(高清版)GB∕T 37964-2019 信息安全技術 個人信息去標識化指南

國家市場監(jiān)督管理總局中國國家標準化管理委員會 I Ⅱ 34.1去標識化目標 34.2去標識化原則 34.3重標識風險 34.4去標識化影響 44.5不同公開共享類型對去標識化的影響 4 4 45.2確定目標 55.3識別標識 55.4處理標識 65.5驗證審批 75.6監(jiān)控審查 8 96.1角色職責 96.2人員管理 9附錄A(資料性附錄)常用去標識化技術 附錄B(資料性附錄)常用去標識化模型 附錄C(資料性附錄)去標識化模型和技術的選擇 24附錄D(資料性附錄)去標識化面臨的挑戰(zhàn) Ⅱ1下列文件對于本文件的應用是必不可少的。凡是注日期的引GB/T25069—2010信息安全技術術語GB/T25069—2010界定的以及下列術語和定義適用于本文件。[GB/T35273—2017,定義3.1][GB/T35273—2017,定義3.3][GB/T35273—2017,定義3.14]2標識符identifier微數(shù)據中的一個或多個屬性，可以實現(xiàn)對個人信息主體的唯一識別。直接標識符directidentifier微數(shù)據中的屬性，在特定環(huán)境下可以單獨識別個人信息主體。準標識符quasi-identifier微數(shù)據中的屬性，結合其他屬性可唯一識別個人信息主體。把去標識化的數(shù)據集重新關聯(lián)到原始個人信息主體或一組個人信息主體的過程。敏感屬性sensitiveattribute數(shù)據集中需要保護的屬性，該屬性值的泄露、修改、破壞或丟失會對個人產生損數(shù)據對于應用有著具體含義、具有使用意義的特性。完全公開共享completelypublicsharing數(shù)據一旦發(fā)布，很難召回，一般通過互聯(lián)網直接公開發(fā)布。受控公開共享controlledpublicsharing通過數(shù)據使用協(xié)議對數(shù)據的使用進行約束。領地公開共享enclavepublicsharing在物理或虛擬的領地范圍內共享，數(shù)據不能流出到領地范圍外。3a)對直接標識符和準標識符進行刪除或變換，避免攻擊者根據這些屬性直接識別或結合其b)控制重標識的風險，根據可獲得的數(shù)據情況和應用場景選擇合適的模型和技術，將重標識的b)個人信息安全保護優(yōu)先：應根據業(yè)務目標和安全保護要求，對個人信息進行恰當d)充分應用軟件工具：針對大規(guī)模數(shù)據集的去標識化工作，應考慮使用軟件工4a)重標識一條記錄屬于一個特定c)盡可能多的將記錄和其對應的d)判定一個特定的個人信息主體在數(shù)據集中是否存在；e)推斷和一組其他屬性關聯(lián)的敏感屬性。在開展去標識化工作之前需要根據應用需求確定數(shù)據的公開共享類型，不同發(fā)的重標識風險和對去標識化的要求如表1所示。公開共享類型高高中中低低實施過程中和完成后進行有效的監(jiān)控和審查。如圖1所示。監(jiān)控審查監(jiān)控審查處理標識5b)組織策略。了解數(shù)據是否屬于組織列入的重要數(shù)據或敏感數(shù)據范疇，數(shù)據應用時是否存在去f)關聯(lián)情況。了解數(shù)據披露歷史和去標識化歷史情況，待披露數(shù)據是否和歷史數(shù)據存在關聯(lián)e)去標識化模型和技術。了解數(shù)據適用的保護或去標識化標準，以及可能采用的去標識化模型6b)數(shù)據中存在混亂或錯誤情況，如“備注”字段前100條記錄的值為空，而后10007d)是否需要保持唯一性；e)是否需要滿足可逆性；法可參考附錄C,附錄D給出了去標識化面臨的風險。8d)進行有針對性的入侵者測試，看看是否有具備合格能力的e)讓團隊利用內部數(shù)據進行有針對性的入侵者測試，模擬違規(guī)者或敵對內幕人士可能發(fā)生的險評估的一部分?？勺C明的個人信息安全保護應依賴9c)與個人信息去標識化工作崗位人員工作合同或補充文檔中，應明確其理解工作職責和要承擔d)組織應定期開展業(yè)務和安全培訓，確保個人信息去標識化工作崗位人員接受充分和最新的培b)數(shù)據抽樣經常用于去標識化的預處理，對數(shù)據集進行隨機抽樣能夠為A并不一定在此抽樣數(shù)據集中。例如：2012年我國18歲及以上成年男性平均身高1.67m。如果數(shù)據集以平均身高來標識數(shù)據集A.2.2確定性加密a)確定性加密可以保證數(shù)據真實可用，即相同的兩個數(shù)據用同一密鑰進行加密將產生兩b)確定性加密可以一定程度上保證數(shù)據在統(tǒng)計處理、隱私防挖掘方面的有用性，確c)對確定性加密的重標識攻擊主要在于不具備密鑰使用權時的攻擊；關聯(lián)性攻擊則可能適用于采用同一密鑰進行確定性加密的密文，攻擊能否成功很大程度上取決于對加密算法參數(shù)的A.2.3保序加密b)保序加密可以在有限的范圍內保證加密結果在統(tǒng)計處理、隱私防挖掘、數(shù)據外包存儲與處理c)保序加密數(shù)據的完全重標識僅可能適用于擁有密鑰的一方。關聯(lián)性攻擊能否成功很大程度上a)某些保留格式加密具有確定性加密技術一樣的特點，如相同數(shù)據在同一密鑰下加密生成同樣共享秘密數(shù)據的存儲開銷是有限的?；诎踩喾接嬎銏?zhí)行的數(shù)據去標識化的處理技術是靈活A.3抑制技術抑制技術即對不滿足隱私保護的數(shù)據項刪除，不進行發(fā)布。包括從所有記錄中選定的屬性(如屏局部抑制技術應用于分類值，而泛化通常應用于數(shù)值，其共同目標是增加共享其標識符值的記A.3.4記錄抑制A.3.5注意事項屬性值進行泛化處理，如薪水泛化為5000～10000、10000～15000、15000～20000等，工作年限泛化為0～3年、4～6年等；c)如果數(shù)據記錄中只有1人工作年限為0～3年，薪水為15000～20000,則能夠定位到某個員假名創(chuàng)建技術主要包括獨立于標識符的假名創(chuàng)建技術和基于密碼技術的標識符派生假名創(chuàng)建技GB/T37964—2A.4.4注意事項分配技術采用純隨機方式，對于每一個標識符(人名),隨機生成一個不小于1并且不大于200A.5泛化技術A.5.1概述如果取整基數(shù)為10,觀察值為7,應將7向上取整至10,概率為0.7,若向下取整至0,概率為0.3。A.5.3頂層與底層編碼泛化技術為某一屬性設定一個可能的最大(或最小)閾值。頂層與底層編碼技術使用表示頂層(或A.6.3置換置換是在不修改屬性值的情況下對數(shù)據集記錄中所選屬性的值進行重新排序的一種技術。因此，置換技術適用于數(shù)字與非數(shù)字值。因為觀察到的不一致性可能有助于對置換算法實施逆向工程，b)創(chuàng)建合成數(shù)據的方法很多。理論上，數(shù)據可根據所選的統(tǒng)計特性隨機生成。該類模型的關鍵特征主要體現(xiàn)在每種屬性(總體與子總體)的分布以及屬性之間的內部據的生成會采用隨機化技術與抽樣技術對真實數(shù)據集進行多次或連續(xù)轉c)合成數(shù)據可用于開發(fā)查詢。合成數(shù)據可用作真實數(shù)據的替代項：數(shù)據管理者能在實際數(shù)據中求任何等價類中敏感屬性的分布與整個數(shù)據集中相應屬性的分布之間的距離小于閾值T。a)每行記錄重標識概率的計算方法雖然每行記錄重標識的概率等于1除以其等價類的大小，但是具體的計算數(shù)據集中重標識風議為0.33,即數(shù)據集中等價類的最小尺寸應為3。實際使用時重標識的最大概率也可以定為B.1.4.2環(huán)境風險度量重標識風險會受到環(huán)境風險的影響。環(huán)境風險是針對數(shù)據集發(fā)起一次或多次重標識攻擊的概率。b)受控共享數(shù)據發(fā)布——對包括外部合作或分包場所涉及的人員在內的所有個人和團隊成——應有應對違反隱私協(xié)議的必要措施，可能的措施包括立即向數(shù)據保管人發(fā)出書面●信息接收方在與組織合作中是否發(fā)生過安全事故；●信息接收方是否曾經訪問可以關聯(lián)到實施重標識攻擊數(shù)據的其他隱私數(shù)據庫或數(shù)員發(fā)起重標識攻擊的可能性。具體如表B.1所示。隱私和安全控制水平動機和能力高低中高中低中高低低中高2)熟悉數(shù)據集的內部人無意識重標識m——認識的平均人數(shù)。p的值應由最近的人口統(tǒng)計確定；建議m的平均值應在150～190之間。3)數(shù)據泄露或報表軟件做出響應前，軟件組件會添加一定量的隨機噪聲，且該噪聲與查詢所對應的隱私損失成差分隱私算法對其應答的每次查詢會產生隱私成本或隱私損失。在精心設計的差分隱私算法中，●隱私預算可組合性：如果用保證程度分別為e?和E2的差分隱私來回應給定數(shù)據集的兩個查姓名心臟病P[M(D)=0]≤exp(e)×P[M對于數(shù)據集D上的任意一個函數(shù)f:D→R4,d表示函數(shù)f的輸出維度，若隨機算法M滿足如下設隨機算法M輸入為數(shù)據集D,輸出為實體對象r∈range(M),q(D,r)為可用性函數(shù)，S為函數(shù)q(D,r)的敏感度。若算法M以正比于exp(e×q(D,r)/2S)的概率從range(M)中選擇并輸出r,那么則對每個桶通過添加拉斯噪聲后的數(shù)據集為Hh?′=h?+Lap(S/e),h?′=h?+Lap(S/e),…,hm′=h,+L因為S=1,所以h?1=h?+Lap(1/e),h?1=h?+Lap(1/e),…,h,=h,知道Dave的年齡為46歲，同時獲得了桶[40,50]中除Dave之外其他人的病況(例如心臟病人數(shù)為2),通過直方圖的桶[40,50]計數(shù)5,已經不能推斷出Dave是否有心臟病。表C.1常用去標識化技術和模型的特性類別降低分離降低關聯(lián)降低推導√低聚合統(tǒng)計數(shù)據√√√低/中”√XX中√×X中同態(tài)加密√×XX高√XXX高同態(tài)秘密√XXX高√√X低局部抑制√低記錄抑制√低√XX低h/中√X低√X低隨機化噪聲添加X低X中XX中√√表C.1(續(xù))類別降低分離降低關聯(lián)降低推導×√√中/高√√×高b如果不需要查看映射表。除非K匿名是基于微聚集實現(xiàn)的。b)抑制屏蔽。直接刪除姓名或使用統(tǒng)一的“*”來表示。如所有的姓名a)抑制屏蔽。直接刪除身份證號或使用統(tǒng)一的“*”來表示。如所有的身份證號都使用“**“440524****關*※*0014”“440524188*****0014”或“******188*********”代替，上述數(shù)據可分別用在需要保密出生日期、保密出生日期但允許對數(shù)據按時d)數(shù)據合成。采用重新產生的數(shù)據替代原身份證號，如使用數(shù)據集中的記錄順序a)抑制屏蔽。直接刪除銀行卡號或使用統(tǒng)一的“*”來表示。如所有的銀行卡號都使用“**吳興”代替。b)部分屏蔽。屏蔽銀行卡號中的一部分，以保護卡號信息。如分別可以屏蔽銀d)數(shù)據合成。采用重新產生的數(shù)據替代原銀行卡號，如使用隨機產生符合身份證號編碼規(guī)則的b)抑制屏蔽。直接刪除姓名或使用統(tǒng)一的“*”來表示。如所有的地址都使用“******”d)數(shù)據合成。采用重新產生的數(shù)據替代原地址數(shù)據，數(shù)據產生方法可以采用確定性方法。如使用“黑龍江省雞西市特鐵縣北京路23號”代替“江西省吉安市安?？h安平路1關關頭裝頭”“198**8888”或“*頭吳吳吳吳*8888”代替。c)隨機替代。使用隨機生成的一串數(shù)字來表示，如使用隨機生成的“2346544580”來取代“19888888888”。b)抑制屏蔽。直接刪除數(shù)值或使用統(tǒng)一的“*”來表示。如所有的數(shù)值都使用“*****”c)頂層和底層編碼。大于或小于一個特定值的處理成某個固定值。例如，年齡超過70歲的一律e)記錄交換。使用數(shù)據集中其他記錄的相應數(shù)值代替本記錄的數(shù)值。如設定規(guī)則，將記錄集中g)數(shù)據合成。采用重新產生的數(shù)據替代原始數(shù)據，數(shù)據產生方法可以采用確定性方法或隨機性a)泛化編碼。使用概括、抽象的日期來表示，如使用1880年代替1880年1月1日。b)抑制屏蔽。直接刪除日期數(shù)據或使用統(tǒng)一的“×”來表示。如所有的數(shù)值都使用“某年某日”c)部分屏蔽。對日期中的一部分做屏蔽，如1880年某月1日代替1880年1月1日。d)記錄交換。使用數(shù)據集中其他記錄的相應數(shù)值代替本記錄的數(shù)值。如設定規(guī)則，將出生日期1880年1月1日，產生隨數(shù)值32天，加到原始數(shù)值后將其變?yōu)?880年2月2日。f)數(shù)據合成。采用重新產生的數(shù)據替代原日期數(shù)據，如使用“1972年8月12日”代替“1880年1月1日”。地理數(shù)據在數(shù)據集中的表現(xiàn)形式多種多樣。地理位置可以通過地圖坐標推斷出來(例如，39.1351966,-77.2164013),可以通過街道地址(例如清華園1號)或郵編(100084)。地理位置也可能去標識化模型需要在實施時確定一些參數(shù)的值(如K-匿名的k,差分隱私的ε)。選擇這些參數(shù)值良中優(yōu)良中優(yōu)關聯(lián)起來。地理位置數(shù)據可以隨著時間的推移而聯(lián)系起來創(chuàng)建個體行為雇員在雇用后7天內進行能力測試。該信息將允許在正確報告員工的開始日期的員工數(shù)