柯律师:
您好!
我司是一家从事健康监测类App开发的科技公司,在收集用户心率、睡眠等数据时,会进行匿名化处理后用于算法优化。近期,有用户质疑我们未经明确同意使用其数据。请问,匿名化处理后的健康数据使用是否仍需用户同意?如何合规处理此类数据?
丁女士
丁女士:
关于匿名化数据的界定与使用,《个人信息保护法》第七十三条明确了“匿名化”是指个人信息经过处理无法识别特定自然人且不能复原的过程。一旦数据达到法律与技术标准上的匿名化,便不再属于个人信息,原则上其后续使用可不需再次征得用户同意。然而,关键在于“不能复原”这一标准在司法与监管实践中把握严格。若通过与其他数据结合、使用特定技术手段仍存在重新识别个人的可能,则该数据仍可能被视为个人信息,其使用仍需合规基础。
为构建稳健的合规框架,建议贵司采取以下多层措施:首先,在隐私政策中设立专门章节,详细说明健康数据的收集目的、匿名化处理的技术流程,以及匿名化后数据的用途。此告知务必清晰易懂,并获得用户主动勾选同意。其次,投入技术资源确保匿名化有效性,例如采用业界认可的去标识化算法,定期进行重识别风险评估,并严格隔离匿名化数据集与可识别身份的原数据。最后,建立完善的内部数据治理制度,包括数据分类分级、访问权限控制、操作日志审计,并考虑引入第三方机构进行合规审计与认证,以增强证明力。
北京大成(上海)律师事务所律师
刘峰
kelvshi2022@126.com
扬法律服务之帆
护科创奋楫之航
