假名化后数据属于个人数据吗
发布网友
发布时间:2022-05-14 00:54
共1个回答
热心网友
时间:2023-11-15 10:56
假名化后数据就不属于了,因为无法识别。
根据 GDPR 定义,个人数据是指已识别到的或可被识别的自然人(“数据主体”)的所有信息。可被识别的自然人是指其能够被直接或间接通过识别要素得以识别的自然人。
尤其是通过姓名、身份证号码、定位数据、在线身份等识别数据,或者通过该自然人的物理、生理、遗传、心理、经济、文化或社会身份的一项或多项要素予以识别。
为了简化表述,我们认为 GDPR 所保护的个人数据,是一种可以直接或间接识别自然人的数据。上述条文也列举了一些参考,但是“等”字表明这并非穷尽式列举,个人数据的外延会更广。
那什么是直接或间接地识别?一些设备信息,比如 IMEI 号,只能确认设备身份,是不是个人信息?进一步来讲,如果对数据进行去标识化,是否可以认为这样的数据不属于用户的个人数据?
目前为止,欧盟*(CJEU)在 Breyer 案中似乎给出我们一些解决这个问题的思路。
在 Breyer 案中,欧盟*就“动态 IP 地址”是否属于 95 年的个人数据保护指令(以下简称“指令”)所定义的个人数据进行了澄清。
这个案件的直接结果:
是确认在指令的框架下,如果一个公司通过结合其存储的(动态)IP 地址和互联网服务提供者掌握的其他数据,可以识别一个自然人,并且该等公司有途径可以访问互联网服务提供者掌握的前述其他数据,那么对于这个公司来说。
这些动态 IP 地址就属于个人数据。但是比直接的判决结果更为重要的是,本案讨论了何为“间接识别”。
