数据脱敏规范.docxVIP

1

数据脱敏规范

1范围

本文件规定了数据共享开放过程中的数据脱敏原则、数据脱敏应用场景、数据脱敏技术规范、数据脱敏流程和数据脱敏方法。

本文件适用于指导数据脱敏工作，以及各级政务部门对脱敏工作机制的建立和实施。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T37988-2019信息安全技术数据安全能力成熟度模型

GB/T39477-2020信息安全技术政务信息共享数据安全技术要求

3术语和定义

下列术语和定义适用于本文件。

3.1敏感数据sensitivedata

由权威机构确定的受保护的信息数据。

注：敏感信息数据的泄露、修改、破坏或丢失会对人或事产生可预知的损害。[来源：GB/T39477-2020]

3.2数据脱敏datadesensitization

通过一系列数据处理方法对原始数据进行处理以屏蔽敏感数据的一种数据保护方法。[来源：GB/T37988-2019]

4脱敏原则

4.1有效性

经过数据脱敏处理后，原始信息中包含的敏感信息已被移除，无法通过处理后的数据得到敏感信息；或者需通过巨大经济代价、时间代价才能得到敏感信息，其成本已远远超过数据本身的价值。此外，在处理敏感信息时，应注意根据原始数据的特点和应用场景，选择合适的脱敏方法。

4.2真实性

2

脱敏后的数据应尽可能真实体现原始数据的特征，且应尽可能多的保留原始数据中的有意义信息，以减小对使用该数据的系统的影响。为达到真实性要求，在开展数据脱敏工作时，一般情况下应注意:

a)保持原数据的格式；

b)保持原数据的类型；

c)保持原数据之间的依存关系；

d)保持语义完整性；

e)保持引用完整性；

f)保持数据的统计、聚合等特征；

g)保持频率分布；

h)保持唯一性。

4.3高效性

数据脱敏过程中，可通过程序自动化实现，并可重复执行。在不影响有效性的前提下，需注意平衡脱敏的力度与所花费的代价，将数据脱敏工作控制在一定时间和经济成本内。

4.4稳定性

数据脱敏时需保证对相同的原始数据，在各个输入条件一致的前提下，无论脱敏多少次，其最终结果是相同的。如最终结果不稳定，可能导致数据使用者无法将本有联系的数据正确地进行关联，从而造成数据的使用出现问题。

4.5可配置

数据脱敏需要确保脱敏工作的可配置性，按照输入条件不同，能够生成不同的脱敏结果，从而可按数据不同的使用场景等因素，为不同的最终用户提供不同的脱敏数据。

4.6可审计

在数据脱敏的各个阶段应加入安全审核机制，严格、详细的记录数据脱敏过程中的相关信息，形成完整的数据脱敏记录，用于后续问题排查和追踪分析。

5脱敏应用场景与技术规范

5.1数据脱敏应用场景

5.1.1共享场景

共享数据脱敏是指在公共服务管理机构之间数据共享是有条件共享的内容，如脱敏后共享。在数据共享场景下，需根据数据的敏感等级来选择对应的条件进行共享。

5.1.2开放场景

开放数据脱敏是指政务部门面向公民、法人和其他组织以非排他形式有条件开放部分内容，如脱敏后开放。

在数据开放场景下，需根据数据的敏感等级来选择对应的条件进行开放。

5.1.3数据分析场景

3

数据分析使用数据的脱敏场景主要包括，数据分析工程师根据需求将数据导出到终端时脱敏、外部单位使用其他公共服务机构敏感数据分析脱敏。

在内部数据分析场景下，需要重视数据之间的关联性、分析结果，所以建议主要采用抑制、泛化等技术，脱敏后的数据严格保留原有的数据关系与格式，确保数据脱敏后不会影响分析结果，例如多个表格内相同人员的姓名，需要确保脱敏后结果一致。

5.1.4开发测试场景

开发测试使用数据场景主要包括内部常规的系统测试、对外提供联调数据，在使用业务真实数据进行测试时，需要将敏感数据脱敏，避免因开发测试导致敏感数据泄漏。

在开发测试场景下，需要重视数据的可用性，因此主要采用替换、变形等技术，敏感数据脱敏可以采用相同含义的数据替换原有的敏感数据，例如身份证信息脱敏后仍然为有效的身份证信息。

5.2数据脱敏技术规范

数据脱敏主要技术手段包括：泛化技术、抑制技术、扰乱技术、有损技术等。其中泛化是指在保留原始数据局部特征的前提下使用一般值替代原始数据，泛化后的数据具有不可逆性。抑制是指通过隐藏数据中部分信息的方式来对原始数据的值进行转换，又称为隐藏技术。扰乱是指通过加入噪声的方式对原始数据