加州消费者隐私法案（“ CCPA”）于2018年初颁布，是一项政治妥协，旨在避免起草草率低下的原告友好投票倡议。尽管CCPA计划于2020年初生效，但对于CCPA的要求仍然存在很多困惑，包括CCPA与其他隐私法规（例如《欧洲通用数据保护法规》GDPR）的契合程度。 。

为了解决这种困惑，BCLP发布了《  加利福尼亚消费者隐私法实用指南》，并发布了一个由多个部分组成的系列，讨论了客户最常提出的关于CCPA的问题。

问：CCPA是否适用于已取消标识的信息？

没有。

CCPA管理着加利福尼亚州居民的“个人信息”的收集、使用和披露。

术语“个人信息”被广义地定义为包括“识别、涉及、描述，能够与特定消费者或家庭直接或间接地建立联系或合理链接的任何信息。”

该法案将术语“去识别”定义为与个人信息几乎相反的信息，即“无法合理地识别、关联、描述，能够与特定消费者直接关联或间接关联或链接到特定消费者的信息。 ”

“个人信息”的定义与“取消身份识别”的定义之间的一个差异是，前者声称适用于与“家庭”有关的信息，而后者仅指“消费者”。

尽管根据定义，去识别信息不是“个人信息”，因此不受CCPA的约束，但是对于需要何种程度的混淆才能使信息无法“合理地”识别，存在很大的不确定性。造成这种混淆的部分原因是，去识别不是一种技术，而是一组可应用于具有不同有效性级别的不同数据的方法，工具和算法的集合。美国国家标准技术研究院（NIST）在2010年发布了《保护个人身份信息机密性指南（PII）》为联邦机构提供了一套指示和取消标识技术，非政府组织也可以自愿使用这些技术。该指南将“取消标识的信息”定义为“已删除或掩盖了足够多的PII的记录，也称为掩盖或混淆的记录，因此其余信息无法识别个人，并且没有合理的依据认为该信息。可用于识别个人身份的”

NIST确定以下五个方法可以用来去标识的信息记录：

1. 禁止：可以禁止，删除或替换为完全随机值的个人标识符。

2. 平均：可以将所选数据字段的个人标识符替换为整个数据组的平均值。

3. 概括：可以将个人标识符报告为在给定范围内或作为集合的成员（即，名称可以替换为“ PERSON NAME”）。

4. 扰动：个人标识符可以在定义的变化水平内与其他信息交换（即DOB可以随机调整-5或+5年）。

5. 交换：个人标识符可以在记录之间替换（即，交换两个不相关记录的邮政编码）。

欧盟第29条工作组确定了以下其他取消身份识别技术：

1. 噪声添加：个人识别码表示不准确。
   

2. 差异性隐私：将一个数据集的个人标识符与第三方持有的匿名数据集进行比较，并带有噪音功能说明和可接受的数据泄漏量。

3. 多样性：首先对个人标识符进行概括，然后使等效类中的每个属性标识符至少出现“ l ”次。（即，将属性分配给个人标识符，并使每个属性与数据集或分区一起出现最少次数）。

4. 假名–哈希函数：用固定大小的人工代码替换任何大小的个人标识符（即，巴黎替换为“ 01”，伦敦替换为“ 02”，罗马替换为“ 03”）。

5. 假名化–令牌化：个人标识符被非敏感标识符代替，该标识符可追溯到原始数据，但不是从数学上从原始数据中得出的。即：信用卡号在令牌库中与随机生成的令牌进行交换。

不同的监管机构和法律体系历来在评估信息是否能够重新关联到信息时，不同的监管机构和法律体系历来采用不同的标准，这使得什么才是“去识别”数据的不确定性变得更加复杂。个人。例如，联邦贸易委员会（Federal Trade Commission）在其2012年的报告中指出了快速变化时代的保护消费者隐私：企业和政策制定者的建议，FTC的隐私框架仅适用于与消费者“合理链接”的数据。报告解释说，“在以下情况下，数据无法'合理地链接'：”

1. 采取合理措施以确保对数据进行身份识别；

2. 公开承诺不尝试重新识别数据；

3. 依合同禁止下游接收者尝试重新识别数据。

对于测试的第一个分支，FTC澄清说，“这意味着公司必须对数据达到合理的合理可信度水平不能合理地用于推断有关特定消费者，计算机或其他设备的信息或以其他方式链接到该特定消费者，计算机或其他设备。” 因此，联邦贸易委员会认识到，虽然不可能完全消除披露风险，但如果有合理的基础认为特定记录中的剩余信息不能用于识别个人，则认为取消识别成功。FCC在其宽带隐私命令中采用了FTC的三部分身份验证测试。

CCPA并未直接采用FTC的建议框架，即要求公众承诺重新识别，或明确要求合同禁止重新识别企图，但确实要求认为数据已被识别的公司采取以下四个步骤：主动防止重新识别：

1. 实施禁止重新识别的技术保障。

2. 实施明确禁止重新识别的业务流程

3. 实施业务流程，以防止无意间释放未标识的信息

4. 不要尝试重新标识信息。

该如何正确的选择安全产品？

Vormetric数据安全平台中内含：动态加密（Vormetric应用加密）、动态数据屏蔽（Vormetric批量数据转换）和磁盘级加密（Vormetric透明加密）。企业可以在一套平台内，依据业务和性能要求，用最低的维护成本和造价成本，实现对安全合规性要求的满足。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• Luna HSM常见问题解答：SafeNet KSP Provider DLL failed

• 常见的加密挑战

• 支付卡行业密钥模块对于PCI PIN要求的常见问题

• 加密密钥块(Key Block)的常见问题

• 分析供应链攻击的四种常见攻击方式