GB_T 42460-2023 信息安全技术 个人信息去标识化效果评估指南.docx

《GB_T 42460-2023 信息安全技术 个人信息去标识化效果评估指南.docx》由会员分享，可在线阅读，更多相关《GB_T 42460-2023 信息安全技术 个人信息去标识化效果评估指南.docx（17页珍藏版）》请在优知文库上搜索。

1、ICS35.030CCS1.80三B中华人民共和国家标准GB/T424602023信息安全技术个人信息去标识化效果评估指南Informationsecuritytechno1.ogy一Guideforeva1.uatingtheeffectivenessofpersona1.informationde-identi11cation2023T（三）I实施2023-03-17发布国家市场监督管理总局国家标准化管理委员会I1.OnI弓I宫I1.I范阚12规范性引用文件13术语和定义14个人信息去标识化效果分级35个人信息去标识化效果评估流程36评估实施46.1 评估准备46.2 定性评估56.3 定

2、址评估56.4 形成评估结论56.5 沟通与协商56.6 评估过程文档管理5附录A（资料性）直按标识符示例6附录B（资料性）准标识符示例7附录C（资料性）准标识符识别8附录D（资料性）基于K匿名模型的去标识化效果评估示例10参考文蛾15本文件按照GB1.12020标准化工作导则第1部分：标准化文件的结构和起草规则3的规定起草.请注意本文件的某些内容可能涉及专利.本文件的发布机构不承担识别专利的责任.本文件由全国信息安全标准化技术委员会(SACTrC260)提出并归口.本文件起草孤位：清华大学、中国电子技术标准化研窕院、北京大学、盟科技集团股份有限公司、上海三零卫士信息安全有限公司、中国软件评测

3、中心、北京大融信网络安全技术有限公司、蚂蚁科技集团股份有限公司、阿里巴巴(北京)软件眼务有限公司、北京市政务信息安全保障中心、深圳市的讯泞律机系统有限公M、北京百度网iR科技有限公E、中国人民银行数字货币研浣所.本文件主要起单人：金诗、王建民、周晨炜、谢安明、张峰吕、陈益、杳海平、赵亮、【集、叶晓俊、屈劲、白晓媛、李媛、刘依然刘俊河、洪的、宋玲娓.GB,T35273提出了个人信息去标识化的要求，明确了个人信息去标识化处理的环节和场景，GB37964就如何开展个人信息去标识化活动给出/指导.经去标识化处理后的个人信息并不能完全实现匿名化，仍存在Hi标识的风险，需结合应用场景进行去标识化效果评估.

4、本文件旨在依据个人信息能多大程度上标识个人身份（即标识度）进行分级,用于评估个人信息去标识化活动的效果，个人信息基于标识度分缎，有利于个人信息分级别探讨适用场景和安全管理要求，更有利于个人信息的使用和保护，根据国内外相关研究及实践成果，附录中给出了可供参考的计算方法和阔值推荐.侑息安全技术个人信息去标识化效果评估指南本文件提供了个人信息去标识化效果分级与评估的指南.本文件适用于个人信息去标识化活动,也适用于开展个人信息安全管理、监管和评估.2发范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.其中，注日期的引用文件，仅该日期对应的版本适用于本文件：不注日期的引用文件,

5、其最新版本（包括所有的修改单）适用于本文件.GBT250692022信息安全技术术谙GBrr352732020信息安全技术个人信息安全观范GB/T379642019信息安全技术个人信息去标识化指南3#wnxGBfr250692022、GBT352732020.GB379642019界定的以及下列术谱和定义适用于本文件。个人信息persona1.infaneticn以电子或者其他方式记录的与已识别或者可识别的IM然人有关的各种信息.注：不刨噩名化处理后的信也来源：GBI35273202031.有修改个人信息主体persona1.infx*ticnsubject个人信息所标识或者美联的自然人“来源

6、：GBT35275202033去标汉化deidenti11cation通过对个人信息的技术处理,使其在不借助额外信息的情况下,无法识别或者关联个人信息主体的过程.I来源：GRT3527-2O2O,3.1.5*Mnic11iata一个结构化数据集，其中每条（行）记录对应一个个人信息主体，记录中的每个字段（列）对应一个属性。（来源：GBT379M20193.43.5标汉符identifier微数据中的个或多个姐性,可以实现时个人信息主体的唯一识别.注：标识符分为直接标识符和准标识符，东淑：GB，T3796420193.63.6直接标识符directidentifier做数据中的属性，在特定环境卜可

7、以单独识别个人信息主体。注S常时向宜接标识符见附A来源：GB.T379642019,3.7)3.7符quasiidcnti11er做数据中的属性，结合其他属性可唯一识别个人信息主体，注；.常WD勺准标W符城H通准隔只符的识别淑,侏源：GB37961-2019,3.83.8标识reidentif10itio来源:GBrr3.9完全公开共享数据一且发布,东源：GBrr3.10受控公开共享379M2019,3.9把去标识化的数据集重新关联到原始个人信息主体或一如个人信思主体的过程。comp1.ete1.ypub1.icsharing很难弘回，一般通过互联网直接公开发布.379M2019,3.12co

8、ntro1.1.edpub1.icsharing通过数据使用协议对数据的使用进行约束.来源：GB,T379642019,3.133.11公开共享enc1.avepub1.icsharing在物理或者虚拟的所轼范围内共享，数据不能流出到领地范困外，来源：GB.T379M2019,3.14)3.12复标IR风J*re-identificationrisk标识度idcnti11abi1.ity从数据中能识别出个人信息主体的概率.3.13等价类equiva1.enceCIasS金数据中所育准标识符属性值相同的记录行的集合.3.14可接受风除01值acceptab1.eriskthresho1.d设定的

9、用标识风险临界数值。当灰标i他侬大F该数值时，就需要见取短鸵拼包包括去标识化处理)和砥用J够,实现风险在可控范附内。4个人信息去标识化效果分级基于数刖是否能直接识别个人怙息主体.或能以多大概率识别个人伯恩主体，个人信恩标识度分级划分为4级，律见表1,用于区分个人信息去标识化效果，表1个人信息标识度4级划分分级总分依蛆1级包含it接标配符,在特定环境下谁在推识别个人信息主体2级消除了H按标识符.但包含准以以符，J1.iR标识从及高广或等于可接受风除肉值呦消除了H接标识价.但包含准Mi乂符，nm尿识风绘低于n按受Ujft檄不包含任何标识付5个人信息去标识化效果评估流程个人信总去标识化效果评估流程见

10、图I,包括以下内容:a）评估准名；b）定性评估：c）定量评估：d）形成评估结论.沟通与协商和评估过程文档管理Vr穿于整个评估过程，ff1.1个人值息去标税磔原评估流程评估准备工作包括以下内容.a）确定待评估的数拉:集.b）确定数据弊使用的环境，包括业务场景、乳徵，人员、系统、已有其他数据等，O组建评估团队，包括个人信息保护合规专家、去标识化技术专家、相关业务专家等。1）开展前期调研，包括数据怏用环境的详细调研。e）确定评估依据包括相关的法律法规标准等.0确定更标识风嗓计算方案及可接受风降阈值：D更标识风险计算方案同时考虑数据集及其使用的环境，可基于K匿名模型或是基干差分隐私模型等：2）可接受风

11、嗓阈值符合相应安全要求，并符合应用需要，g）制定评估方案。&2ftiWi定性评估包括：a）按照GB379642019中5.3识别标识符，并形成标识符清单（包括1接标识符和准标识符）：b）判断数据集是否包含标识符清电中的标识符，如果不包含任何标识符，评为4级，评估结束，否则继续:O判断数据集是否消除了标识符法电中的直接标识符，如果含有清单中的宜接标识符，评为1娘，评估结束，否购进步进行定居评估。&3定量坪估包括：3）定量计算也标识风险，按照6。确定的里标识风险计算方案进行审标识风险计算：b）比较计算得到的更标识风险结果与可接受风险阈值，如果瓯标识风险结果小于可接受风险阈伯，评为3破，否则评为激，

12、评估结束。些于K匿名模型的中标识风脸计算方案及评估示例见附录D形成评估结论包括：a）结合定性评估与定量评估结果，形成去标识化效果分级结论：b）结论获得管理层批准&5沟通与侨商在评估过程中与相关方（包括数据提供方、数据接收方等）保持沟通并对沟通内容予以记丧包括：a）数据共享目的和数据共享环境的理新确认：b）更大的数据环境变更通知机制的建立：C）关于市标识风险收研的相互交流信息和意见；d）相关方已表达的对重标识风险的意见：e）定期/不定期重新评估的计划，&6m2tsbdm!评估过程文档管理包括以下内容。a）评估过程文档包括评估过程中依拉;、参考和产生的过程文档与结果文档，包括但不限于：1）评估方案

13、：包括待评估数据集、数据使用的环境、评估人员、评估方法、评估结果的形成和实施进度等；2）标识符识别报告：标识符识别的过程及结果；3）农标识风险计算方案：至标识风腌计算方案及更标识风降可接受阈值的确定过程及结果：4）评估报告：包含定性评估和定砒评估的过程及结果结论：5）评估记录：评估过程中的各种记录，包括沟通与协商的记录等.b）文档的管理包括标识、存储、保护、检索以及处置分发等。用量A（ftMtt）任何在特定环境卜可唯一”捌个人的识别号码、特征或代码等属于直接标识符，常见的直接标识符包括但不限于：a）姓名：b）公民身份号码：C）护照号：d）驾驶证号：C）详细住址：0电子邮件地址；g）电话号码（包

14、括手机号和周定电话号码）；h）传真号码：i）银行账户：j）车辆标识符和序列号（包括车牌号）:k）社会保障号码：1）健康卡号码；m）病历号码：n）设备标识符和序列号：O）生物识别码（包括指纹和声蚊等识别码）：p）全脸图片图像和其他任何可比对的图像：账号、证书号或诈可证号；D互.联网协议（IP）地址.C.1皿*HR碘准标识符是做数据中的属性，结合其他属性可唯一识别个人信息主体。通常，准标识符中的信息可被个人信息主体的熟人所了解，或者存在于某类数据库中。通常存在一些比较简化的操作方法识别准标识符.例如：将除去直接标识符之外剩余的其他蟠性都作为准标识符。这种方法没有考虑属性被数据接收者和其他背景知识（

15、其他外部数据资源）结合进行关联攻击的可能性，可能会形成过多的准标识符。如果应用K匿名方法进行处理，可健造成大限的信息丢失，致使去标识化后的数据无法支持原定的应用目的.另一种方法是比较有限的考虑关联攻击可能性，例如，只有在公开数据柒中会H；现的属性作为准标识符.这种方法因为对数据接收者或者攻击皆可能具备的颔外背景知识判断不充分，可能引起较高的虫标识个人信息主体的风除。因此，识别准标识符的过程需要同时考虑到数据本身的特征和数据使用的环境（应用目的、接收者以及背景知识等）.C.2双别丽R符的方法准标识符识别的过程从直接标识符识别之后开始,首先针时数据本身的特征进行初步识别,然后对数据使用的环境因素进行分析，进一步籍