GDPR仅适用于个人数据，这意味着非个人数据不在其应用程序范围内。因此，个人数据的定义是至关重要的因素，因为它确定处理数据的实体是否遵守法规对数据控制器施加的各种义务的约束。然而，什么是个人数据仍然是当前数据保护系统中主要有争议的问题之一。

GDPR第26条采用了一种二进制分类方法来区分个人数据和非个人数据，并且仅包括前者的应用程序范围。但是在现实生活中，数据的划分在两者之间并不静态存在，并且关于个人数据通过一系列操作成为匿名数据的情况仍然存在争议。实际上，某些数据从一开始就可能是匿名的（例如与自然人无关的气候传感器数据），但是某些数据在某个时候可能是个人数据，但随后被成功地操纵以与自然无关人。数据。这突出了个人数据分类的动态性质。

GDPR下的个人数据

当数据可以“区分”或“识别”个人与他人时，数据属于个人数据。在一个案件中，欧洲法院认为，在GDPR第26条中，使用“任何”一词来表达个人数据，这意味着欧盟立法机关已将这一概念赋予了广泛的范围，即，它不仅限于敏感信息或私人信息，其中包括各种信息，不仅包括客观信息，还包括主观信息。可以间接确定数据主体的身份，因为它可以“知道与注册用户通信以及如何进行通信的人的身份。 ，并确定通信时间和通信的位置”。此外，GDPR的第4（1）条强调，个人数据必须与自然人有关，而合法人或死者的数据不在其管辖范围内。

个人数据和非个人数据之间的区别

在GDPR中，将个人数据与非个人数据区分开的标准之一是它是否可识别。为了确定自然人是否可以识别，应考虑所有可能识别自然人的合理手段，以及是否可以使用这些手段当时的手段和时间，可用的技术和技术发展，等等。

尽管GDPR 26似乎包括区分个人和非个人数据的方法，但在实践中很难实施。 GDPR第26条提出了一种基于风险的方法来确定数据是否属于个人（在“合理可能”识别的情况下，它属于个人数据，否则它属于非个人数据。一些国家监管机构还承认，数据是否是个人应该采用的相对论理解，强调相关标准正在“识别或可能识别”数据主体。爱尔兰数据保护局（DPA）认为，“没有必要证明不太可能确定数据主体以证明匿名技术的成功。相反，如果可以证明在当时的情况和技术情况下不太可能确定数据主体，那么数据将被视为匿名数据。”

但是，其2014年匿名和化名指南中采用了不同的方法。一方面，工作组承认GDPR的基于风险的测试方法；另一方面，工作组似乎是在设计零风险测试 - 它的指南表示：“匿名化是处理个人数据的结果，目的是滥用了不可逆转的预防个人数据。”这意味着，在当前的技术层面，作为应用于个人数据的技术，匿名的结果应与删除结果相同。

因此，工作组似乎认为与基于GDPR风险的测试方法相比，任何风险都是无法忍受的。第26条认为，匿名性不可能是绝对的（例如，技术会随着时间的推移而改变），而工作组则认为匿名应该是永久性的。这一矛盾也可以在其他国家当局发布的指南中找到。法国国家信息与自由委员会（CNIL）认为，匿名化是“实际上是无法识别的”。它认为匿名化是“努力不可逆的”，澄清“不可能”是目标，但也承认在实践中很难实现。但是，法国最高行政法院认为，只有在“不可能”直接或间接识别个人的情况下，无论是从数据控制器的角度进行评估还是从第三方进行评估，才能被视为匿名。

可以看出，这些不同的解释使法律不可能确定在实践中应采用哪些测试标准。

确定是否发生匿名化时应考虑哪些因素？

根据GDPR 26，评估数据是假名还是匿名的相关标准是可识别的。在确定是否可以确定个人时，“可以考虑合理使用的所有手段”。这包括所有客观因素，例如在处理时识别和考虑可用技术和技术发展所需的成本和时间。此外，人们认为应考虑三个标准以确定是否已经执行了识别：（i）是否仍然可以单独列出一个人； （ii）是否仍然可以将与人相关的记录相关联； （iii）是否仍然可以推断有关某人的信息。如果所有三个问题的答案均​​不回答，则可以将数据视为匿名。

如何确定相关时间尺度？

相关时间尺度是指考虑技术发展及其对数据处理的影响时应考虑的时间范围。在GDPR的第26条中，需要考虑的测试方法不仅是当前可用的手段，而且是将来可能开发的技术。但是，尚不清楚这方面应考虑哪个特定时间范围。

第26条未指定是否应考虑正在进行的技术变更（例如在许多领域引入但尚未应用于特定数据控制器或处理器的新技术），或者还应考虑当前正在研究的研究。提出了一些指导。他们建议考虑到现有的技术水平和在数据处理过程中可能出现的新技术。

就数据的寿命而言，考虑数据的保留期非常重要。例如，如果要保留数据十年，则数据控制器应考虑到第九年可能发生的身份识别的可能性。这意味着，即使首先不认为数据被视为个人数据，控制器也应意识到该数据以后将成为个人数据并做好准备的可能性。

原始读物：扬朱兹伊i |企业海外数据的依从性：GDPR中个人数据与非个人数据之间的区别