“脱敏”这个词在相关的法律法规、规范中通常作为保护数据安全的技术手段或技术措施出现,有时与“去标识化”或“匿名化”并列,有时则包含了“去标识化”或“匿名化”。
数据脱敏,顾名思义,是屏蔽敏感数据,对某些敏感信息(比如,身份证号、手机号、卡号、客户姓名、客户地址、邮箱地址、薪资等等 )通过脱敏规则进行数据的变形,实现隐私数据的可靠保护。
任何涉及敏感信息的行业都对数据脱敏有着天然的需求,其中,金融、政府和医疗行业首当其冲。
- 《网络安全法》第四十二条:网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
- 《数据安全法》第二十七条:开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,采取相应的技术措施和其他必要措施,保障数据安全。
- 《个人信息保护法》第五十一条:个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取相应的加密、去标识化等安全技术措施。
《信息安全技术 网络安全等级保护基本要求》明确规定,二级以上保护则需要对敏感数据进行脱敏处理。其中H.4.3 安全计算环境要求“大数据平台应提供静态脱敏和去标识化的工具或服务组件技术。”H.4.5 安全运维管理 “应在数据分类分级的基础上,划分重要数字资产范围,明确重要数据进行自动脱敏或去标识使用场景和业务处理流程。”
《网络数据安全管理条例(征求意见稿)》第十二条:数据处理者向第三方提供个人信息,或者共享、交易、委托处理重要数据的,应当向个人告知提供个人信息的目的、类型、方式、范围、存储期限、存储地点,并取得个人单独同意,符合法律、行政法规规定的不需要取得个人同意的情形或者经过匿名化处理的除外。
本文将“国家层面、行业层面、地方层面”出台的各项数据脱敏标准指南进行总结汇编,希望对此领域感兴趣的同学能够起到一定借鉴作用。
| 标准 | 发布组织 | 发布时间 | 页码 |
| GB/T 37964-2019 信息安全技术 个人信息去标识化指南 | 市管局、标管委 | 2019.08.30 | 01 |
| GB/T 42460-2023 信息安全技术 个人信息去标识化效果评估指南 | 市管局、标管委 | 2023.03.17 | 05 |
| 信息安全技术 个人信息去标识化效果分级评估规范 | 市管局、标管委 | / | 08 |
| YD_T 3806-2020 电信大数据平台数据脱敏实施方法 | 工信部 | 2020.12.09 | 10 |
| YD/T 4245-2023 电信网和互联网数据脱敏技术要求和测试方法 | 工信部 | 2023.05.22 | 13 |
| JR/T 0223—2021 金融数据安全 数据生命周期安全规范 | 中国人民银行 | 2021.04.08 | 16 |
| DL/T 2549-2022 电力数据脱敏实施规范 | 国家能源局 | 2022.11.04 | 19 |
| JT 2021-30 交通运输数据脱敏指南 | 交通运输部 | 2023.02.19 | 21 |
| GY/T 351-2021 广播电视和网络视听收视综合评价数据脱敏规则 | 国家广播电视总局 | 2021.05.31 | 23 |
| T/GZBC 36-2020 广东省健康医疗数据脱敏技术规范 | 广州标促会 | 2020.08.17 | 24 |
| T/CAAMTB xx-2022 汽车传输视频及图像脱敏技术要求与方法 | 汽车工业协会 | 2022.08.18 | 26 |
| DB31/T 1311-2021 数据去标识化共享指南 | 上海市监局 | 2021.07.27 | 29 |
| DB 3301/T 0363-2022 公共数据脱敏管理规范 | 杭州市监局 | 2022.04.30 | 31 |
| DB 37/T 3523. 2-2019 公共数据开放 第2部分:数据脱敏指南 | 山东市监局 | 2019.03.21 | 33 |
| DB51/T 3058-2023 政务数据 数据脱敏规范 | 四川市监局 | 2023.04.28 | 35 |
| DB 34/T XXXXX 政务数据 第 2 部分:脱敏技术规范 | 安徽市监局 | / | 36 |
以下简介:
GB/T 37964-2019 《信息安全技术 个人信息去标识化指南》
在大数据、云计算、万物互联的时代,基于数据的应用日益广泛,同时也带来了巨大的个人信息安全问题。为了保护个人信息安全,同时促进数据的共享使用,特制定个人信息去标识化指南标准。
去标识化:通过对个人信息的技术处理,使其在不借助额外信息的情况下,无法识别个人信息主体的过程。
GB/T 42460-2023 《信息安全技术 个人信息去标识化效果评估指南》
本文件提供了个人信息去标识化效果分级与评估的指南。本文件适用于个人信息去标识化活动,也适用于开展个人信息安全管理、监管和评估。
《信息安全技术 个人信息去标识化效果分级评估规范》
本文件提出了个人信息标识度分级和评定方法。本文件适用于个人信息去标识化活动,也适用于开展对上管理、监管和评估。
YD_T 3806-2020 《电信大数据平台数据脱敏实施方法》
本标准规定了电信大数据平台数据脱敏的指导原则、典型流程,对不同场景下的脱敏实施方法、脱敏算法选择给出了建议。本标准适用于电信大数据平台、安全管控平台中的数据脱敏。
YD/T 4245-2023 《电信网和互联网数据脱敏技术要求和测试方法》
本文件规定了电信网和互联网数据脱敏的技术要求与测试方法。本文件适用于电信网和互联网数据的脱敏工作,脱敏技术能力的设计、研发、测试、评估和验收等,包括数据脱敏的提供商、用户、测评机构和监管机构等。
JR/T 0223—2021 《金融数据安全 数据生命周期安全规范》
金融敏感信息通常包括国家规定的敏感信息、业务数据的敏感信息,以及个人金融信息的敏感信息等,在实际应用过程中,需要根据实际业务场景、数据安全级别等因素,选择适当的数据脱敏方式防止敏感信息泄露。
DL/T 2549-2022 《电力数据脱敏实施规范》
本文件规定了电力数据脱敏的目标、原则、形态、典型场景、实施流程和相关技术要求。本文件适用于电力行业非涉密信息系统中结构化数据的脱敏。
JT 2021-30 《交通运输数据脱敏指南》
本文件给出了交通运输数据的脱敏目标、脱敏原则、脱敏流程和脱敏过程管理的相关建议。本文件适用于交通运输数据脱敏工作,为数据脱敏工作的规划、实施和管理提供指导。
GY/T 351-2021 《广播电视和网络视听收视综合评价数据脱敏规则》
本文件规定了广播电视和网络视听收视综合评价数据的脱敏原则、脱敏技术、脱敏流程和脱敏要求。本文件适用于广播电视和网络视听收视综合评价数据的脱敏。
T/GZBC 36-2020 《广东省健康医疗数据脱敏技术规范》
本标准适用于指导健康医疗数据控制者对健康医疗数据进行安全保护,也可供健康医疗机构、相关主管部门以及第三方评估机构等组织开展健康医疗数据的安全监督管理与评估等工作时参考。
T/CAAMTB xx-2022 《汽车传输视频及图像脱敏技术要求与方法》
本文件规定了汽车传输视频及图像中的人脸和车牌数据进行脱敏处理的功能要求、脱敏方法及性能要求、试验方法和脱敏结果评估。本文件适用于对车端采集的视频及图像中的人脸和车牌数据脱敏处理,其他数据脱敏处理可参照使用。
DB31/T 1311-2021 《数据去标识化共享指南》
本文件适用于组织(机构)之间进行数据共享的行为,包括企事业单位之间基于自愿协 议的数据共享、数据合作、数据交换、数据交易等行为、同一集团内部独立法人组织之间的数据共享的行为、政府或公共机构向社会组织有条件开放数据的行为。组织内部的数据治理、自我测评等可参照执行。
DB 3301/T 0363-2022 《公共数据脱敏管理规范》
本文件规定了公共数据的基本原则和管理要求。本文件适用于公共数据脱敏工作的规划、实施和管理。
DB 37/T 3523. 2-2019 公共数据开放 第2部分:数据脱敏指南
本部分捉供了公共数据开放中数据脱敏的指导和建议,并给出了基本原则、脱敏规划、脱敏流程等方面需考虑的要点信息。本部分适用于山东省公共数据开放的数据脱敏工作。
DB51/T 3058-2023 《政务数据 数据脱敏规范》
本文件规定了四川省全省范围内政务数据共享开放过程中的数据脱敏原则、数据脱敏应用场景、数据脱敏技术规范、数据脱敏流程和数据脱敏方法。本文件适用于指导四川省全省范围内政务数据的数据脱敏工作,以及各级政务部门对政务数据脱敏工作机制的建立和实施。
DB 34/T XXXXX 《政务数据 第 2 部分:脱敏技术规范》
本文件给出了政务数据脱敏基本要求、数据脱敏技术、数据脱敏策略和数据脱敏流程。本文件适用于指导非涉密政务信息系统中结构化数据的数据脱敏工作。
下载各项数据脱敏标准指南全文,关注“极盾科技”公众号,回复“数据脱敏”即可。《数据脱敏标准汇编》全文下载:
更多标准、白皮书、报告等高质量纯净资料下载,在文末扫码关注官方微信公众号“idtzed”,进入公众号菜单“治库”,或按自动回复发送引号内关键词。
即日起,前沿资料更新将只对数治网DTZed 正式会员开放免费下载,每月前100位申请开通、加入 AIGC + X 赋能成长营,即可获取 AI 人才匹配、自主学习课件和数据素养基础测评三大星舰会员权益:
- 填写开通申请;
- 扫码获邀入群;
更多内推、热招职位征集中,还可领取入门公益宣讲和升值加薪计划福利,一起用 AI 工具打败工具人。
