Jump to content

Псевдонимизация

(Перенаправлено с Псевдоанонимизации )

Псевдонимизация — это процедура управления данными и деидентификации , при которой поля личной информации в записи данных заменяются одним или несколькими искусственными идентификаторами или псевдонимами . [1] Использование одного псевдонима для каждого замененного поля или набора замененных полей делает запись данных менее идентифицируемой, но при этом остается пригодной для анализа и обработки данных .

Псевдонимизация (или псевдонимизация, написание в соответствии с европейскими рекомендациями) — это один из способов соблюдения Европейского Союза требований нового Общего регламента защиты данных (GDPR) по безопасному хранению личной информации. [2] Псевдонимизированные данные можно восстановить в исходное состояние с добавлением информации, позволяющей повторно идентифицировать людей. Напротив, анонимизация предназначена для предотвращения повторной идентификации людей в наборе данных. Пункт 18, Модуль четвертый, сноска 2 Принятия Европейской комиссией Имплементационного решения (ЕС) 2021/914 «требует сделать данные анонимными таким образом, чтобы никем больше нельзя было идентифицировать человека… и чтобы это процесс необратим». [3]

Влияние решения Шремса II

[ редактировать ]

Европейский инспектор по защите данных (EDPS) 9 декабря 2021 года назвал псевдонимизацию основной технической дополнительной мерой для соблюдения требований Schrems II. [4] Менее чем через две недели Комиссия ЕС подчеркнула, что псевдонимизация является важным элементом решения об эквивалентности Южной Кореи, статуса, который был утрачен Соединенными Штатами в соответствии с постановлением Суда Европейского Союза по делу Шремса II (CJEU). ). [5]

Важность псевдонимизации в соответствии с GDPR резко возросла в июне 2021 года, когда Европейский совет по защите данных (EDPB) и Европейская комиссия выделили псевдонимизацию, соответствующую GDPR, в качестве современной технической дополнительной меры для постоянного законного использования личных данных ЕС. данные при использовании облачных процессоров третьих стран (т. е. за пределами ЕС) или поставщиков удаленных услуг в соответствии с постановлением СЕС «Шремс II». [6] В соответствии с GDPR и окончательным руководством EDPB Schrems II, [7] термин «псевдонимизация» требует нового защищенного «состояния» данных, дающего защищенный результат, который:

(1) Защищает прямые, косвенные и квазиидентификаторы, а также характеристики и поведение;

(2) Защищает на уровне записей и наборов данных, а не только на уровне поля, так что защита распространяется повсюду, где бы ни находились данные, в том числе во время их использования; и

(3) Защищает от несанкционированной повторной идентификации с помощью эффекта мозаики, создавая высокие уровни энтропии (неопределенности) за счет динамического назначения разных токенов в разное время для различных целей.

Сочетание этих мер защиты необходимо для предотвращения повторной идентификации субъектов данных без использования дополнительной информации, хранящейся отдельно, как того требует статья 4(5) GDPR и как дополнительно подчеркивается в параграфе 85(4) окончательного варианта EDPB Schrems II. руководство:

  • Статья 4(5) «Определения» GDPR определяет псевдонимизацию как «обработку персональных данных таким образом, что персональные данные больше нельзя отнести к конкретному субъекту данных без использования дополнительной информации, при условии, что такая дополнительная информация хранятся отдельно и подлежат техническим и организационным мерам, гарантирующим, что персональные данные не будут отнесены к идентифицированному или идентифицируемому физическому лицу». [8]
  • «Сценарий использования 2: Передача псевдонимизированных данных. Параграф 85(4)» окончательной версии Руководства EDPB Schrems II требует, чтобы «контролер установил посредством тщательного анализа рассматриваемых данных – принимая во внимание любую информацию, которую государственные органы страны-получателя могут владеть и использовать – что псевдонимизированные персональные данные не могут быть отнесены к идентифицированному или идентифицируемому физическому лицу, даже если они имеют перекрестные ссылки с такой информацией». [7]

Псевдонимизация, соответствующая требованиям GDPR, требует, чтобы данные были «анонимными» в самом строгом смысле этого слова в ЕС – глобально анонимными – за исключением дополнительной информации, хранящейся отдельно и доступной в контролируемых условиях, разрешенных контроллером данных для разрешенной повторной идентификации индивидуальных данных. предметы. Пункт 18, Модуль четвертый, сноска 2 Принятия Европейской комиссией Имплементационного решения (ЕС) 2021/914 «требует сделать данные анонимными таким образом, чтобы физическое лицо больше не могло быть идентифицировано кем-либо, в соответствии с пунктом 26 декларативной части 26. Регламента (ЕС) 2016/679, и что этот процесс необратим». [3]

До решения Шремса II псевдонимизация была методом, используемым экспертами по безопасности или государственными чиновниками для сокрытия личной информации для сохранения структуры данных и конфиденциальности информации . Некоторые распространенные примеры конфиденциальной информации включают почтовый индекс, местонахождение людей, имена людей, расу и пол и т. д.

После решения Шремса II псевдонимизация в соответствии с GDPR должна удовлетворять вышеупомянутым элементам как «результат», а не просто метод.

Поля данных

[ редактировать ]

Выбор того, какие поля данных будут псевдонимизированы, частично субъективен. Часто также включаются менее избирательные поля, такие как дата рождения или почтовый индекс, поскольку они обычно доступны из других источников и, следовательно, облегчают идентификацию записи. Псевдонимизация этих менее идентифицирующих полей лишает большую часть их аналитической ценности и поэтому обычно сопровождается введением новых производных и менее идентифицирующих форм, таких как год рождения или более крупный регион почтового индекса .

Поля данных, которые менее информативны, например дата посещения, обычно не псевдонимизируются. Это происходит потому, что при этом теряется слишком много статистической полезности, а не потому, что данные невозможно идентифицировать. Например, зная заранее несколько дат посещения, можно легко идентифицировать чьи-либо данные в псевдонимизированном наборе данных, выбирая только тех людей с этим шаблоном дат. Это пример атаки на основе вывода .

Слабость псевдонимизированных данных до принятия GDPR к атакам на основе логического вывода обычно упускается из виду. Известный пример – скандал с поисковыми данными AOL . Пример несанкционированной повторной идентификации AOL не требовал доступа к отдельно хранимой «дополнительной информации», которая находилась под контролем контроллера данных, как это сейчас требуется для псевдонимизации в соответствии с GDPR, как описано ниже в разделе «Новое определение псевдонимизации в соответствии с GDPR». .

Защита статистически полезных псевдонимизированных данных от повторной идентификации требует:

  1. надежная информационной безопасности база
  2. контроль риска того, что аналитики, исследователи или другие сотрудники, работающие с данными, нарушат конфиденциальность

Псевдоним позволяет отслеживать происхождение данных, что отличает псевдонимизацию от анонимизации . [9] где все личные данные, которые могли позволить вернуться назад, были удалены. Псевдонимизация является проблемой, например, в отношении данных о пациентах, которые необходимо безопасно передавать между клиническими центрами.

Применение псевдонимизации в электронном здравоохранении направлено на сохранение неприкосновенности частной жизни пациента и конфиденциальности данных . Это позволяет уполномоченным поставщикам медицинских услуг первично использовать медицинские записи и сохранять конфиденциальность при вторичном использовании исследователями. [10] В США HIPAA предоставляет рекомендации о том, как следует обращаться с медицинскими данными, а деидентификация или псевдонимизация данных является одним из способов упростить соблюдение HIPAA. [ нужна ссылка ] . Однако простая псевдонимизация для сохранения конфиденциальности часто достигает своих пределов, когда генетических данных речь идет о (см. также генетическую конфиденциальность ). Из-за идентифицирующей природы генетических данных деперсонализации часто бывает недостаточно, чтобы скрыть соответствующего человека. Возможные решения — сочетание псевдонимизации с фрагментацией и шифрованием .

Примером применения процедуры псевдонимизации является создание наборов данных для исследования деидентификации путем замены идентифицирующих слов словами из той же категории (например, замена имени случайным именем из словаря имен), [11] [12] [13] однако в этом случае, как правило, невозможно отследить данные до их источника.

Новое определение псевдонимизации в соответствии с GDPR

[ редактировать ]

С 25 мая 2018 года Общий регламент ЕС по защите данных (GDPR) впервые на уровне ЕС определяет псевдонимизацию в статье 4(5). В соответствии с требованиями определения статьи 4(5), данные псевдонимизируются, если их нельзя отнести к конкретному субъекту данных без использования отдельно хранимой «дополнительной информации». Псевдонимизированные данные воплощают современный уровень защиты данных по замыслу и по умолчанию. [14] поскольку требуется защита как прямых, так и косвенных идентификаторов (не только прямых). Принципы защиты данных GDPR по замыслу и по умолчанию, воплощенные в псевдонимизации, требуют защиты как прямых, так и косвенных идентификаторов, чтобы персональные данные не подвергались перекрестным ссылкам (или повторной идентификации) с помощью «эффекта мозаики». [15] без доступа к «дополнительной информации», которая хранится отдельно у контролера. Поскольку для повторной идентификации требуется доступ к отдельно хранимой «дополнительной информации», отнесение данных к конкретному субъекту данных может быть ограничено контролером только для поддержки законных целей.

Статья 25(1) GDPR определяет псевдонимизацию как « соответствующую техническую и организационную меру », а статья 25(2) требует от контролеров:

«…принять соответствующие технические и организационные меры для обеспечения того, чтобы по умолчанию обрабатывались только персональные данные, необходимые для каждой конкретной цели обработки. Это обязательство распространяется на объем собранных персональных данных, степень их обработки, период их хранения и их доступность. В частности, такие меры должны гарантировать, что персональные данные по умолчанию не будут доступны без вмешательства человека неопределенному кругу физических лиц».

Центральным элементом защиты данных по замыслу и по умолчанию в соответствии со статьей 25 GDPR является обеспечение контроля над технологиями, которое поддерживает надлежащее использование и способность продемонстрировать, что вы действительно можете сдержать свои обещания. Такие технологии, как псевдонимизация, обеспечивающие защиту данных по замыслу и по умолчанию, показывают отдельным субъектам данных, что помимо создания новых способов извлечения пользы из данных, организации применяют столь же инновационные технические подходы к защите конфиденциальности данных — особенно деликатная и актуальная проблема, учитывая эпидемия нарушений безопасности данных по всему миру.

Активные и растущие области экономической деятельности — «экономика доверия», исследования в области биологических наук, персонализированная медицина/образование, Интернет вещей, персонализация товаров и услуг — основаны на уверенности людей в том, что их данные конфиденциальны, защищены и используются только ими. для соответствующих целей, которые приносят им и обществу максимальную ценность. Это доверие невозможно сохранить, используя устаревшие подходы к защите данных. Псевдонимизация, как она недавно определена в GDPR, — это средство, помогающее обеспечить защиту данных по замыслу и по умолчанию, чтобы завоевать и поддерживать доверие, а также более эффективно обслуживать предприятия, исследователей, поставщиков медицинских услуг и всех, кто полагается на целостность данных.

Псевдонимизация, соответствующая GDPR, не только обеспечивает более эффективное использование данных с уважением к конфиденциальности в современном мире « больших данных » совместного использования и объединения данных, но также позволяет контролерам и процессорам данных получать явные преимущества в соответствии с GDPR для правильно псевдонимизированных данных. Преимущества правильной псевдонимизации данных псевдонимизированные данные выделены в нескольких статьях GDPR, в том числе:

  • Статья 6(4) как гарантия, помогающая обеспечить совместимость новой обработки данных.
  • Статья 25 как техническая и организационная мера, помогающая обеспечить соблюдение принципов минимизации данных и соблюдения обязательств по защите данных по замыслу и по умолчанию.
  • Статьи 32, 33 и 34 в качестве меры безопасности помогают сделать утечку данных «маловероятной, что приведет к риску для прав и свобод физических лиц», тем самым снижая ответственность и обязательства по уведомлению в случае утечки данных.
  • Статья 89(1) как гарантия в связи с обработкой в ​​целях архивирования в общественных интересах; научные или исторические исследовательские цели; или статистических целях; более того, преимущества псевдонимизации согласно Статье 89(1) также обеспечивают большую гибкость в отношении:
    1. Статья 5(1)(b) в отношении ограничения цели;
    2. Статья 5(1)(e) в отношении ограничения хранения; и
    3. Статья 9(2)(j) в отношении преодоления общего запрета на обработку специальных категорий персональных данных согласно Статье 9(1).
  • Кроме того, в статье 29 Заключения Рабочей группы 06/2014 признается, что надлежащим образом псевдонимизированные данные играют «… роль в оценке потенциального воздействия обработки на субъекта данных… склоняя чашу весов в пользу контролера». », чтобы помочь поддержать обработку законных интересов в качестве правовой основы в соответствии со статьей GDPR 6 (1) (f). Преимущества от обработки персональных данных с использованием законного интереса с поддержкой псевдонимизации в качестве правовой основы в соответствии с GDPR включают, помимо прочего:
    1. В соответствии со статьей 17(1)(c), если контролер данных доказывает, что у него «имеются первоочередные законные основания для обработки», подкрепленные техническими и организационными мерами для выполнения теста на баланс интересов, он имеет большую гибкость в выполнении запросов о праве на забвение. .
    2. В соответствии со статьей 18(1)(d) контролер данных имеет гибкость в удовлетворении требований об ограничении обработки персональных данных, если он может доказать, что у него имеются технические и организационные меры, чтобы права контролера данных должным образом преобладали над правами контролера данных. субъект данных, поскольку права субъектов данных защищены.
    3. В соответствии со статьей 20(1) на контролеров данных, использующих обработку в законных интересах, не распространяется право на переносимость, которое применяется только к обработке на основе согласия.
    4. В соответствии со статьей 21(1) контролер данных, использующий обработку законных интересов, может продемонстрировать, что у него имеются адекватные технические и организационные меры, чтобы права контролера данных должным образом преобладали над правами субъекта данных, поскольку права субъектов данных защищены; однако субъекты данных всегда имеют право в соответствии со статьей 21(3) не получать прямой маркетинговой информации в результате такой обработки.

См. также

[ редактировать ]

Ссылки

[ редактировать ]
  1. ^ «Общие правила защиты данных» . 4(5). {{cite web}}: CS1 maint: местоположение ( ссылка )
  2. ^ Скиера, Бернд (2022). Влияние GDPR на рынок онлайн-рекламы . Клаус Миллер, Юси Цзинь, Леннарт Крафт, Рене Лауб, Джулия Шмитт. Франкфурт-на-Майне. ISBN  978-3-9824173-0-1 . OCLC   1303894344 . {{cite book}}: CS1 maint: отсутствует местоположение издателя ( ссылка )
  3. ^ Jump up to: а б «Решение Комиссии по реализации (ЕС) 2021/914» . Официальный журнал Европейского Союза . 7 июня 2021 г. Проверено 5 января 2024 г.
  4. ^ «Вебинар IPEN 2021: Псевдонимные данные: обработка персональных данных при снижении рисков» . Европейский супервайзер по защите данных . 9 декабря 2021 г. Проверено 4 января 2024 г.
  5. ^ «Решение Комиссии по реализации 2022/254» . Официальный журнал Европейского Союза . 24 февраля 2022 г. Проверено 4 января 2024 г.
  6. ^ «Пресс-релиз № 91/20» (PDF) . Суд Европейского Союза . 16 июля 2020 г. Проверено 4 января 2024 г.
  7. ^ Jump up to: а б «Рекомендации» (PDF) . Европейский совет по защите данных . 18 июня 2021 г. Проверено 5 января 2024 г.
  8. ^ «Определения статьи 4 GDPR» . Интерсофт Консалтинг. 25 мая 2018 года . Проверено 5 января 2024 г.
  9. ^ http://dud.inf.tu-dresden.de/literatur/Anon_Terminology_v0.31.pdf Анонимность, несвязность, необнаружимость, ненаблюдаемость, псевдонимность и управление идентификацией – объединенное предложение по терминологии
  10. ^ Нойбауэр, Т; Хёрикс, Дж. (март 2011 г.). «Методология псевдонимизации медицинских данных». Int J Med Inform . 80 (3): 190–204. дои : 10.1016/j.ijmedinf.2010.10.016 . ПМИД   21075676 .
  11. ^ Неаматулла, Ишна; Дуглас, Маргарет М; Ли-вэй; Леман, Х; Рейснер, Эндрю; Вильяро, Маурисио; Лонг, Уильям Дж; Шоловиц, Петр; Муди, Джордж Б.; Марк, Роджер Дж; Клиффорд, Гари Д. (2008). «Автоматическая деидентификация медицинских записей в свободном формате» . BMC Медицинская информатика и принятие решений . 8:32 . дои : 10.1186/1472-6947-8-32 . ПМК   2526997 . ПМИД   18652655 .
  12. ^ Ишна Неаматулла (5 сентября 2006 г.). «11 Автоматизированное деидентификация медицинских записей в произвольном формате» (PDF) . ФизиоНет . Проверено 4 января 2024 г.
  13. ^ Делегер, Л; и др. (2014). «Подготовка аннотированного корпуса золотого стандарта для предоставления заочным исследователям для исследования деидентификации» . Ж Биомед Информ . 50 : 173–183. дои : 10.1016/j.jbi.2014.01.014 . ПМЦ   4125487 . ПМИД   24556292 .
  14. ^ «Что означает защита данных «по замыслу» и «по умолчанию»?» . Европейская комиссия . Проверено 22 января 2023 г.
  15. ^ Виджаян, Джайкумар (15 марта 2004 г.). «Боковая панель: эффект мозаики» . Компьютерный мир . Проверено 26 января 2021 г.
Retrieved from "https://en.wikipedia.org/w/index.php?title=Pseudonymization&oldid=1233394477"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 4375c66dea1d7dc4697299d0f8e177fb__1720461600
URL1:https://arc.ask3.ru/arc/aa/43/fb/4375c66dea1d7dc4697299d0f8e177fb.html
Заголовок, (Title) документа по адресу, URL1:
Pseudonymization - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)