欧洲数据保护委员会关于假名化的 01/2025 号指南（全文）

2025年1月17日，欧洲数据保护监督机构（EDPB）发布了关于假名化的 01/2025 号指南。EDPB明确假名化在GDPR合规中的应用。

指南 提供了两项重要的法律澄清： 假名化数据，如果可以通过使用额外信息归因于个人，则仍然是与可识别的自然人相关的信息，因此仍然是个人数据。换而言之，如果数据控制者或其他人能够将数据关联回个人，那么它仍然是个人数据。但是， 假名化可以降低风险，并在满足GDPR所有其他要求的前提下，更容易以合法利益作为法律基础（GDPR第6(1)(f)条）。同样，假名化有助于确保与原始目的的一致性（GDPR第6(4)条）。 指南 还解释了假名化如何帮助组织履行其与实施数据保护原则（GDPR第5条）、默认情况下的数据保护设计（GDPR第25条）和安全（GDPR第32条）相关的义务。 最后，指南分析了在使用假名化时采取的技术措施和保障措施，以确保保密性并防止未经授权的个人身份识别。

指南 将公开征询意见至2025年2月28日，为利益相关者提供发表意见的机会，并允许纳入判例法的未来发展。

《通用数据保护条例》（GDPR）在欧盟法律中首次定义了 “假名化”（ pseudonymisation ） 一词，并多次将其作为一种保障措施提及，认为其对于履行某些数据保护义务可能是适当且有效的。

根据该定义，假名化可以在数据处理过程中以及发生未经授权的访问或使用时，通过防止将个人数据归因于自然人，从而降低对数据主体的风险。 通过应用假名化，数据控制者可以保留分析数据的选项，并且可以选择合并与同一人相关的不同记录。 假名化通常也会设置为能够恢复到原始数据，因此，数据控制者可以在处理的某些阶段以原始形式处理个人数据，在其他阶段以假名化形式处理。

可通过使用额外信息归因于自然人的假名化数据，应被视为关于可识别自然人的信息，因此属于个人数据。即使假名化数据和额外信息不在同一人手中，此说法依然成立。即使假名化控制者保留的所有额外信息都已被删除，只有在满足匿名化条件时，假名化数据才能被视为匿名数据。

GDPR 并未强制要求使用假名化。明确引入假名化并不意味着排除任何其他数据保护措施（GDPR 序言 第28条）。根据问责原则，数据控制者有责任决定采取何种方式来履行其义务。根据处理的性质、范围、背景和目的以及其中涉及的风险，数据控制者可能需要应用假名化以满足欧盟数据保护法的要求，特别是为了遵守数据最小化原则、通过设计和默认设置实施数据保护，或确保达到与风险相称的安全水平。在某些特定情况下，欧盟或成员国法律可能会强制要求进行假名化。

假名化所带来的风险降低，可能使数据控制者能够依据 GDPR 第 6 条第 1 款（f）项，将合法利益作为其数据处理的法律依据，前提是他们满足该项的其他要求；有助于根据 GDPR 第 6 条第 4 款确定进一步处理的兼容性；或有助于保证对其打算传输的数据提供基本相当的保护水平。

最后，假名化对通过设计和默认设置实现数据保护的贡献，以及对确保与风险相称的安全水平的保障，可能会使其他措施变得多余，尽管通常仅靠假名化本身对于上述两者而言都不是充分的措施。

数据控制者应确定他们希望通过假名化解决的风险。降低这些风险的预期效果，构成了具体处理活动中假名化的目标。数据控制者应设计假名化方案，以确保其能够有效地实现这一目标。

数据控制者可以定义假名化应防止将数据归因于特定数据主体的背景。在本指南中，此背景将被称为 “假名化域”。假名化域不必涵盖所有方面，可仅限于特定实体，最常见的是将所有为特定目的处理个人数据的授权接收者。假名化在实施数据保护原则或确保与风险相称的安全水平方面的有效性，在很大程度上取决于假名化域的选择，以及其与可将假名化数据归因于特定个人的额外信息的隔离程度。

因此，假名化是一种保障措施，数据控制者可以应用它来满足数据保护法的要求，特别是证明其遵守 GDPR 第 5 条第 2 款规定的数据保护原则。本指南将帮助数据控制者选择有效的技术来修改原始数据，保护假名化数据不被未经授权地归因，并在处理假名化数据时管理用户权利。

数据控制者必须始终牢记，可通过使用额外信息归因于自然人的假名化数据，仍然是与可识别自然人相关的信息，因此属于个人数据（GDPR 第 26 条评注）。因此，对此类数据的处理需要遵守 GDPR，包括 GDPR 第 5 条规定的合法性、透明度和保密性原则，以及 GDPR 第 6 条的要求。数据控制者必须通过实施进一步的技术和组织措施，保持适当的安全水平。最后，数据控制者必须确保透明度，并需要便利数据主体行使 GDPR 第三章规定的权利，除非 GDPR 第 11 条第 2 款和第 12 条第 2 款规定的例外情况适用。

目录

1. 引言

2. 定义和法律分析

• 2.1 假名化的法律定义

• 2.2 假名化的目标和优势

• 2.2.1 降低风险

• 2.2.2 假名化数据分析和计划归因

• 2.3 假名化域和可用的归因手段

• 2.4 使用假名化满足数据保护要求

• 2.4.1 假名化作为设计和默认数据保护的有效措施

• 2.4.2 确保与风险相称的安全水平

• 2.4.3 假名化作为向第三国传输数据的补充措施

• 2.5 向第三方传输假名化数据

• 2.6 对数据主体权利的影响

• 2.7 未经授权的假名化逆转

3. 假名化的技术措施和保障

• 3.1 假名化转换

• 3.1.1 假名化转换的结构

• 3.1.2 假名化转换的类型

• 3.1.3 为实现假名化目标对原始数据的必要修改

• 3.1.4 数据收集过程中的假名化

• 3.2 防止将假名化数据未经授权地归因于个人的技术和组织措施

• 3.3 链接假名化数据

• 3.3.1 控制假名化数据的链接范围

• 3.3.2 链接不同控制者假名化的数据

• 3.2.1 防止假名化转换的逆转

• 3.2.2 保护假名化域

• 3.4 假名化程序总结

附件 - 假名化应用示例

• 示例 1：内部分析中的数据最小化和保密性

• 示例 2：功能分离实现数据最小化、目的限制和保密性

• 示例 3：外部分析中的数据最小化和目的限制

• 示例 4：保障身份 - 保密性和准确性

• 示例 5：用于研究的二次使用

• 示例 6：降低保密性风险

• 示例 7：风险降低作为利益平衡的因素以及目的兼容性的确定

• 示例 8：风险降低为进一步处理提供正当理由

• 示例 9：补充措施

• 示例 10：授予对假名化数据的访问权

术语表

欧洲数据保护委员会

鉴于欧洲议会和理事会2016年4月27日关于保护自然人关于个人数据处理及此类数据自由流动的条例（EU）2016/679（以下简称“GDPR”）第70(1)(e)条，

鉴于《欧洲经济区协定》及其附件XI和议定书37，经欧洲经济区联合委员会2018年7月6日第154/2018号决定修订，

鉴于其议事规则第12条和第22条，

已通过以下指南：

1. 引言

1. 本指南旨在为数据控制者和处理者阐明假名化的使用方法和益处。

2. 《通用数据保护条例》（GDPR）在欧盟法律中首次定义了 “假名化” 一词，并多次将其作为一种保障措施提及，认为其对于履行数据保护义务可能是适当且有效的。欧盟和成员国法律在要求或建议使用假名化时，依据的就是这一定义，例如《欧盟第 2023/2854 号条例》第 17 条第 1 款（g）项，或欧盟委员会《欧洲健康数据空间条例提案》第 44 条第 3 款。

3. GDPR 第 4 条第 5 款将假名化定义为一种具有特定效果的处理方式，并要求采取某些措施来实现这些效果。

4. 假名化的预期效果是通过剥夺某些个人或方将个人数据归因于特定数据主体的能力，来控制这种归因。GDPR 并未具体说明这些个人或方是谁，在没有其他欧盟或成员国法律的特定要求的情况下，由数据控制者自行决定。第 29 条评注明确指出，当假名化在同一数据控制者内部进行时，其效果可能仅限于该控制者组织的特定部分。

5. 为实现预期效果，数据控制者应采取三项行动。首先，他们需要修改或转换数据。其次，他们需要将用于将个人数据归因于特定数据主体的额外信息单独保存，即与那些被阻止进行此类归因的人分开保存。最后，他们需要应用技术和组织措施，确保个人数据不会被归因于已识别或可识别的自然人。特别是，他们需要防止对其控制的额外信息进行未经授权的使用，并尽可能控制假名化数据的流动。

6. 假名化作为一种保护个人隐私的技术措施，已经存在了很长时间。人们通常理解的假名化，是指用假名替换个人的标识符。在这个过程中，选择假名的方式应确保不会泄露被分配者的身份。GDPR 给出的法律定义，在三个重要方面与这种理解有所不同。

7. 首先，法律定义对假名化的效果采取了更全面的看法。在不使用额外信息的情况下，应无法再将个人数据归因于特定数据主体。这就要求审视个人数据的所有部分，而不仅仅是假名。

8. 其次，它甚至没有明确要求用假名替换直接标识符。很明显，如果不希望将数据归因于个人，就需要从数据中删除直接标识符。此外，GDPR 第 4 条第 5 款规定，要保留能够将数据归因于个人的额外信息。在进行归因时，会在数据或其部分与个人标识符之间建立联系。这种联系通常（但不一定）从插入数据中的假名开始，目的正是为了在授权情况下能够进行归因。

9. 第三，它不仅要求对数据进行转换，还需要额外的技术和组织措施，以确保个人数据不会被归因于已识别或可识别的自然人。通常，此类措施包括限制对保留的额外信息（例如密钥或假名表）的访问，并控制假名化数据的流动。

10. 本指南首先将仔细研究假名化的法律定义及其中使用的术语。什么是归因？什么应被视为额外信息？从这一分析中得出的一个关键方面是，数据控制者有多种选择，可以根据他们想要实现的目标来定制假名化流程。本指南引入了一个新的概念，即 “假名化域”，以体现数据控制者的这种自由：确定应阻止哪些人将假名化数据归因于个人。

11. 第二步，本指南将展示数据控制者和处理者如何使用假名化来满足数据保护要求。虽然假名化是一项强大且重要的措施，但本文件表明，它总是需要其他措施的补充。本指南强调了假名化的益处，特别展示了假名化如何作为一种通过设计和默认设置实现数据保护的措施，以及如何有助于确保达到与数据处理风险相称的安全水平。至少在后一种情况下，假名化的效果必须与未经授权行事的个人或方的能力相权衡。

12. 在第三部分，本指南将探讨假名化的实施。个人数据应如何转换为假名化数据？应如何防止未经授权的归因？不同的假名化数据集应如何链接，以及如何控制这种链接？

13. 通常，超越单个数据控制者组织的范围来考虑假名化数据非常重要。个人数据在与其他控制者共享或提供给处理者之前，通常会进行假名化，以降低共享过程中涉及的风险。来自不同控制者的假名化数据可能需要汇集和链接。或者相反，不同的数据集需要以确保无法链接的方式进行假名化。

14. 本指南最后总结了假名化程序，这并非作为一种规定，而是为数据控制者和处理者提供指导，帮助他们采取步骤确保所实施的假名化是有效的。

15. 在指南的附件中，读者可以找到几个示例，展示了在现实场景中如何使用假名化来降低数据主体的风险。

2. 定义和法律分析

2.1 假名化的法律定义

16. GDPR 第 4 条第 5 款将假名化定义为 “以这样一种方式处理个人数据，即如果不使用额外信息，这些个人数据就无法再被归因于特定的数据主体，前提是此类额外信息被单独保存，并受到技术和组织措施的约束，以确保个人数据不会被归因于已识别或可识别的自然人”。

17. 将数据归因于特定（已识别）的人，意味着确定该数据与该人相关。将数据归因于可识别的人，意味着将数据与其他信息相链接，通过这些信息可以识别出自然人。这种链接可以基于一个或多个标识符或识别属性来建立。

18. 假名化通常需要应用假名化转换。这是一种对原始数据进行修改的程序，使得结果 —— 假名化数据 —— 在没有额外信息的情况下，无法被归因于特定的数据主体。假名化转换可能（并且通常会）用一个或多个假名（新的标识符，只有使用额外信息才能将其归因于数据主体）替换部分原始数据。有关详细信息，请参见第 3.1.1 节。本指南将使用假名化作为保障措施，并根据 GDPR 第 4 条第 5 款修改原始数据的数据控制者，称为 “假名化控制者”。对数据处理者也采用类似的术语。

19. 额外信息是指其使用能够使假名化数据归因于已识别或可识别的人的信息。生成或使用额外信息是假名化转换的固有部分。

20. 它包括在假名化过程中保留的信息，用于对与同一数据主体相关的不同个人数据项进行一致的假名化，以及为以后逆转假名化而保留的信息。此类额外信息可能包括将假名与它们所替换的识别属性相匹配的表格，也可能包括加密密钥。假名化控制者或处理者保留的额外信息，必须受到技术和组织措施的约束，以确保个人数据不会被归因于已识别或可识别的自然人。特别是，额外信息不应被披露给处理假名化数据的人，也不应被他们使用。此类额外信息本身可能就是个人数据，因此也受 GDPR 的约束。

21. 额外信息也可能存在于假名化控制者或处理者的直接控制范围之外。假名化控制者或处理者在评估假名化的有效性时，应考虑到此类信息，只要可以合理预期此类信息是可获取的。例如，来自公开来源的信息，如社交媒体或在线论坛上的帖子，可能有助于将假名化数据归因于数据主体。这种评估将有助于确定是否需要实施任何进一步的措施来避免归因。

22. 可通过使用额外信息归因于自然人的假名化数据，应被视为关于可识别自然人的信息，因此属于个人数据。即使假名化数据和额外信息不在同一人手中，此说法依然成立。如果考虑到控制者或其他人可能合理使用的手段，假名化数据和额外信息可以被组合，那么该假名化数据就是个人数据。即使假名化控制者保留的所有额外信息都已被删除，只有在满足匿名化条件时，假名化数据才能成为匿名数据。

23. 假名化是一种技术和组织措施，它使数据控制者和处理者能够降低对数据主体的风险，并履行他们的数据保护义务，例如 GDPR 第 25 条或第 32 条规定的义务。因此，如果数据控制者处理个人数据并在过程中应用假名化，那么处理个人数据的法律依据将扩展到应用假名化转换所需的所有处理操作。

24. 在特定情况下，欧盟或成员国法律可能要求对个人数据进行假名化处理，例如，根据 GDPR 第 6 条第 3 款，为 GDPR 第 6 条第 1 款（c）项或（e）项规定的处理提供法律依据时，或者根据 GDPR 第 9 条第 4 款作为进一步的条件时。在这种情况下，法律还可能规定假名化过程或结果必须满足的特定要求，或其应实现的目标。

25. 在没有此类具体的假名化要求时，数据控制者可以自行定义假名化应实现的目标。这些目标可能与他们自己打算进行的处理有关，也可能与数据接收者对假名化数据的任何后续处理有关。

2.2 假名化的目标和优势

26. 根据 GDPR序言第28条，对数据进行假名化在允许进行一般分析的同时，降低了数据主体面临的风险。

2.2.1 降低风险

27. 如果有效地实施假名化（前提是第 20 段中提到的额外信息受到 GDPR 第 4 条第 5 款规定的措施的约束），可以降低保密性风险。这通过两种方式实现。首先，它防止数据主体的直接标识符被披露给部分或所有合法的假名化数据接收者。其次，在发生未经授权的披露或访问已有效假名化的数据的情况下，只要防止数据接收者访问额外信息，假名化就可以降低由此产生的保密性风险的严重程度，以及此类披露或访问对数据主体造成负面后果的风险。

28. 假名化可以降低功能蠕变的风险，即个人数据被以与收集目的不兼容的方式进一步处理的风险。这是因为能够访问假名化数据的处理者，或在数据控制者或处理者授权下行事的人员，无法将这些数据用于需要将数据归因于数据主体才能实现的目的。特别是那些需要与数据主体进行任何直接互动才能实现的目的。

29. 最后，根据所使用的技术，为具有非常相似识别属性的人分配差异很大的假名，不仅可以增强保密性，还可以通过降低将数据或对象错误地归因于错误数据主体的风险，从而降低数据准确性方面的风险。

30. 假名化实施的有效性，决定了数据主体风险降低的程度，以及数据控制者可能从中获得的益处，包括根据 GDPR 第 24 条、第 25 条和第 32 条履行数据保护义务，详见下文第 2.4.1 和 2.4.2 节。

2.2.2 假名化数据分析和计划归因

31. 假名化假名化数据通常可以进行有效分析，因为在很大程度上，原始数据的信息内容仍可被评估。此外，插入假名使得无需使用额外信息，就能将与同一人相关的各种假名化数据记录进行链接 。

32. 分析完成后，可以通过以下方式部分或完全逆转假名化：

1. 识别数据主体；

2. 将假名化数据与原始数据相链接；

3. 利用控制者为此保留的额外信息（计划归因），从假名化数据中重构原始数据。根据 GDPR需要第29条，这种逆转应由专门为此授权的人员执行。在相同条件下，由于个别情况的特殊性，也可以在个别案例中逆转假名化，同时默认继续以假名化方式处理大部分数据。见附件中的示例 3。

33.此外，还可能使用额外信息，将最初（即相关控制者确定处理目的和方式时）未计划链接的不同假名化数据集进行链接。执行此类链接的处理同样应仅由专门为此授权的人员进行。

34.需要注意的是，本节中提到的所有处理操作（包括数据集链接）都需要符合 GDPR 的规定，特别是要遵守 GDPR 第 5 条规定的所有数据保护原则，尤其是需要依据 GDPR 第 6 条确定法律依据。

2.3 假名化域和可用的归因手段

35.数据控制者通常可基于风险分析，定义假名化应防止将数据归因于特定数据主体的背景。他们对额外信息采取技术和组织措施，以确保在该背景下操作的人员无法将假名化数据归因于数据主体。这尤其意味着，能够实现归因的额外信息应与之分开保存。本指南将此背景（包括在其中操作的人员、相关的物理和组织方面，以及可用的 IT 资产）称为 “假名化域”。

36.假名化控制者可选择使假名化域与一组预期的合法假名化数据接收者相一致。

37.此外，假名化控制者在定义假名化域时，可能选择将那些并非假名化数据合法接收者，但可能试图获取这些数据的人员也纳入其中。控制者这样做是为了减轻这些人员未经授权访问所带来的不利影响。

38.总之，根据假名化的目标和风险评估，控制者可以将假名化域定义为涵盖，例如，控制者的单个组织单位、单个外部接收者、所有授权或预期的合法接收者，或一系列可能试图未经授权访问数据的外部实体，甚至所有此类外部实体。

38.为了在单个组织单位或一组合法接收者内实现有效的假名化，所有相关的控制者和处理者应选择适当的技术和组织手段 —— 如果能够有效执行，可能包括法律保障措施（例如合同）—— 以确保假名化数据不会离开假名化域，否则可能导致假名化提供的保护被规避，见第 3.2.2 节。

40.处理假名化数据的控制者还应采取此类措施，确保假名化域内的行为者无法逆转假名化。为此，控制者可选择限制用于处理假名化数据的资源，并确保能够将数据归因于数据主体的额外信息不会进入假名化域。

41.如果假名化域由一组特定的接收者组成，并且在该域内有效执行并维持了前一段所述的措施，那么在将假名化数据归因于数据主体时，只需考虑在计划的处理背景下可使用的手段。特别是，如果数据在同一控制者内部进行假名化和处理，假名化域并不涵盖整个控制者，而仅包括在其授权下处理假名化数据的人员（授权使用额外信息将假名化数据归因于个人的人员除外）、他们可支配的信息，以及他们使用的系统和服务。

42.如果控制者或处理者希望使用假名化来降低来自部分或所有未经授权的第三方的保密性风险，他们将把这些第三方纳入假名化域，并评估这些第三方可能用于归因的手段。相关第三方不仅包括网络犯罪分子，还包括出于自身利益而非按照控制者指示行事的员工或维护服务提供商。考虑到相关背景因素和实际情况，建议同时考虑善意行为和恶意犯罪行为。

43.例如，在将数据传输给处理器或第三方之前进行假名化，该处理器或第三方确保的安全水平可能不适用于原始数据的处理，但适用于无法归因于数据主体的数据的处理。在这种情况下，需要考虑未经授权的各方在（授权的）数据接收者处理数据时，可能获取假名化数据的所有可用手段。

2.4 使用假名化满足数据保护要求

44.数据控制者和处理者可以有效地使用假名化来满足某些数据保护要求。然而需要注意的是，虽然假名化是一种有价值的工具，但通常在与其他措施相结合时最为有效。控制者需要评估其所采取的所有措施的适当性，以确定这些措施是否足以满足相关的数据保护要求。确定假名化在防止将假名化数据归因于数据主体方面的有效性，是进行这种评估的一个重要组成部分。

2.4.1 假名化作为设计和默认数据保护的有效措施

45.数据控制者和处理者可将假名化作为若干技术和组织措施之一，以实施 GDPR 第 25 条第 1 款规定的数据保护原则，特别是数据最小化和保密性原则。它也可能有助于维护合法性、公平性、目的限制和准确性原则。以下段落详细介绍了在内部处理假名化数据以及将其传输给其他方的情况下，为实现这些目标而应用假名化的情况。

2.4.1.1 内部处理中的数据最小化、保密性和目的限制

46.对于数据控制者自身的处理，如果在特定目的下，正在处理的数据无需归因于数据主体，假名化可能是一种适当的措施。在这种情况下，假名化允许在处理特殊情况或为另一目的进行后续处理时，将数据与数据主体相链接。有关这种假名化使用的示例，请参见附件中的示例 1 和示例 2。

47.在内部处理的情况下，只要处理假名化数据的人员满足以下条件，假名化就可以有效地促进上述原则的实施（见第 56 段）：

• 他们无法重构在假名化过程中被省略或转换的属性的原始值；
• 他们无法将假名化数据与同一人的其他数据相链接（除非这些数据与第一个数据集 “一致” 地进行了假名化）；
• 他们无法根据处理假名化数据所获得的信息，在其他背景下识别出数据主体。

2 .4.1.2 预定义接收者集的数据最小化、保密性和目的限制

48.如果数据要传输给外部接收者（无论是处理器还是控制者）并由其进行处理，假名化也可用作实施数据最小化、保密性，可能还有目的限制原则的适当措施。 一个典型的目标是防止接收者及其授权的人员获取他们在当前数据处理中不需要的识别信息。 此外，目的可能是确保数据主体在计划处理的背景之外，不会因所接收的数据而受到不同对待。 另一个目标可能是防止数据被传输后，被接收者用于某些不兼容的目的（如个性化广告），而假名化可以防止这种情况，因为它阻止了接收者进行数据链接。 为此，假名化控制者将假名化域设置为包括所有预期的假名化数据接收者。

49.值得注意的是，原始控制者进行的假名化，也有助于作为假名化数据接收者的数据控制者履行其数据保护义务，特别是在数据最小化原则、默认数据保护和维持适当安全水平方面。

50.如果保障措施（包括合同或法律行为）将假名化数据的披露限制在一组特定的接收者范围内，并且所有接收者都满足第 47 段中的条件，那么假名化可以有效地促进上述三个原则的实施。 见附件中的示例 3。

51.对于外部处理，即由处理器根据指令进行的处理或传输给独立控制者的处理，可能需要采取更广泛的措施和进行风险评估，以防止数据被归因于数据主体。 特别是，所有预期的假名化数据接收者需要能够证明，他们不会将假名化数据披露给超出定义域的未经授权的接收者。 对于处理器，GDPR 第 28 条规定的其他工具（如审计）可用于支持这种保证。

52.假名化数据的传输也可能发生在一组合作的数据控制者之间。 这些控制 者可能希望防止某些有权访问假名化数据的组织单位的成员，将数据归因于数据主体，尽管其他在控制者授权下行事的人员可能有能力进行这种归因。 在这种情况下，假名化域由这些组织单位组成，而不是由控制者本身组成。 在这种设置中，参与的控制者需要能够证明，他们可能获取的任何相关额外信息，不会被披露给超出定义域的未经授权的接收者，并且只有授权人员才能逆转假名化。 为此可能需要技术和组织措施以及法律保障。

53.同样，在为公共利益的存档目的、科学或历史研究目的或统计目的处理个人数据时，假名化也可以是一种适当的措施，特别是为了确保遵守 GDPR 第 89 条第 1 款规定的数据最小化原则。 附件中的示例 5 说明了这种用法。

2.4.1.3 合法性、公平性和准确性原则

54. 特定的欧盟或成员国法律可能要求对某些数据进行假名化，作为其处理合法的条件，从而使假名化成为满足合法性原则的必要措施。

55. 在基于 GDPR 第 6 条第 1 款（f）项规定的合法利益进行处理的情况下，除履行任务的公共当局外，数据控制者可考虑假名化（与任何其他有效保障措施一样）对降低数据主体权利和自由风险的作用。在评估其合法利益是否被数据主体的基本权利和自由利益所超越时，可能会考虑这一点。附件中的示例 7 说明了为此目的使用假名化的情况。

56. 在考虑进一步处理的 “兼容目的” 时，假名化也可能是一种适当的保障措施，因为它可能限制预期的进一步处理对数据主体的潜在后果，符合 GDPR 第 6 条第 4 款（d）项和（e）项的规定。附件中的示例 7 和示例 8 展示了这种使用假名化的情况。

57. 附件中的示例 10 展示了在实施公平性原则时使用假名化的情况。

58. 最后，考虑到第 29 段所述的风险降低，适当的假名化程序也有助于实现准确性原则，如附件中的示例 4 所示。

    
    

2.4.2 确保与风险相称的安全水平

59. 根据 GDPR 第 32 条第 1 款，假名化可用作有助于实现与数据处理活动风险相称的安全水平的若干措施之一。假名化可以降低未经授权访问数据所带来后果的严重程度。在假名化域内未经授权访问假名化数据的任何人，除非他们还设法（非法地）获取了进行归因所需的相关额外信息，否则不应能够轻易利用这些数据对数据主体造成不利影响。数据控制者和处理者仍然需要为处理假名化数据所涉及的剩余风险，提供与风险相称的安全水平。对于数据处理者而言，根据 GDPR 第 28 条第 1 款，这包括提供充分的保证，以确保实施适当的技术和组织措施来实现这一安全水平。附件中的示例 6 展示了使用假名化降低安全风险的情况。

60. 为了使假名化成为一种有效的安全措施，足以将假名化数据归因于可识别自然人的额外信息，应仅在假名化域之外可用。因此，数据控制者或处理者需要确定需要保护假名化数据免受哪些行为者的侵害，并评估这些行为者是否可以通过合理手段获取与数据主体相关的额外信息。基于此评估，为了使假名化有效，控制者需要设计假名化程序，使得进行归因所需的额外信息超出选定行为者所拥有或能够通过合理努力获取的范围。

61. 然后，控制者必须采取技术和组织措施，防止假名化域内的行为者使用该额外信息。这不仅涉及应用或撤销假名化转换所需的信息，还包括如果保留的原始个人数据，或继续存储的从中派生的其他数据。借助假名化达到的安全水平，取决于假名化数据和相关额外信息所达到的安全水平。如果未经授权的行为者很容易获取相关额外信息，那么假名化的安全益处就很小，甚至可能可以忽略不计或完全丧失。

62. 由于有效的假名化可以减轻数据泄露的不利影响，在评估数据控制者根据 GDPR 第 33 条和第 34 条所承担的义务时，也可考虑这一点。特别是，它可被视为一种适当的技术和组织措施，能够在 GDPR 第 34 条第 3 款（a）项的意义上限制个人数据泄露的影响。然而，未经授权访问数据的行为者仍然可以分析所访问的数据内容。在这种情况下，需要进行仔细分析，以确定假名化是否已充分降低数据泄露所带来的风险，从而无需根据 GDPR 第 34 条第 1 款和第 3 款向受影响的数据主体通报该数据泄露事件。

2.4.3 假名化作为向第三国传输数据的补充措施

63. 假名化可构成一种所谓的 “补充措施”，以确保遵守 GDPR 第 44 条和第 46 条第 1 款的规定。在没有根据 GDPR 第 45 条第 3 款作出决定的情况下，数据控制者或处理者只有在提供了适当的保障措施，并且数据主体可享有可执行的权利和有效的法律救济的条件下，才能将个人数据传输给第三国或国际组织。然而，由于第三国的立法或实践，所应用的适当保障措施（例如有约束力的公司规则、标准合同条款）可能无效。无法排除第三国公共当局对传输数据的访问。在这种情况下，如果满足欧洲数据保护委员会（EDPB）2020 年第 01/2020 号建议附件 2 第 85 段所列的条件，假名化可成为一种有效的措施，保护传输到第三国的个人数据免受该国公共当局的过度政府访问。见附件中的示例 9。

64. 这些条件包括：

• 将假名化数据归因于特定数据主体，需要使用接收国公共当局既不拥有，也无法通过合理努力获取的额外信息；

• 额外信息仅由数据出口商持有，并单独保存在成员国或第三国，由数据出口商在欧洲经济区（EEA）内信任的实体持有，或保存在提供与 EEA 内基本相当保护水平的司法管辖区内；

• 当局无法在与一群人互动的过程中，根据假名化数据和他们能够通过合理努力获取的信息，识别出数据主体。
  这意味着，根据外国法律或实践能够访问假名化数据的公共当局，需要被纳入假名化域。

因此，任何假名化程序的设计都应首先评估接收国公共当局可能拥有或能够通过合理手段获取哪些信息，即使这些手段可能违反第三国的法律规范。这些信息必须被假定为在假名化域内可用。

作为一项额外的补充措施，所有持有额外信息的实体都应向数据出口商提供充分的保证，并通过合同或法律行为（例如专业保密义务）约束，不披露额外信息。此外，如果数据进口商可以访问数据出口商用于存储额外信息的技术基础设施，数据出口商需要保留对该基础设施的独家法律和管理控制权，并确保对额外信息的访问仅限于其自身员工。

最后，数据出口商或任何其他持有（部分）额外信息的实体，必须通过适当的技术和组织保障措施，防止该额外信息被披露或未经授权地使用。

综上所述，这些措施可以确保数据出口商对将假名化数据归因于特定数据主体的过程保持控制。

同样，假名化对于 GDPR 第 49 条第 1 款第二句而言，也可能是一种合适的保障措施。在这种情况下，如果应用假名化能够降低数据主体的风险，使得这些风险不再超越数据控制者的合法利益，那么只要满足该条款的其他要求，就可以进行数据传输。

2.5 向第三方传输假名化数据

70. 进行假名化的数据控制者可能需要考虑，在将数据传输给第三方时，内部处理中通过假名化实现的风险降低是否仍然成立。在这种情况下，至少需要确定并考虑接收者可用于归因数据的手段。如果只有在传输的数据在接收者一方仍保持假名化的情况下，传输才合法，那么这一点尤为重要。

71. 在传输假名化数据之前，数据控制者还应根据数据最小化原则，评估是否有合法目的需要传输包括假名在内的完整假名化数据。当不同时间传输的数据记录与同一数据主体相关时，假名可能需要用于整理这些记录；或者当传输的个人数据或其处理结果需要返回给发送方时，假名可能用于建立反馈渠道。在没有此类原因的情况下，不应传输假名。

72. 此外，数据控制者需要评估是否应在传输前修改或替换假名，以最小化风险，包括因数据泄露而产生的风险，这些风险可能在他们继续持有的数据与已传输的数据被非法或未经授权的第三方汇集时出现。数据控制者应将此视为一个新的假名化过程，需要进行与原始假名化相同类型的分析和步骤。特别是，他们应为新转换的假名化数据定义一个合适的假名化域，并建立保障措施，确保这些数据不会离开该域。如果接收者本身将成为数据控制者，那么接收控制者最好告知发送控制者其自身处理中固有的风险，并协助确定发送控制者进行假名化转换的方式。

73. 接收者自身可能希望依赖假名化所实现的风险降低。欧盟或成员国法律也可能规定，他们只能以假名化形式处理个人数据。在这种情况下，他们应确保发送者（或任何其他持有额外信息的人）对额外信息采取技术和组织措施，以防止其被用于将接收到的数据归因于已识别或可识别的自然人。假名化域应包括接收者、其处理器以及所有在接收者或其处理器授权下行事的人员，至少在他们有权访问假名化数据的范围内。为此，他们可以考虑适用于发送者的任何法律义务，例如适用于该额外信息的职业保密规则。为确保发送者或任何其他持有额外信息的人对能够归因于所接收假名化数据的额外信息进行适当处理，接收者应与这些方签订具有法律约束力的协议，以便能够执行此类处理要求1。

74. 当多个数据控制者寻求单独或合作地合并不同的假名化数据集时，会出现一种特殊的传输情况。显然，他们必须为包括任何相关传输在内的此操作以及对其结果的任何进一步处理，找到法律依据。除此之外，各方的假名化目标应得到维持，并且应考虑因链接或合并数据而产生的归因可能性。因此，各方设计的假名化域可能需要重新评估和更新，特别是如果最初未设想此处理。有关隐私保护链接的技术方法，请参见第 3.3 节2。

75. 最后，数据控制者可能还会考虑传输他们持有的额外信息，这些信息可用于将假名化数据归因于特定的数据主体。当然，只要额外信息以个人数据的形式持有，所有处理个人数据的义务都适用。这涉及在应用假名化转换之前的原始数据状态，也尤其包括将假名与数据主体标识符相匹配的表格，见第 92 段。无论如何，任何额外信息的传输都可能对数据控制者需要评估的假名化有效性产生影响。特别是，任何此类传输都应防止额外信息在假名化域内可用。如有必要，数据控制者可能需要与接收者签订具有约束力的协议，确保所接收的信息得到相应处理。

2.6 对数据主体权利的影响

76. 由于可通过使用额外信息归因于自然人的假名化数据属于个人数据，因此 GDPR 第三章规定的数据主体权利适用。

77. GDPR 第 11 条承认，数据控制者可能能够证明其无法识别数据主体，包括其持有的假名化数据中的数据主体。如果数据控制者无法（或不再能够）访问允许归因的额外信息，能够证明无法合法获取此类信息，并且能够证明无法在另一数据控制者的协助下逆转假名化，则可能出现这种情况。因此，除数据主体（为行使其权利）提供能够识别其身份的额外信息的情况外，GDPR 第 11 条第 2 款或第 12 条第 2 款分别列举的数据主体权利，在这种情况下不适用。数据控制者应尽可能根据 GDPR 第 11 条第 2 款的规定，相应地通知数据主体。

78. 例如，如果数据主体能够提供存储与其相关数据所使用的假名，并证明这些假名属于他们，数据控制者应能够识别该数据主体。因此，在这种情况下，数据主体权利应适用。

79. 因此，为了充分实现数据主体的权利，数据控制者应在根据 GDPR 第 11 条第 2 款向数据主体提供的信息中，说明他们如何获取与自己相关的假名，以及如何使用这些假名来证明其身份。在这种情况下，数据控制者可能需要提供假名化数据来源或假名化控制者的身份和联系方式。

2.7 未经授权的假名化逆转

80. 任何导致未经授权逆转假名化的安全漏洞都构成个人数据泄露，因此，除非不太可能对自然人的权利和自由造成风险，否则数据控制者可能需要通知监管机构。

81. 如果未经授权的假名化逆转可能给数据主体带来高风险，数据控制者需要向数据主体通报数据泄露的性质，以及 GDPR 第 34 条第 2 款规定的其他信息。如果数据控制者由于缺乏足够的直接识别信息（即使假名化已被逆转）而无法与数据主体沟通，并且其他形式的沟通（例如，借助拥有足够信息的其他数据控制者的服务）将涉及不成比例的努力，那么数据控制者需要通过公开声明或类似的同等有效措施进行通知。

82. 根据 GDPR 第 29 条，如果数据处理者或在数据控制者或处理者授权下行事的人员违反数据控制者的指示逆转假名化，则其行为是非法的。特别是当他们这样做是为了追求除代表数据控制者被指示执行的目的之外的其他目的时。

3. 假名化的技术措施和保障

3.1 假名化转换

3.1.1 假名化转换的结构

83. 为了使假名化有效，只要直接标识符（例如国民身份证号码）能够在假名化域内轻易地将数据归因于数据主体，假名化数据就绝不能包含这些直接标识符。为此，在假名化转换过程中会删除这些标识符。然而，直接标识符可能会被新的标识符取代，这些新标识符只有在使用额外信息的情况下才能归因于数据主体，此类标识符被称为假名。

84. 假名化转换实现了这种替换。为了使假名化达到预期效果，它还会对其他属性进行修改，例如通过删除、泛化和添加噪声。

83. 为了防止对假名化数据进行未经授权的归因，假名化转换通常涉及机密数据。数据控制者可以在执行转换之前选择这些数据，也可以在执行转换的过程中选择或生成这些数据。这些数据通常是加密密钥（用于加密或单向函数）或用于将假名与它们所替换的个人数据相匹配的表格。此后，它们将被称为 “ 假名化机密信息 ”。

84. 由于假名化机密信息能够对假名化数据进行归因，因此它们构成了 GDPR 第 4 条第 5 款意义上的额外信息的一部分。因此，数据控制者需要将它们单独保存，并对其采取技术和组织措施，以确保其保密性并防止未经授权的使用。

3.1.2 假名化转换的类型

87. 有两类替换程序通常被用作假名化转换：加密算法和查找表。

88. 在假名化域内，不应能够将与已知标识符的数据主体相关的假名化数据进行归因。这可能通过对这些标识符应用假名化转换，获取假名，然后在附加到该假名的假名化数据中定位来实现。因此，转换需要涉及假名化控制者保密且未经授权的人员无法使用的信息。只有拥有机密信息，才能根据标识符计算出假名。为了降低成功猜测或暴力搜索的可能性，机密信息应具有足够的熵。对于第一类加密算法，此信息采用秘密参数或密钥的形式。对于第二类查找表，数据控制者对表格本身保密。

89. 第一类转换由加密算法组成。合适的算法示例包括消息认证码（MAC）等加密单向函数或加密算法。由于即使知道秘密参数，单向函数也难以逆转，因此通常应优先选择单向函数。然而，具体使用场景的特殊需求 —— 特别是在授权场景中需要轻松逆转假名化的需求 —— 可能需要使用加密。如果哈希函数被用作假名化转换中使用的加密单向函数的构建块，建议使用专为安全密码认证设计的专用哈希函数。

90. 加密算法中涉及的秘密参数或密钥将是假名化机密信息。选择合适的算法，并对假名化机密信息应用技术和组织措施，可以使得仅给定数据主体的原始标识符值，就难以计算出假名并在假名化数据集中定位与该特定数据主体相关的任何数据。这也使得任何无法访问假名化机密信息的人，难以通过暴力计算所有可能的假名，从假名确定原始标识符。

91. 请注意，此类程序及其参数的选择可能会因密码分析和技术进步等原因而变得容易受到攻击。因此，数据控制者需要制定一个计划，以便在必要时更换较弱的算法。该计划需要预见一种在可能的情况下在假名化域内更换已生成假名的程序。最佳做法是预见一种无需重构原始个人数据即可进行更改的程序。在许多情况下，可以通过对旧假名应用仍然安全的第二个函数（带密钥的单向函数或加密算法）来确定新假名。

92. 第二类程序是创建将标识符与用于替换它们的假名相匹配的查找表。每当程序遇到新的标识符值时，就会生成一个唯一选择的假名，并在表格中添加一行，包含被替换的标识符和假名。如果从几个观察值中未经授权地预测生成的假名，可能导致将假名化数据归因于数据主体，那么数据控制者将需要考虑一种更安全的生成假名的方式，例如使用有效的硬件随机数生成器或密码学上安全的伪随机数生成器。

93. 请注意，涉及查找表的程序需要为原始数据集中的每个数据主体存储至少一条记录。查找表属于个人数据，因为它们能够识别数据主体。由于它们是假名化机密信息的一部分，因此需要防止未经授权的访问和使用。因此，数据控制者需要权衡安全存储这一可能庞大的个人数据集的缺点，与第一类程序相比，减少或避免对密码分析攻击的敏感性，这在需要长期保证假名化转换不可逆的情况下尤为重要。

3.1.3 为实现假名化目标对原始数据的必要修改

94. 为了决定哪些属性需要被假名化转换替换或修改，数据控制者应参考他们希望通过假名化实现的目标，确定假名化域，选择将在其中应用的技术和组织措施，并确定在该域中可用于将数据归因于数据主体的手段，见第41段。

95. 在这个过程中，他们应该考虑到这些手段不仅可以应用于单个假名化记录，还可以应用于与同一数据主体相关的记录的链接结果。这种链接可能发生在同一数据集中，也可能与以相同或类似方式进行假名化的其他数据进行链接。链接的数据可能允许将数据归因于特定的人，而单个数据记录则不能，因为链接的数据包含更多可与其他数据匹配的属性。需要考虑链接的程度首先取决于假名化转换的设计，见第 3.3.1 节，其次，在较小程度上，取决于为有效分离不应链接的数据集而实施的技术和组织措施。

96. 数据控制者可以从一种潜在的权衡中受益：假名化域越小，对假名化数据和假名化域内其他相关信息源的访问限制越严格，在考虑到其他情况时，通常就越不需要修改原始数据。

3.1.3.1 直接识别属性的确定、替换和删除

97. 为了实现有效的假名化，直接识别属性需要被替换或丢弃。这些属性是替换还是删除，取决于处理的目的和假名化的目标（见第 2.2 节）。

98. 对于不需要链接记录的目的，通过设计进行的数据保护要求删除个人的 “长期” 标识符（例如 “健康服务 ID”），同时用假名替换事务性或 “短期” 标识符（例如 “病例编号”）。

99. 然而，如果需要链接记录 —— 例如，在整理长时间内的事件记录以进行纵向分析时 —— 那么可能有必要用假名替换长期标识符，同时丢弃其他标识符。不过，只有在处理目的需要时，才应使用这种长期假名。

100. 涉及跨假名化数据集链接的目的，需要使用两个数据集中都包含的标识符作为假名化转换的基础。

3.1.3.2 准标识符的确定和处理

101. 将数据归因于自然人的一种方法是查看数据中包含的多个属性，这些属性揭示了有关数据主体的物理、生理、遗传、心理、经济、文化或社会身份的信息。如果这些属性的组合足以将至少部分假名化数据归因于数据主体，那么它们被称为准标识符。人口统计数据是此类属性的主要示例：年龄、性别、所讲语言、婚姻或家庭状况、职业、收入。如果数据涉及员工，那么其他相关数据可能是职位、工作时长、服务年限。处理假名化数据的人员很可能知道部分与假名化数据相关的个人的这些属性值。这将使他们能够在不使用假名化机密信息的情况下，即无需逆转假名化转换，将数据归因于这些个人。

102. 防止基于准标识符进行归因的最直接方法是删除它们。第二种方法是通过泛化和随机化对其进行修改。

103. 第三种方法，特别适用于假名化控制者在内部处理假名化数据的情况，是通过最小化假名化域内可用的信息，减少在假名化域中需要被视为准标识符的属性数量。这可以通过将假名化域限制在少数员工，并应用技术控制来限制他们可以访问的信息来实现。如果评估表明，假名化数据与其他信息相链接的风险微不足道，那么准标识符可以保留。

104. 然而，需要注意的是，当假名化旨在保护数据免受数据控制者组织外部未经授权的第三方所带来的安全风险时，后两种方法不可用。

3.1.4 数据收集过程中的假名化

105. 将假名化引入数据收集过程有两种方法：

• a. “假名化代理”：所有相关的传入数据首先由一个专门的独立团队进行处理。被授权逆转假名化的人员（GDPR序言第 29 条，第二句）在该团队工作。每当特殊情况需要时，假名化将被逆转，原始收集的数据将被移交进行处理。

• b. “源头假名化”：在将信息传输到处理假名化数据的实体之前，由作为信息源头的数据控制者已经进行假名化。如果在使用后一种方法时对源头的可信赖性存在任何疑问，那么可以采用加密方法，以便在以后根据请求验证在假名化过程中被省略或转换的属性。

3.2 防止将假名化数据未经授权地归因于个人的技术和组织措施

106. 为了防止对假名化数据进行未经授权的归因，应从三个方向采取措施：首先，应通过选择合适的设计，并确保假名化机密信息具有适当的安全级别，来保护假名化转换不被逆转。其次，应妥善处理准标识符，见第 3.1.3.2 节。第三，数据控制者应确保他们对假名化域的范围、假名化数据的使用以及域内相关信息源的可访问性的假设得到满足。以下将更详细地讨论这些要点。

3.2.1 防止假名化转换的逆转

107. 为了使假名化有效，仅基于其输出，不应能够通过合理的努力逆转所选择的假名化转换。当使用查找表进行假名化转换时，选择随机生成的假名就足够了。当使用加密算法时，合适的构建块包括（带密钥的）抗前像加密单向函数（如 HMAC）或保证密文不可区分的加密方案（如以合适模式使用的对称分组密码）。

108. 如果使用查找表或可逆加密算法，那么显然需要对假名化机密信息进行保密。（为了增加安全性，它们也可以被分割，例如通过秘密共享，并由不同的实体存储。）然而，这种保密要求适用于所有类型的假名化机密信息，并且需要扩展到防止未经授权使用这些机密信息的措施，因为这种使用可能会构建出能够逆转假名化的查找表。

109. 因此，需要严格控制对执行假名化转换的系统及其接口的访问。必须确保处理系统和服务本身的完整性和保密性。适当的技术措施可能包括网络分段、在硬件安全模块中存储密钥、对应用程序编程接口（API）访问进行安全认证，以及对假名化转换的执行以及（特别是）其反向应用（如果可用）进行速率限制和日志记录。适当的组织措施包括雇佣经过审查、专门授权的人员来操作用于执行假名化转换的系统，并存储假名化机密信息。数据控制者需要确保这些员工，以及所有负责与数据主体互动并访问假名化数据（例如，为了授予数据主体权利）的员工，都接受了适当的培训。

110. 只要假名化数据或额外信息存储在数据主体使用的设备上 —— 例如，为了使数据主体能够主张其权利、提高透明度或最小化数据的集中存储 —— 数据控制者就应采取技术措施，以维持其对数据可访问性和流动所做假设的有效性。由于数据控制者通常无法控制这些设备，这些措施可能特别涉及应用加密技术或利用这些设备中存在的安全元件。还应对设备功能的有效性进行评估，因为设备制造商在设计和功能范围上可能采用不同的方法。

3.2.2 保护假名化域（ pseudonymisation domain ）

111. 为使假名化有效，假名化域需要得到妥善保护，并与额外信息相隔离。应采取适当措施确保额外信息不进入假名化域。同样，只要有可能，即只要假名化域仅限于原始数据控制者或一组明确界定的接收者，就应采取适当措施确保假名化数据不离开该域。

112. 与任何个人数据一样，应严格控制假名化数据的流动。持有假名化数据的数据控制者应明确数据应披露给谁以及披露的程度。应建立访问控制系统，并且应用程序编程接口（API）应防止未经授权的使用。数据副本应在不再需要时立即删除。向其他实体传输假名化数据应仅在获得授权后进行，确保数据永远不会传输到已建立的假名化域之外。

113. 为使任何措施对未经授权的行为者有效，数据控制者需要确保用于处理额外信息或假名化数据的处理系统和服务，持续保持保密性、完整性和弹性。

114. 每当假名化域由一组特定的接收者组成时，所有相关方的责任应由一项安排来定义，最好采用合同形式。这些安排应反映将假名化数据保留在假名化域内的需求，并限制可能导致将假名化数据归因于数据主体的信息流入或访问，包括在接收者之间。此外，只要相关，这些安排应规定在需要调整对假名化域的假设时应遵循的流程。然而，需要注意的是，没有相应的有效执行，此类安排本身不足以确保假名化域与额外数据的适当隔离。

3.3 链接假名化数据

3.3.1 控制假名化数据的链接范围

115. 为了能够使用相同的假名链接与同一数据主体相关的多条假名化数据，假名化转换通常以确定性方式执行。基于假名化的目标，数据控制者需要定义哪些个人数据集将以一致的方式进行假名化。例如，他们可能决定对同一天收集的所有数据进行一致的假名化，以便能够链接在同一天收集的与同一数据主体相关的两条数据记录，但防止链接不同日期收集的数据记录。更一般地说，如果原始数据来自同一数据集，并且它们都与同一数据主体相关，则两条假名化数据可以链接。特别是，有三种广泛使用的方法来安排对假名化数据的受控链接：个人假名、关系假名和事务假名。然而，需要注意的是，还有其他分割假名化数据的方法，并且可能适用于各自的使用场景。

116. 一个或多个数据控制者可能选择对他们处理的与同一数据主体相关的所有数据，进行一致的假名化。相应的假名通常称为个人假名。使用个人假名需要长期存储假名化机密信息。只有在可能需要链接与同一人相关的不同假名化数据，并且在这种情况下链接是合法的情况下，才允许使用这种假名化。未经授权归因的风险相对较高。相应地，这种类型的假名化可能不会显著降低与非法或未经授权披露假名化数据相关的风险的严重程度。

117. 数据控制者也可能选择对其打算为一个或几个特定目的处理的所有数据，进行一致的假名化，这些目的定义了数据主体与该控制者的某种关系类型。例如，根据数据涉及数据主体作为员工还是客户与控制者的关系，数据主体可能会被分配不同的假名。在这种情况下，假名化机密信息（或其部分）仅在与数据主体的关系持续期间保留。由此产生的假名称为关系假名。只有在可能需要链接与同一人在与控制者的相同关系中的不同假名化数据，并且在这种情况下链接是合法的情况下，才允许使用这种假名化。如果只有一个共同目的，或者各种目的是兼容的，那么这个条件通常会得到满足。

118. 为了通过加密算法生成关系假名，秘密值或密钥需要根据关系来选择，即关系的类型或涉及的各方。如果关系假名保存在查找表中，它们需要根据关系分别生成和存储在不同的表中。

119. 最后，数据控制者可能选择对数据主体与控制者的每笔单独交易，进行不同的假名化。例如，控制者可能会使用与时间相关的密钥，对记录车辆与智能交通系统服务每次交互的每条记录进行假名化，从而为同一车辆的每次交互生成不同的假名。由此产生的假名称为事务假名。当适用时，这种类型的假名化最有效地促进数据最小化和默认数据保护，因为它防止了通过假名在不同事务之间非法或未经授权地链接假名化数据。此外，这种形式的假名化非常适合减轻与非法或未经授权披露假名化数据相关的风险。

120. 为了通过加密算法生成事务假名，假名应基于每次交易唯一的标识符来计算。如果事务假名存储在查找表中，它们应为每次交易随机生成并重新存储。

121. 为了遵守数据最小化原则和默认数据保护，数据控制者应将以一致方式进行假名化的数据集合定义得尽可能小。特别是，在与处理的性质、范围、背景和目的一致的情况下，数据控制者应优先选择事务假名，而不是其他类型的假名。

3.3.2 链接不同控制者假名化的数据

122. 在某些情况下，两个或多个数据控制者可能合法地链接他们持有的不同假名化数据集。目标是在新定义的假名化域内以假名化形式处理链接的数据集。

123. 有几种实现假名化转换的方法，允许对不同数据控制者持有的假名化数据进行受控链接：在数据控制者之间共享假名化机密信息、共同使用可信服务提供商进行假名化，或两者结合。在这种结合方式中，一些假名化机密信息在数据控制者和可信服务提供商之间分割，并且服务提供商不会得知数据主体的身份。最后，密码学还允许计算共同的假名，而不会泄露一方持有的假名化数据中数据主体的直接标识符或长期假名（私有集合交集）。

124. 请注意，对于所有这些情况，一个先决条件是：a）所有数据控制者的最终假名化转换是相同的；b）每个数据控制者得出的假名基于不同数据集中数据主体的共同原始标识符。

125. 第一种也是最简单的方法是使用加密算法进行假名化转换，并在所有相关数据控制者之间共享一致假名化所需的假名化机密信息。然而，打算使用假名化来保护数据，防止未经授权地归因于特定数据主体的数据控制者，需要在根据 GDPR 第 25、32、35 和 36 条进行的风险评估过程中，考虑这种方法的缺点：a）假名化机密信息存储在多个位置，这增加了未经授权访问或使用的机会；b）所有数据控制者不仅能够将他们自己假名化的数据记录归因于特定数据主体，还能够将其他数据控制者假名化的数据记录归因于特定数据主体；c）更新机密信息的复杂性增加，当假名化数据被长期使用，特别是当假名化机密信息被泄露时，这一点变得尤为重要。因此，通常不推荐这种方法。

126. 第二种方法要求数据控制者之间共同签订合同，并分别与可信服务提供商签订合同。该服务提供商可以作为每个参与数据控制者的处理者来执行任务。如果它被赋予根据法律或道德考虑决定是否对单个数据记录进行假名化或逆转其假名化的独立权力，它也可以作为数据控制者行事。处理者或可信第三方只需要知道数据主体的标识符，基于这些标识符它将计算假名，而不需要其他数据。因此，数据控制者应仅传输那些标识符以及分配给包含它们的记录的临时数字。服务提供商对标识符应用对所有数据控制者统一的假名化转换，并获得假名。它将这些假名与相应的记录编号一起返回。随后，假名可以使用记录编号与数据记录连接，然后删除记录编号。

127. 结果，任何数据控制者处与同一数据主体相关的所有假名化数据，都包含相同的假名，从而实现所需的链接。如果稍后数据控制者希望将假名化数据归因于特定数据主体（前提是该数据控制者可以合法地这样做），则以相反的顺序执行该过程。这种方法的优点是，如果一个数据控制者有权访问链接的数据集，它最多只能将其提供的链接记录重新归因于相应的数据主体。

128. 第三种方法是第二种方法的变体，并且需要与前一种方法相同的合同保证。在向可信服务提供商披露标识符会对数据主体构成重大风险，或者成员国法律（例如关于维护职业保密的法律）禁止这种披露的情况下，这种方法避免了向可信服务提供商披露标识符的必要性。该过程包括几个步骤：在设置阶段，数据控制者就一个共同的假名化机密信息达成一致。他们使用这个共同的机密信息，按照第 125 段中的方法计算一级假名。然后，他们将其传输给可信服务提供商，可信服务提供商反过来使用自己的假名化机密信息计算二级假名，这就是用于链接和使用链接的假名化数据的假名。这种方法的优点是可信服务提供商不会（也无法）得知标识符。此外，使用两个假名化机密信息并将它们存储在不同的实体中，使得未经授权逆转假名化转换更加困难。

129. 可以并且更可取的是，从已经假名化的数据中计算共同的假名，而无需使用假名化机密信息重构识别属性。在这种情况下，数据控制者持有假名化数据，并为自己的目的对其进行处理。如果出现链接的需要，那么他们的私有假名将直接转换为共同的假名。他们可以自己按照第 125 段中的方法进行转换，或者由服务提供商按照第 126 段中的方法进行转换。他们也可以按照第 128 段中的方法转换为共同的一级假名。这个过程不应影响这样一个属性，即一个参与数据控制者持有的假名化数据中出现的假名，在没有该数据控制者持有的额外信息的情况下，无法归因于特定数据主体。

3.4 假名化程序总结

130. 打算实施假名化的数据控制者，应确定他们希望通过这一措施实现的目标，以便定义假名化域，并决定哪些数据集将以一致的方式进行处理，分别见第 2.3 节和第 3.3.1 节。然后，数据控制者执行以下步骤：

131. 在确定处理方式时，他们应分析数据，并确定：

• 要进行假名化的个人数据中包含的哪些属性，可以单独或组合使用，直接识别数据主体（标识符）；

• 应使用哪些属性来（使用加密算法）确定或（使用查找表）与假名相链接，应用第 3.3.1 节中规定的标准；

• 用假名替换这些属性应使用哪种方法，特别是

• 在假名化转换过程中应应用哪些参数（例如所使用的加密算法的分组大小或密钥长度）；

• 哪些信息应作为可用于将假名化数据归因于特定数据主体的额外信息保留；

• 考虑到从假名化域内可以通过合理努力访问的信息，个人数据中包含的哪些属性可以单独或组合使用，在假名化域内直接或间接地将部分数据归因于数据主体；

• 应使用哪种方法来修改或删除这些属性，以保证在不使用额外信息的情况下，个人数据不会被归因于已识别或可识别的自然人，同时保留对所得假名化数据进行一般分析的能力。可用的方法包括省略、泛化和随机化等；

• 哪些方 —— 数据控制者、处理者或受委托保障转换的专业第三方 —— 将执行假名化转换（单独或共同执行），以及

• 谁将存储哪些假名化机密信息或其他额外信息，以及将应用哪些技术和组织措施，以确保它们不能在假名化域内被使用，它们的完整性和保密性得到维护，并且只有在获得授权时才用于将假名化数据归因于数据主体。
  重要的是，在定义假名化转换之后，数据控制者还需要评估假名化域内的归因风险，并确定该风险是微不足道的。

132. 在应用假名化转换时，数据控制者：

• （可选）确定哪些数据记录与同一数据主体相关，并为这些数据记录分配相应数据主体的唯一标识符，

• 通过应用先前确定的方法，用假名替换选定的识别数据主体的属性以及之前添加的唯一标识符（如果有插入），删除所有其他标识符，并将在此过程中生成或派生的任何假名化机密信息与假名化数据分开存储，

• 通过应用为此目的定义的方法，修改或删除准标识符。

133. 所有相关的数据控制者，应对他们保留的额外信息采取计划的技术和组织措施，这些额外信息在有合法需要时用于将假名化数据归因于数据主体，或者他们以其他方式保留并且可能能够进行这种归因。特别是，他们限制对假名化机密信息的访问和使用。

134. 所有接收者应采取适当的技术和组织措施，确保假名化数据不离开假名化域，并且确保任何已知的允许归因的信息不进入该域。

135. 最后，数据控制者应在必要的范围内限制对假名化数据的处理，以减轻任何剩余的假名化逆转风险。

附录 - 假名化应用示例

第 2.3 节根据一些相关的 GDPR 原则和 GDPR 条款（通过设计和默认设置进行数据保护、用于研究和统计目的的处理、处理的安全性、为数据控制者的合法利益进行的处理、进一步处理和传输假名化数据），强调了假名化的益处。

以下十个部分旨在通过现实场景来说明假名化的使用和益处。这些示例根据假名化有助于实施的 GDPR 条款列于表 1 中。需要注意的是，在某些情况下，成员国法律可能要求对此处描述的设置进行修改。

GDPR 条款	GDPR 规定	示例编号
Art. 5(1)(c)	数据最小化	1, 2 和 3
Art. 5(1)(b)	目的限制	-
Art. 5(1)(f)	保密性	-
Art. 5(1)(d)	准确性	4
Art. 89(1)	为公共利益的存档目的、科学或历史研究目的或统计目的处理的保障措施	5
Art. 32(1)	处理的安全性	6
Art. 6(1)(f)	为合法利益目的进行处理的合法性	7
Art. 6(4)	为与收集个人数据时不同的目的进行处理（进一步处理）	7 和 8
Art. 46	需采取适当保障措施的传输	9
Art. 5(1)(a)	公平性	10

表 1：假名化的使用和益处示例

示例 1：内部分析中的数据最小化和保密性

• 处理背景和目的：A 公司提供一款应用程序，根据用户输入的症状提供医疗建议。该公司委托其一个部门进行质量控制。在质量控制过程中（使用经应用程序用户明确同意收集的数据），确定所提供的建议是否符合既定医学知识，并确定在应用程序给出不适当建议的关键情况下是否以及哪些患者需要得到通知。

• 待解决问题：在确保符合 GDPR 第 5 (1)(c) 条数据最小化原则和第 25 (2) 条默认数据保护原则（特别是在允许将数据归属于数据主体的访问方面）的同时，保留数据与数据主体之间的联系，并降低保密性风险，从而有助于符合 GDPR 第 5 (1)(f) 条。

• 原始数据：包含用户 ID、设备令牌、应用程序记录的症状、提供的建议、用户反馈（可选）的记录。

• 假名化领域：质量控制部门。

• 假名化数据：包含基于用户 ID 的假名、应用程序记录的（分类）症状、提供的建议、用户反馈的记录。

• 附加信息：关联用户 ID 和假名的表格、关联用户 ID 和设备令牌的查找表。

• 假名化数据处理：质量控制部门接收应用程序后端提供的（假名化）数据提取。该部门成员不参与且无法进一步访问服务提供产生的数据。它进行分析。如果需要通知数据主体，它将假名和消息传递给运营部门。运营部门可以访问附加信息。因此，它能够识别用户，并使用通知服务和设备令牌向他们传达消息。

示例 2：实现数据最小化、目的限制和保密性的职能分离

• 处理背景和目的 ：一个机构负责根据适用于企业及其员工的标准向企业发放补贴。有兴趣的企业提交申请，其中包含证明它们符合这些标准的数据，例如营业额和员工资质数据。该机构核实这些标准是否得到满足。对于随机抽取的申请人样本，它要求提供进一步的文件以证明员工的身份和资质。

• 待解决问题 ：在随机选择的案例或特殊关注的案例（涉嫌欺诈）中，在保留检查员工身份的能力的同时，最小化对员工数据的访问，以符合 GDPR 第 5 (1)(c) 条数据最小化原则和第 25 (2) 条默认数据保护原则（特别是在允许将数据归属于员工的访问方面），以及降低保密性风险和所接收的员工数据在其所在申请之外被使用的风险。

• 原始数据 ：处理的大部分数据是非个人的企业数据。关于员工的数据包含他们的身份信息（姓名、人口统计信息）和专业资质。

• 假名化领域 ：援助机构。

• 假名化 ：该机构设立一个单独的组织单位，作为验证中心，其唯一任务是通过处理假名化来保护员工身份，并在个别情况下（如有要求）验证申请的完整性。验证中心接收申请，将描述员工公民身份的所有属性（姓名、出生日期等）存储在一个查找表中，该查找表将这些数据与申请注册号和一个假名相关联，用假名替换所有这些属性，并将结果提交给该机构。对于每个申请，随机选择新的假名，以防止跨申请的数据记录关联。

• 假名化数据 ：员工资质数据、员工假名。

• 附加信息 ：关联员工假名和识别数据的查找表。

• 假名化数据处理 ：该机构评估申请。在随机选择的案例或特殊关注的案例中，它将员工的假名和相关资质数据提交给验证中心进行验证。验证中心使用查找表确定员工的公民身份，并向企业发出询问，要求提供额外文件以验证所声称的身份和资质。

• 变体（使用承诺）

可以使用加密手段避免设立额外的验证中心。该机构为企业提供一个网络应用程序，允许企业自行进行假名化。假名包括员工文件的加密承诺。在随机选择的案例或特殊关注的案例中，该机构（或可能是其专门的组织单位）要求相关企业提供某些由该机构选定的员工的原始身份和资质证明文件。承诺的约束性确保该机构能够完全控制要求哪些文件，并且企业不能用一个员工的数据替代另一个员工的数据。

示例 3：外部分析过程中的数据最小化和目的限制

• 处理背景和目的 ：一个登记处收集有关牙科植入物的数据以进行质量控制。登记处使用这些数据来分析植入物的质量，并向提供制造材料的公司提供结果总结。它还向医疗机构提供有关所提供护理质量的反馈。此外，在数据主体同意的情况下，后续护理人员可以检索存储的数据。（登记处工作人员无法访问登记处未存储的医疗数据。）

• 待解决问题 ：在确保符合 GDPR 第 5 (1)(c) 条数据最小化原则和第 25 (2) 条默认数据保护原则（特别是在允许将数据归属于数据主体的访问方面）的同时，保留数据与数据主体之间的联系，加强目的限制，并降低保密性风险。任何访问登记处数据的人都不应能够将其归属于数据主体并将其用于不兼容的目的，例如出于广告目的联系数据主体。

• 原始数据 ：识别患者的数据、关于植入物、手术和其他患者医疗数据、关于牙科诊所的数据。

• 假名化领域 ：登记处。

• 假名化数据 ：患者假名、关于植入物、手术和其他患者医疗数据、关于牙科诊所的数据。

• 附加信息 ：整理患者识别数据和假名的查找表、牙医诊所持有的原始医疗数据以及患者识别数据。

• 假名化过程 ：牙医将医疗数据和与他们的诊所相关的数据连同临时患者假名一起传输到登记处。他们还将这些临时假名与患者识别数据一起传输到指定的信任中心进行保管。信任中心分配一个永久患者假名（如果信任中心有该患者的记录，则为现有假名，否则为新生成的假名），在查找表中存储新条目（如有），并将永久假名与临时假名一起传输到登记处。登记处存储从牙医处收到的数据以及从信任中心收到的患者假名。所有各方删除临时患者假名。

• 假名化数据处理 ：登记处能够关联与给定患者或给定诊所相关的所有案例。分析来自给定诊所的数据以提供有关该诊所提供的护理质量的汇总数据。可以使用上述程序将与给定诊所相关的数据传达给治疗该患者的任何后续从业者。分析所有医疗数据，包括使用的植入物数据，以获得有关这些植入物质量的结果。

• 此场景中特别相关的额外保障措施 ：1. 收集数据的控制者有义务根据专业保密原则对原始数据保密。2. 信任中心保管将数据主体的公民身份与用于长期存储的假名相关联的查找表。3. 所有参与实体都受合同或其他法律行为约束，以忠实地执行数据交换协议。

示例 4：保护身份 —— 保密性和准确性

一家医学实验室希望通过手机短信向其用户通知检测结果。为此，它登记用户的手机号码（应用必要的确认程序）。在进行医学分析之前，实验室将患者的身份和联系数据以及与测试日期、时间和范围相关的数据转换为假名。这些假名被编码为条形码或二维码，并附在装有患者样本的试管上。假名化程序确保即使是与身份和联系数据非常相似的数据主体相关的样本也具有差异很大的假名。实验室单独保存清晰格式的个人和联系数据。仅使用假名对病例进行分析。之后，向客户通知检查结果的程序可以自动化，降低人为错误和潜在身份混淆（例如在同名或联系数据相似的情况下）的风险，并提高数据的准确性。转换为假名的属性数量越多，检测结果被错误分配给数据主体的可能性就越小，对数据主体产生负面影响的可能性也就越低。

示例 5：用于研究的二次使用

• 处理背景和目的 ：一个数据中心（由一个大学联盟在其一个成员处设立为一个独立的组织单位）收集有关大型纵向研究项目参与者的健康和医疗治疗数据以及有关职业接触健康危害的数据。数据中心从参与的大学医院接收健康数据，从一个劳动机构收集有关职业接触健康危害的数据，该劳动机构先前已从雇主处收集了这些数据。该中心在数据访问委员会批准请求后向个别研究提供数据查询结果。它还协调对原始医疗记录的访问以进行质量控制，并告知患者研究可能发现的任何重大意外风险。

• 待解决问题 ：从独立来源收集和链接数据，维护与提供数据的机构和数据主体的记录的链接，同时防止数据中心和研究小组的员工将数据归属于数据主体，符合 GDPR 第 89 (1) 条。

• 原始数据 ：直接识别患者 / 员工的数据、医疗数据、有关职业接触健康危害的数据。

• 假名化领域 ：数据中心、参与大学的研究小组。这些小组的成员无法访问与其各自大学医院的患者护理相关的健康记录。

• 假名化数据 ：在不同处理阶段的不同假名、医疗数据、有关职业接触健康危害的数据。

• 附加信息 ：源机构（医院、雇主、劳动机构）维护的原始数据、其他医疗服务提供者或了解数据主体就业情况的机构持有的与数据主体相关的类似数据（前提是可以在不使用直接识别数据的情况下与上述原始数据链接）、信任中心持有的假名查找表（所有治疗过该患者的联盟成员都可以访问）。医院收集劳动机构使用的人力资源 ID（HR-ID），将其与 MedID 一起传输到信任中心，然后删除它。医院将医疗数据连同临时假名 T-Med-ID 传输到数据中心，并将 MedID 连同相同的临时假名传输到信任中心。信任中心使用 HR-ID 向劳动机构请求有关职业接触健康危害的数据，劳动机构随后将其传输到数据中心。在此传输中再次使用临时假名（T-L-ID），这些假名也与请求中包含的 HR-ID 一起传输到信任中心。信任中心为每个数据主体生成一个数据主体 ID（SubjID），并维护一个关联 MedID、HR-ID 和 SubjID 的查找表。然后将 SubjID 与临时假名组合并发送到数据中心，数据中心在所有传入数据中用数据主体 ID（SubjID）替换临时假名，并链接它获得的所有包含相同 SubjID 的数据。

• 假名化数据处理 ：数据中心在数据访问委员会批准请求后将收集的数据提供给研究小组。作为数据访问决策的一部分，数据访问委员会要求接收机构提供合同保证，确保研究小组的所有成员通过技术和组织保障措施无法访问任何允许将假名化数据归属于数据主体的额外信息。此外，该机构承诺仅在数据访问委员会批准的情况下对其接收的数据进行进一步处理。研究小组不会接收存储在数据中心的原始数据，而只会接收在安全处理环境中执行的数据查询结果。如果为确保研究的质量和完整性而请求访问原始数据，或者如果需要告知数据主体迄今为止未知的重大个人风险，则信任中心将反转假名化过程以实现这些目的。（相应的数据流程在上面的图表中用红色箭头表示。）提交与数据主体相关的最后一组医疗数据的医院负责与该个人联系。在数据中心工作的员工无法访问其所在机构的医疗数据，这通过组织和技术手段将其分开来确保。信任中心是一个独立的服务提供商，根据与联盟董事会签订的合同工作并仅接受其指示。

示例 6：降低保密性风险