信息安全技術(shù) 個人信息去標(biāo)識化效果分級評估規(guī)范

信息安全技術(shù)個人信息去標(biāo)識化效果分級評估規(guī)范在提交反饋意見時，請將您知道的相關(guān)專利與支持性文件一并附上國家標(biāo)準(zhǔn)化管理委員會I Ⅱ 12規(guī)范性引用文件 1 1 34.1概述 3 3 3 3 3 3 45.2重標(biāo)識風(fēng)險計算 4附錄A(資料性)直接標(biāo)識符示例 7附錄B(資料性)準(zhǔn)標(biāo)識符示例 8附錄C(資料性)去標(biāo)識化效果分級評定示例 9參考文獻(xiàn) 1本文件提出了個人信息標(biāo)識度分級和評定方本文件適用于個人信息去標(biāo)識化活動，也適用于開展對個人信息安全管理、監(jiān)管和評估。凡是不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T25069信息安全技術(shù)術(shù)語GB/T35273—2020信息安全技術(shù)個人信息安全規(guī)范GB/T37964—2019信息安全技術(shù)個人信息去標(biāo)識化指南GB/T25069、GB/T35273—2020、GB/T37964—2019中界定的以及下列術(shù)語和定義以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然通過對個人信息的技術(shù)處理，使其在不借助額外信息的情況下，無法識別或者2一個結(jié)構(gòu)化數(shù)據(jù)集，其中每條(行)記錄對應(yīng)一個個人信息主體，記錄中的每個字段(列)對應(yīng)一微數(shù)據(jù)中的一個或多個屬性，可以實現(xiàn)對個人信息主體的唯一識別。微數(shù)據(jù)中的屬性，在特定環(huán)境下可以單獨(dú)識別個人信息主體。微數(shù)據(jù)中的屬性，結(jié)合其它屬性可唯一識別個人信息主體。把去標(biāo)識化的數(shù)據(jù)集重新關(guān)聯(lián)到原始個人信息主體的過程。在物理或者虛擬的所轄范圍內(nèi)共享，數(shù)據(jù)不能流出到領(lǐng)地范圍外。3所有準(zhǔn)標(biāo)識符屬性值相同的數(shù)據(jù)記錄行的集合。4.1概述基于重標(biāo)識風(fēng)險從高到低，個人信息標(biāo)識度分級劃分為4級，如圖1所示。圖1標(biāo)識度分級4.21級(能直接識別主體的數(shù)據(jù))包含直接標(biāo)識符(例如：姓名、手機(jī)號、身份證號等)的數(shù)據(jù)，在特定環(huán)境下能直接識別個人信息4.32級(消除直接標(biāo)識符的數(shù)據(jù))信息主體的信息。或者對直接標(biāo)識符進(jìn)行了處理(例如：泛化、抑制等),使其不再能直接(單獨(dú))標(biāo)識個人身份。例如：常見的身份證號碼或者手機(jī)號碼將部分位段標(biāo)“*”處理，已轉(zhuǎn)化為準(zhǔn)標(biāo)識符。重標(biāo)識風(fēng)險按照5.2計算。重標(biāo)識風(fēng)險閾值建議設(shè)定為0.05。4.43級(重標(biāo)識風(fēng)險可接受數(shù)據(jù))重標(biāo)識風(fēng)險按照5.2計算。重標(biāo)識風(fēng)險閾值建議設(shè)定為0.05。4.54級(聚合數(shù)據(jù))4個人信息去標(biāo)識化效果評定流程如圖2所示，包括去標(biāo)識化定性評定和重標(biāo)識風(fēng)險定量計算。去標(biāo)識化評定過程如下：a)接收待評估數(shù)據(jù)集、數(shù)據(jù)共享類型(若不給定，默認(rèn)為完全公開共享)及設(shè)定的重標(biāo)識風(fēng)險閾值(若不給定，默認(rèn)為0.05);b)定性評估數(shù)據(jù)集去標(biāo)識化處理情況；c)判斷是否為聚合數(shù)據(jù)，如果是則評定為4級，否則進(jìn)行下一步判斷；d)判斷是否消除了直接標(biāo)識符，如果否則評定為1級，是則進(jìn)行下一步判斷；e)根據(jù)5.2節(jié)方法，定量計算重標(biāo)識風(fēng)險，并進(jìn)行下一步判斷；f)比較重標(biāo)識風(fēng)險與給定風(fēng)險閾值大小，如果小于風(fēng)險閾值則評定為3級，否則評定為2級。開始開始類型、風(fēng)險閾值Y是聚合數(shù)據(jù)?NNY風(fēng)險小于閾值?Y結(jié)束定2級定1級定4級N圖2個人信息去標(biāo)識化效果評定流程重標(biāo)識風(fēng)險計算是綜合考慮數(shù)據(jù)和環(huán)境因素的計算過程。先計算每行記錄的重標(biāo)識概率，進(jìn)而計算數(shù)據(jù)集的重標(biāo)識概率，然后再結(jié)合環(huán)境風(fēng)險計算整個數(shù)據(jù)集的重標(biāo)識風(fēng)險。5.2.2計算每行記錄重標(biāo)識概率每行記錄重標(biāo)識概率(0;)計算步驟如下：5等價類內(nèi)所有記錄的重標(biāo)識風(fēng)險是相同的。表1列出了兩種常用的數(shù)據(jù)集風(fēng)險度量指標(biāo)。其中表a)完全公開共享數(shù)據(jù)發(fā)布，攻擊者對數(shù)據(jù)集進(jìn)行重標(biāo)識攻擊的概率為pr(context)=1;發(fā)起重標(biāo)識攻擊的可能性。具體如表2所示：表2重標(biāo)識攻擊的可能性分析表高低中高中低中高低低中高3)數(shù)據(jù)泄露，概率等于數(shù)據(jù)接收方設(shè)施發(fā)生數(shù)據(jù)泄露的概率。67任何在特定環(huán)境下可唯一識別個人的識別號碼、特征或代碼，常見的直接標(biāo)識符包括但不限于：a)姓名h)傳真號碼j)車輛標(biāo)識符和序列號，包括車牌號k)社會保障號碼n)設(shè)備標(biāo)識符和序列號o)生物識別碼，包括指紋和聲紋等識別碼p)全臉圖片圖像和其它任何可r)互聯(lián)網(wǎng)協(xié)議(IP)地址號s)網(wǎng)絡(luò)通用資源定位符(URL)8任何在相應(yīng)環(huán)境下無法單獨(dú)唯一識別個人信息主體，但結(jié)合其它信息可唯一識別個人信息主體的a)性別c)事件日期(例如入院、手術(shù)、出院、訪問相關(guān)日期)d)地理范圍(例如郵政編碼、建筑名稱、地區(qū))e)族裔血統(tǒng)g)語言h)原住民身份i)可見的少數(shù)民族地位j)職務(wù)、工作單位、部門等職業(yè)信息k)婚姻狀況n)總收入o)宗教信仰9某醫(yī)院領(lǐng)地公開共享的一批胃癌患者的用藥記錄數(shù)據(jù)集，已經(jīng)對姓名、年齡等表C.1某醫(yī)院內(nèi)部的去標(biāo)識化數(shù)據(jù)集男女男男女男男男女男女男女男女男該去標(biāo)識數(shù)據(jù)集有以下通過判定或獲取到的條件：a)定性判定：該領(lǐng)地公開共享數(shù)據(jù)集采取高級別的隱私和安全控制水平，攻擊者發(fā)起攻擊的動機(jī)b)根據(jù)GCO在線數(shù)據(jù)庫估計，國內(nèi)胃癌患者約151萬，占總?cè)丝诘?.00108(總?cè)丝诩s為140005萬人);假設(shè)該數(shù)據(jù)集的接收者認(rèn)識的平均人數(shù)為150;c)根據(jù)相關(guān)統(tǒng)計和估算，醫(yī)療數(shù)據(jù)泄露的概率為5%;d)重標(biāo)識風(fēng)險閾值設(shè)定為0.05。a)數(shù)據(jù)不是聚合數(shù)據(jù)，不是4級，繼續(xù)評定如下；b)數(shù)據(jù)不含任何直接標(biāo)識符，不是1級，繼續(xù)評定如下；1)計算表C.1每行記錄的重標(biāo)識概率。首先，確定數(shù)據(jù)集的等價類：在表C.1中，“性別”1男32男33男44女35女3R=R×pr(context)=0.314×0.15=0.0471[1]中華人民共和國全國人民代表大會常務(wù)委員會，中華人民共和國個人信息保護(hù)法(草案),2020年10月.[3]中華人民共和國全國人民代表大會常務(wù)委員會，中華人民共和國網(wǎng)絡(luò)安全法，2016年11月7日.[4]InformationandPrivacyCommissionero[5]Nelson,GregoryS."Practicalimde-identif