标准规范下载简介:
内容预览由机器从pdf转换为word,准确率92%以上,供参考
DB31/T 1311-2021 数据去标识化共享指南.pdf5去标识化数据共享条件
5.1去标识化数据格主
去标识化数据遵守以下数据格式,使其 始处理方外的其他方暨名;并进行相应 的分类分级分层(见附录A),使其能被有序控制重标识及限制后续使用。 去标识化数据的最小元数据定义、描述及要求见表1。
表1去标识化数据格式
QGDW 11354-2017 调度控制远方操作技术规范5.2 去标识化技术条件
数据共享域适用的数据去标识化技术,满足以下条件。 城内匿名 1)标记由共享主体各自独立生成,基于共享主体的统一注册和登记编码(号),应用国产密码 算法对信息主体标识(符)进行技术处理,隐藏标识信息,形成对应“标记”。 2 标记不可逆,且生成过程有额外信息或密钥被服务机构独立维护与管理,在数据共享域 内,除生成标记的共享主体之外,其他任何主体无法识别特定信息主体。 3) 标记能够抗密码分析。除生成标记的共享主体之外,其他任何主体都不能将之复原为标 识(符)。
1)标记在共享主体私域内具有唯一性; 2)在各个共享主体的同一信息主体的“标记”各不相同; 3)共享过程以标记作为数据共享案引在数据共享域进行
6数据去标识化共享参与机构
数据共享域中,按机构对数据的处理范围,分为处理数据的共享主体、仅处理数据标记的服务主体 和不处理数据的支持主体三类(见图1)
参与数据共享的机构,共同构成数据共享域的不同层级服务,互信并制衡。
对共享主体各相关方的建议包括:
在参与各方的支持下,建设和运营数据共享服务平台(如数据交易所/交易中心等),维护数据
DB31/T1311—2021
共享域的安全有序运营;为共享主体(提供方、接收方和计算方)实现交互媒介、中介摄合、传输 流动、算结算、服务整合等数据共享中介服务。 1) 仅以元数据形式管理所共享数据,不收集、存储和处理数据; 2)妥善进行共享主体的注册和登记管理,审核共享主体身份并留存审核记录; 3 准确记录存储所开展的数据共享情况,主动核验共享主体发起的评估结论与报告,必要时 可要求共享主体补充证明材料(如要求提供方说明数据来源); 平台方可以集成评估方、安全方、计算方等的第三方服务。集成的第三方服务,依据协议 由服务提供者独立承担责任。
对支持主体各相关方的建议包括:
a) 自律方 以本文件及相应的国家标准或地方标准为基础,组织行业、技术与法律专家,形成评估方法、评 估标准,并封装相应评估服务工具,协调并监督评估方、安全方开展评估或核验工作。 1)对评估方法、评估标准的有效性和一致性负责; 2)及时响应法律法规的进展和有权机构的监管要求,修正相应方法标准工具; 3)及时响应安全方要求,支持安全方对评估方提交的评估结论开展核验。 b) 技术方 遵循本文件及相应国家标准或地方标准,提供数据去标识化与受控重标识等的基础安全技术, 以软件包、接口工具、密钥离线分配等形式,支持安全方开展数据共享过程的服务与控制。 1)所提供的密码安全技术,应通过密码管理部门检测审查; 2) 根据平台方提供资料对共享主体进行统一注册和登记,及时支持共享主体进行标记生成; 3)根据评估结论与报告,及时响应安全方,提供相应受控重标识技术支持,并记录存档。
数据去标识化共享基本流程
数据去标识化共享,包括以下过程(见图2)
数据预处理(含标记生所
图2去标识化数据共享基础流程
提供方按数据共享去标识化技术要求,将所提供或需求的数据标识符,转化成各自管理区域下的互 不相识的标记,并按照去标识化数据格式,匹配拟共享的属性、行为、关系等数据内容;两者组合形成去 标识化数据,纳入数据共享域,接受
平台方或共享主体委托评估方,对共享主体间已建立、拟建立、拟调整的数据共享行为进行评估: a) 收集数据共享相关的各种数据处理行为的制度、协议、方案、系统等依据材料,从数据内容、流 通过程、资质授权、应用场景等方面,进行验证和推论,构成多维度评估因子; b 通过对评估因子本身的合理性验证和对评估因子相互关系的关联性计算,形成定性结论,该定 性结论为数据去标识化共享的前置必要条件; c)结合定性结论,给出相应的风险提醒或改进意见,汇集依据材料,组合形成评估报告;评估报告 对于确定数据共享的合规性具有参考作用
如果需要计算,平台方将以提供方标记为索引的或者重新形成新标记为索引的去标识化数据,共享 至计算方,开展增值计算
如果直接共享使用的数据或增值计算的结果数据作用于个体,由安全方在数据共享域内对标记进 行受控重标识,构建不同私域的标记间的关联关系。
所对应的属性、行为、关系等数据内容。
8数据去标识化共享风险管理
具备必要的业务资质与信息安全等级,具备与所面临的安全风险相匹配的安全能力,并采取合理的 管理措施和技术手段,保护个人信息的保密性、完整性、可用性
预先进行数据治理,履行数据安全保护义务,采取加密、脱敏、备份、访问控制、审计等技术或者其他 必要措施,加强数据安全防护。
区分数据应用对个人或群体的影响 卡标识化数据经重标识后,接按照个 人信息保护法律法规及相关标准要求,遵循信! 则,开展数据合规管理和应用。
表A.3数据值泛化最小分层要求
B.1源自提供的共享风险
附录B (资料性) 数据共享风险识别与控制建议
风险识别: a)数据来源不明; b)未经同意输出个人相关数据。 控制建议: a)清晰数据源头,形成来源证明材料; b) 区分数据形成方式,包括提供方直接采集的、初步清洗处理的或经过算法计算后的数据等; C) 区分数据输出形式,以个人相关数据输出的,原始采集时未获向特定主体输出的同意,应重新 获得个人信息主体的同意;以去标识化数据输出的,需纳人数据共享域,形成对其他方的暨名; 预先进行相应数据共享评估,只有经评估确认数据来源、形成方式、输出形式真实合法的数据 可向第三方提供。
B.2源自计算的共享风险
风险识别: a)委托处理的数据在传输或存储时可能被泄漏; b)可能未获得委托方的再许可,而向他方提供数据; 由于被委托方缺乏与信息主体的接触场景,无法获得真实有效的同意,缺失信息主体同意基础 上的个人相关数据的接收、存储、计算等处理行为的合法性基础。 控制建议: a)传输存储以去标识化数据进行,辅以安全适当的技术手段、组织措施,防范数据泄露; b)计算方应有委托方的真实合法授权,其中经许可而再提供需独立授权; c)委托计算的数据为去标识化数据,并纳人数据共享域,保持匿名状态开展计算工作; d)计算成果数据的再提供,遵循提供方要求而进行; e) 预先进行相应数据共享评估,只有经评估确认委托授权、去标识化、安全措施等真实合法的才 可进行计算。
B.3源自接收的共享风
a)是否获得信息主体的同意; b)处理个人相关数据是否合法、正当、必要; c)使用个人信息是否符合个人信息保护相关法律法规的规定; d)可能未获得提供方的许可,而向他方提供数据。 控制建议: a)检查接收方业务资质、等保资质等,确认其具备与所面临的安全风险相匹配的安全能力,并具 备足够的管理措施和技术手段。 b)细分分接收方数据处理应用目的: 1)数据处理目的是否明确、清晰、具体
2)是否与信息主体的基本权利和自由相冲突; 3)是否存在法律所规定的禁止情形(获取后非法出售、提供等)。 细分接收方数据使用的应用场景、确认是否超出场景目的使用数据,是否未经提供方许可的数 据再提供。 d)对数据进行分级分类分层,确认是否只处理应用满足个人信息主体授权同意目的所需的最少 个人信息类型和数量。 e)细分接收方获得信息主体对其相关数据处理应用的同意的方式方法。 预先进行数据共享评估,只有经评估确认数据内容、数据应用与资质授权等合理匹配、真实合 法的才可进行接收,
B.4源自数据敏感性的共享风险
风险识别: a)个人敏感数据共享可能对个人主体权利、人身财产安全产生风险; b)法律法规禁止、限制共享的其他敏感数据进人共享可能对国家安全、公共安全产生风险。 控制建议: a)区分场景,与应用无关的个人敏感数据不得共享; b)法律法规规定的其他敏感数据禁止共享。 注:敏感数据判定参见GB/T352732020附录B
b)法律法规禁止、限制共享的其他敏感数据进人共享可能对国家安全、公共安全产生风险。 控制建议: a)区分场景,与应用无关的个人敏感数据不得共享; b)法律法规规定的其他敏感数据禁止共享。 注:敏感数据判定参见GB/T352732020附录B B.5源自身份识别性的共享风险 风险识别: 数据如若包含身份信息(标识)或直接与身份信息(标识)关联的信息,其泄露、非法提供和滥用,可 能导致侵犯个人隐私权甚或产生为违法犯罪分子利用的人身或财产安全风险。 控制建议: a)选择适当的数据处理与去标识化技术; b)禁止包含身份信息(标识)或直接与身份信息(标识)关联的数据的直接共享; c)通过数据共享域进行共享,证明并维护共享过程中对除提供方外的其他方的暨名。 B.6 6源自数据再识别的共享风险 风险识别: a)去标识化数据经再识别后,重新成为包含个人信息的数据。 b)被无关方获取后再识别的风险。 c)与其他数据(集)汇聚后重新识别出个人信息主体的风险。 控制建议: a)选择适当的数据处理与去标识化技术。
GB/T 27702-2011 信息与文献 信息检索(Z39.50)应用服务定义和协议规范B.5源自身份识别性的共享风险
B.6源自数据再识别的共享风险
风险识别: a)去标识化数据经再识别后,重新成为包含个人信息的数据。 b)被无关方获取后再识别的风险。 c)与其他数据(集)汇聚后重新识别出个人信息主体的风险。 控制建议: a)选择适当的数据处理与去标识化技术。 b)利用数据共享域“受控重标识”功能,区分并控制再识别的情形: 1)支持场景目的下,将数据关联至已知身份且已获同意的信息主体标识(符)的应用; 2) 禁止或限制非场景目的下,利用所接收的数据,找回信息主体标识(符)或重新组成标识的 应用,除非其依据其他法律法规而有权再识别。 c)预先开展数据共享评估,强化计算委托管理,防范以身份信息恭取为目的的数据融合计算。
LD/T 71.26-2019 轨道交通装备制造业劳动定额 专用齿轮刨齿加工.7源自过程中泄露的共
1/T1311—2021 数据流动即可能产生泄露风险。 控制建议: a)共享全程以去标识化数据进行,并辅以适当的加密技术措施; b)选择适当的数据处理与去标识化技术; C)共享全程在可控和安全的数据共享域下进行,即使发生泄露,也使得责任可追溯。
L1 1GB/T25069—2010信息安全技术术语 2] GB/Z28828—2012 信息安全技术公共及商用服务信息系统个人信息保护指南 [3] GB/T35273—2020 信息安全技术个人信息安全规范 [4] GB/T 379322019 信息安全技术数据交易服务安全要求 [5] GB/T379642019 信息安全技术个人信息去标识化指南 [6] GB/T39335—2020 信息安全技术个人信息安全影响评估指南 [7]电信和互联网个人信息主体个人信息保护规定(2013年7月16日中华人民共和国工业和信 息化部第24号令公布) [8]上海市公共数据开放暂行办法(2019年8月29日上海市人民政府令第21号公布) 91信息安全技术个 征求意见稿)