Data Point 数据点

一段具体的信息单元。是数据分析、安全调查、隐私评估的最小处理单位。

为什么这个词在安全语境里重要:

• 评估风险时,你不是说”我们有数据”,而是”我们有 N 个数据点,其中 M 个是 PII”
• 评估泄露后果时,影响人数 = 泄露的数据点条数
• 评估合规时,法规按数据点条数算罚款(GDPR: €20M 或全球营收 4%)

数据点的”颗粒度”很关键

同一份信息可以是不同颗粒度:

• 粗:“用户来自中国” —— 不算 pii
• 中:“用户来自上海” —— 边缘
• 细:“用户家庭地址” —— pii 无疑
• 超细:“用户实时 GPS 坐标 + 时间” —— 高敏感

颗粒度决定:

• 是否构成 PII / SPII
• 哪些法律适用
• 是否需要 隐私保护 措施

数据点聚合的风险

单独无害,组合敏感(称为”准标识符”问题):

• 邮政编码 + 出生日期 + 性别 → 在美国能识别 87% 的人
• 安全设计要考虑多个数据点组合后的识别风险,不是单个看

数据最小化原则

收集数据时:

• 能不收就不收
• 能匿名就匿名(去除标识符)
• 能聚合就聚合(只存”统计数”,不存原始)
• 过期就删

这是 隐私保护 法规的核心要求之一。