在人工智能与数字经济加速发展的当下，个人数据已成为企业创新、商业决策与技术迭代的核心生产要素。然而，与数据价值同步增长的，是全球范围内日益严苛的隐私保护与数据治理要求。对于出海企业而言，如何在合规边界内释放数据价值，已不再只是法律合规问题，而是关乎商业模式可持续性、技术架构设计乃至全球化战略布局的基础性议题。

在纷繁复杂的监管规则之下，一个看似基础却至关重要的问题不断浮现：何谓“个人数据”？其法律边界究竟应当如何理解与把握？这一问题直接决定了企业数据合规义务的起点与适用范围，也决定了后续关于跨境传输、人工智能训练、数据共享、留存与交易等一系列合规判断的前提基础。

从规范层面看，全球各主要法域普遍采用“与已识别或可识别自然人相关的信息”作为个人数据的基本定义框架，并以“关联性”“识别性”作为判断标准。然而，在具体适用过程中，这一抽象定义不断受到技术演进与商业实践的挑战。IP 地址、设备指纹、日志数据、遥测数据、推断画像等新型数据形态，使得“是否能够识别个人”不再是一个静态、客观的问题，而演变为一个高度语境化、相对化且动态变化的法律评价。近年来，境外司法实践与监管立场进一步强化了这种“相对识别”的判断路径。

与个人数据认定密切相关的，是假名化与匿名化处理技术的法律效果问题。在实践中，不少企业将匿名化视为“合规终点”，试图以技术手段实现对数据保护义务的彻底豁免。然而，从监管逻辑看，匿名化并非一个单一动作，而是一项结果导向的持续性判断，其有效性取决于数据本身的特性、可获得的外部数据环境、合理可行的复识别成本以及技术发展水平的动态变化。假名化处理则更被普遍视为风险缓释工具，而非法律意义上的“去个人化”，仍然处于个人数据的监管框架之内。

2025年，不同国家及地区在立法与司法层面持续探索“如何更清晰、更务实地划定‘个人数据’的法律边界，从而在保护隐私与促进数据利用之间取得平衡”这一核心议题。如何在不断漂移的监管坐标中建立稳定、可持续的判断框架，正是出海企业数据合规工作必须直面的首要课题。

一、常见争议问题

• 设备数据是否构成个人数据？过去实践中通常认为设备数据关联、识别设备而非个人，但近年来该观念多次受到冲击。例如，欧盟法院在C-582/14布雷耶案[1]中，指出动态IP虽具有临时性，但只要数据控制者可通过与网络服务商协作等合法途径获取补充信息实现识别，即便该途径未被实际使用，仍符合个人数据特征。此外，C-604/22欧洲互动广告局案[2]的裁决更将设备相关数据的认定范围进一步拓宽。该案认定包含用户偏好的TC字符串属于个人数据，即便数据控制者自身无法将该字符串与设备IP地址结合、无跟踪个人的意愿且实际跟踪可能性极低，也不影响个人数据的认定。美国司法实践亦持类似倾向，联邦贸易委员会（FTC）诉Facebook案[3]中，企业通过设备指纹（硬件信息、浏览器配置组合）追踪用户行为的做法，被明确认定为处理个人信息，需履行告知与同意义务。

• 假名化与匿名化如何区分？经假名化处理的信息是否可以在一定程度上不被视为个人数据？假名化一般为用假名（如唯一标识符）替换直接标识符，但通过使用额外信息（如密钥或映射表）仍可重新识别自然人。对此，美国加州等州法明确去标识化的、聚合的个人数据不再属于个人信息[4]；但欧盟则对假名化信息保持严格规制态度，未因假名化处理而免除其个人数据属性。例如，C-434/16诺瓦克案[5]裁决指出，即便数据未标注姓名、身份证号等直接标识符，但数据处理内容（反映个人知识与能力）、目的（评估专业能力）与效果（影响职业前景）共同强化了其与个人的“相关性”，该数据仍构成个人数据；C-683/21国家公共卫生中心案[6]进一步明确，若个人数据可通过补充信息关联至特定自然人，则应认定为与可识别自然人相关的信息，且该认定不受限于补充信息是否与原始信息由同一主体持有。

• 公开信息或商业联系信息是否可以在一定程度上被豁免个人数据保护义务？欧盟等地对此持严格保护态度，认为即便数据来自公开渠道，处理时仍需满足透明度、目的限制等原则。与之相对，新加坡[7]等则对商业联系人信息（如工作邮箱、职务信息）采取“有限保护”原则，采取比其他个人数据更为宽松的义务要求。美国多州级立法也认为公开信息不受个人信息的严格保护义务约束。[8]

二、个人数据的识别：绝对还是相对？

当前各界对于个人数据的识别性是绝对的（即只要一方可识别即对所有人构成个人数据）或者相对的（即只有对具有可识别能力的一方构成个人数据）暂无明确定论。欧盟的个人数据保护体系长期以严格著称，个人数据识别的绝对性一直占据上风，但近年来面对数字经济发展的实际需求，也开始显现出一定的灵活性调整。这种“再平衡”趋势在2025年尤为凸显。

（一）司法判例转向：欧盟法院（CJEU）澄清传输中的“个人数据”认定[9]

2025年9月4日，CJEU对SRB诉EDPS案作出判决。该案历经两审，案件核心争议焦点之一即为“假名化数据是否属于个人数据”。

本案当事人之一单一处置委员会（SRB），为欧盟于2014年设立的，承担对濒临倒闭的银行实施有序处置职责的组织。2017年，SRB在处置西班牙大众银行（Banco Popular）过程中，委托第三方机构德勤（Deloitte）对所收集的股东和债权人的评论与反馈意见进行分类分析。SRB在传输数据前，用唯一字母数字代码替换提交者的直接身份信息（姓名），自身保留了代码与真实身份对应的“映射表”（密钥）。SRB认为此举已实现“匿名化”，传输给德勤的数据已不再是个人数据，故未在隐私声明中告知数据主体该数据传输行为。多名债权人因此向欧洲数据保护监督员（EDPS）投诉。EDPS调查后认定，由于SRB自身保留了密钥，因此涉案数据属于“假名化数据”而非“匿名化数据”，仍属于个人数据范畴，SRB未履行告知义务，违反《欧盟机构数据保护条例》（EUDPR）。SRB不服该决定，遂向欧洲普通法院提起诉讼。

2023年4月26日，欧洲普通法院作出一审判决，撤销EDPS决定。欧洲普通法院援引C-582/14 布雷耶案，主张“个人数据相对论”：强调数据性质取决于数据接收方能否合理识别个人，而非数据控制者的识别能力。欧洲普通法院认为德勤仅收到带代码的评论，既无解码密钥，也无合法途径获取额外识别信息，在技术上无法重新识别个人；且EDPS未能举证证明德勤存在“合理识别手段”。因此，对德勤而言，涉案数据属于匿名化数据，SRB无需履行告知义务。

EDPS认为一审法院错误限定“个人数据”的判断视角，混淆假名化与匿名化的立法原意，使数据控制者可以通过外包推卸责任，提起上诉。2025年9月4日，CJEU作出判决：撤销普通法院判决，发回重审。在该案中，CJEU一方面继续认可个人数据性质判断的相对性，但另一方面也强调了告知义务的履行不因后续处理而免除。CJEU在判决中明确：

（1）假名化数据的定性具有“相对性”：一方面，个人数据定义广泛，涵盖主观意见等思想表达——个人评论作为“自然人思想的体现”，必然与作者存在内在关联，无需额外审查内容、目的或效果，直接构成个人数据；另一方面，假名化不等于匿名化，假名化数据是否属于个人数据，需根据具体主体是否具备重新识别的“合理可能性”来判断——对持有解码密钥、可通过额外信息重新识别数据主体的控制者（SRB）而言，假名化数据仍属于个人数据；对未持有密钥且无合理识别手段的接收方（德勤）而言，若技术和组织措施能有效阻断识别可能性（需综合考量成本、时间、技术发展等因素），则数据不属于个人数据。CJEU在判决中亦援引了此前的诸多判例，用以强调对于识别可能性需要具体分析，例如CJEU援引C-582/14 布雷耶案及C-604/22 欧洲互动广告局案，认为即便控制者自身不现实掌握识别手段，但如果控制者拥有从另一方获取额外信息的合法途径，从而能够识别出数据主体，则该等数据仍属于个人数据。

（2）告知义务的履行具有“绝对性”：法院强调，告知义务需在数据收集时从控制者视角履行，与后续数据是否假名化、接收方能否识别无关。数据主体的同意有效性依赖于充分知情，控制者必须在收集阶段披露潜在数据接收方，这是“透明度原则”的核心要求。SRB未在隐私声明中告知德勤作为接收方，构成违法。

该案判决后，企业角度普遍认可判决带来的灵活性，即假名化数据对无识别能力的接收方可能不构成个人数据，为数据流动提供了技术缓冲，可减轻部分合规负担；但也有观点认为该相对性认定会导致数据在不同流转阶段可能有不同定性，使得个案评估具有复杂性，且对于作为数据传输方的控制者而言，相关义务未能减轻，对于接收方而言，亦仍需遵循合同义务（也有观点认为，假设接收方作为处理者存在，如认为其处理的非个人数据，可能导致处理者的法定义务，包括合同签署义务落空）。不论如何，若遵循CJEU在该案中的裁判逻辑，则在所有数据流动场景下，即便采取了假名化措施，对于数据传输方而言，相关数据仍然构成个人数据。因此，数据传输相关的一系列义务（如签署个人数据处理协议或标准合同条款（SCCs））并不能因此而免除。然而，若该数据对接收方而言已无法识别到特定个人，则可能出现一方视其为个人数据、另一方视其为非个人数据的局面。这种情况很可能导致双方在个人数据处理协议或SCCs的条款理解、具体义务履行等方面，产生谈判与执行上的复杂冲突。

该案判决预计还将带来持久的探讨与深远的影响。EDPB即宣布将就“匿名化与假名化”议题召开专门的利益相关者会议，重点收集各方（包括行业协会、组织、NGO、公司、律所、学者）对该判决影响的意见。[10]随后，欧盟委员会亦启动对“个人数据”定义的重释，拟将该“相对性”视角从司法层面落入立法层面。

（二）法规定义调整：欧盟委员会拟重释“个人数据”定义

2025年11月19日，欧盟委员会正式提出名为《数字综合法案》（Digital Omnibus）的立法提案[11]。这项一揽子修订方案旨在系统性地整合与协调欧盟近年来密集出台的人工智能、网络安全及数据保护等领域内的多项核心法规，解决其规则繁多、重叠交叉及执行困难的结构性问题，从而降低企业（尤其是中小企业）的合规负担，并提升监管体系的整体效能。其中，对具有全球标杆意义的GDPR中关于“个人数据”核心定义的修订，引发了激烈的讨论[12]。

现行GDPR对个人数据的认定秉持客观标准，明确其为“与已识别或可识别的自然人相关的任何信息”，其中“可识别”包括直接、间接识别。参考序言第26条，判断“可识别性”时，需综合考量控制者或其他主体为直接或间接识别该自然人而极有可能采用的所有手段（如单独识别手段）；且评估识别手段时不仅需考虑既有技术水平，也需考虑未来技术发展趋势。这意味着，只要理论上存在任何一方（不一定是数据持有者自身）有可能识别出自然人，该信息通常就会被认定为个人数据。经假名化处理的个人数据，若可通过附加信息关联至特定自然人，同样也落入个人数据范围。这确立了一个相对宽泛、基于客观技术可能性的保护范围。

修订提案则引入“主观认定”的相对维度，拟在第4条新增规定：“若某一主体综合其极有可能采用的识别手段后，仍无法识别信息所关联的自然人，则该信息对该主体而言不构成个人数据”，且即便后续接收方具备识别能力也不回溯适用。该认定仅关注特定数据控制者/处理者自身极有可能采用的识别手段是否具备识别能力。同时拟新增第41a条，授权欧盟委员会未来制定实施法案，为判断假名化数据在何时可被视为“非个人数据”提供统一的技术手段与标准，且该法案仅明确应评估“现有技术的发展水平”而未将原GDPR序言下需同时考虑未来技术发展趋势的表述纳入其中。这一调整将认定重心从数据属性转移到处理主体的能力与手段上，同一数据可能对部分主体受监管、对另一部分主体则不受监管。

这一转变旨在回应业界的长期诉求，通过缩小GDPR在某些场景下的适用范围来降低合规复杂性。例如，对于仅处理加密哈希值或假名化标识符、自身没有密钥也无法访问补充信息的云服务商或数据中介而言，其数据合规义务可能大幅减轻；该规定也为人工智能训练等数据密集型创新活动提供更灵活的法律空间。

但该修订也受到了以数字权利组织Noyb为代表的批评者的抨击。Noyb认为提案将“个人数据”的定义主观化、相对化违反上位法（如《欧盟基本权利宪章》所确立的保护底线）与判例法（如欧盟法院（CJEU）在“C-582/14 布雷耶案”、“C-579/21 潘基案”“C-479/22 POC案”等一系列判例中确立的“广义解读”和“考量任何接收方可能性”的原则），且该定义使得同一份数据对不同处理者的法律性质可能不同，导致GDPR的适用变得模糊且不可预测，并可能使数据主体的核心权利（如访问权、更正权）在实践中被实质性架空。[13]

三、处理技术的应用：假名化与匿名化的措施和效果？

（一）亚太：立足匿名化的“操作化”——联合指南提供匿名化实践框架

在个人数据保护的讨论中，对于“可识别性”的判断长期存在相对说与绝对说的理论分野。然而，无论采取何种学说立场，全球范围已形成一项普遍共识：经有效匿名化处理的数据不再属于个人数据。在这一共识基础上，亚太地区不断在匿名化的“操作化”方面进行积极探索，致力于构建可落地的技术标准与协同框架。

2025年7月31日，中国香港个人资料私隐专员公署与澳门个人资料保护局联合澳大利亚（维多利亚省）、加拿大（联邦及英属哥伦比亚省）、日本、韩国、新西兰及新加坡等七地隐私保护机构，正式发布《个人资料匿名化入门指南》（中文译本，以下简称“《匿名化指南》”）。《匿名化指南》旨在为机构提供匿名化处理的系统性方法论，尤其适用于结构化文本数据的初级匿名化实践。

《匿名化指南》将匿名化定义为“通过合理措施使个人资料无法识别特定个体”，并构建标准化操作流程，但明确提示匿名化的法律定义因司法管辖区而异（如欧盟将采取缓释措施的数据视为假名化数据，非完全匿名化，仍受GDPR约束），且机构需结合本地法规调整实践。

根据《匿名化指南》，匿名化可通过以下五个步骤进行。

点击可查看大图

除该标准化操作流程外，《匿名化指南》通过健身室向营销伙伴共享数据的案例，演示五步流程，并提供全球匿名化标准索引，包括：

（1）ISO标准：ISO/IEC 20889: 2018（列举的匿名化技术分类，帮助机构根据数据特性选择适配方法）、ISO/IEC 27559: 2022（匿名化需覆盖数据全生命周期，包括情境评估、风险管控及持续管治）；

（2）地区指引：澳大利亚《去标识化决策框架》、新加坡资料匿名化工具等。根据香港私隐专员介绍，该《匿名化指南》可与2024年香港发布的《AI个人资料保障模范框架》形成协同，为AI训练数据提供合规路径。

（二）欧盟：探索假名化的有效标准——EDPB发布关于假名化的01/2025号指南

当前欧盟暂未发布匿名化的相关指南，但不论是CJEU在SRB诉EDPS案的观点，还是《数字综合法案》的立法提案对GDPR的拟议修订，都凸显出“假名化”这一技术措施是否有效实施，是连接法律定性与实际操作的关键桥梁。对此，EDPB于2025年1月17日发布的公众咨询版《关于假名化的01/2025号指南》（Guidelines 01/2025 on Pseudonymisation for public consultation，以下简称“《假名化指南》”）[14]为业界提供了技术与操作指引参考。

根据《假名化指南》，假名化的技术措施和保障包括如下。

点击可查看大图

虽然假名化尚未实现匿名化的法律效果，但其有助于满足数据保护要求。例如假名化作为实现“设计和默认的数据保护（DPbDD）”的有效措施，在同时涉及向第三方传输的情况下，假名化亦是有效的降低风险手段。EDPB同时指出，控制者必须告知数据主体如何获得与其相关的假名，以及如何使用假名来证明其身份；以及任何导致未经授权撤销假名化的安全漏洞都构成个人数据泄露。

综合EDPB及WP29发布的多项指南，我们理解可参考如下效果判断是否已实现假名化。

点击可查看大图

作为参考，以下示例被欧盟监管机构认为满足了假名化的条件：

一家位于欧洲经济区（EEA）外的企业集团子公司为改善工作条件，拟通过在线问卷收集EEA内的员工反馈，并需将数据跨境传输至EEA外的服务提供商。

• 在问卷设计上，仅包含封闭式问题及极少量粗粒度人口统计属性（如性别、年龄组），且属性组合确保每组至少5人（或无数据），避免个体可识别性。

• 在数据假名化持续上，员工使用公司提供的一次性专用浏览器实例访问问卷，生成随机唯一会话ID（明文展示并加密传输），代理服务器替换用户代理信息、通过NAT隐藏真实IP及端口，确保流量数据无法关联至个人；服务提供商仅按加密会话ID整理问卷答复，生成统计报告及建议，并在任务完成后删除原始数据。员工若需个性化反馈，须主动提交会话ID至独立加密通道，该机制进一步隔离数据关联性。

上述措施使服务提供商仅持有加密会话ID及脱敏网络日志，即使第三国当局获取数据，因缺乏解密密钥及原始上下文（如一次性浏览器环境、NAT转换记录），无法将问卷内容或交互行为归因于特定员工，从而满足要求。《假名化指南》详细介绍了GDPR下假名化的定义、法律分析、技术措施和10个实际应用示例（例如内部分析中的数据最小化和保密性；保护身份——保密性和准确性；以及授予对假名数据的访问权限等），旨在为数据控制者和处理者阐明假名化的使用方法和益处。

与上述海外监管机构的行动同步，我国域内全国网安标委也动作频繁[15]。其中，《个人信息保护 个人信息识别指南（征求意见稿）》通过“各种信息”“有关”“已识别或可识别”“自然人”四个要素进行个人信息识别，对各个要素进行阐释、举例，突出强调个人信息识别需结合具体语境和特定场景事实。虽然《个人信息保护 个人信息识别指南（征求意见稿）》未明确采纳“相对说”或“绝对说”的单一理论标签，但其具体措辞与GDPR现有序言规定有一定相似之处，隐含并构建了一套动态的绝对性判断框架，强调对“所有可能合理采用的手段”进行综合的（考虑处理者自身掌握的可用信息和所有可结合的外部信息，以及个人信息处理者或者任何其他组织、个人可能合理采用的所有识别手段），实际的（排除仅在理论情况下具备识别可能性）、面向未来的（明确若已经预见到在存储期限内可能出现新的识别手段，则个人信息处理者应当采取一定的预防和保护措施，从新的识别手段出现之日起，相关信息即转为个人信息）评估。

总的来看，2025年全球在个人数据识别与匿名化领域的动向表明，纯粹的刚性保护模式正在向更具弹性的“风险管控”模式演进，各方的共同目标都是在保障个人基本权利的前提下，为数据的合法、高效利用创造更明晰的规则环境。

四、合规启示与建议

在人工智能与数字经济快速发展的背景下，个人数据的识别边界以及匿名化、假名化处理的法律效果，已不再是单一的技术或合规操作问题，而是构成企业数据治理体系的基础性工程。全球监管实践正在从静态规则适用转向动态风险治理，这一转向决定了企业无法通过一次性的合规判断实现长期“安全”。

首先需要正视的是，个人数据的认定本身具有高度的相对性与动态性。技术进步持续降低再识别成本，司法实践不断拓展“可识别性”的判断边界，而不同法域的监管取向差异进一步放大了不确定性。在此背景下，匿名化不再是“一锤定音”的合规工具，而是一项需要持续评估其有效性的风险缓释措施；假名化亦未改变个人数据的法律属性，而只是治理体系中的重要缓冲层。

因此，个人数据的识别与脱敏管理不应被视为一次性合规安排，而应纳入企业长期的数据治理与风险管理框架之中。监管机构真正关注的，并非企业是否采用了某种技术处理手段，而是其是否具备可持续、可审计、可迭代的数据治理能力，包括对数据来源、处理环境、再识别风险以及责任主体的持续管理。以下是几个核心策略供企业参考：

• 必要性前置分析：在实践层面，最具战略价值的合规路径并非事后补救，而是从业务源头控制风险。对于许多数据密集型业务而言，“是否真的需要处理个人数据”本身就是一个应当前置审视的问题。通过在业务设计初期排除不必要的个人信息要素，例如以场景化措施或者物理措施排除人员因素、收集替代数据实现同等业务目的、使用合成数据或边缘计算替代原始个人数据，不仅可以显著降低后续合规复杂性，也有助于构建更具弹性的全球数据架构。

• 匿名化不具可行性时的风控操作：同时也应当承认，并非所有业务场景都具备实现匿名化的现实基础。对于以对个人产生实质性影响为目标的业务模式，合规的关键不在于是否“去个人化”，而在于如何通过假名化、输出值（衍生结果而非原始数据）、用途限制、访问控制和责任分担机制，将个人数据处理纳入可控、可监督的治理结构之中。

• 数据流动下的“可信数据空间”打造：在数据流动场景下，上述问题尤为突出。无论是跨境传输、集团内共享还是第三方合作，企业均需综合考量数据发起方与接收方的角色、处理环境的安全性、处理技术的可控性以及用途的合法性，系统论证“可信数据空间”的可行性，并在此基础上持续识别和管理再识别风险。

归根结底，匿名化不是合规的终点，而是合规真正开始的地方。在不断变化的监管环境中，个人数据治理考验的并非企业对规则的记忆能力，而是其在不确定性中建立稳定判断框架与持续治理能力的成熟度。

扫描二维码可查看

附表：《现行GDPR与拟议提案对比表》

[注]

[1]参见https://curia.europa.eu/site/upload/docs/application/pdf/2016-10/cp160112en.pdf，最后访问日期：2025年12月31日。

[2]参见https://dpcuria.eu/case?reference=C-604/22，最后访问日期：2025年12月31日。

[3]参见https://www.ftc.gov/system/files/documents/cases/051_2021.01.21_revised_partially_redacted_complaint.pdf，最后访问日期：2025年12月31日。

[4]例如：根据加州《加州消费者隐私法案》 第1798.140条规定：已公开的、去标识化的、聚合的个人数据不再属于个人信息。

[5]参见https://dpcuria.eu/case?reference=C-434/16，最后访问日期：2025年12月31日。

[6]参见https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=OJ:C_202400914，最后访问日期：2025年12月31日。

[7]例如，根据新加坡《个人数据保护法》，其适用于个人数据（一般情况下，业务联系信息除外）的处理活动。根据PDPA第2条规定，业务联系信息指非由个人仅出于其个人目的提供的个人的姓名、职位名称或头衔、商务电话号码、商务地址、商务电子邮件地址或商务传真号码等信息，该等个人数据所关联的个人不以个人或家庭身份行事，业务不以盈利性、定期性、重复或连续性业务为限。

[8]例如：根据加州《加州消费者隐私法案》 第1798.140条规定：已公开的、去标识化的、聚合的个人数据不再属于个人信息；俄勒冈州《俄勒冈消费者隐私法》第1.13、1.18条规定：个人数据不包括匿名化个人信息或已经公开的个人数据。

[9]参见https://curia.europa.eu/jcms/upload/docs/application/pdf/2025-09/cp250107en.pdf，最后访问日期：2025年12月5日。

[10]参见https://www.edpb.europa.eu/news/news/2025/stakeholder-event-anonymisation-and-pseudonymisation-express-your-interest_en，最后访问日期：2025年12月5日。

[11]参见https://commission.europa.eu/news-and-media/news/simpler-digital-rules-help-eu-businesses-grow-2025-11-19_en；https://digital-strategy.ec.europa.eu/en/library/digital-omnibus-regulation-proposal.，最后访问日期：2025年12月5日。

[12]现行GDPR与拟议提案关于“个人数据”识别相关内容的详细对比可见本文附表。

[13]参见https://noyb.eu/en/digital-omnibus-first-analysis-select-gdpr-and-eprivacy-proposals-commission，最后访问日期：2025年12月5日。

[14]参见https://www.edpb.europa.eu/our-work-tools/documents/public-consultations/2025/guidelines-012025-pseudonymisation_en，最后访问日期：2025年12月5日。

[15]于2025年8月27日就《数据安全技术 个人信息匿名化处理指南及评价方法（征求意见稿）》公开征求意见，并于2025年11月24日对《个人信息保护 个人信息识别指南（征求意见稿）》《个人信息保护 个人信息去标识化指南（征求意见稿）》《个人信息保护 个人信息匿名化指南（征求意见稿）》等3项网络安全标准实践指南公开征求意见。