1 范圍

      本標(biāo)準(zhǔn)描述了個(gè)人信息去標(biāo)識(shí)化的目標(biāo)和原則，提出了去標(biāo)識(shí)化過(guò)程和管理措施。

      本標(biāo)準(zhǔn)針對(duì)微數(shù)據(jù)提供具體的個(gè)人信息去標(biāo)識(shí)化指導(dǎo)，適用于組織開(kāi)展個(gè)人信息去標(biāo)識(shí)化工作，也適用于網(wǎng)絡(luò)安全相關(guān)主管部門、第三方評(píng)估機(jī)構(gòu)等組織開(kāi)展個(gè)人信息安全監(jiān)督管理、評(píng)估等工作。

2 規(guī)范性引用文件

      下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 25069-2010 信息安全技術(shù) 術(shù)語(yǔ)

3 術(shù)語(yǔ)和定義

      GB/T 25069-2010界定的以及下列術(shù)語(yǔ)和定義適用于本文件。

3.1

      個(gè)人信息 personal information

      以電子或其他方式記錄的能夠單獨(dú)或與其他信息結(jié)合識(shí)別特定自然人身份或反映特定自然人活動(dòng)情況的各種信息。

      ［GB/T 35273-2017，定義3.1］

3.2

      個(gè)人信息主體 personal data subject

      個(gè)人信息所標(biāo)識(shí)的自然人。

      ［GB/T 35273-2017，定義3.3］

3.3

      去標(biāo)識(shí)化 de-identification

      通過(guò)對(duì)個(gè)人信息的技術(shù)處理，使其在不借助額外信息的情況下，無(wú)法識(shí)別個(gè)人信息主體的過(guò)程。

      [GB/T 35273-20177，定義3.14]

      注：去除標(biāo)識(shí)符與個(gè)人信息主體之間關(guān)聯(lián)性。

3.4

      微數(shù)據(jù) microdata

      一個(gè)結(jié)構(gòu)化數(shù)據(jù)集，其中每條（行）記錄對(duì)應(yīng)一個(gè)個(gè)人信息主體，記錄中的每個(gè)字段（列）對(duì)應(yīng)一個(gè)屬性。

3.5

      聚合數(shù)據(jù) aggregate data

      表征一組個(gè)人信息主體的數(shù)據(jù)。

      注：例如各種統(tǒng)計(jì)值的集合。

3.6

      標(biāo)識(shí)符 identifier

      微數(shù)據(jù)中的一個(gè)或多個(gè)屬性，可以實(shí)現(xiàn)對(duì)個(gè)人信息主體的唯一識(shí)別。

      注：標(biāo)識(shí)符分為直接標(biāo)識(shí)符和準(zhǔn)標(biāo)識(shí)符。

3.7

      直接標(biāo)識(shí)符 direct identifier

      微數(shù)據(jù)中的屬性，在特定環(huán)境下可以單獨(dú)識(shí)別個(gè)人信息主體。

      注1：特定環(huán)境指?jìng)€(gè)人信息使用的具體場(chǎng)景。例如，在一個(gè)具體的學(xué)校，通過(guò)學(xué)號(hào)可以直接識(shí)別出一個(gè)具體的學(xué)生。

      注2：常見(jiàn)的直接標(biāo)識(shí)符有：姓名、身份證號(hào)、護(hù)照號(hào)、駕照號(hào)、地址、電子郵件地址、電話號(hào)碼、傳真號(hào)碼、銀行卡號(hào)碼、車牌號(hào)碼、車輛識(shí)別號(hào)碼、社會(huì)保險(xiǎn)號(hào)碼、健康卡號(hào)碼、病歷號(hào)碼、設(shè)備標(biāo)識(shí)符、生物識(shí)別碼、互聯(lián)網(wǎng)協(xié)議（IP）地址號(hào)和網(wǎng)絡(luò)通用資源定位符（URL）等。

3.8

      準(zhǔn)標(biāo)識(shí)符 quasi-identifier

      微數(shù)據(jù)中的屬性，結(jié)合其他屬性可唯一識(shí)別個(gè)人信息主體。

      注：常見(jiàn)的準(zhǔn)標(biāo)識(shí)符有：性別、出生日期或年齡、事件日期（例如入院、手術(shù)、出院、訪問(wèn)）、地點(diǎn)（例如郵政編碼、建筑名稱、地區(qū)）、族裔血統(tǒng)、出生國(guó)、語(yǔ)言、原住民身份、可見(jiàn)的少數(shù)民族地位、職業(yè)、婚姻狀況、受教育水平、上學(xué)年限、犯罪歷史、總收入和宗教信仰等。

3.9

      重標(biāo)識(shí) re-identification

      把去標(biāo)識(shí)化的數(shù)據(jù)集重新關(guān)聯(lián)到原始個(gè)人信息主體或一組個(gè)人信息主體的過(guò)程。

3.10

      敏感屬性 sensitive attribute

      數(shù)據(jù)集中需要保護(hù)的屬性，該屬性值的泄露、修改、破壞或丟失會(huì)對(duì)個(gè)人產(chǎn)生損害。

      注：在潛在的重標(biāo)識(shí)攻擊期間需要防止其值與任何一個(gè)個(gè)人信息主體相關(guān)聯(lián)。

3.11

      有用性 usefulness

      數(shù)據(jù)對(duì)于應(yīng)用有著具體含義、具有使用意義的特性。

      注：去標(biāo)識(shí)化數(shù)據(jù)應(yīng)用廣泛，每種應(yīng)用將要求去標(biāo)識(shí)化數(shù)據(jù)具有某些特性以達(dá)到應(yīng)用目的，因此在去標(biāo)識(shí)化后，需要保證對(duì)這些特性的保留。

3.12

      完全公開(kāi)共享 completely public sharing

      數(shù)據(jù)一旦發(fā)布，很難召回，一般通過(guò)互聯(lián)網(wǎng)直接公開(kāi)發(fā)布。

      注：同英文術(shù)語(yǔ) The Release and Forget Model.

3.13

      受控公開(kāi)共享 controlled public sharing

      通過(guò)數(shù)據(jù)使用協(xié)議對(duì)數(shù)據(jù)的使用進(jìn)行約束。

      注1：例如通過(guò)協(xié)議禁止信息接收方發(fā)起對(duì)數(shù)據(jù)集中個(gè)體的重標(biāo)識(shí)攻擊，禁止信息接收方關(guān)聯(lián)到外部數(shù)據(jù)集或信息，禁止信息接收方未經(jīng)許可共享數(shù)據(jù)集。

      注2：同英文術(shù)語(yǔ) The Data Use Agreement Model。

3.14

      領(lǐng)地公開(kāi)共享 enclave public sharing

      在物理或虛擬的領(lǐng)地范圍內(nèi)共享，數(shù)據(jù)不能流出到領(lǐng)地范圍外。

      注：同英文術(shù)語(yǔ) The Enclave Model。

3.15

      去標(biāo)識(shí)化技術(shù) de-identification technique

      降低數(shù)據(jù)集中信息和個(gè)人信息主體關(guān)聯(lián)程度的技術(shù)。

      注1：降低信息的區(qū)分度，使得信息不能對(duì)應(yīng)到特定個(gè)人，更低的區(qū)分度是不能判定不同的信息是否對(duì)應(yīng)到同一個(gè)個(gè)人，實(shí)踐中往往要求一條信息可能對(duì)應(yīng)到的人數(shù)超過(guò)一定閾值。

      注2：斷開(kāi)和個(gè)人信息主體的關(guān)聯(lián)，即將個(gè)人其他信息和標(biāo)識(shí)信息分離。

3.16

      去標(biāo)識(shí)化模型 de-identification model

      應(yīng)用去標(biāo)識(shí)化技術(shù)并能計(jì)算重標(biāo)識(shí)風(fēng)險(xiǎn)的方法。

4 概述

4.1 去標(biāo)識(shí)化目標(biāo)

      去標(biāo)識(shí)化目標(biāo)包括：

      a）對(duì)直接標(biāo)識(shí)符和準(zhǔn)標(biāo)識(shí)符進(jìn)行刪除或變換，避免攻擊者根據(jù)這些屬性直接識(shí)別或結(jié)合其他信息識(shí)別出原始個(gè)人信息主體；

      b）控制重標(biāo)識(shí)的風(fēng)險(xiǎn)，根據(jù)可獲得的數(shù)據(jù)情況和應(yīng)用場(chǎng)景選擇合適的模型和技術(shù)，將重標(biāo)識(shí)的風(fēng)險(xiǎn)控制在可接受范圍內(nèi)，確保重標(biāo)識(shí)風(fēng)險(xiǎn)不會(huì)隨著新數(shù)據(jù)發(fā)布而增加，確保數(shù)據(jù)接收方之間的潛在串通不會(huì)增加重標(biāo)識(shí)風(fēng)險(xiǎn)；

      c）在控制重標(biāo)識(shí)風(fēng)險(xiǎn)的前提下，結(jié)合業(yè)務(wù)目標(biāo)和數(shù)據(jù)特性，選擇合適的去標(biāo)識(shí)化模型和技術(shù)，確保去標(biāo)識(shí)化后的數(shù)據(jù)集盡量滿足其預(yù)期目的（有用）。

4.2 去標(biāo)識(shí)化原則

      對(duì)數(shù)據(jù)集進(jìn)行去標(biāo)識(shí)化，應(yīng)遵循以下原則：

      a）合規(guī)：應(yīng)滿足我國(guó)法律、法規(guī)和標(biāo)準(zhǔn)規(guī)范對(duì)個(gè)人信息安全保護(hù)的有關(guān)規(guī)定，并持續(xù)跟進(jìn)有關(guān)法律、法規(guī)和標(biāo)準(zhǔn)規(guī)范；

      b）個(gè)人信息安全保護(hù)優(yōu)先：應(yīng)根據(jù)業(yè)務(wù)目標(biāo)和安全保護(hù)要求，對(duì)個(gè)人信息進(jìn)行恰當(dāng)?shù)娜?biāo)識(shí)化處理，在保護(hù)個(gè)人信息安全的前提下確保去標(biāo)識(shí)化后的數(shù)據(jù)具有應(yīng)用價(jià)值；

      c）技術(shù)和管理相結(jié)合：根據(jù)工作目標(biāo)制定適當(dāng)?shù)牟呗裕x擇適當(dāng)?shù)哪Ｐ秃图夹g(shù)，綜合利用技術(shù)和管理兩方面措施實(shí)現(xiàn)最佳效果。包括設(shè)定具體的崗位，明確相應(yīng)職責(zé)；對(duì)去標(biāo)識(shí)化過(guò)程中形成的輔助信息（例如密鑰、映射表等）采取有效的安全防護(hù)措施等；

      d）充分應(yīng)用軟件工具：針對(duì)大規(guī)模數(shù)據(jù)集的去標(biāo)識(shí)化工作，應(yīng)考慮使用軟件工具提高去標(biāo)識(shí)化效率、保證有效性；

      e）持續(xù)改進(jìn)：在完成去標(biāo)識(shí)化工作后應(yīng)進(jìn)行評(píng)估和定期重評(píng)估，對(duì)照工作目標(biāo)，評(píng)估工作效果（包括重標(biāo)識(shí)風(fēng)險(xiǎn)和有用性）與效率，持續(xù)改進(jìn)方法、技術(shù)和工具。并就相關(guān)工作進(jìn)行文檔記錄。

4.3 重標(biāo)識(shí)風(fēng)險(xiǎn)

4.3.1 重標(biāo)識(shí)方法

      常見(jiàn)的用于重標(biāo)識(shí)的方法如下：

      a）分離：將屬于同一個(gè)個(gè)人信息主體的所有記錄提取出來(lái)；

      b）關(guān)聯(lián)：將不同數(shù)據(jù)集中關(guān)于相同個(gè)人信息主體的信息聯(lián)系起來(lái)；

      c）推斷：通過(guò)其他屬性的值以一定概率判斷出一個(gè)屬性的值。

以上為標(biāo)準(zhǔn)部分內(nèi)容，如需看標(biāo)準(zhǔn)全文，請(qǐng)到相關(guān)授權(quán)網(wǎng)站購(gòu)買標(biāo)準(zhǔn)正版。