ICS 35.240 DB37 L 72 山 东 省 地 方 标 准 DB 37/T 3523.2—2019 公共数据开放 第 2 部分：数据脱敏指南 Public data openness—Part 2：Data desensitization guidelines 2019 - 03 - 21 发布 山东省市场监督管理局 2019 - 04 - 21 实施 发 布 DB37/T 3523.2—2019 目 次 前言 ................................................................................ II 1 范围 ............................................................................... 1 2 规范性引用文件 ..................................................................... 1 3 术语和定义 ......................................................................... 1 4 基本原则 ........................................................................... 1 4.1 4.2 4.3 4.4 4.5 有效 ........................................................................... 真实 ........................................................................... 高效 ........................................................................... 稳定 ........................................................................... 可配置 ......................................................................... 1 1 2 2 2 5 脱敏规划 ........................................................................... 2 6 脱敏流程 ........................................................................... 2 6.1 6.2 6.3 6.4 6.5 6.6 6.7 附 识别敏感数据 标识敏感数据 确定脱敏场景 选择脱敏方法 定义脱敏规则 执行脱敏操作 评估脱敏效果 ................................................................... ................................................................... ................................................................... ................................................................... ................................................................... ................................................................... ................................................................... 2 3 3 3 3 3 3 录 A （资料性附录） 数据脱敏方法 ................................................ 4 参考文献 ............................................................................. 5 I DB37/T 3523.2—2019 前 言 DB37/T 3523《公共数据开放》分为如下部分： ——第1部分：基本要求； ——第2部分：数据脱敏指南； ——第3部分：开放评价指标体系； ——第4部分：…… 本部分为DB37/T 3523的第2部分。 本部分按GB/T 1.1—2009给出的规则起草。 本部分由山东省大数据局提出、归口并监督实施。 本部分起草单位：山东省大数据局、山东省公安厅、山东省计算中心（国家超级计算济南中心）、 山东省大数据中心、山东省标准化研究院。 本部分主要起草人：柯林森、赵一新、李明、闫雷、赵硕、史丛丛、王洪儒、张媛、逄锦山、綦琳、 陈洪波、李学民、刘晓飞、李刚、周鸣乐。 II DB37/T 3523.2—2019 公共数据开放 第 2 部分：数据脱敏指南 1 范围 本部分提供了公共数据开放中数据脱敏的指导和建议，并给出了基本原则、脱敏规划、脱敏流程等 方面需考虑的要点信息。 本部分适用于山东省公共数据开放的数据脱敏工作。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 35273 信息安全技术 个人信息安全规范 3 术语和定义 下列术语和定义适用于本文件。 3.1 数据脱敏 data desensitization 按照一定规则对原始数据进行处理，达到屏蔽敏感信息的一种数据保护方法。 3.2 个人敏感信息 personal sensitive information 一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧 视性待遇等的个人信息。 注：个人信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨 迹、住宿信息、健康生理信息、交易信息、14周岁以下（含）儿童的个人信息等。 [GB/T 35273，定义3.2] 4 基本原则 4.1 有效 数据脱敏宜确保脱敏工作的有效性，去除数据中的敏感信息，保证数据安全，经数据脱敏处理后， 原始信息中包含的敏感信息已被移除，无法通过处理后的数据得到敏感信息，并防止使用非敏感数据推 断、重建敏感原始数据。 4.2 真实 1 DB37/T 3523.2—2019 数据脱敏宜确保脱敏工作的真实性，脱敏后的数据应尽可能真实地体现原始数据的特征，且应尽可 能多保留原始数据中的有意义信息。在开展数据脱敏工作时，一般情况下宜注意以下方面： a) 保持原数据的格式； b) 保持原数据的类型； c) 保持原数据间的依存关系； d) 保持语义完整性； e) 保持引用完整性； f) 保持数据的统计、聚合等特征； g) 保持频率分布； h) 保持唯一性。 4.3 高效 数据脱敏宜确保脱敏工作的高效性，宜通过程序自动化实现，并可重复执行。在不影响有效性的前 提下，需注意平衡脱敏的力度与所花费的代价，将数据脱敏的工作控制在一定的时间和经济成本内。 4.4 稳定 数据脱敏宜确保脱敏工作的稳定性，需保证对相同的原始数据，在各输入条件一致的前提下，无论 脱敏多少次，其最终结果相同。 4.5 可配置 数据脱敏宜确保脱敏工作的可配置性，按照输入条件不同生成不同的脱敏结果，从而可按数据使用 场景等因素为不同的最终用户提供不同的脱敏数据。 5 脱敏规划 宜对数据脱敏工作进行总体规划，制定完备的数据脱敏工作方案，并对可能接触到脱敏数据的相关 方进行数据脱敏规程的培训，并定期评估和维护数据脱敏规程内容。在制定数据脱敏工作方案时，宜考 虑以下因素： a) 明确敏感数据管理部门，以及其安全责任和义务； b) 建立敏感数据的分类分级、脱敏工具运维管理等制度，并定期维护更新； c) 建立数据安全管控机制，如代码安全、审计安全、安全管理等； d) 定期对数据脱敏工作的相关方开展培训工作； e) 制定完备的敏感数据使用审批流程，确保敏感数据的使用安全合规； f) 明确数据脱敏流程，包括发现敏感数据、标识敏感数据、确定脱敏方法等。 6 脱敏流程 6.1 识别敏感数据 宜完整地梳理数据中包含的信息，明确其中敏感信息，识别敏感数据包括但不限于： a) 明确数据脱敏工作范围； b) 对工作范围内数据进行梳理和分类； c) 建立敏感数据位置和关系库， 以保存敏感数据的位置，以及敏感数据与原数据之间的关联关系； 2 DB37/T 3523.2—2019 d) e) f) g) 根据业务需要选择人工或自动等识别方式，并考虑识别方式与主流数据库系统、数据仓库系统、 文件系统、云计算环境下新型存储系统等的适用性； 选择数据发现工具，并考虑其扩展性，可根据业务需要自定义敏感数据的发现逻辑； 明确敏感信息的字段名称、字段类型、字段长度、赋值规范等内容； 利用反关联方法，查找可能由某些非敏感字段推断出另一敏感字段的映射，并对这些非敏感字 段进行识别，例如：由出生日期可以推断出身份证号码的场景，需对出生日期进行识别。 6.2 标识敏感数据 识别出敏感数据后，宜尽早对敏感数据的格式、位置等信息进行标识，标识方法的选择宜考虑以下 因素： a) 敏感数据标识信息能够随敏感数据一起流动； b) 敏感数据标识信息不易被恶意攻击者删除和篡改； c) 需考虑便捷性和安全性，使标识后的数据容易被识别； d) 需支持不同数据类型（如静态数据和动态数据）的敏感标识； e) 对所有可能生成敏感数据的非敏感字段同样进行标识，例如：在病人诊治记录中为隐藏姓名与 病情的对应关系，将“姓名”作为敏感字段进行变换，但是如果能够凭借某“住址”的唯一性 导出“姓名”，则需要将“住址”进行标识并脱敏。 6.3 确定脱敏场景 在标识敏感数据基础上，确定脱敏场景，脱敏场景包括但不限于： a) 静态脱敏：对原始数据进行一次脱敏后，脱敏后的结果数据可以多次使用； b) 动态脱敏：针对不同用户需求，对数据进行屏蔽处理的数据脱敏方式，要求系统有安