DB3212∕T 1177-2025 公共数据脱敏管理规范

ICS35.240

72

CCSLDB3212

泰州市地方标准

DB3212/T1177—2025

公共数据脱敏管理规范

Publicdatadesensitizationmanagementnorms

2025-01-07发布2025-02-07实施

泰州市市场监督管理局发布

DB3212/T1177—2025

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规

定起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由泰州市数据局提出、归口并组织实施、监督。

本文件由泰州市数据局负责具体技术内容的解释。

本文件起草单位：泰州市数据局、泰州市数据产业集团、泰州市标准化院。

本文件主要起草人：许鑫、刘小芳、孙慧、翟敏、陈春阳、陶然、梁鑫晨、顾雅丽、李海鹏、吴薇、

陈蓝生、郭健、王友成、张婧娴。

I

DB3212/T1177—2025

公共数据脱敏管理规范

1范围

本文件规定了公共数据脱敏的总体要求、数据脱敏使用限制、数据脱敏场景、公共数据脱敏方法、

公共数据脱敏流程、公共数据脱敏评价等内容。

本文件适用于公共数据主管部门、公共管理和服务机构以及使用公共数据的组织、个人开展公共数

据脱敏工作。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T35273信息安全技术个人信息安全规范

3术语和定义

下列术语和定义适用于本文件。

3.1

敏感数据sensitivedata

能具备一定的安全性要求，一旦泄露会对人、单位、企业、甚至国家产生某种风险的数据。

3.2

数据脱敏datadesensitization

对外提供敏感数据时，为避免敏感数据泄露，通过一定的方式消除敏感数据内的敏感信息，并且保

留原始数据的特征、格式的操作。

4总体要求

4.1有效性

经过数据脱敏处理后，原始信息中包含的敏感信息已被屏蔽，无法通过直接或简单处理得到敏感信

息。

4.2真实性

脱敏后的数据应能真实体现原始数据的特征，以助于实现数据相关业务需求。

4.3高效性

应保证数据脱敏的过程可通过程序自动实现，重复执行，在确保一定安全底线的前提下，应减少数

据脱敏工作所花费的额外代价。

4.4稳定性

数据脱敏时应保证对相同的原始数据，在各输入条件一致的前提下，无论脱敏多少次，最终结果数

据相同。

4.5可配置性

数据脱敏过程中，宜通过配置的方式，按照输入条件不同生成不同的脱敏结果。

1

DB3212/T1177—2025

4.6一致性

脱敏后的数据保留原始数据的主外键关系、业务包含关系，保证跨场景使用时数据的一致性。

5公共数据脱敏使用限制

在进行公共数据脱敏时应考虑以下使用限制：

——在进行数据脱敏前需确认脱敏对象以及脱敏场景，

——选择合适的脱敏规则和方法；

——采取符合脱敏数据等级要求的脱敏方法，避免非敏感数据推算出敏感数据；

——需要确保脱敏后的数据具备数据原始特征，避免因数据脱敏过度而导致数据失效；

——需要考虑到非敏感数据组合后生成敏感数据的可能性，对这些非敏感数据也要进行脱敏工作；

——对同一敏感数据进行多次脱敏后，格式及内容需保持一致；

——对敏感数据进行脱敏后，应确保脱敏后数据无法被恢复成原始数据，或者恢复成原始数据需

要花费巨大代价。

6公共数据脱敏方法

脱敏方法示例见附录A。

7公共数据脱敏场景

7.1场景分类

7.1.1静态脱敏

将生产环境的敏感数据导出到非生产环境（如：开发环境、培训环境、测试环境、共享环境等）的

过程中，采用静态脱敏完成对敏感数据的脱敏处理。

7.1.2动态脱敏

在实时访问生产环境中的敏感数据的场景下，采用动态脱敏技术完成对敏感数据的即时脱敏处理。

7.2开发测试数据脱敏

7.2.1包括内部常规的系统测试、对外提供联调数据，在使用业务真实数据进行测试时，应将敏感数

据脱敏，避免因开发测试导致敏感数据泄漏。

7.2.2因重视数据的可用性，宜采用替换、变形等技术，敏感数据脱敏可采用相同含义的数据替换原

有的敏感数据。

7.3分析数据脱敏

7.3.1包括数据脱敏安全工程师根据需求将数据导出到终端时脱敏、外部单位使用其他公共服务机构

敏感数据分析脱敏。

7.3.2因重视数据之间的关联性、分析结果，宜采用抑制、泛化等技术，脱敏后的数据保留原有的数

据关系与格式，数据脱敏后不会影响分析结果，脱敏后结果一致。

7.4共享开放数据脱敏

7.4.1在公共服务管理机构之间数据共享是有条件共享的内容，如脱敏后共享或脱敏后开放。

7.4.2因重视敏感信息在不同政府部门间共享过程中的隐私泄露问题，宜采用遮蔽脱敏技术，将原数

据中部分或全部内容，用“*”或“#”等字符进行替换，遮盖部分或全部原文。

7.5数据库运维脱敏

7.5.1针对可获取或查询敏感数据的业务系统后台运维处理过程中，通过脱敏技术，限制运维人员对

数据库中敏感信息内容的访问，

2

DB3212/T1177—2025

7.5.2因需要实时访问生产数据库，但不需要看到敏感字段，宜采用掩码或变形等技术在调用生产库

数据时，在返回的结果中对敏感数据做即时脱敏处理。

7.6业务系统前台脱敏

7.6.1用户在前端应用处调取后台数据库中的敏感数据时，通过脱敏技术对敏感数据进行脱敏，再将

结果反馈至前台呈现。

7.6.2因需要实时访问生产数据库，但不需要看到敏感字段，宜采用掩码或变形等技术在调用生产库

数据时，在返回的结果中对敏感数据做即时脱敏处理。

7.7API接口脱敏

7.7.1通过API接口调用数据时，采用脱敏技术在接口调用过程中对敏感数据进行在线的屏蔽、变形、

字符替换、随机替换等处理。

7.7.2因需要实时访问生产数据库，但不需要看到敏感字段，宜采用掩码或变形等技术在调用生产库

数据时，在返回的结果中对敏感数据做即时脱敏处理。

8公共数据脱敏流程

8.1脱敏权限分配

8.1.1应设置专门的脱敏操作员、安全管理员和审计管理员，分工协作，实现权限分离。

8.1.2从系统管理、安全管理、审计管理三个维度，评估业务系统和数据使用方所需权限并授权，过

程应符合下列要求。

a)技术要求：

1)系统管理应分配系统的资源和运行配置、控制和管理权限；

2)安全管理应分配脱敏任务的执行权限，包括敏感数据管理、脱敏策略配置、脱敏结果查看

等；

3)审计管理应该分配审计记录存储、管理和查询权限。

b)安全要求：

1)应实现用户的权限分离；

2)应对用户进行身份鉴别，保证权限真实且唯一，并对操作行为进行审计。

8.2敏感数据发现

8.2.1人工发现

对于固定的业务数据，一般数据结构和数据长度不会变化，大部分为数值型和固定长度的字符，如：

身份证号、手机号，可采用人工甄别，明确需要脱敏的数据，公共数据分级参见DB32/T4608.1。

8.2.2自动发现

根据人工指定或预定义的敏感数据特征，借助敏感数据信息库和分词系统，自动识别数据库中包含

的敏感信息。

8.3敏感数据梳理

8.3.1在敏感数据发现的基础上，完成敏感数据列、敏感数据关系的调整，以保证数据的关联关系。

8.3.2通过变形、替换、随机、格式保留加密、强加密等数据脱敏算法，针对不同的数据类型进行数

据掩码扰乱。

8.4脱敏方案制定

对于不同的数据脱敏需求，在基础脱敏算法的基础上，配置专门的脱敏策略，脱敏方案的制定主要

依靠脱敏策略和脱敏算法的复用来实现，通过配置和扩展脱敏算法以制定最优方案。

8.5脱敏任务执行

3

DB3212/T1177—2025

脱敏任务执行需遵循个人隐私保护、数据安全保护等相关法规、行业监管规范或标准，个人敏感信

息安全应遵循GB/T35273中相关规定。根据已定义的数据脱敏规则，数据脱敏操作包括但不限于：

——对脱敏任务自动化运行；

——对脱敏过程运行监控和分析；

——定期对脱敏工作开展安全审计。

8.6脱敏效果评估

对脱敏后的数据进行效果评估，确保已达到预期脱敏效果，过程应符合下列要求。

a)技术要求：

1)应评估数据特征是否变化；

2)应评估已知敏感信息是否去除；

3)应评估逆向恢复敏感数据的执行难度；

4)应评估数据结构和统计特征是否存在敏感性；

5)应评估脱敏后的数据是否满足使用需求。

b)安全要求：评估过程中产生的敏感数据应在评估完成后执行删除销毁操作。

8.7脱敏数据标识

对脱敏后的数据进行重新标识，与原始数据区分，过程应符合下列要求。

a)技术要求：应根据实际使用需要，标识数据脱敏状态为已脱敏，并标识敏感级别。

b)安全要求：

1)应保障数据标识不被恶意删除和篡改；

2)数据标识不应影响数据的结构、分析和使用。

8.8脱敏过程审计

记录脱敏过程各个阶段相关信息，形成完备的脱敏日志完成审计分析、溯源追踪和监督检查，过程

应符合下列要求。

a)技术要求：

3)应审计数据源相关信息，包含数据源自身安全策略和权限信息等内容；

4)应审计脱敏工具配置信息，包含权限账号、敏感数据识别规则、脱敏算法、脱敏规则和策

略等关键配置信息等内容；

5)应审计脱敏过程各个阶段人员操作信息，包含登录、登出、任务执行、策略变更等人员操

作日志等内容；

6)应审计脱敏任务执行信息，包含任务创建、执行、查询、删除信息，任务报错信息等内容；

7)脱敏工具应具备定期备份的能力。

c)安全要求：

1)脱敏日志应保存不少于六个月；

2)脱敏日志应采取加密和校验机制，保障记录保密性和完整性。

9公共数据脱敏评价

9.1应按照系统、人员、安全、技术以及数据脱敏工作过程等多方面规范要求，每年开展至少1次及

以上数据脱敏评价工作，评价其真实性、有效性、稳定性。评价工作宜在数据脱敏工作验收结束后1

个月内完成。

9.2根据评价结果，详细记录数据脱敏工作的存在的问题，形成书面评价报告。报告内容应包括评价

目的、范围、方法、结果、改进建议等。

9.3针对评价中发现的问题，制定具体的改进措施和计划，并明确责任人和时间节点。

9.4对改进措施的实施情况进行跟踪和监督，确保问题得到及时有效的解决。在下一次评价工作中，

重点检查改进措施的落实效果。

4

DB3212/T1177—2025

A

附录A

（资料性）

脱敏方法示例

脱敏方法示例见表A.1

表A.1脱敏方法示例

序

脱敏算法算法说明示例

号

时间按随机位移量对时间进行向上或向下偏移例如时间2021101209:41:09按照10秒向下偏

1偏移并取整，可在保证时间数据一定分布特征移量、5秒取整量通过时间偏移取整脱敏即为

整取的情况下隐藏原始时间。2021101209:41:20。

例如设定开始位置：3，结束位置7，那么原数

截取是指对字符串按照起始位置、结束位

2截取据：helloworld采用截取算法脱敏结果为

置截取一定长度连续字符串。

llowo。

例如设定起始位置：3，结束位置7，那么原数

泛化技截断是指除去字符串起始位置、结束位置

3截断据：helloworld采用截断算法脱敏结果为

术之间内容，而保留其他内容。

herld。

例如将家庭年收入按照100万、50万、10万界

将数据按照预设条件规整到预定义的多个限分为高收入家庭、中等收入家庭、低收入家

4分档

区间档位，使原有数据模糊化。庭三个级别，家庭年收入数据用这三个级别代

替。

例如对于原数据：1234.55采用归零算法后脱敏

5归零归零是指对数据清空并置为0的处理。

结果为0.00。

遮盖是指通过设置遮盖符，对原数据全部例如身份证用遮盖算

6遮盖

或部分进行遮盖处理，比如设定遮盖符：*。法后脱敏结果为321202********1234。

限制

例如药品配方数据，只有在拿到所有配方数据

7返回对返回数据集的行数进行限制。

抑制技后才具有意义，可在脱敏时仅返回一行的数据。

术行

限制

例如在查询人员基本信息时，对于某些敏感列，

8返回对返回数据集的列数进行限制。

不包含在返回的数据集中。

列

随机映射是指采用了一定程度的随机性作例如将生日19941118通过随机映射脱敏为

随机

9为其逻辑的一部分，对数值、字符或字符20000220；脱敏后依然保障是一串生日特征的

映射

串进行随机，并保留原业务特征。数据。

固定映射是指设置映射种子，在映射种子例如设定映射种子：张映射为李，三映射为华；

随机化固定

10不变的情况下，相同的原始数据脱敏后结那么原数据张三通过固定映射算法后脱敏结果

技术映射

果相同，并保留原始业务特征。为李华。

范围范围内随机主要对日期或金额类型数据，例如设定范围1000至9999；那么对原金额数

11内随在一个指定的范围内进行随机，并保留原值365.00采用范围内随机脱敏后的脱敏结果：

机业务特征。8394.70。

5

DB3212/T1177—2025

表A.1脱敏方法示例（续）

序

脱敏算法算法说明示例

号

浮动是指对日期或金额类型数据，设置

例如设定下降8%；那么对原数据1000.00采用浮

12浮动上浮或下降固定值或百分比，并保留原

动脱敏后脱敏结果：920.00。

业务特征。

将原始数据按照特定的规则进行重新

13重排例如将原数据123456通过重排脱敏后为654321。

排列。

是一种对称加密或非对称加密技术，可

可逆以使用密钥对属性进行加解密来进行例如原数据身份证密后

14

加密数据脱敏和还原，常见于对id类数据的变为64位的数字字母型的字符串。

进行处理。需要对密钥进行妥善保护。

一般是使用散列（hash）函数等对数据

进行处理，不可直接解密，需保存映射

不可

加密关系。常见于对id类数据进行处理。例如原数据身份证列脱

15逆加

技术由于hash函数的特性，会存在数据碰敏后变为：1950036935。

密

撞的问题。这种方式用法简单，无需担

心密钥保护。

对于密文计算的结果，解密之后和明文

同态计算的结果是相同的，一般可以直接对例如加法同态加密：

16

加密密文进行运算。常见于对数值类型数据E(nx)=E(x+x+…+x)=E(x)+E(x)+…+E(x)=nE(x)。