99-山西省政务数据脱敏指南0426_V2.1.docx

山西省政务数据脱敏指南

山西省政务数据脱敏指南

（试行）

目录

TOC\o1-3\h\z\u前言 3

1范围 4

2规范引用文件 5

3术语和定义 6

3.1数据脱敏 6

3.2静态数据脱敏 6

3.3动态数据脱敏 6

4数据脱敏原则 7

4.1基本原则 7

4.2技术原则 7

4.3管理原则 9

5数据脱敏常用方法 11

5.1泛化技术 11

5.2抑制技术 11

5.3扰乱技术 11

5.4有损技术 12

6数据脱敏流程 13

6.1脱敏规程的制定 13

6.2敏感数据的确定 14

6.3敏感规则的定义 15

6.4脱敏工作的执行 16

6.5脱敏成效的验证 16

7数据脱敏实例 18

前言

本标准按照GB/T1.1—2009《标准化工作导则第1部分：标准的结构和编写》给出的规则起草。

请注意：本文件的某些内容可能涉及专利，本文件的发布机构不承担识别这些专利的责任。

主要用于规范数据脱敏工作，依据国家《政务信息系统整合共享实施方案》（国办发〔2017〕39号）、《山西省大数据发展规划（2017-2020年）》（晋政发〔2017〕5号）及相关国家标准和规范，制定本指南。

本标准由XXX提出。

本指南由XXX归口。

本指南起草单位：山西省经济和信息化委员会。

范围

本标准规定了山西省政务数据的脱敏原则、脱敏常见方法和脱敏过程等，供数据脱敏工作的规划、实施和管理提供指导。

本标准适用于山西省政务数据的脱敏工作，包括但不限于政务数据脱敏的提供商、用户、评测机构和监管机构。

规范引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T1.1—2009《标准化工作导则第1部分：标准的结构和编写》。

术语和定义

下列术语和定义适用于本文件。

数据脱敏

数据脱敏是指信息从原始环境向目标环境进行交换的过程中，对某些敏感信息通过一定的脱敏规则进行数据的变形，消除原始环境数据的敏感信息，同时能够保证目标环境业务所需的数据特征或内容，从而实现敏感隐私数据的可靠保护。典型如身份证号、手机号、卡号、客户号等信息。

静态数据脱敏

静态数据脱敏技术是指在将数据副本提供给第三方之前，先根据一定的策略及算法，对生产数据的副本进行一些脱敏处理，并保留数据的关联性。这样既保留数据相关性且不泄露用户隐私，又满足业务部门的开发测试需求。

动态数据脱敏

动态数据脱敏指的是通过在应用程序和生产数据库之间增加中间代理层，当应用程序需要访问数据时，代理根据指定策略对所请求数据进行动态的屏蔽或变形处理，以达到脱敏效果的技术。

数据脱敏原则

基本原则

数据脱敏工作不仅要确保敏感信息被去除，还需要尽可能的平衡脱敏所花费的代价、使用方的业务需求等多个因素。因此，为了确保数据脱敏的过程、代价可控，得到的结果正确且满足业务需要，在实施数据脱敏时，应从技术和管理两方面出发，符合以下基本原则。

技术原则

（1）有效性

数据脱敏的最基本原则就是要去掉数据中的敏感信息，保证数据安全，这是对数据脱敏工作最基本的要求。有效性要求经过数据脱敏处理后，原始信息中包含的敏感信息已被移除，无法通过处理后的数据得到敏感信息；或者需通过巨大经济代价、时间代价才能得到敏感信息，其成本已远远超过数据本身的价值。此外，在处理敏感信息时，应注意根据原始数据的特点和应用场景，选择合适的脱敏方法。

（2）真实性

由于脱敏后的数据需要在相关业务系统、测试系统等非原始环境中继续使用，因此需保证脱敏后的数据仍能真实体现原始数据的特征，且应尽可能多的保留原始数据中的有意义信息，以减小对使用该数据的系统的影响。需要注意的是，如果某一数据特征本身就是敏感信息，则不应保留。这是从后续使用到数据的系统出发提出的要求。

真实性要求脱敏过程需保持用于后续分析的数据真实特征，以助于实现数据相关业务需求。包括但不限于数据结构特征和数据统计特征：数据结构特征是指数据本身的构成遵循一定的规则（例如身份证号由地区编码、生日、顺序号和校验码组成）；数据统计特征是指大量的数据记录所隐含的统计趋势（例如开户人地区分布、年龄分布等）。

为达到真实性要求，在开展数据脱敏工作时，一般情况下应注意：

保持原数据的格式；

保持原数据的类型；

保持原数据之间的依存关系

保持语义完整性；

保持引用完整性；

保持数据的统计、聚合数据；

保持频率分布；

保持唯一性。

（3）抗解密

脱敏的数据应当具有足够的抗解密特性，以避免被获得数据的人员进行解密，从而