信息安全技术 个人信息去标识化效果分级评估规范

信息安全技术个人信息去标识化效果分级评估规范在提交反馈意见时，请将您知道的相关专利与支持性文件一并附上国家标准化管理委员会I Ⅱ 12规范性引用文件 1 1 34.1概述 3 3 3 3 3 3 45.2重标识风险计算 4附录A(资料性)直接标识符示例 7附录B(资料性)准标识符示例 8附录C(资料性)去标识化效果分级评定示例 9参考文献 1本文件提出了个人信息标识度分级和评定方本文件适用于个人信息去标识化活动，也适用于开展对个人信息安全管理、监管和评估。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。GB/T25069信息安全技术术语GB/T35273—2020信息安全技术个人信息安全规范GB/T37964—2019信息安全技术个人信息去标识化指南GB/T25069、GB/T35273—2020、GB/T37964—2019中界定的以及下列术语和定义以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然通过对个人信息的技术处理，使其在不借助额外信息的情况下，无法识别或者2一个结构化数据集，其中每条(行)记录对应一个个人信息主体，记录中的每个字段(列)对应一微数据中的一个或多个属性，可以实现对个人信息主体的唯一识别。微数据中的属性，在特定环境下可以单独识别个人信息主体。微数据中的属性，结合其它属性可唯一识别个人信息主体。把去标识化的数据集重新关联到原始个人信息主体的过程。在物理或者虚拟的所辖范围内共享，数据不能流出到领地范围外。3所有准标识符属性值相同的数据记录行的集合。4.1概述基于重标识风险从高到低，个人信息标识度分级划分为4级，如图1所示。图1标识度分级4.21级(能直接识别主体的数据)包含直接标识符(例如：姓名、手机号、身份证号等)的数据，在特定环境下能直接识别个人信息4.32级(消除直接标识符的数据)信息主体的信息。或者对直接标识符进行了处理(例如：泛化、抑制等),使其不再能直接(单独)标识个人身份。例如：常见的身份证号码或者手机号码将部分位段标“*”处理，已转化为准标识符。重标识风险按照5.2计算。重标识风险阈值建议设定为0.05。4.43级(重标识风险可接受数据)重标识风险按照5.2计算。重标识风险阈值建议设定为0.05。4.54级(聚合数据)4个人信息去标识化效果评定流程如图2所示，包括去标识化定性评定和重标识风险定量计算。去标识化评定过程如下：a)接收待评估数据集、数据共享类型(若不给定，默认为完全公开共享)及设定的重标识风险阈值(若不给定，默认为0.05);b)定性评估数据集去标识化处理情况；c)判断是否为聚合数据，如果是则评定为4级，否则进行下一步判断；d)判断是否消除了直接标识符，如果否则评定为1级，是则进行下一步判断；e)根据5.2节方法，定量计算重标识风险，并进行下一步判断；f)比较重标识风险与给定风险阈值大小，如果小于风险阈值则评定为3级，否则评定为2级。开始开始类型、风险阈值Y是聚合数据?NNY风险小于阈值?Y结束定2级定1级定4级N图2个人信息去标识化效果评定流程重标识风险计算是综合考虑数据和环境因素的计算过程。先计算每行记录的重标识概率，进而计算数据集的重标识概率，然后再结合环境风险计算整个数据集的重标识风险。5.2.2计算每行记录重标识概率每行记录重标识概率(0;)计算步骤如下：5等价类内所有记录的重标识风险是相同的。表1列出了两种常用的数据集风险度量指标。其中表a)完全公开共享数据发布，攻击者对数据集进行重标识攻击的概率为pr(context)=1;发起重标识攻击的可能性。具体如表2所示：表2重标识攻击的可能性分析表高低中高中低中高低低中高3)数据泄露，概率等于数据接收方设施发生数据泄露的概率。67任何在特定环境下可唯一识别个人的识别号码、特征或代码，常见的直接标识符包括但不限于：a)姓名h)传真号码j)车辆标识符和序列号，包括车牌号k)社会保障号码n)设备标识符和序列号o)生物识别码，包括指纹和声纹等识别码p)全脸图片图像和其它任何可r)互联网协议(IP)地址号s)网络通用资源定位符(URL)8任何在相应环境下无法单独唯一识别个人信息主体，但结合其它信息可唯一识别个人信息主体的a)性别c)事件日期(例如入院、手术、出院、访问相关日期)d)地理范围(例如邮政编码、建筑名称、地区)e)族裔血统g)语言h)原住民身份i)可见的少数民族地位j)职务、工作单位、部门等职业信息k)婚姻状况n)总收入o)宗教信仰9某医院领地公开共享的一批胃癌患者的用药记录数据集，已经对姓名、年龄等表C.1某医院内部的去标识化数据集男女男男女男男男女男女男女男女男该去标识数据集有以下通过判定或获取到的条件：a)定性判定：该领地公开共享数据集采取高级别的隐私和安全控制水平，攻击者发起攻击的动机b)根据GCO在线数据库估计，国内胃癌患者约151万，占总人口的0.00108(总人口约为140005万人);假设该数据集的接收者认识的平均人数为150;c)根据相关统计和估算，医疗数据泄露的概率为5%;d)重标识风险阈值设定为0.05。a)数据不是聚合数据，不是4级，继续评定如下；b)数据不含任何直接标识符，不是1级，继续评定如下；1)计算表C.1每行记录的重标识概率。首先，确定数据集的等价类：在表C.1中，“性别”1男32男33男44女35女3R=R×pr(context)=0.314×0.15=0.0471[1]中华人民共和国全国人民代表大会常务委员会，中华人民共和国个人信息保护法(草案),2020年10月.[3]中华人民共和国全国人民代表大会常务委员会，中华人民共和国网络安全法，2016年11月7日.[4]InformationandPrivacyCommissionero[5]Nelson,GregoryS."Practicalimde-identif