Day 25 去识别化定义规划实作

今天就根据GDPR第4(5)条和 CCPA §§1798.140(o)、§§1798.145(c)-(f)，说明需将对用户个人资料数据做匿名化，以确保用户个人资料数据不被识别或可识别出来，以达到「匿名化」的目的采用「去识别化」相关技术处理，今天就继续分享分享过往用户隐私规划实作吧。

用户个资去识别化

用户的资料数据去识别化是指将用户能直接和间接个人资料，遵循法规规范内容针对用户个人资料数据做去识别化的处理方式，确保用户个人资料数据不能为可直接识别的情况，另外，GDPR第32(1)条也规定了服务的过程之中各项资料数据的处理需确保安全性。下方简单的利用方块流程图示意去识别化的流程。

将用户可直接识别的资料，定义去识别化的规则如下表。

动态资料遮罩

将用户的资料去识别化也要思考怎样恢复原本的资料，因此在技术的考量上可透过动态方式将资料加上遮罩处理，将已储存在资料库里的资料做遮罩处理，以达到无法直接识别做资料去识别化，像动态资料遮罩的技术在SQL Server 2016有个新功能MASKED，可自动遮罩规则将资料做遮罩，当要读取时就解开遮罩，有兴趣可去了解动态资料遮罩 (Dynamic Data Mask，DDM)，动态资料遮罩的解决方案可以参考看看罗~