DB 3301-T 0363-2022 公共数据脱敏管理规范

ICS35.020

CCSL72

3301

浙江省杭州市地方标准

DB3301/T0363—2022

公共数据脱敏管理规范

Specificationforpublicdatadesensitization

2022-04-30发布2022-05-30实施

杭州市市场监督管理局发布

DB3301/T0363—2022

公共数据脱敏管理规范

1范围

本文件规定了公共数据的基本原则和管理要求。

本文件适用于公共数据脱敏工作的规划、实施和管理。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T20945—2013信息安全技术信息系统安全审计产品技术要求和测试评价方法

DB33/T2350—2021数字化改革术语定义

3术语和定义

DB33/T2350—2021界定的以及下列术语和定义适用于本文件。

公共数据publicdata

国家机关、法律法规规章授权的具有管理公共事务职能的组织，在依法履行职责和提供公共服务过

程中，所获取的数据资源以及法律、法规规定纳入公共数据管理范围的其他数据资源。

[来源：DB33/T2350—2021，3.2.2.1]

敏感数据sensitivedata

能具备一定的安全性要求，一旦泄露会对人、单位、企业、甚至国家产生某种风险的数据。

数据脱敏datadesensitization

对某些敏感信息按照一定规则进行数据变形，实现敏感信息隐私数据的可靠保护。

动态脱敏dynamicdesensitization

针对敏感数据进行数据抽取、数据漂白和动态掩码的专业数据脱敏技术，主要对查询生产库返回的

数据进行实时脱敏处理，确保返回数据可用而安全。

静态脱敏staticdesensitization

针对敏感数据从生产环境脱敏完毕之后，在非原生产环境使用，一般用于解决测试、开发、共享、

数据分析等场景下需要生产库的数据量与数据间的关联，以排查问题或进行数据分析等，但又不能将敏

感数据存储于非生产环境的问题。

脱敏算法desensitizationalgorithm

1

DB3301/T0363—2022

对原始数据进行变形，去隐私化处理的算法。

脱敏系统desensitizationsystem

采用各种脱敏算法，通过自动化工具实现敏感数据发现、脱敏操作执行和脱敏全流程管理的应用系

统。

4基本原则

真实性

脱敏过程需保持用于后续分析的数据真实特征，以助于实现数据相关业务需求。真实性特征包括但

不限于数据结构特征和数据统计特征。

有效性

经过数据脱敏处理后，原始信息中包含的敏感信息已被移除，无法通过处理后的数据得到敏感信息。

一致性

数据脱敏后，保留主外键关联一致性，保留业务数据关联业务一致性，保留原数据间隐含包含及关

联关系。

稳定性

由于原始数据间存在关联性，为保障数据使用者可正常使用和分析数据，因此数据脱敏时需保证对

相同的原始数据，在各输入条件一致的前提下，无论脱敏多少次，其最终结果数据是相同的。

5管理要求

基本要求

5.1.1流程管理

应制定数据脱敏流程规范，并符合下列要求：

a)确敏感数据管理和使用部门，并明确参与数据脱敏工作各方的业务和安全责任边界；

b)根据安全合规要求，参照敏感数据分类分级规范，明确各类数据的安全管控方式；

c)建立完备的脱敏审批机制，确保数据脱敏工作安全合规；

d)建立数据脱敏全生命周期工作过程体系，确保数据脱敏执行工作合规，数据脱敏全生命周期工

作过程按照附录A执行；

e)建立数据脱敏系统操作和运维管理制度，并定期评审和修订；

f)数据脱敏流程规范建立后，定期对数据管理、数据使用、脱敏系统运维等相关各方开展培训，

提升主体责任和规范化意识。

5.1.2组织管理

应成立专门的数据脱敏管理小组，并设置专门的脱敏操作员、安全管理员和审计管理员，分工协作，

实现“三权分离”。

5.1.3评价管理

2

DB3301/T0363—2022

应按照系统、人员、安全、技术以及数据脱敏工作过程等多方面规范要求，每年开展至少1次及以

上数据脱敏评价工作，评价其真实性、有效性、稳定性。评价工作宜在数据脱敏工作验收结束后1个月

内完成。

系统要求

5.2.1脱敏系统安全

脱敏系统应采用经国家有关部门认证的产品。系统上线前应进行源代码审查，并通过信息系统安全

等级保护三级以上测评。系统运行过程中应定期进行安全扫描，接受网络信息安全和数据安全风险评估，

确保安全可靠，无漏洞后门。

5.2.2权限分配

应满足数据脱敏权限分配，对不同的用户分配不同数据脱敏权限。

5.2.3系统账号口令

脱敏系统账户的口令应为无意义的字符组，长度至少为十位，并包含大写字符、小写字符、数字和

特殊符号，脱敏系统账户口令应定期修改，最长使用时间不超过3个月。

5.2.4数据源

应适用数据库、文件、大数据平台、动态数据流等不同类型的数据源。

5.2.5数据脱敏任务

5.2.5.1静态数据脱敏产品应制定数据脱敏任务。任务宜包括：

a)设置原始数据存储源；

b)设置抽取范围；

c)设置脱敏内容；

d)选择脱敏规则；

e)设置目标数据存储源。

5.2.5.2动态数据脱敏产品应制定数据脱敏任务。任务宜包括：

a)根据动态数据源的范围，设置数据脱敏任务；

b)配置数据源的参数信息；

c)设置动态数据的脱敏范围；

d)设置脱敏内容；

e)设置数据脱敏的起止时间；

f)选择脱敏规则。

5.2.6敏感数据自动扫描和检测

产品应能够根据预定义的策略对敏感数据进行自动扫描和检测：

a)静态数据脱敏产品应能对整个数据库或文件中敏感数据进行自动扫描和检测；

b)动态数据脱敏产品应能对数据流中敏感数据进行自动扫描和检测。

5.2.7数据脱敏子集抽取

静态数据脱敏的产品应能够创建子集抽取规则。产品宜包括下列功能：

3

DB3301/T0363—2022

a)根据用户的要求创建相比原始数据较小的子集(基本级)；

b)应具有抽取多表间关联子集的功能，在数据脱敏后，保持数据表之间的关联关系（增强级）。

5.2.8任务监控

脱敏产品应能够对数据脱敏任务进行监控。产品宜包括下列功能：

a)数据脱敏任务应定时调度(静态脱敏)；

b)能够启动、暂停、继续和停止数据脱敏任务(静态脱敏)；

c)提供对数据脱敏任务的状态监测，以图形化方式展现每个任务的处理进度，以日志方式展现任

务处理明细及任务告警(静态脱敏)；

d)实时展现脱敏情况(动态脱敏)；

e)展现历史记录，一定时间段的脱敏情况(静态脱敏、动态脱敏)。

5.2.9审计记录

5.2.9.1审计记录生成，产品应对下列可审计事件生成记录：

a)数据脱敏操作日志，包括数据脱敏审批流程和数据脱敏任务的执行等；

b)鉴别机制的使用，包括系统用户的登录和注销日志；

c)管理操作日志，包括安全策略变更、对用户及角色进行增加、删除和修改等。

5.2.9.2对于每一个审计记录，产品记录应包括事件发生的日期和时间，事件类型，主体身份和成功

或失败事件，且数据脱敏操作应详细记录原始数据、脱敏范围、目标位置等信息

5.2.9.3审计记录查阅，产品应包含下列审计记录查询与访问功能：

a)只允许授权管理员访问审计记录；

b)满足按条件对审计记录进行组合查询。

5.2.9.4审计记录存储，产品应根据GB/T20945-2013标准中说明的基本级、增强级等级划分，提供

下列安全功能要求：

a)存储于掉电非易失性存储介质中（基本级）；

b)审计记录导出，并能够异地存储（增强级）；

c)审计记录应至少保存6个月及以上时间，其中涉及关键性日志建议保留1年以上或永久保存。

5.2.10接口管理

开发者应提供一个接口规范。接口规范宜满足下列要求：

a)使用非形式化风格来描述产品安全功能及其外部接口；

b)是内在一致的；

c)描述所有外部接口的用途与使用方法，适当提供效果、例外情况和错误消息的细节；

d)标识安全功能子系统的所有接口；

e)标识安全功能子系统的哪些接口是外部可见的；

f)完备地表示产品安全功能。

5.2.11环境要求

高层次设计中涉及的环境宜满足下列要求：

a)内存容量应满足脱敏工作的性能要求；

b)脱敏源为大型高性能主机，网络环境要求千兆以上，万兆最佳；

c)脱敏主机配置SSD脱敏应用运行；

d)描述每个安全功能子系统所提供的安全功能性；

4

DB3301/T0363—2022

e)标识安全功能所要求的任何基础性的硬件、固件或软件，以及在这些硬件、固件或软件中实现

的支持性保护机制。

人员要求

5.3.1保密管理

脱敏操作员、安全管理员、安全审计员应以个人名义与组织签署保密协议和安全承诺书。若涉及相

关脱敏实施单位，该单位应同时与组织签署保密协议和数据安全承诺书，见附录B。

5.3.2审计管理员

负责对脱敏操作员、安全管理员的操作行为进行审计、跟踪、分析、和监督检查，及时发现违规行

为和异常行为，进行数据库日志、脱敏系统日志、安全事件的分析和取证。

5.3.3安全管理员

负责制定脱敏系统的安全策略，数据脱敏工作的范围和日程，并进行日常安全检查、权限管理和日

常操作培训。

5.3.4脱敏操作员

负责数据脱敏工作的具体执行，并向安全管理员和脱敏审计员定期汇报工作情况。

安全要求

5.4.1安全角色

根据授权用户不同的安全角色，赋予授权用户不同的访问权限，并且安全角色之间应相互制约。重

要功能(如用户/权限管理、审计记录管理、数据脱敏任务管理和敏感数据操作)应由不同用户执行。

5.4.2审批流程

在对敏感数据进行操作时，应提供审批流程，通过审批后才能执行数据脱敏任务（增强级）。

5.4.3通信安全

在脱敏过程中，脱敏系统应确保各组件之间传输的数据非明文。

5.4.4安全可控

原始数据经过数据脱敏处理后，仍保持部分统计特征和结构特征，存在泄露风险，应采取恰当的安

全管理手段，防止数据外泄。

5.4.5安全审计

应在数据脱敏的各个阶段加入安全审计机制，详细记录数据处理过程中的相关信息，形成完整数据

处理记录。

5.4.6安全评估

应制定数据脱敏评估体系，定期评估和维护数据脱敏内容，并定期对接触到脱敏数据的相关方进行

脱敏安全培训。

5

DB3301/T0363—2022

技术要求

5.5.1数据脱敏算法

按照数据使用场景及安全要求配置不同的脱敏算法，常见脱敏算法及使用示例见附录C。

5.5.2脱敏处理要求

5.5.2.1根据敏感数据类型呈现的数据字段特征，并参考浙江省公共数据条例结合公共数据应用场景

及分类分级保护要求来选择恰当的脱敏处理规则，复杂数据脱敏场景说明见附录D，常见敏感字段的脱

敏算法规则见附录E。

5.5.2.2敏感数据进行适用的脱敏算法规则处理后，可通过数据打标，区分脱敏后数据与原始数据。

经过脱敏处理后的数据在对外共享开放前，应满足脱敏结果核对需求：

a)脱敏数据标识随着敏感数据一起流动；

b)标识信息不易被恶意攻击者删除和篡改；

c)考虑便捷性和安全性，使标识后的数据容易被识别。

6

DB3301/T0363—2022

A

A

附录A

（规范性）

数据脱敏全生命周期工作过程

数据脱敏全生命周期工作过程应符合图A.1的要求。

数据脱敏全生命周期工作过程

数据脱敏的核心任务是将生产数据中的敏感数据进行脱敏，通过数据脱敏系统，通过标准化的数据建模以及自动化流程，可以安全、方便、

标准地将测试数据进行脱敏。

数据脱敏工作的主要流程包括：

敏感数据评估脱敏确定脱敏制定脱敏规配置脱敏策执行脱敏审计脱敏

识别权限方法则和算法略、接口操作报告

1)敏感数据识别

结合依据《公共数据分类分级》相关规范要求，按照数据的业务属性和敏感程度进行敏感数据分级，并对分级结果作人工复核。

2)评估脱敏权限

评估业务系统和数据使用方所需权限，建立覆盖脱敏数据全生命周期的访问和操作权限体系。

3)确定脱敏方法

在对发现后的敏感数据进行脱敏前，应首先确定脱敏方法，可选的数据脱敏方案应根据应用场景的需求选择静态数据脱敏和动态数据脱敏。

不同的数据脱敏方案对数据源的影响不同，脱敏的时效性也不一样。脱敏方案确定后，就可以选择对应的数据脱敏工具。

4)制定脱敏规则和算法

针对每一个需要脱敏的业务系统业务对象的关联关系以及脱敏准则进行梳理，包括主外键信息、父子关系信息、跨系统关联信息、脱敏规则

等。宜采用统一的脱敏规则和算法，并满足以下条件：

a)不影响当前开发、测试环境的正常测试，即满足数据对象的可用性和正确性校验；

b)脱敏算法均为不可逆算法，即从脱敏后的数据无法推算出原始数据。

5)配置脱敏策略

通过人工配置脱敏规则与流程细节，人工配置需要针对用户权限信息、系统属性信息、系统连接信息、脱敏表、表关系、表列、脱敏函数分

级、脱敏函数配置、脱敏函数规则指定、脱敏流程控制等相关信息进行配置。如果无需配置自动导入，可略过此步。

6)配置脱敏元数据接口

生产数据脱敏系统预留了跟元数据管理系统的接口，并且可以依据具体接口信息进行修改，实现敏感配置信息的导入。

7)执行脱敏操作

脱敏操作执行，包括通过手工触发配置执行、设定时间调度执行、基于命令行通过操作系统级别的计划任务执行等方法，实现数据抽取并脱

敏至相应的环境。在执行过程中，可以根据执行状况、错误信息等动态修改、展示、继续执行相关脱敏任务。

8)审计脱敏报告

配置审计报告，根据各业务系统的审计内容与需求，对指定用户、指定时间段、指定应用系统进行相关操作的审计报表，同时满足自定制报

告以及审计报告的下载等。

通过上述标准化的脱敏流程，可以完全实现科学化、自动化、规范化的数据脱敏流程。

图A.1数据脱敏全生命周期工作过程

7

DB3301/T0363—2022

B

B

附录B

（资料性）

公共数据安全承诺书

公共数据安全承诺书见图B.1。

公共数据安全承诺书

为保障公共数据安全，依法保护个人信息，公共数据利用主体在获取利用公共数据过程中，郑重承诺遵守本承诺书的有关条款，切实

做好数据安全和个人信息保护工作并承担相应法律责任。

一、公共数据利用主体承诺遵守《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》及

有关法律、法规和行政规章制度、文件规定。

二、公共数据利用主体承诺健全数据安全管理制度，对本单位涉及公共数据的岗位人员、信息系统、IT资产、共享披露、外包服务等实

施全面的安全管理。

三、公共数据利用主体严格按照授权范围使用公共数据，不以任何方式将相关数据提供给非授权第三方或用于商业目的。涉及个人信

息和商业秘密的数据，必须经公民、法人和其他组织授权同意后使用。

四、公共数据利用主体承诺如发现数据安全隐患或其它不安全因素，第一时间上报，并密切配合主管部门做好数据安全事件的处置及

调查工作，采取措施消除安全隐患。

五、公共数据利用主体承诺一旦发现有关数据已经泄露或可能泄露，立即通知主管部门，共同采取相应措施，查找相关工作人员和泄

漏原因、线索和证据，并承担相应责任。

六、若违反本承诺书有关条款和国家相关法律法规的，公共数据利用主体直接承担相应法律责任。侵犯商业秘密、个人隐私等他人合

法权益或造成财产损失的，由公共数据利用主体直接赔偿并且销毁有关数据。同时，公共数据主管部门和公共数据开放主体有权暂停或停

止数据开放服务。

七、本承诺书自签署之日起生效并遵行。

主要负责人：

公共数据利用主体（签章）：

年月日

图B.1公共数据承诺书

8

DB3301/T0363—2022

C

C

附录C

（资料性）

常见脱敏算法及使用示例

C.1常见脱敏算法的概念见表C.1。

表C.1常见脱敏算法

脱敏算法详细表述

随机映射随机映射是指采用了一定程度的随机性作为其逻辑的一部分，对数值、字符或字符串进行随机，并

保留原业务特征。

固定映射固定映射是指对一串数字设置映射种子，在映射种子不变的情况下，相同原数据脱敏后结果相同，

并保留原始业务特征。

遮盖填充遮盖是指通过设置遮盖符，对原数据全部或部分进行遮盖处理。填充是指将遮盖区域用固定的字符

串覆盖。

范围内随机范围内随机主要使用在对日期或金额类字符上，在一个指定的范围内进行随机，并保留原业务特

征。

浮动浮动是指对日期或金额类型字符，设置上浮或下降固定值或百分比，并保留原业务特征。

归零归零是指对于数值类型数据采用清空并置为0.00的脱敏算法。

截取截取是指对字符串按照起始位置、结束位置截取一定长度连续字符串进行截取的脱敏算法。

截断截断是指对字符串保留除起始位置以外的内容。

时间偏移按照一定偏移量（绝对值或百分比）对时间进行向上或向下偏移并取整到一定单位，可在保证时间

数据一定分布特征的情况下隐藏原始时间。

分档将数据按照预设条件归类到不同档次中。

加密使用加密算法对原始数据进行加密：

a)可使用保格式、保类型加密算法，保留数据原有格式和类型，可在不修改应用逻辑前提下实现

基于密文的检索和关联分析；

b)可使用保序加密算法，密文排序与明文排序一致，可在不修改应用逻辑前提下实现基于密文的

排序和精确匹配。

重排将原始数据按照特定的规则进行重新排列

均化对数值类数据，在保证脱敏后数据集的总值（平均值）与原数据集一致的情况下，改变数据原始值。

散列对原始数据取散列值，使用散列值来代替原始数据。

C.2脱敏算法使用示例见表C.2。

表C.2脱敏算法使用示例

脱敏算法使用示例

随机映射将生日19841222通过随机映射脱敏为19900211。脱敏后的数据依然是一串具有生日特征的数据。

固定映射设定映射规则：0→G，1→H，2→A，3→Z，4→E，5→O，6→K，7→L，8→M，9→Z。通过固定映射

算法对原数行脱敏，结果为HZOHAZEOKLM。

遮盖填充设定遮盖符：*；通过遮盖填充算法对原数行脱敏，结果为135****5678。

范围内随机设定范围1000至9999；通过范围内随机脱敏算法对原数据38472.00进行脱敏，结果为8394.00。

浮动设定上浮、下降5%；通过浮动脱敏算法对原数据1000.00进行脱敏，结果为1049.00。

9

DB3301/T0363—2022

表C.2脱敏算法使用示例（续）

脱敏算法使用示例

归零通过归零算法对原数据381.38进行脱敏，结果为0.00。

截取设定开始位置：2，结束位置6，通过截取算法对原数据abcdefghijk进行脱敏，结果为bcdef。

截断设定起始位置：2，结束位置6，通过截断算法对原数据abcdefghijk进行脱敏，结果为aghijk。

时间偏移将时间20200701-16:31:09按照10秒偏移量、5秒取整量进行时间偏移脱敏，结果为20200701-

16:31:20。

分档将纳税额按照规模分为高、中、低三档，分别进行脱敏。

加密对身份证号140****98312103253进行加密（例如FF1保格式算法），结果为BEA****HIDBCBADCFD。

重排通过重排脱敏算法对序号1234进行脱敏，结果为23415。

均化数据集{10,15,20}，总值45，平均值15，通过均化算法进行脱敏，结果为{13,18,19}。

散列对身份证号140****98312103253进行散列，结果为631。

10

DB3301/T0363—2022

D

D

附录D

（资料性）

复杂数据脱敏场景说明

常见复杂数据脱敏类型如下见表D.1。

表D.1复杂数据脱敏场景说明

类型举例说明

数据类型脱敏如编号的内容为：类别编码+身份证号

混合类型的敏感信息脱敏如客户编号既有机构名称，又有中文姓名

混合字符串的敏感信息脱敏混合字符串指既包含英文字符又包含中文字符及数字的字符串

量级类型数据脱敏满足数据条目量达到一定数目的敏感信息脱敏。如居民缴费时间、金额

场景类型脱敏a)在系统开发、测试过程中，会对真实敏感生产数据进行操作，存在数据

交换、数据共享、数据分析等第三方数据应用场景（如通过API接口方式向

特定平台提供数据）。此场景策略宜采用静态脱敏，提供脱敏后的生产数

据，为第三方数据应用场景提供适用的敏感信息泄露防护作用，保证脱敏

后数据的特征、逻辑及各类数据间的一般性、业务性关联；

b)在运维过程中，第三方运维人员通过运维工具接触底层真实数据，其中

也包含重要的敏感数据信息和业务的个人隐私数据，存在安全隐患（如用

电信息）。此场景策略宜采用动态脱敏，对数据库账户的身份管理，数据

库系统管理员账户权限限制访问，最高权限账户权限、敏感数据账户、个

人账户等进行严格的区分管理；

c)应用系统日常使用当中，应用系统有大量的敏感信息在应用系统上面显

示，导致了敏感信息泄漏（如企业数据有统一信用代码、法人、手机号

码）。此场景宜采用动态脱敏，合规且被授权用户才可以看到明文数据，

未授权的或者不合规用户只可看到脱敏后的数据。

11

DB3301/T0363—2022

E

E

附录E

（资料性）

常见敏感数据类型的适用脱敏算法规则

常见敏感字段脱敏算法规则见表E.1。

表E.1常见敏感数据类型的适用算法规则

序号类别敏感数据类型算法规则

1IP地址随机映射

2户籍地址随机映射

3居住地址随机映射

4工作单位随机映射

5身份证固定映射、随机映射、遮盖

6中国护照固定映射、随机映射、遮盖

7外国护照固定映射、随机映射、遮盖

8军官证固定映射、随机映射、遮盖

9永久居住证随机映射、遮盖

10港澳通行证随机映射、遮盖

11台胞证随机映射、遮盖

12开户许可证固定映射、随机映射、遮盖

13税务登记证固定映射、随机映射、遮盖

14医师资格证书固定映射、随机映射

15姓名固定映射、随机映射、遮盖

16电话号码固定映射、随机映射、遮盖

17邮编固定映射、随机映射

个人类

18电子邮箱固定映射、随机映射

19银行卡号固定映射、随机映射、遮盖

20日期范围随机、浮动、固定映射

21护照号固定映射、随机映射、遮盖

22社保卡固定映射、随机映射、遮盖

23医保卡固定映射、随机映射

24户籍类别固定映射、随机映射、遮盖

25兵役状况固定映射、随机映射

26套内建筑面积随机映射、加密

27住所户型固定映射、随机映射

28住所用途固定映射、随机映射

29居住情况固定映射、随机映射

30是否违建固定映射、随机映射

31出租房用途随机映射、加密

32出租间数随机映射、加密

33限住人数随机映射、加密

34出租房性质固定映射、随机映射、遮盖

12

DB3301/T0363—2022

表E.1常见敏感数据类型的适用算法规则（续）

序号类别敏感数据类型算法规则

35死亡日期随机映射、数据水印、浮动

36死亡注销类别固定映射、随机映射、遮盖

37注销日期随机映射、数据水印、浮动

38注销标识固定映射、随机映射、遮盖

39有效期限起始日期随机映射、数据水印、浮动

40有效期限截止日期随机映射、数据水印、浮动

41房屋所有权人类型固定映射、随机映射、遮盖

42房屋所有权人姓名固定映射、随机映射、遮盖

43学历固定映射、随机映射、遮盖

44学历专业固定映射、随机映射

个人类

45学历授予学校固定映射、随机映射

46学历授予时间随机映射、数据水印、浮动

47学位代码固定映射、随机映射、遮盖

48最高奖项（荣誉）固定映射、随机映射

49婚姻状况固定映射、随机映射

50政治面貌固定映射、随机映射

51健康状况固定映射、随机映射

52民族固定映射、随机映射

53民族代码固定映射、随机映射

54籍贯固定映射、随机映射

55组织机构名称固定映射、随机映射、遮盖、数据水印

56组织机构代码固定映射、随机映射

57医疗机构登记号固定映射、随机映射

58工商营业执照固定映射、遮盖

59社会统一信用代码随机映射、遮盖

60工商登记执照号码随机映射

61工商登记有效期限固定映射、随机映射、遮盖

62车牌号码固定映射、随机映射、遮