个人信息包括匿名化处理后的信息正确还是错误

个人信息包括匿名化处理后的信息,这个说法还是有一定争议的。

如果严格来说,“个人信息”应该指可以直接或间接识别个人身份的信息,比如姓名、身份证号、手机号码、家庭住址等。这些信息经过简单处理如打码、脱敏还是属于“个人信息”。

但是,如果信息通过较为严密的匿名化处理,如脱敏、加密、Secure Multi-Party Computation等技术处理后,就很难再直接识别个人,这时这些信息是否还属于“个人信息”就有疑问。

目前,在法律和技术上对此都没有一个清晰的、普遍接受的定义。但总的来说,匿名化信息是否还属于“个人信息”可以从以下两个方面判断:

1)重新识别的可能性。如果经过处理后,信息中的个人身份标识已无法被重新识别,则信息发生了实质变化,很难再说是“个人信息”。

2)使用目的。如果信息使用目的已经从针对某个个人转变为统计分析、模型训练等目的,其价值主要在于数据本身,而非个人身份,那么也难以称之为“个人信息”。

所以,总体来说,简单处理过的信息如打码脱敏信息可能仍属于“个人信息”,而通过严密匿名化处理使信息不再具备识别个人能力的,就比较难以归为“个人信息”。但考虑到技术发展带来的重新识别风险,在法律层面,匿名化信息的定义和管理也需要进一步明确和规范。

对此问题的判断并没有一个定论,还需要结合信息的处理程度、使用场景等因素综合判断。但为了个人信息保护,对任何信息的处理都应该遵循“尽量少用、必要时脱敏”的原则。