DB31/T 1311-2021数据去标识化共享指南

ICS35030

CCSL.70

上海市地方标准

DB31/T1311—2021

数据去标识化共享指南

Guidanceforde-identifieddatasharing

2021-07-27发布2021-10-01实施

上海市市场监督管理局发布

DB31/T1311—2021

目次

前言

…………………………Ⅰ

引言

…………………………Ⅱ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

数据去标识化共享基本原则

4……………2

主体权益保护

4.1………………………2

机构互信制衡

4.2………………………2

共享评估先行

4.3………………………2

基础技术保障

4.4………………………3

过程实时可控

4.5………………………3

风险管理默认

4.6………………………3

去标识化数据共享条件

5…………………3

去标识化数据格式

5.1…………………3

去标识化技术条件

5.2…………………3

数据去标识化共享参与机构

6……………4

概述

6.1…………………4

共享主体

6.2……………5

服务主体

6.3……………5

支持主体

6.4……………6

数据去标识化共享基本流程

7……………6

概述

7.1…………………6

数据预处理含标记生成

7.2()…………7

共享评估

7.3……………7

计算增值

7.4……………7

标记关联

7.5……………7

碰撞配送

7.6……………7

数据应用

7.7……………8

数据去标识化共享风险管理

8……………8

组织管理

8.1……………8

能力匹配

8.2……………8

数据治理

8.3……………8

事件响应

8.4……………8

应用限制

8.5……………8

附录资料性数据分类分级分层建议

A()………………9

附录资料性数据共享风险识别与控制建议

B()………12

参考文献

……………………15

DB31/T1311—2021

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

请注意本文件的其他内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由上海市经济和信息化委员会提出归口并组织实施

、。

本文件起草单位上海世代企业发展促进中心华东政法大学数据法律研究中心公安部第三研究

:、、

所上海数据交易中心有限公司安永中国企业咨询有限公司普华永道管理咨询上海有限公司北

、、()、()

京分公司上海市华诚律师事务所北京市天元律师事务所上海分所北京市金杜律师事务所上海分所

、、、、

北京市竞天公诚律师事务所上海分所上海邦信阳中建中汇律师事务所北京大成上海律师事务所

、、()、

中兴通讯股份有限公司交通银行股份有限公司太平洋信用卡中心度小满科技北京有限公司

、、()。

本文件主要起草人高富平申翔宇胡永涛方有明邱俊琼陈维娜王苑唐迪李扬施建俊

:、、、、、、、、、、

吴涵袁立志胡峰戴健民吴月琴高瑞鑫庄皓孙英马小涵金耀虞磊珉沈奕栋林静张凯

、、、、、、、、、、、、、。

Ⅰ

DB31/T1311—2021

引言

数据是重要的社会资源实现数据要素市场化配置是中共中央国务院关于构建更加完善的要素

。《

市场化配置体制机制的意见提出的重要目标数据作为生产要素其市场化配置可以促进数据的社会

》。,

化共享与流通利用让更多的数据使用者能更好地获取数据和利用数据以支撑科学研究社会治理和

,,、

商业决策

。

数据去标识化是数据共享利用中保护个人信息的关键技术世界各国均认为去除数据集中所包

,()

含的与个人关联的标识符即可降低识别个人的风险但任何去标识化数据均存在被复原或再识别的

(),

可能因此通过数据去标识化技术保护个人信息需要相应的评估控制与监督等综合性控制措施来

。,,、

实现

。

本文件通过规范共享的数据内容控制过程的安全有序约束数据的有限使用使数据去标识化

“、、”,

共享仍然遵循个人信息保护等的法律法规以防范数据共享的风险促进数据合法合规的共享和收集

,,

利用

。

本文件不是针对数据去标识化范围或技术实现的单一标准而是商业驱动技术支撑法律保障

,“、、”

三位一体的共享架构与共享过程中的外部监督机制相结合的综合性方法指南

。

Ⅱ

DB31/T1311—2021

数据去标识化共享指南

1范围

本文件提供了数据去标识化共享分享与间接收集的共享条件参与机构基本流程风险管理等

()、、、

方面的指导和建议

。

本文件适用于组织机构之间进行数据共享的行为包括企事业单位之间基于自愿协议的数据共

(),

享数据合作数据交换数据交易等行为同一集团内部独立法人组织之间的数据共享的行为政府或

、、、、、

公共机构向社会组织有条件开放数据的行为组织内部的数据治理自我测评等可参照执行

。、。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

。

信息安全技术个人信息安全规范

GB/T35273—2020

信息安全技术个人信息去标识化指南

GB/T37964—2019

3术语和定义

界定的以及下列术语和定义适用于本文件

GB/T37964—2019、GB/T35273—2020。

31

.

共享sharing

个人信息控制者向其他控制者提供个人信息且双方分别对个人信息拥有独立控制权的过程

,。

来源

[:GB/T35273—2020,3.13]

32

.

数据共享datasharing

使特定主体共享利用其他主体所控制的数据的行为包含提供计算和接收等过程行为

。“、”。

注1本文件规范的数据为个人相关数据即包含个人信息或可能导致形成个人信息的数据包括由各种计算机网

:,,;

络互联网物联网等传感器和智能设备产生的各种数据

(、)、。

注2本文件规范的提供行为是向特定主体输出或共享数据的过程行为不包括向不特定主体发布数据由任何人