澳门个人资料保护局以及香港私隐专员公署联同亚太区七个私隐或资料保障机构发布《个人资料匿名化入门指南》
澳门个人资料保护局以及香港个人资料私隐专员公署(香港私隐专员公署),联同来自澳洲(维多利亚省)、加拿大(联邦及英属哥伦比亚省)、日本、韩国、新西兰及新加坡的七个私隐或资料保障机构,于早前举行的「第63届亚太区私隐机构论坛」一致通过发布《个人资料匿名化入门指南》(《匿名化指南》)。
匿名化一般是指将个人资料转化为无法再用作识别个人身分的资料。《匿名化指南》介绍匿名化的基本概念,并概述机构进行匿名化处理资料的建议步骤。《匿名化指南》亦透过个案分析,阐释机构如何在实际运作中应用这些匿名化步骤,当中包括:-
- 第一步(了解你的资料):机构在进行匿名化处理前,须识别资料的类型,包括:
- 直接标识符:可直接识别个人身分的资料,例如姓名及身份证号码;
- 间接标识符:资料本身未必具有独特性,但与其他资料结合后可识别个人身分,例如出生日期及性别;
- 第二步(移除直接标识符):从数据集中移除直接标识符。
- 第三步(应用匿名化技术):使用匿名化技术处理间接标识符,以防他人透过结合间接标识符及其他资料以识别个人身分。
- 第四步(评估再识别风险):评估已匿名化的资料是否仍存在识别个人身分的风险,并根据评估结果判断匿名化是否足够。如未能符合相关要求,应重复上述步骤。
- 第五步(管理再识别风险):针对应用匿名化技术处理资料后仍然存在的风险,应采取相应的风险缓减措施,例如限制资料用途及仅限授权人员存取等。
香港个人资料私隐专员(私隐专员)钟丽玲表示:「随着越来越多港澳机构在日常营运中使用AI,在使用及/或分享资料时将个人资料匿名化不但可以提升AI安全及数据安全,亦同时保留资料的实用性。因此,香港私隐专员公署与澳门个人资料保护局协力合作,并联同其他七个司法管辖区的私隐或资料保障机构共同编撰《个人资料匿名化入门指南》,旨在为港澳地区有意使用匿名化技术处理个人资料的机构提供切实可行的入门指引。为方便机构参考《匿名化指南》,公署与澳门个人资料保护局更将《匿名化指南》翻译成中文文本,让读者更易于理解。」
澳门个人资料保护局局长杨崇蔚表示:「个人资料匿名化措施在一定程度上降低了个人资料数据泄露的风险,是解决新技术应用中保护个人资料数据安全的积极措施。澳门个人资料保护局参与此次《匿名化指南》的编撰与联合翻译工作充分履行了作为亚太区私隐机构组织传讯工作组组长的国际合作责任,充分体现了港澳双方在签署合作备忘录后的更紧密合作关系。希望未来将持续推动港澳在个人资料私隐领域方面的紧密合作,以促进粤港澳大湾区的个人资料私隐保护工作。」
有关《个人资料匿名化入门指南》的详情,请参阅澳门个人资料保护局网页https://www.dspdp.gov.mo。(葡文译本将于稍后上载至澳门个人资料保护局网页)
