数据匿名是否与GDPR规则相冲突？

Question

有一些与个人对其数据的所有权有关的GDPR文章，如第17条.的擦除权(“被遗忘的权利”)和第20条探地雷达数据可移植性权利。如果一个匿名的数据没有办法“恢复”人之间的关系(姓名+电子邮件地址)(这反过来将允许处理特定人的数据)，我想说这将与这些GDPR文章相冲突。是否有数据匿名化技术，允许在数据被匿名后“恢复”姓名+联系人电子邮件之间的关系？这将允许满足这些探地雷达规则。

Answer 1

从形式上讲，这一点在“探地雷达独奏会26”中得到了澄清，其非正式名称不适用于匿名数据：

1. 因此，数据保护原则不应适用于匿名信息，即不涉及已识别或可识别自然人的信息，也不应适用于以数据主体无法或不再可识别的方式匿名的个人数据。
2. 因此，本条例不涉及处理这类匿名资料，包括为统计或研究目的。

非正式地说，声称数据匿名将侵犯数据主体的数据擦除权和可移植性，因此我们应该寻求使用可逆的匿名技术，这听起来很尴尬，而且违背了全球地质雷达的精神；关于匿名化的官方解释非常明确：

有效的匿名数据由两部分组成：

• 这是不可逆转的。
• 这样做的方式是不可能(或极不实际)识别数据主题。

换言之：

• 如果被调查对象的数据被有效匿名，它们不再是个人数据，因此不再受GDPR管辖；因此，第17条和第20条不适用，这不构成任何冲突。
• 如用作匿名资料来源的个人资料仍然存在，则须接受政府覆检；资料当事人可就这些非匿名资料行使擦除及携带的权利。
• 如果作为匿名资料来源的个人资料已经被删除(可能符合全球地质雷达)，那么擦除权和携带权都不再适用，这也不构成任何冲突。

请注意，数据保护工作组的关于匿名技术的第05/2014号意见在法律上也承认，确保有效的匿名化并不像听起来那么明确：

因此，匿名不应被视为一次过的练习和参加的风险应该定期重新评估由数据控制器。