今天就根據GDPR第4(5)條和 CCPA §§1798.140(o)、§§1798.145(c)-(f),說明需將對用戶個人資料數據做匿名化,以確保用戶個人資料數據不被識別或可識別出來,以達到「匿名化」的目的採用「去識別化」相關技術處理,今天就繼續分享分享過往用戶隱私規劃實作吧。
用戶的資料數據去識別化是指將用戶能直接和間接個人資料,遵循法規規範內容針對用戶個人資料數據做去識別化的處理方式,確保用戶個人資料數據不能為可直接識別的情況,另外,GDPR第32(1)條也規定了服務的過程之中各項資料數據的處理需確保安全性。下方簡單的利用方塊流程圖示意去識別化的流程。
將用戶可直接識別的資料,定義去識別化的規則如下表。
將用戶的資料去識別化也要思考怎樣恢復原本的資料,因此在技術的考量上可透過動態方式將資料加上遮罩處理,將已儲存在資料庫裡的資料做遮罩處理,以達到無法直接識別做資料去識別化,像動態資料遮罩的技術在SQL Server 2016有個新功能MASKED,可自動遮罩規則將資料做遮罩,當要讀取時就解開遮罩,有興趣可去了解動態資料遮罩 (Dynamic Data Mask,DDM),動態資料遮罩的解決方案可以參考看看囉~