國可以對上述年齡進行調整，但是不得低於13歲

GDPR中數據控制者與數據處理者的義務

設置DPO（數據保護官）

文檔化管理

數據保護影響評估

事先咨詢機制

數據泄露報告機制

安全保障措施

遵守數據跨境轉移規則

GDPR中針對特別類型個人數據的處理規定

禁止收集處理反映個人種族或民族起源、政治觀點、宗教和哲學信仰、是否是工會組織成員的數據、個人基因識別數據、生物數據、或涉及健康、性生活或性取向的數據。但在例外的情況下也可以收集加工以上數據，如已獲得個人的明示同意，或數據控制者因處理勞動關系、社會保險之需要並在法律允許的范圍內且已採取了適當的保護手段等。

GDPR中關於數據主體被遺忘權的規定（重要）

當個人數據已和收集處理的目的無關、數據主體不希望其數據被處理或數據控制者已沒有正當理由保存該數據時，數據主體可以隨時要求收集其數據的企業或個人刪除其個人數據。

如果該數據被傳遞給了任何第三方（或第三方網站），數據控制者應通知該第三方刪除該數據。

GDPR中關於數據主體可攜帶權的規定（重要）

數據主體可向數據控制者索要其數據，也可將其個人數據轉移至另一個數據控制者。

GDPR中關於個人數據泄露通知的規定（重要）

數據控制者應在72小時之內向監管機構報告個人數據的泄露情況。當數據泄露可能會給數據主體的權利或自由帶來巨大風險時，數據控制者必須毫不延誤的通知數據主體，以便數據主體及時採取措施。

GDPR中關於設立數據保護官的規定

為確保數據保護合規並處理數據保護相關事務，數據控制者和數據處理者需設置數據保護官（DPO）。

控制者和處理者應當對數據保護官不下達任何指令，DPO不能因為執行任務的原因被解僱或者受到刑事處罰。

數據保護官直接向最高管理者報告工作。

根據聯盟法律或者成員國法律規定，數據保護官應當對其執行任務的內容進行保密。

數據保護官也可以執行其他任務，履行其他職責。

GDPR關於執法和處罰的規定（非常重要）

不遵守信的數據隱私法規的後果就是會受到嚴厲的制裁和巨額的罰款。

GDPR的處罰並不是像網上傳的那樣直接就罰全球營收的4%。而是有兩個等級的徵收行政性罰款的規定：

對於一般性的違法，罰款上限是1000萬歐元，或者在承諾的情況下，最高為上一個財政年度全球全年營業收入的2%（兩者中取數額大者）；

對於嚴重的違法，罰款上限是2000萬歐元，或者在承諾的情況下，最高為上一個財政年度全球全年營業收入的4%（兩者中取數額大者）；

判罰的嚴重程度是基於以下因素：

l 違規的性質、嚴重程度和違規的持續時間

l 違規是故意的還是因疏忽造成的

l 對個人身份信息的責任心和控製程度

l 違規是單個事件還是重復事件

l 受到影響的個人資料的種類范圍

l 數據主體遭遇的損害程度

l 為了減輕損害而採取的行動

l 由違規產生的財務預期或收益

GDPR核心旨在保護隱私數據，並通過法案約束來建立企業和公民之間的信任關系，違反GDPR的代價遠不止財務層面，還將給企業聲譽造成極大破壞，並且導致企業和消費者之間產生信任危機

總結

由於青蓮雲所在的物聯網行業也處於GDPR法案的約束之中，故此整理出法案中的重點思想與業界分享。GDPR此次改革以保護公民的基本權利為理念，在提高個人數據保護標準的同時，也會增加企業的合規成本。法案的背後是對隱私和安全的需求，法案生效後會成為國際數據隱私保護標准。

對於物聯網行業的相關企業（硬體、軟體、製造、數據分析等）來說，從此刻開始提升物聯網安全意識，關注數據安全和用戶隱私安全，積極的採取相應的整改或強化措施刻不容緩。青蓮雲安全團隊也將在不斷提升自身安全攻防能力和安全合規意識的同時，與客戶企業建立長期持續的安全咨詢合作關系，共同建設安全、自主、可信的物聯網安全新業態。