DB 3301-T 0363-2022 公共數(shù)據(jù)脫敏管理規(guī)范

ICS35.020

CCSL72

3301

浙江省杭州市地方標準

DB3301/T0363—2022

公共數(shù)據(jù)脫敏管理規(guī)范

Specificationforpublicdatadesensitization

2022-04-30發(fā)布2022-05-30實施

杭州市市場監(jiān)督管理局發(fā)布

DB3301/T0363—2022

公共數(shù)據(jù)脫敏管理規(guī)范

1范圍

本文件規(guī)定了公共數(shù)據(jù)的基本原則和管理要求。

本文件適用于公共數(shù)據(jù)脫敏工作的規(guī)劃、實施和管理。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T20945—2013信息安全技術(shù)信息系統(tǒng)安全審計產(chǎn)品技術(shù)要求和測試評價方法

DB33/T2350—2021數(shù)字化改革術(shù)語定義

3術(shù)語和定義

DB33/T2350—2021界定的以及下列術(shù)語和定義適用于本文件。

公共數(shù)據(jù)publicdata

國家機關(guān)、法律法規(guī)規(guī)章授權(quán)的具有管理公共事務(wù)職能的組織，在依法履行職責(zé)和提供公共服務(wù)過

程中，所獲取的數(shù)據(jù)資源以及法律、法規(guī)規(guī)定納入公共數(shù)據(jù)管理范圍的其他數(shù)據(jù)資源。

[來源：DB33/T2350—2021，3.2.2.1]

敏感數(shù)據(jù)sensitivedata

能具備一定的安全性要求，一旦泄露會對人、單位、企業(yè)、甚至國家產(chǎn)生某種風(fēng)險的數(shù)據(jù)。

數(shù)據(jù)脫敏datadesensitization

對某些敏感信息按照一定規(guī)則進行數(shù)據(jù)變形，實現(xiàn)敏感信息隱私數(shù)據(jù)的可靠保護。

動態(tài)脫敏dynamicdesensitization

針對敏感數(shù)據(jù)進行數(shù)據(jù)抽取、數(shù)據(jù)漂白和動態(tài)掩碼的專業(yè)數(shù)據(jù)脫敏技術(shù)，主要對查詢生產(chǎn)庫返回的

數(shù)據(jù)進行實時脫敏處理，確保返回數(shù)據(jù)可用而安全。

靜態(tài)脫敏staticdesensitization

針對敏感數(shù)據(jù)從生產(chǎn)環(huán)境脫敏完畢之后，在非原生產(chǎn)環(huán)境使用，一般用于解決測試、開發(fā)、共享、

數(shù)據(jù)分析等場景下需要生產(chǎn)庫的數(shù)據(jù)量與數(shù)據(jù)間的關(guān)聯(lián)，以排查問題或進行數(shù)據(jù)分析等，但又不能將敏

感數(shù)據(jù)存儲于非生產(chǎn)環(huán)境的問題。

脫敏算法desensitizationalgorithm

1

DB3301/T0363—2022

對原始數(shù)據(jù)進行變形，去隱私化處理的算法。

脫敏系統(tǒng)desensitizationsystem

采用各種脫敏算法，通過自動化工具實現(xiàn)敏感數(shù)據(jù)發(fā)現(xiàn)、脫敏操作執(zhí)行和脫敏全流程管理的應(yīng)用系

統(tǒng)。

4基本原則

真實性

脫敏過程需保持用于后續(xù)分析的數(shù)據(jù)真實特征，以助于實現(xiàn)數(shù)據(jù)相關(guān)業(yè)務(wù)需求。真實性特征包括但

不限于數(shù)據(jù)結(jié)構(gòu)特征和數(shù)據(jù)統(tǒng)計特征。

有效性

經(jīng)過數(shù)據(jù)脫敏處理后，原始信息中包含的敏感信息已被移除，無法通過處理后的數(shù)據(jù)得到敏感信息。

一致性

數(shù)據(jù)脫敏后，保留主外鍵關(guān)聯(lián)一致性，保留業(yè)務(wù)數(shù)據(jù)關(guān)聯(lián)業(yè)務(wù)一致性，保留原數(shù)據(jù)間隱含包含及關(guān)

聯(lián)關(guān)系。

穩(wěn)定性

由于原始數(shù)據(jù)間存在關(guān)聯(lián)性，為保障數(shù)據(jù)使用者可正常使用和分析數(shù)據(jù)，因此數(shù)據(jù)脫敏時需保證對

相同的原始數(shù)據(jù)，在各輸入條件一致的前提下，無論脫敏多少次，其最終結(jié)果數(shù)據(jù)是相同的。

5管理要求

基本要求

5.1.1流程管理

應(yīng)制定數(shù)據(jù)脫敏流程規(guī)范，并符合下列要求：

a)確敏感數(shù)據(jù)管理和使用部門，并明確參與數(shù)據(jù)脫敏工作各方的業(yè)務(wù)和安全責(zé)任邊界；

b)根據(jù)安全合規(guī)要求，參照敏感數(shù)據(jù)分類分級規(guī)范，明確各類數(shù)據(jù)的安全管控方式；

c)建立完備的脫敏審批機制，確保數(shù)據(jù)脫敏工作安全合規(guī)；

d)建立數(shù)據(jù)脫敏全生命周期工作過程體系，確保數(shù)據(jù)脫敏執(zhí)行工作合規(guī)，數(shù)據(jù)脫敏全生命周期工

作過程按照附錄A執(zhí)行；

e)建立數(shù)據(jù)脫敏系統(tǒng)操作和運維管理制度，并定期評審和修訂；

f)數(shù)據(jù)脫敏流程規(guī)范建立后，定期對數(shù)據(jù)管理、數(shù)據(jù)使用、脫敏系統(tǒng)運維等相關(guān)各方開展培訓(xùn)，

提升主體責(zé)任和規(guī)范化意識。

5.1.2組織管理

應(yīng)成立專門的數(shù)據(jù)脫敏管理小組，并設(shè)置專門的脫敏操作員、安全管理員和審計管理員，分工協(xié)作，

實現(xiàn)“三權(quán)分離”。

5.1.3評價管理

2

DB3301/T0363—2022

應(yīng)按照系統(tǒng)、人員、安全、技術(shù)以及數(shù)據(jù)脫敏工作過程等多方面規(guī)范要求，每年開展至少1次及以

上數(shù)據(jù)脫敏評價工作，評價其真實性、有效性、穩(wěn)定性。評價工作宜在數(shù)據(jù)脫敏工作驗收結(jié)束后1個月

內(nèi)完成。

系統(tǒng)要求

5.2.1脫敏系統(tǒng)安全

脫敏系統(tǒng)應(yīng)采用經(jīng)國家有關(guān)部門認證的產(chǎn)品。系統(tǒng)上線前應(yīng)進行源代碼審查，并通過信息系統(tǒng)安全

等級保護三級以上測評。系統(tǒng)運行過程中應(yīng)定期進行安全掃描，接受網(wǎng)絡(luò)信息安全和數(shù)據(jù)安全風(fēng)險評估，

確保安全可靠，無漏洞后門。

5.2.2權(quán)限分配

應(yīng)滿足數(shù)據(jù)脫敏權(quán)限分配，對不同的用戶分配不同數(shù)據(jù)脫敏權(quán)限。

5.2.3系統(tǒng)賬號口令

脫敏系統(tǒng)賬戶的口令應(yīng)為無意義的字符組，長度至少為十位，并包含大寫字符、小寫字符、數(shù)字和

特殊符號，脫敏系統(tǒng)賬戶口令應(yīng)定期修改，最長使用時間不超過3個月。

5.2.4數(shù)據(jù)源

應(yīng)適用數(shù)據(jù)庫、文件、大數(shù)據(jù)平臺、動態(tài)數(shù)據(jù)流等不同類型的數(shù)據(jù)源。

5.2.5數(shù)據(jù)脫敏任務(wù)

5.2.5.1靜態(tài)數(shù)據(jù)脫敏產(chǎn)品應(yīng)制定數(shù)據(jù)脫敏任務(wù)。任務(wù)宜包括：

a)設(shè)置原始數(shù)據(jù)存儲源；

b)設(shè)置抽取范圍；

c)設(shè)置脫敏內(nèi)容；

d)選擇脫敏規(guī)則；

e)設(shè)置目標數(shù)據(jù)存儲源。

5.2.5.2動態(tài)數(shù)據(jù)脫敏產(chǎn)品應(yīng)制定數(shù)據(jù)脫敏任務(wù)。任務(wù)宜包括：

a)根據(jù)動態(tài)數(shù)據(jù)源的范圍，設(shè)置數(shù)據(jù)脫敏任務(wù)；

b)配置數(shù)據(jù)源的參數(shù)信息；

c)設(shè)置動態(tài)數(shù)據(jù)的脫敏范圍；

d)設(shè)置脫敏內(nèi)容；

e)設(shè)置數(shù)據(jù)脫敏的起止時間；

f)選擇脫敏規(guī)則。

5.2.6敏感數(shù)據(jù)自動掃描和檢測

產(chǎn)品應(yīng)能夠根據(jù)預(yù)定義的策略對敏感數(shù)據(jù)進行自動掃描和檢測：

a)靜態(tài)數(shù)據(jù)脫敏產(chǎn)品應(yīng)能對整個數(shù)據(jù)庫或文件中敏感數(shù)據(jù)進行自動掃描和檢測；

b)動態(tài)數(shù)據(jù)脫敏產(chǎn)品應(yīng)能對數(shù)據(jù)流中敏感數(shù)據(jù)進行自動掃描和檢測。

5.2.7數(shù)據(jù)脫敏子集抽取

靜態(tài)數(shù)據(jù)脫敏的產(chǎn)品應(yīng)能夠創(chuàng)建子集抽取規(guī)則。產(chǎn)品宜包括下列功能：

3

DB3301/T0363—2022

a)根據(jù)用戶的要求創(chuàng)建相比原始數(shù)據(jù)較小的子集(基本級)；

b)應(yīng)具有抽取多表間關(guān)聯(lián)子集的功能，在數(shù)據(jù)脫敏后，保持數(shù)據(jù)表之間的關(guān)聯(lián)關(guān)系（增強級）。

5.2.8任務(wù)監(jiān)控

脫敏產(chǎn)品應(yīng)能夠?qū)?shù)據(jù)脫敏任務(wù)進行監(jiān)控。產(chǎn)品宜包括下列功能：

a)數(shù)據(jù)脫敏任務(wù)應(yīng)定時調(diào)度(靜態(tài)脫敏)；

b)能夠啟動、暫停、繼續(xù)和停止數(shù)據(jù)脫敏任務(wù)(靜態(tài)脫敏)；

c)提供對數(shù)據(jù)脫敏任務(wù)的狀態(tài)監(jiān)測，以圖形化方式展現(xiàn)每個任務(wù)的處理進度，以日志方式展現(xiàn)任

務(wù)處理明細及任務(wù)告警(靜態(tài)脫敏)；

d)實時展現(xiàn)脫敏情況(動態(tài)脫敏)；

e)展現(xiàn)歷史記錄，一定時間段的脫敏情況(靜態(tài)脫敏、動態(tài)脫敏)。

5.2.9審計記錄

5.2.9.1審計記錄生成，產(chǎn)品應(yīng)對下列可審計事件生成記錄：

a)數(shù)據(jù)脫敏操作日志，包括數(shù)據(jù)脫敏審批流程和數(shù)據(jù)脫敏任務(wù)的執(zhí)行等；

b)鑒別機制的使用，包括系統(tǒng)用戶的登錄和注銷日志；

c)管理操作日志，包括安全策略變更、對用戶及角色進行增加、刪除和修改等。

5.2.9.2對于每一個審計記錄，產(chǎn)品記錄應(yīng)包括事件發(fā)生的日期和時間，事件類型，主體身份和成功

或失敗事件，且數(shù)據(jù)脫敏操作應(yīng)詳細記錄原始數(shù)據(jù)、脫敏范圍、目標位置等信息

5.2.9.3審計記錄查閱，產(chǎn)品應(yīng)包含下列審計記錄查詢與訪問功能：

a)只允許授權(quán)管理員訪問審計記錄；

b)滿足按條件對審計記錄進行組合查詢。

5.2.9.4審計記錄存儲，產(chǎn)品應(yīng)根據(jù)GB/T20945-2013標準中說明的基本級、增強級等級劃分，提供

下列安全功能要求：

a)存儲于掉電非易失性存儲介質(zhì)中（基本級）；

b)審計記錄導(dǎo)出，并能夠異地存儲（增強級）；

c)審計記錄應(yīng)至少保存6個月及以上時間，其中涉及關(guān)鍵性日志建議保留1年以上或永久保存。

5.2.10接口管理

開發(fā)者應(yīng)提供一個接口規(guī)范。接口規(guī)范宜滿足下列要求：

a)使用非形式化風(fēng)格來描述產(chǎn)品安全功能及其外部接口；

b)是內(nèi)在一致的；

c)描述所有外部接口的用途與使用方法，適當提供效果、例外情況和錯誤消息的細節(jié)；

d)標識安全功能子系統(tǒng)的所有接口；

e)標識安全功能子系統(tǒng)的哪些接口是外部可見的；

f)完備地表示產(chǎn)品安全功能。

5.2.11環(huán)境要求

高層次設(shè)計中涉及的環(huán)境宜滿足下列要求：

a)內(nèi)存容量應(yīng)滿足脫敏工作的性能要求；

b)脫敏源為大型高性能主機，網(wǎng)絡(luò)環(huán)境要求千兆以上，萬兆最佳；

c)脫敏主機配置SSD脫敏應(yīng)用運行；

d)描述每個安全功能子系統(tǒng)所提供的安全功能性；

4

DB3301/T0363—2022

e)標識安全功能所要求的任何基礎(chǔ)性的硬件、固件或軟件，以及在這些硬件、固件或軟件中實現(xiàn)

的支持性保護機制。

人員要求

5.3.1保密管理

脫敏操作員、安全管理員、安全審計員應(yīng)以個人名義與組織簽署保密協(xié)議和安全承諾書。若涉及相

關(guān)脫敏實施單位，該單位應(yīng)同時與組織簽署保密協(xié)議和數(shù)據(jù)安全承諾書，見附錄B。

5.3.2審計管理員

負責(zé)對脫敏操作員、安全管理員的操作行為進行審計、跟蹤、分析、和監(jiān)督檢查，及時發(fā)現(xiàn)違規(guī)行

為和異常行為，進行數(shù)據(jù)庫日志、脫敏系統(tǒng)日志、安全事件的分析和取證。

5.3.3安全管理員

負責(zé)制定脫敏系統(tǒng)的安全策略，數(shù)據(jù)脫敏工作的范圍和日程，并進行日常安全檢查、權(quán)限管理和日

常操作培訓(xùn)。

5.3.4脫敏操作員

負責(zé)數(shù)據(jù)脫敏工作的具體執(zhí)行，并向安全管理員和脫敏審計員定期匯報工作情況。

安全要求

5.4.1安全角色

根據(jù)授權(quán)用戶不同的安全角色，賦予授權(quán)用戶不同的訪問權(quán)限，并且安全角色之間應(yīng)相互制約。重

要功能(如用戶/權(quán)限管理、審計記錄管理、數(shù)據(jù)脫敏任務(wù)管理和敏感數(shù)據(jù)操作)應(yīng)由不同用戶執(zhí)行。

5.4.2審批流程

在對敏感數(shù)據(jù)進行操作時，應(yīng)提供審批流程，通過審批后才能執(zhí)行數(shù)據(jù)脫敏任務(wù)（增強級）。

5.4.3通信安全

在脫敏過程中，脫敏系統(tǒng)應(yīng)確保各組件之間傳輸?shù)臄?shù)據(jù)非明文。

5.4.4安全可控

原始數(shù)據(jù)經(jīng)過數(shù)據(jù)脫敏處理后，仍保持部分統(tǒng)計特征和結(jié)構(gòu)特征，存在泄露風(fēng)險，應(yīng)采取恰當?shù)陌?/p>

全管理手段，防止數(shù)據(jù)外泄。

5.4.5安全審計

應(yīng)在數(shù)據(jù)脫敏的各個階段加入安全審計機制，詳細記錄數(shù)據(jù)處理過程中的相關(guān)信息，形成完整數(shù)據(jù)

處理記錄。

5.4.6安全評估

應(yīng)制定數(shù)據(jù)脫敏評估體系，定期評估和維護數(shù)據(jù)脫敏內(nèi)容，并定期對接觸到脫敏數(shù)據(jù)的相關(guān)方進行

脫敏安全培訓(xùn)。

5

DB3301/T0363—2022

技術(shù)要求

5.5.1數(shù)據(jù)脫敏算法

按照數(shù)據(jù)使用場景及安全要求配置不同的脫敏算法，常見脫敏算法及使用示例見附錄C。

5.5.2脫敏處理要求

5.5.2.1根據(jù)敏感數(shù)據(jù)類型呈現(xiàn)的數(shù)據(jù)字段特征，并參考浙江省公共數(shù)據(jù)條例結(jié)合公共數(shù)據(jù)應(yīng)用場景

及分類分級保護要求來選擇恰當?shù)拿撁籼幚硪?guī)則，復(fù)雜數(shù)據(jù)脫敏場景說明見附錄D，常見敏感字段的脫

敏算法規(guī)則見附錄E。

5.5.2.2敏感數(shù)據(jù)進行適用的脫敏算法規(guī)則處理后，可通過數(shù)據(jù)打標，區(qū)分脫敏后數(shù)據(jù)與原始數(shù)據(jù)。

經(jīng)過脫敏處理后的數(shù)據(jù)在對外共享開放前，應(yīng)滿足脫敏結(jié)果核對需求：

a)脫敏數(shù)據(jù)標識隨著敏感數(shù)據(jù)一起流動；

b)標識信息不易被惡意攻擊者刪除和篡改；

c)考慮便捷性和安全性，使標識后的數(shù)據(jù)容易被識別。

6

DB3301/T0363—2022

A

A

附錄A

（規(guī)范性）

數(shù)據(jù)脫敏全生命周期工作過程

數(shù)據(jù)脫敏全生命周期工作過程應(yīng)符合圖A.1的要求。

數(shù)據(jù)脫敏全生命周期工作過程

數(shù)據(jù)脫敏的核心任務(wù)是將生產(chǎn)數(shù)據(jù)中的敏感數(shù)據(jù)進行脫敏，通過數(shù)據(jù)脫敏系統(tǒng)，通過標準化的數(shù)據(jù)建模以及自動化流程，可以安全、方便、

標準地將測試數(shù)據(jù)進行脫敏。

數(shù)據(jù)脫敏工作的主要流程包括：

敏感數(shù)據(jù)評估脫敏確定脫敏制定脫敏規(guī)配置脫敏策執(zhí)行脫敏審計脫敏

識別權(quán)限方法則和算法略、接口操作報告

1)敏感數(shù)據(jù)識別

結(jié)合依據(jù)《公共數(shù)據(jù)分類分級》相關(guān)規(guī)范要求，按照數(shù)據(jù)的業(yè)務(wù)屬性和敏感程度進行敏感數(shù)據(jù)分級，并對分級結(jié)果作人工復(fù)核。

2)評估脫敏權(quán)限

評估業(yè)務(wù)系統(tǒng)和數(shù)據(jù)使用方所需權(quán)限，建立覆蓋脫敏數(shù)據(jù)全生命周期的訪問和操作權(quán)限體系。

3)確定脫敏方法

在對發(fā)現(xiàn)后的敏感數(shù)據(jù)進行脫敏前，應(yīng)首先確定脫敏方法，可選的數(shù)據(jù)脫敏方案應(yīng)根據(jù)應(yīng)用場景的需求選擇靜態(tài)數(shù)據(jù)脫敏和動態(tài)數(shù)據(jù)脫敏。

不同的數(shù)據(jù)脫敏方案對數(shù)據(jù)源的影響不同，脫敏的時效性也不一樣。脫敏方案確定后，就可以選擇對應(yīng)的數(shù)據(jù)脫敏工具。

4)制定脫敏規(guī)則和算法

針對每一個需要脫敏的業(yè)務(wù)系統(tǒng)業(yè)務(wù)對象的關(guān)聯(lián)關(guān)系以及脫敏準則進行梳理，包括主外鍵信息、父子關(guān)系信息、跨系統(tǒng)關(guān)聯(lián)信息、脫敏規(guī)則

等。宜采用統(tǒng)一的脫敏規(guī)則和算法，并滿足以下條件：

a)不影響當前開發(fā)、測試環(huán)境的正常測試，即滿足數(shù)據(jù)對象的可用性和正確性校驗；

b)脫敏算法均為不可逆算法，即從脫敏后的數(shù)據(jù)無法推算出原始數(shù)據(jù)。

5)配置脫敏策略

通過人工配置脫敏規(guī)則與流程細節(jié)，人工配置需要針對用戶權(quán)限信息、系統(tǒng)屬性信息、系統(tǒng)連接信息、脫敏表、表關(guān)系、表列、脫敏函數(shù)分

級、脫敏函數(shù)配置、脫敏函數(shù)規(guī)則指定、脫敏流程控制等相關(guān)信息進行配置。如果無需配置自動導(dǎo)入，可略過此步。

6)配置脫敏元數(shù)據(jù)接口

生產(chǎn)數(shù)據(jù)脫敏系統(tǒng)預(yù)留了跟元數(shù)據(jù)管理系統(tǒng)的接口，并且可以依據(jù)具體接口信息進行修改，實現(xiàn)敏感配置信息的導(dǎo)入。

7)執(zhí)行脫敏操作

脫敏操作執(zhí)行，包括通過手工觸發(fā)配置執(zhí)行、設(shè)定時間調(diào)度執(zhí)行、基于命令行通過操作系統(tǒng)級別的計劃任務(wù)執(zhí)行等方法，實現(xiàn)數(shù)據(jù)抽取并脫

敏至相應(yīng)的環(huán)境。在執(zhí)行過程中，可以根據(jù)執(zhí)行狀況、錯誤信息等動態(tài)修改、展示、繼續(xù)執(zhí)行相關(guān)脫敏任務(wù)。

8)審計脫敏報告

配置審計報告，根據(jù)各業(yè)務(wù)系統(tǒng)的審計內(nèi)容與需求，對指定用戶、指定時間段、指定應(yīng)用系統(tǒng)進行相關(guān)操作的審計報表，同時滿足自定制報

告以及審計報告的下載等。

通過上述標準化的脫敏流程，可以完全實現(xiàn)科學(xué)化、自動化、規(guī)范化的數(shù)據(jù)脫敏流程。

圖A.1數(shù)據(jù)脫敏全生命周期工作過程

7

DB3301/T0363—2022

B

B

附錄B

（資料性）

公共數(shù)據(jù)安全承諾書

公共數(shù)據(jù)安全承諾書見圖B.1。

公共數(shù)據(jù)安全承諾書

為保障公共數(shù)據(jù)安全，依法保護個人信息，公共數(shù)據(jù)利用主體在獲取利用公共數(shù)據(jù)過程中，鄭重承諾遵守本承諾書的有關(guān)條款，切實

做好數(shù)據(jù)安全和個人信息保護工作并承擔(dān)相應(yīng)法律責(zé)任。

一、公共數(shù)據(jù)利用主體承諾遵守《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》及

有關(guān)法律、法規(guī)和行政規(guī)章制度、文件規(guī)定。

二、公共數(shù)據(jù)利用主體承諾健全數(shù)據(jù)安全管理制度，對本單位涉及公共數(shù)據(jù)的崗位人員、信息系統(tǒng)、IT資產(chǎn)、共享披露、外包服務(wù)等實

施全面的安全管理。

三、公共數(shù)據(jù)利用主體嚴格按照授權(quán)范圍使用公共數(shù)據(jù)，不以任何方式將相關(guān)數(shù)據(jù)提供給非授權(quán)第三方或用于商業(yè)目的。涉及個人信

息和商業(yè)秘密的數(shù)據(jù)，必須經(jīng)公民、法人和其他組織授權(quán)同意后使用。

四、公共數(shù)據(jù)利用主體承諾如發(fā)現(xiàn)數(shù)據(jù)安全隱患或其它不安全因素，第一時間上報，并密切配合主管部門做好數(shù)據(jù)安全事件的處置及

調(diào)查工作，采取措施消除安全隱患。

五、公共數(shù)據(jù)利用主體承諾一旦發(fā)現(xiàn)有關(guān)數(shù)據(jù)已經(jīng)泄露或可能泄露，立即通知主管部門，共同采取相應(yīng)措施，查找相關(guān)工作人員和泄

漏原因、線索和證據(jù)，并承擔(dān)相應(yīng)責(zé)任。

六、若違反本承諾書有關(guān)條款和國家相關(guān)法律法規(guī)的，公共數(shù)據(jù)利用主體直接承擔(dān)相應(yīng)法律責(zé)任。侵犯商業(yè)秘密、個人隱私等他人合

法權(quán)益或造成財產(chǎn)損失的，由公共數(shù)據(jù)利用主體直接賠償并且銷毀有關(guān)數(shù)據(jù)。同時，公共數(shù)據(jù)主管部門和公共數(shù)據(jù)開放主體有權(quán)暫?；蛲?/p>

止數(shù)據(jù)開放服務(wù)。

七、本承諾書自簽署之日起生效并遵行。

主要負責(zé)人：

公共數(shù)據(jù)利用主體（簽章）：

年月日

圖B.1公共數(shù)據(jù)承諾書

8

DB3301/T0363—2022

C

C

附錄C

（資料性）

常見脫敏算法及使用示例

C.1常見脫敏算法的概念見表C.1。

表C.1常見脫敏算法

脫敏算法詳細表述

隨機映射隨機映射是指采用了一定程度的隨機性作為其邏輯的一部分，對數(shù)值、字符或字符串進行隨機，并

保留原業(yè)務(wù)特征。

固定映射固定映射是指對一串數(shù)字設(shè)置映射種子，在映射種子不變的情況下，相同原數(shù)據(jù)脫敏后結(jié)果相同，

并保留原始業(yè)務(wù)特征。

遮蓋填充遮蓋是指通過設(shè)置遮蓋符，對原數(shù)據(jù)全部或部分進行遮蓋處理。填充是指將遮蓋區(qū)域用固定的字符

串覆蓋。

范圍內(nèi)隨機范圍內(nèi)隨機主要使用在對日期或金額類字符上，在一個指定的范圍內(nèi)進行隨機，并保留原業(yè)務(wù)特

征。

浮動浮動是指對日期或金額類型字符，設(shè)置上浮或下降固定值或百分比，并保留原業(yè)務(wù)特征。

歸零歸零是指對于數(shù)值類型數(shù)據(jù)采用清空并置為0.00的脫敏算法。

截取截取是指對字符串按照起始位置、結(jié)束位置截取一定長度連續(xù)字符串進行截取的脫敏算法。

截斷截斷是指對字符串保留除起始位置以外的內(nèi)容。

時間偏移按照一定偏移量（絕對值或百分比）對時間進行向上或向下偏移并取整到一定單位，可在保證時間

數(shù)據(jù)一定分布特征的情況下隱藏原始時間。

分檔將數(shù)據(jù)按照預(yù)設(shè)條件歸類到不同檔次中。

加密使用加密算法對原始數(shù)據(jù)進行加密：

a)可使用保格式、保類型加密算法，保留數(shù)據(jù)原有格式和類型，可在不修改應(yīng)用邏輯前提下實現(xiàn)

基于密文的檢索和關(guān)聯(lián)分析；

b)可使用保序加密算法，密文排序與明文排序一致，可在不修改應(yīng)用邏輯前提下實現(xiàn)基于密文的

排序和精確匹配。

重排將原始數(shù)據(jù)按照特定的規(guī)則進行重新排列

均化對數(shù)值類數(shù)據(jù)，在保證脫敏后數(shù)據(jù)集的總值（平均值）與原數(shù)據(jù)集一致的情況下，改變數(shù)據(jù)原始值。

散列對原始數(shù)據(jù)取散列值，使用散列值來代替原始數(shù)據(jù)。

C.2脫敏算法使用示例見表C.2。

表C.2脫敏算法使用示例

脫敏算法使用示例

隨機映射將生日19841222通過隨機映射脫敏為19900211。脫敏后的數(shù)據(jù)依然是一串具有生日特征的數(shù)據(jù)。

固定映射設(shè)定映射規(guī)則：0→G，1→H，2→A，3→Z，4→E，5→O，6→K，7→L，8→M，9→Z。通過固定映射

算法對原數(shù)行脫敏，結(jié)果為HZOHAZEOKLM。

遮蓋填充設(shè)定遮蓋符：*；通過遮蓋填充算法對原數(shù)行脫敏，結(jié)果為135****5678。

范圍內(nèi)隨機設(shè)定范圍1000至9999；通過范圍內(nèi)隨機脫敏算法對原數(shù)據(jù)38472.00進行脫敏，結(jié)果為8394.00。

浮動設(shè)定上浮、下降5%；通過浮動脫敏算法對原數(shù)據(jù)1000.00進行脫敏，結(jié)果為1049.00。

9

DB3301/T0363—2022

表C.2脫敏算法使用示例（續(xù)）

脫敏算法使用示例

歸零通過歸零算法對原數(shù)據(jù)381.38進行脫敏，結(jié)果為0.00。

截取設(shè)定開始位置：2，結(jié)束位置6，通過截取算法對原數(shù)據(jù)abcdefghijk進行脫敏，結(jié)果為bcdef。

截斷設(shè)定起始位置：2，結(jié)束位置6，通過截斷算法對原數(shù)據(jù)abcdefghijk進行脫敏，結(jié)果為aghijk。

時間偏移將時間20200701-16:31:09按照10秒偏移量、5秒取整量進行時間偏移脫敏，結(jié)果為20200701-

16:31:20。

分檔將納稅額按照規(guī)模分為高、中、低三檔，分別進行脫敏。

加密對身份證號140****98312103253進行加密（例如FF1保格式算法），結(jié)果為BEA****HIDBCBADCFD。

重排通過重排脫敏算法對序號1234進行脫敏，結(jié)果為23415。

均化數(shù)據(jù)集{10,15,20}，總值45，平均值15，通過均化算法進行脫敏，結(jié)果為{13,18,19}。

散列對身份證號140****98312103253進行散列，結(jié)果為631。

10

DB3301/T0363—2022

D

D

附錄D

（資料性）

復(fù)雜數(shù)據(jù)脫敏場景說明

常見復(fù)雜數(shù)據(jù)脫敏類型如下見表D.1。

表D.1復(fù)雜數(shù)據(jù)脫敏場景說明

類型舉例說明

數(shù)據(jù)類型脫敏如編號的內(nèi)容為：類別編碼+身份證號

混合類型的敏感信息脫敏如客戶編號既有機構(gòu)名稱，又有中文姓名

混合字符串的敏感信息脫敏混合字符串指既包含英文字符又包含中文字符及數(shù)字的字符串

量級類型數(shù)據(jù)脫敏滿足數(shù)據(jù)條目量達到一定數(shù)目的敏感信息脫敏。如居民繳費時間、金額

場景類型脫敏a)在系統(tǒng)開發(fā)、測試過程中，會對真實敏感生產(chǎn)數(shù)據(jù)進行操作，存在數(shù)據(jù)

交換、數(shù)據(jù)共享、數(shù)據(jù)分析等第三方數(shù)據(jù)應(yīng)用場景（如通過API接口方式向

特定平臺提供數(shù)據(jù)）。此場景策略宜采用靜態(tài)脫敏，提供脫敏后的生產(chǎn)數(shù)

據(jù)，為第三方數(shù)據(jù)應(yīng)用場景提供適用的敏感信息泄露防護作用，保證脫敏

后數(shù)據(jù)的特征、邏輯及各類數(shù)據(jù)間的一般性、業(yè)務(wù)性關(guān)聯(lián)；

b)在運維過程中，第三方運維人員通過運維工具接觸底層真實數(shù)據(jù)，其中

也包含重要的敏感數(shù)據(jù)信息和業(yè)務(wù)的個人隱私數(shù)據(jù)，存在安全隱患（如用

電信息）。此場景策略宜采用動態(tài)脫敏，對數(shù)據(jù)庫賬戶的身份管理，數(shù)據(jù)

庫系統(tǒng)管理員賬戶權(quán)限限制訪問，最高權(quán)限賬戶權(quán)限、敏感數(shù)據(jù)賬戶、個

人賬戶等進行嚴格的區(qū)分管理；

c)應(yīng)用系統(tǒng)日常使用當中，應(yīng)用系統(tǒng)有大量的敏感信息在應(yīng)用系統(tǒng)上面顯

示，導(dǎo)致了敏感信息泄漏（如企業(yè)數(shù)據(jù)有統(tǒng)一信用代碼、法人、手機號

碼）。此場景宜采用動態(tài)脫敏，合規(guī)且被授權(quán)用戶才可以看到明文數(shù)據(jù)，

未授權(quán)的或者不合規(guī)用戶只可看到脫敏后的數(shù)據(jù)。

11

DB3301/T0363—2022

E

E

附錄E

（資料性）

常見敏感數(shù)據(jù)類型的適用脫敏算法規(guī)則

常見敏感字段脫敏算法規(guī)則見表E.1。

表E.1常見敏感數(shù)據(jù)類型的適用算法規(guī)則

序號類別敏感數(shù)據(jù)類型算法規(guī)則

1IP地址隨機映射

2戶籍地址隨機映射

3居住地址隨機映射

4工作單位隨機映射

5身份證固定映射、隨機映射、遮蓋

6中國護照固定映射、隨機映射、遮蓋

7外國護照固定映射、隨機映射、遮蓋

8軍官證固定映射、隨機映射、遮蓋

9永久居住證隨機映射、遮蓋

10港澳通行證隨機映射、遮蓋

11臺胞證隨機映射、遮蓋

12開戶許可證固定映射、隨機映射、遮蓋

13稅務(wù)登記證固定映射、隨機映射、遮蓋

14醫(yī)師資格證書固定映射、隨機映射

15姓名固定映射、隨機映射、遮蓋

16電話號碼固定映射、隨機映射、遮蓋

17郵編固定映射、隨機映射

個人類

18電子郵箱固定映射、隨機映射

19銀行卡號固定映射、隨機映射、遮蓋

20日期范圍隨機、浮動、固定映射

21護照號固定映射、隨機映射、遮蓋

22社保卡固定映射、隨機映射、遮蓋

23醫(yī)保卡固定映射、隨機映射

24戶籍類別固定映射、隨機映射、遮蓋

25兵役狀況固定映射、隨機映射

26套內(nèi)建筑面積隨機映射、加密

27住所戶型固定映射、隨機映射

28住所用途固定映射、隨機映射

29居住情況固定映射、隨機映射

30是否違建固定映射、隨機映射

31出租房用途隨機映射、加密

32出租間數(shù)隨機映射、加密

33限住人數(shù)隨機映射、加密

34出租房性質(zhì)固定映射、隨機映射、遮蓋

12

DB3301/T0363—2022

表E.1常見敏感數(shù)據(jù)類型的適用算法規(guī)則（續(xù)）

序號類別敏感數(shù)據(jù)類型算法規(guī)則

35死亡日期隨機映射、數(shù)據(jù)水印、浮動

36死亡注銷類別固定映射、隨機映射、遮蓋

37注銷日期隨機映射、數(shù)據(jù)水印、浮動

38注銷標識固定映射、隨機映射、遮蓋

39有效期限起始日期隨機映射、數(shù)據(jù)水印、浮動

40有效期限截止日期隨機映射、數(shù)據(jù)水印、浮動

41房屋所有權(quán)人類型固定映射、隨機映射、遮蓋

42房屋所有權(quán)人姓名固定映射、隨機映射、遮蓋

43學(xué)歷固定映射、隨機映射、遮蓋

44學(xué)歷專業(yè)固定映射、隨機映射

個人類

45學(xué)歷授予學(xué)校固定映射、隨機映射

46學(xué)歷授予時間隨機映射、數(shù)據(jù)水印、浮動

47學(xué)位代碼固定映射、隨機映射、遮蓋

48最高獎項（榮譽）固定映射、隨機映射

49婚姻狀況固定映射、隨機映射

50政治面貌固定映射、隨機映射

51健康狀況固定映射、隨機映射

52民族固定映射、隨機映射

53民族代碼固定映射、隨機映射

54籍貫固定映射、隨機映射

55組織機構(gòu)名稱固定映射、隨機映射、遮蓋、數(shù)據(jù)水印

56組織機構(gòu)代碼固定映射、隨機映射

57醫(yī)療機構(gòu)登記號固定映射、隨機映射

58工商營業(yè)執(zhí)照固定映射、遮蓋

59社會統(tǒng)一信用代碼隨機映射、遮蓋

60工商登記執(zhí)照號碼隨機映射

61工商登記有效期限固定映射、隨機映射、遮蓋

62車牌號碼固定映射、隨機映射、遮