1 范圍

      本標準描述了個人信息去標識化的目標和原則，提出了去標識化過程和管理措施。

      本標準針對微數據提供具體的個人信息去標識化指導，適用于組織開展個人信息去標識化工作，也適用于網絡安全相關主管部門、第三方評估機構等組織開展個人信息安全監督管理、評估等工作。

2 規范性引用文件

      下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 25069-2010 信息安全技術 術語

3 術語和定義

      GB/T 25069-2010界定的以及下列術語和定義適用于本文件。

3.1

      個人信息 personal information

      以電子或其他方式記錄的能夠單獨或與其他信息結合識別特定自然人身份或反映特定自然人活動情況的各種信息。

      ［GB/T 35273-2017，定義3.1］

3.2

      個人信息主體 personal data subject

      個人信息所標識的自然人。

      ［GB/T 35273-2017，定義3.3］

3.3

      去標識化 de-identification

      通過對個人信息的技術處理，使其在不借助額外信息的情況下，無法識別個人信息主體的過程。

      [GB/T 35273-20177，定義3.14]

      注：去除標識符與個人信息主體之間關聯性。

3.4

      微數據 microdata

      一個結構化數據集，其中每條（行）記錄對應一個個人信息主體，記錄中的每個字段（列）對應一個屬性。

3.5

      聚合數據 aggregate data

      表征一組個人信息主體的數據。

      注：例如各種統計值的集合。

3.6

      標識符 identifier

      微數據中的一個或多個屬性，可以實現對個人信息主體的唯一識別。

      注：標識符分為直接標識符和準標識符。

3.7

      直接標識符 direct identifier

      微數據中的屬性，在特定環境下可以單獨識別個人信息主體。

      注1：特定環境指個人信息使用的具體場景。例如，在一個具體的學校，通過學號可以直接識別出一個具體的學生。

      注2：常見的直接標識符有：姓名、身份證號、護照號、駕照號、地址、電子郵件地址、電話號碼、傳真號碼、銀行卡號碼、車牌號碼、車輛識別號碼、社會保險號碼、健康卡號碼、病歷號碼、設備標識符、生物識別碼、互聯網協議（IP）地址號和網絡通用資源定位符（URL）等。

3.8

      準標識符 quasi-identifier

      微數據中的屬性，結合其他屬性可唯一識別個人信息主體。

      注：常見的準標識符有：性別、出生日期或年齡、事件日期（例如入院、手術、出院、訪問）、地點（例如郵政編碼、建筑名稱、地區）、族裔血統、出生國、語言、原住民身份、可見的少數民族地位、職業、婚姻狀況、受教育水平、上學年限、犯罪歷史、總收入和宗教信仰等。

3.9

      重標識 re-identification

      把去標識化的數據集重新關聯到原始個人信息主體或一組個人信息主體的過程。

3.10

      敏感屬性 sensitive attribute

      數據集中需要保護的屬性，該屬性值的泄露、修改、破壞或丟失會對個人產生損害。

      注：在潛在的重標識攻擊期間需要防止其值與任何一個個人信息主體相關聯。

3.11

      有用性 usefulness

      數據對于應用有著具體含義、具有使用意義的特性。

      注：去標識化數據應用廣泛，每種應用將要求去標識化數據具有某些特性以達到應用目的，因此在去標識化后，需要保證對這些特性的保留。

3.12

      完全公開共享 completely public sharing

      數據一旦發布，很難召回，一般通過互聯網直接公開發布。

      注：同英文術語 The Release and Forget Model.

3.13

      受控公開共享 controlled public sharing

      通過數據使用協議對數據的使用進行約束。

      注1：例如通過協議禁止信息接收方發起對數據集中個體的重標識攻擊，禁止信息接收方關聯到外部數據集或信息，禁止信息接收方未經許可共享數據集。

      注2：同英文術語 The Data Use Agreement Model。

3.14

      領地公開共享 enclave public sharing

      在物理或虛擬的領地范圍內共享，數據不能流出到領地范圍外。

      注：同英文術語 The Enclave Model。

3.15

      去標識化技術 de-identification technique

      降低數據集中信息和個人信息主體關聯程度的技術。

      注1：降低信息的區分度，使得信息不能對應到特定個人，更低的區分度是不能判定不同的信息是否對應到同一個個人，實踐中往往要求一條信息可能對應到的人數超過一定閾值。

      注2：斷開和個人信息主體的關聯，即將個人其他信息和標識信息分離。

3.16

      去標識化模型 de-identification model

      應用去標識化技術并能計算重標識風險的方法。

4 概述

4.1 去標識化目標

      去標識化目標包括：

      a）對直接標識符和準標識符進行刪除或變換，避免攻擊者根據這些屬性直接識別或結合其他信息識別出原始個人信息主體；

      b）控制重標識的風險，根據可獲得的數據情況和應用場景選擇合適的模型和技術，將重標識的風險控制在可接受范圍內，確保重標識風險不會隨著新數據發布而增加，確保數據接收方之間的潛在串通不會增加重標識風險；

      c）在控制重標識風險的前提下，結合業務目標和數據特性，選擇合適的去標識化模型和技術，確保去標識化后的數據集盡量滿足其預期目的（有用）。

4.2 去標識化原則

      對數據集進行去標識化，應遵循以下原則：

      a）合規：應滿足我國法律、法規和標準規范對個人信息安全保護的有關規定，并持續跟進有關法律、法規和標準規范；

      b）個人信息安全保護優先：應根據業務目標和安全保護要求，對個人信息進行恰當的去標識化處理，在保護個人信息安全的前提下確保去標識化后的數據具有應用價值；

      c）技術和管理相結合：根據工作目標制定適當的策略，選擇適當的模型和技術，綜合利用技術和管理兩方面措施實現最佳效果。包括設定具體的崗位，明確相應職責；對去標識化過程中形成的輔助信息（例如密鑰、映射表等）采取有效的安全防護措施等；

      d）充分應用軟件工具：針對大規模數據集的去標識化工作，應考慮使用軟件工具提高去標識化效率、保證有效性；

      e）持續改進：在完成去標識化工作后應進行評估和定期重評估，對照工作目標，評估工作效果（包括重標識風險和有用性）與效率，持續改進方法、技術和工具。并就相關工作進行文檔記錄。

4.3 重標識風險

4.3.1 重標識方法

      常見的用于重標識的方法如下：

      a）分離：將屬于同一個個人信息主體的所有記錄提取出來；

      b）關聯：將不同數據集中關于相同個人信息主體的信息聯系起來；

      c）推斷：通過其他屬性的值以一定概率判斷出一個屬性的值。

以上為標準部分內容，如需看標準全文，請到相關授權網站購買標準正版。