java - 使用 Java 技术存储 UII 和 PII 的加密算法

我不是律师，但我认为这取决于。

我认为没有特殊的库可以添加到您的项目中并符合 GDPR。

大部分 GDPR 合规性都在组织方面：征得用户同意为给定目的处理数据，将您的数据收集限制在您绝对需要的范围内（例如，当有人注册您的电子邮件地址时，不要要求提供任何其他内容）时事通讯），允许人们查看您存储了哪些数据，允许人们删除或更正他们的数据。与为您处理数据的人员和公司签订合同。记录您的数据收集和存储。有一个数据保护官和一个如何处理人们数据的计划。

如果你想对用户数据进行假名化，AES 是一个糟糕的选择，因为它是可逆的。散列函数会更好。这样，您可以例如对服务器日志中的所有 IP 地址进行散列处理，并且仍然能够看到 x% 的流量仅来自一个 IP 地址。如果您想匿名用户数据，只需将其删除，例如，从您的服务器日志中完全删除 IP 地址。

在将数据存储到数据库之前对其进行加密也可能是一个有争议的问题，因为您仍然拥有解密的密钥（甚至可能在同一系统的某个地方），它并不能真正提供太多保护。

GDPR 确实要求保护用户的数据，这涉及到技术（即使用最新的 TLS 版本进行网络连接、加密硬盘驱动器并将密钥保存在银行保险库中）和物理安全（将服务器放在一个安全的地方，门口有一只卑鄙的狗和一个卑鄙的保安）。