'没有数据是永久匿名的': 专家警告重新识别风险

公共政策专家和高级行业高管表示，在《个人数据保护 (pDp) 法案》中包含与非个人数据集有关的某些条款会带来很高的重新识别风险，并可能导致利益相关者的法律复杂性。

“高价值数据集-通过匿名使用个人数据创建的数据集继续带来风险。重新识别有一个非常非常明显的危险，这是一个不断加剧的危险。声称没有永久匿名的匿名数据集并不过分，”一位不愿透露姓名的行业高级主管说。

例如，pDp法案最新版本的第91条赋予中央政府权力，以指导数据受托人和处理者授予访问所有匿名或非个人数据的权限，因此存在重新识别的高风险。

专家说，随着包括数学算法在内的技术的发展和改进，重新识别科学也将变得更好，从而增加了对数据集进行匿名化的风险。

“匿名数据通常很容易重新识别，它会对隐私造成重大损害。建立匿名化标准并更清楚地说明各种利益相关者将如何收集和存储数据以避免监管套利将有所帮助，”公共政策组织The Dialogue的创始人Kazim Rizvi说。

除了与重新识别匿名数据集有关的问题外，随着时间的推移可能会出现的另一个问题是，每次公司和其他利益相关者发布新数据集时，它都可以覆盖以前可用的数据集，然后成为隐私的痛点。

当这种重新识别发生时，公司将根据即将出台的《数据保护法案》承担责任，从而使他们陷入困境，几乎没有过错。专家说，缺乏对构成非个人数据的明确定义是另一个问题。

“我们2019年看到的最后一份草案并没有给我们任何关于什么样的非个人数据、政府必须遵循的程序、是否需要赔偿、同意和匿名化将如何运作的细节。这些事情都没有得到处理。我认为这在很大程度上留下了附属立法中如何实现这一目标的框架，”Mozilla公共政策顾问Udbhav Tiwari在电话中告诉indianexpress.com。

另一位高级公共政策主管表示，伴随个人数据传输和政府要求非个人数据集的风险和义务将对公司和企业产生负面影响。Tiwari说，重新识别的最好例子之一是公司使用浏览历史来识别和预测互联网上的独立用户的行为。

“已经进行了一些非常好的技术研究，该研究表明，用户浏览历史记录的60至100项可用于在internet上唯一地识别它们。我不必知道您的姓名，电子邮件ID或任何其他唯一标识符。尽管如此，我可以说仅根据您的浏览历史记录就可以在互联网上识别您。”他说。

专家表示，该法案中的这些空白可能会在未来导致更大的问题，并强调应将非个人数据方面排除在最终的pDp法案之外。尽管政府非个人数据治理框架专家委员会在其2020年12月报告中也建议了这一建议，但不能保证法案中是否会包括这一建议。

“虽然委员会认识到匿名化可以逆转，但它提供的信息很少，说明在不同部门的管理方式。该草案提供了一个机会，建议 (如果没有规定) 应该有匿名化技术的最低标准，并且需要匿名化数据集的治理机制。”Rizvi说。