GB/T 37964-2019信息安全技术个人信息去标识化指南

ICS35040

L80.

中华人民共和国国家标准

GB/T37964—2019

信息安全技术

个人信息去标识化指南

Informationsecuritytechnology—

Guideforde-identifyingpersonalinformation

2019-08-30发布2020-03-01实施

国家市场监督管理总局发布

中国国家标准化管理委员会

GB/T37964—2019

目次

前言

…………………………Ⅰ

引言

…………………………Ⅱ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

概述

4………………………3

去标识化目标

4.1………………………3

去标识化原则

4.2………………………3

重标识风险

4.3…………………………3

去标识化影响

4.4………………………4

不同公开共享类型对去标识化的影响

4.5……………4

去标识化过程

5……………4

概述

5.1…………………4

确定目标

5.2……………5

识别标识

5.3……………5

处理标识

5.4……………6

验证审批

5.5……………7

监控审查

5.6……………8

角色职责与人员管理

6……………………9

角色职责

6.1……………9

人员管理

6.2……………9

附录资料性附录常用去标识化技术

A()………………10

附录资料性附录常用去标识化模型

B()………………17

附录资料性附录去标识化模型和技术的选择

C()……………………24

附录资料性附录去标识化面临的挑战

D()……………29

参考文献

……………………31

GB/T37964—2019

前言

本标准按照给出的规则起草

GB/T1.1—2009。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任

。。

本标准由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本标准起草单位清华大学启明星辰信息技术集团股份有限公司浙江蚂蚁小微金融服务集团有

:、、

限公司阿里巴巴北京软件服务有限公司北京奇安信科技有限公司北京天融信网络安全技术有限

、()、、

公司中国科学院软件研究所中国软件评测中心上海计算机软件技术开发中心北京数字认证股份有

、、、、

限公司西安电子科技大学湖南科创信息技术股份有限公司中国电子技术标准化研究院陕西省信息

、、、、

化工程研究院

。

本标准主要起草人金涛谢安明陈星白晓媛郑新华刘贤刚陈文捷刘玉岭宋鹏举赵亮

:、、、、、、、、、、

宋玲娓叶晓俊王建民方明裴庆祺潘正泰

、、、、、。

Ⅰ

GB/T37964—2019

引言

在大数据云计算万物互联的时代基于数据的应用日益广泛同时也带来了巨大的个人信息安全

、、,,

问题为了保护个人信息安全同时促进数据的共享使用特制定个人信息去标识化指南标准

。,,。

本标准旨在借鉴国内外个人信息去标识化的最新研究成果提炼业内当前通行的最佳实践研究个

,,

人信息去标识化的目标原则技术模型过程和组织措施提出能科学有效地抵御安全风险符合信息

、、、、,、

化发展需要的个人信息去标识化指南

。

本标准关注的待去标识化的数据集是微数据以记录集合表示的数据集逻辑上可通过表格形式表

(,

示去标识化不仅仅是对数据集中的直接标识符准标识符进行删除或变换可以结合后期应用场景

)。、,

考虑数据集被重标识的风险从而选择恰当的去标识化模型和技术措施并实施合适的效果评估

,,。

对于不是微数据的数据集可以转化为微数据进行处理也可以参照本标准的目标原则和方法进

,,、

行处理例如针对表格数据如果关于同一个人的记录有多条则可将多条记录拼接成一条从而形成

。,,,

微数据其中同一个人的记录只有一条

,。

Ⅱ

GB/T37964—2019

信息安全技术

个人信息去标识化指南

1范围

本标准描述了个人信息去标识化的目标和原则提出了去标识化过程和管理措施

,。

本标准针对微数据提供具体的个人信息去标识化指导适用于组织开展个人信息去标识化工作也

,,

适用于网络安全相关主管部门第三方评估机构等组织开展个人信息安全监督管理评估等工作

、、。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

信息安全技术术语

GB/T25069—2010

3术语和定义

界定的以及下列术语和定义适用于本文件

GB/T25069—2010。

31

.

个人信息personalinformation

以电子或其他方式记录的能够单独或与其他信息结合识别特定自然人身份或反映特定自然人活动

情况的各种信息

。

定义

[GB/T35273—2017,3.1]

32

.

个人信息主体personaldatasubject

个人信息所标识的自然人