GB/T 42460-2023 信息安全技術(shù) 個人信息去標(biāo)識化效果評估指南（正式版）

ICS35.030GB/T42460—2023個人信息去標(biāo)識化效果評估指南2023-03-17發(fā)布國家市場監(jiān)督管理總局國家標(biāo)準(zhǔn)化管理委員會 I Ⅱ 3術(shù)語和定義 5個人信息去標(biāo)識化效果評估流程 36評估實施 46.1評估準(zhǔn)備 46.2定性評估 6.3定量評估 56.4形成評估結(jié)論 5 56.6評估過程文檔管理 5附錄A(資料性)直接標(biāo)識符示例 6附錄B(資料性)準(zhǔn)標(biāo)識符示例 附錄C(資料性)準(zhǔn)標(biāo)識符識別 附錄D(資料性)基于K匿名模型的去標(biāo)識化效果評估示例 IGB/T42460—2023本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(SAC/TC260)提出并歸口。本文件起草單位：清華大學(xué)、中國電子技術(shù)標(biāo)準(zhǔn)化研究院、北京大學(xué)、綠盟科技集團股份上海三零衛(wèi)士信息安全有限公司、中國軟件評測中心、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、螞蟻科技集團股份有限公司、阿里巴巴(北京)軟件服務(wù)有限公司、北京市政務(wù)信息安全保障中心、深圳市騰訊計算機系統(tǒng)有限公司、北京百度網(wǎng)訊科技有限公司、中國人民銀行數(shù)字貨幣研究所。ⅡGB/T42460—2023GB/T35273提出了個人信息去標(biāo)識化的要求，明確了個人信息去標(biāo)識化處理的環(huán)節(jié)和場景，GB/T37964就如何開展個人信息去標(biāo)識化活動給出了指導(dǎo)。經(jīng)去標(biāo)識化處理后的個人信息并不能完本文件旨在依據(jù)個人信息能多大程度上標(biāo)識個人身份(即標(biāo)識度)進行分級，用于評估個人信息去標(biāo)識化活動的效果。個人信息基于標(biāo)識度分級，有利于個人信息分級別探討適用場景和安全管理要1GB/T42460—2023信息安全技術(shù)個人信息去標(biāo)識化效果評估指南25069—202235273—202037964—2019信息安全技術(shù)術(shù)語信息安全技術(shù)個人信息安全規(guī)范信息安全技術(shù)個人信息去標(biāo)識化指南3術(shù)語和定義GB/T25069—2022、GB/T35273—2020、GB/T37964—2019界定的以及下列術(shù)語和定義適用于2GB/T42460—2023標(biāo)識符identifier設(shè)定的重標(biāo)識風(fēng)險臨界數(shù)值。3GB/T42460—20234個人信息去標(biāo)識化效果分級劃分為4級，詳見表1,用于區(qū)分個人信息去標(biāo)識化效果。表1個人信息標(biāo)識度4級劃分分級劃分依據(jù)1級包含直接標(biāo)識符，在特定環(huán)境下能直接識別個人信息主體2級消除了直接標(biāo)識符，但包含準(zhǔn)標(biāo)識符，且重標(biāo)識風(fēng)險高于或等于可接受風(fēng)險閾值3級消除了直接標(biāo)識符，但包含準(zhǔn)標(biāo)識符，且重標(biāo)識風(fēng)險低于可接受風(fēng)險閾值4級不包含任何標(biāo)識符5個人信息去標(biāo)識化效果評估流程個人信息去標(biāo)識化效果評估流程見圖1,包括以下內(nèi)容：a)評估準(zhǔn)備；b)定性評估；d)形成評估結(jié)論。溝通與協(xié)商和評估過程文檔管理貫穿于整個評估過程。4GB/T42460—2023評估準(zhǔn)備評估準(zhǔn)備定性評估識別標(biāo)識符標(biāo)識符?Y標(biāo)識符?Y定量評估風(fēng)險小于閾值?Y評3級形成評估結(jié)論評估過程文檔溝通與協(xié)商評2級NNN6評估實施評估準(zhǔn)備工作包括以下內(nèi)容。a)確定待評估的數(shù)據(jù)集。f)確定重標(biāo)識風(fēng)險計算方案及可接受風(fēng)險閾值：1)重標(biāo)識風(fēng)險計算方案同時考慮數(shù)據(jù)集及其使用的環(huán)境，可基于K匿名模型或是基于差分2)可接受風(fēng)險閾值符合相應(yīng)安全要求，并符合應(yīng)用需要。5GB/T42460—2023g)制定評估方案。定性評估包括：a)按照GB/T37964—2019中5.3識別標(biāo)識符，并形成標(biāo)識符清單(包括直接標(biāo)識符和準(zhǔn)標(biāo)識符);c)判斷數(shù)據(jù)集是否消除了標(biāo)識符清單中的直接標(biāo)識符，如果含有清單中的直接標(biāo)識符，評為1定量評估包括：b)比較計算得到的重標(biāo)識風(fēng)險結(jié)果與可接受風(fēng)險閾值，如果重標(biāo)識風(fēng)險結(jié)果小于可接受風(fēng)險閾基于K匿名模型的重標(biāo)識風(fēng)險計算方案及評估示例見附錄D。形成評估結(jié)論包括：a)結(jié)合定性評估與定量評估結(jié)果，形成去b)結(jié)論獲得管理層批準(zhǔn)。a)數(shù)據(jù)共享目的和數(shù)據(jù)共享環(huán)境的理解確認(rèn)；b)重大的數(shù)據(jù)環(huán)境變更通知機制的建立；c)關(guān)于重標(biāo)識風(fēng)險度量的相互交流信息和意見；d)相關(guān)方已表達的對重標(biāo)識風(fēng)險的意見；e)定期/不定期重新評估的計劃。評估過程文檔管理包括以下內(nèi)容。3)重標(biāo)識風(fēng)險計算方案：重標(biāo)識風(fēng)險計算方案及重標(biāo)識風(fēng)險可接受閾值的確定過程及結(jié)果；4)評估報告：包含定性評估和定量評估的過程及結(jié)果結(jié)論；5)評估記錄：評估過程中的各種記錄，包括溝通與協(xié)商的記錄等。6GB/T42460—2023(資料性)直接標(biāo)識符示例a)姓名；b)公民身份號碼；d)駕駛證號；f)電子郵件地址；g)電話號碼(包括手機號和固定電話號碼);h)傳真號碼；i)銀行賬戶；j)車輛標(biāo)識符和序列號(包括車牌號);k)社會保障號碼；l)健康卡號碼；m)病歷號碼；n)設(shè)備標(biāo)識符和序列號；o)生物識別碼(包括指紋和聲紋等識別碼);p)全臉圖片圖像和其他任何可比對的圖像；r)互聯(lián)網(wǎng)協(xié)議(IP)地址。78GB/T42460—2023(資料性)準(zhǔn)標(biāo)識符識別C.1識別準(zhǔn)標(biāo)識符的考量通常存在一些比較簡化的操作方法識別準(zhǔn)標(biāo)識符。例如：將除去直接標(biāo)識符之外剩余的其他屬性都作為準(zhǔn)標(biāo)識符。這種方法沒有考慮屬性被數(shù)據(jù)接收者和其他背景知識(其他外部數(shù)據(jù)資源)結(jié)合進行關(guān)聯(lián)攻擊的可能性，可能會形成過多的準(zhǔn)標(biāo)識符。如果應(yīng)用K匿名方法進行處理，可能造成大量的信息丟失，致使去標(biāo)識化后的數(shù)據(jù)無法支持原定的應(yīng)用目的。另一種方法是比較有限的考慮關(guān)聯(lián)攻擊可能性，例如，只有在公開數(shù)據(jù)集中會出現(xiàn)的屬性作為準(zhǔn)標(biāo)識符。這種方法因為對數(shù)據(jù)接收者或者攻擊者可能具備的額外背景知識判斷不充分，可能引起較高的重標(biāo)識個人信息主體的風(fēng)險。因此，識別準(zhǔn)標(biāo)識符的過程需要同時考慮到數(shù)據(jù)本身的特征和數(shù)據(jù)使用的環(huán)境(應(yīng)用目的、接收者以及背景知識等)。C.2識別準(zhǔn)標(biāo)識符的方法符。常見準(zhǔn)標(biāo)識符示例見附錄B。c)基于重標(biāo)識風(fēng)險篩選準(zhǔn)標(biāo)識符：屬性取值的重標(biāo)識風(fēng)險可被用來進一步篩選準(zhǔn)標(biāo)識符。對于作為準(zhǔn)標(biāo)識符對于整體數(shù)據(jù)集的等價類數(shù)量的影響，影響較大的屬性，例如：作為準(zhǔn)標(biāo)識符d)基于環(huán)境風(fēng)險篩選準(zhǔn)標(biāo)識符：在確定環(huán)境風(fēng)險對準(zhǔn)標(biāo)識符識別的影響時需要同時從擁有更多背景知識(背景數(shù)據(jù))的現(xiàn)狀和獲得能力以及數(shù)據(jù)接收者對數(shù)據(jù)理解和分析能力的角度進行常同時具有較強的個人數(shù)據(jù)獲得能力。因此，通常將此類機構(gòu)利用背景知識進行關(guān)聯(lián)重需求)。2)擁有較強的數(shù)據(jù)理解能力和分析處理能力的數(shù)據(jù)接收者，進行重標(biāo)識的風(fēng)險較高。相9GB/T42460—2023反，若利用其進行重標(biāo)識所要求的知識和能力超過了數(shù)據(jù)接收者的知識和能力范圍，則重標(biāo)識風(fēng)險較低。3)通過對環(huán)境風(fēng)險的評估，利用背景信息進行重標(biāo)識的發(fā)生概率低的屬性通常不識別為準(zhǔn)標(biāo)識符，概率高的通常識別為準(zhǔn)標(biāo)識符。(資料性)基于K匿名模型的去標(biāo)識化效果評估示例D.1基于K匿名模型的重標(biāo)識風(fēng)險計算基于K匿名模型的重標(biāo)識風(fēng)險計算是綜合考慮數(shù)據(jù)和環(huán)境因素的計算過程。先計算數(shù)據(jù)集每行記錄、整個數(shù)據(jù)集的重標(biāo)識風(fēng)險，進而計算環(huán)境重標(biāo)識攻擊概率，最后再結(jié)合環(huán)境重標(biāo)識攻擊概率計算整個數(shù)據(jù)集的重標(biāo)識總體風(fēng)險。D.1.2計算每行記錄重標(biāo)識風(fēng)險每行記錄重標(biāo)識風(fēng)險計算步驟如下：b)一個等價類內(nèi)所有記錄的重標(biāo)識風(fēng)險是相同的，按式(D.1)計算給定記錄行所在等價類重標(biāo)識風(fēng)險，即為給定記錄行重標(biāo)識風(fēng)險。0;——等價類重標(biāo)識風(fēng)險；D.1.3計算數(shù)據(jù)集重標(biāo)識風(fēng)險按式(D.2)和或(D.3)可計算兩種常用的數(shù)據(jù)集風(fēng)險度量指標(biāo)。Rb——等價類重標(biāo)識風(fēng)險最大值；0;——等價類重標(biāo)識風(fēng)險；R。-——等價類重標(biāo)識風(fēng)險平均值；θ;——等價類重標(biāo)識風(fēng)險；|J|——等價類數(shù)目。D.1.4計算環(huán)境重標(biāo)識攻擊概率環(huán)境重標(biāo)識攻擊概率計算有以下兩種情況。a)完全公開共享數(shù)據(jù)發(fā)布，攻擊者對數(shù)據(jù)集進行重標(biāo)識攻擊的概率為pr(context)=1。GB/T42460—2023b)受控公開共享數(shù)據(jù)發(fā)布和領(lǐng)地公開共享數(shù)據(jù)發(fā)布，取下述概率的最大值，標(biāo)記為pr(context):1)內(nèi)部故意攻擊概率，根據(jù)數(shù)據(jù)接收者數(shù)據(jù)安全和隱私保護方面的風(fēng)險減緩控制水平，以及動機和能力，可估計內(nèi)部人員發(fā)起重標(biāo)識攻擊的可能性。風(fēng)險減緩控制水平的評估需要考慮的因素包括：訪問控制、數(shù)據(jù)公開、保留期限、數(shù)據(jù)處置、個人信息保護、問責(zé)機制、透明度等。動機和能力是兩個不同的緯度，需要綜合考慮后給出一個綜合性的結(jié)果(高、中、低)。動機評估時可考慮的因素包括：合作歷史中是否出現(xiàn)過攻擊事件，是否有財務(wù)回報、炫耀攻擊的可能性等。攻擊能力的評估考慮因素包括：是否有必要的技術(shù)特長，是否有資金支持完成攻擊、訪問其他私有數(shù)據(jù)庫的可能性等。具體重標(biāo)識攻擊概率取值見表D.1重標(biāo)識攻擊的可能性分析表風(fēng)險減緩控制水平動機和能力重標(biāo)識攻擊概率高低中高中低中高低低中高2)數(shù)據(jù)集包含熟人概率，等于數(shù)據(jù)集中存在隨機熟人的概率，按式(D.4)計算。pr=1—(1-p)”……(D.4)式中：pr——數(shù)據(jù)集包含熟人概率；p——所有人中具有數(shù)據(jù)集中特征的個體的百分比，p的值應(yīng)由最近的人口統(tǒng)計確定；m———接收者的熟人數(shù)，取值宜為150。3)數(shù)據(jù)泄露概率，等于數(shù)據(jù)接收方發(fā)生數(shù)據(jù)泄露的概率。數(shù)據(jù)泄漏的發(fā)生概率與數(shù)據(jù)接收方的數(shù)據(jù)安全和隱私控制的能力分級(高、中、低)相關(guān)。對于安全和隱私控制能力評估為低的情況，推薦將數(shù)據(jù)泄漏概率設(shè)定為0.55。對于安全和隱私控制能力評估為中的情況，推薦將數(shù)據(jù)泄漏概率設(shè)定為0.27。對于安全和隱私控制能力評估為高的情況，推薦將數(shù)據(jù)泄漏概率設(shè)定為0.14。D.1.5計算重標(biāo)識總體風(fēng)險重標(biāo)識總體風(fēng)險計算需要結(jié)合數(shù)據(jù)共享類型分兩步計算。a)按式D.5計算等價類門限風(fēng)險Ra;……(D.5)式中：GB/T42460—2023T——門限閾值：完全公開共享數(shù)據(jù)發(fā)布，取值1/20;受控公開共享數(shù)據(jù)發(fā)布，取值1/5;領(lǐng)地公開共享數(shù)據(jù)發(fā)布，取值1/3;a)根據(jù)R。是否為0,結(jié)合數(shù)據(jù)共享類型，重標(biāo)識總體風(fēng)險R計算見表D.2。表D.2重標(biāo)識總體風(fēng)險計算數(shù)據(jù)共享類型重標(biāo)識總體風(fēng)險度量完全公開共享若R。=0,則按式(D.6)計算R;若R。≠0,則R=1受控公開共享、領(lǐng)地公開共享若R。=0,則按式(D.7)計算R;若R?！?,則R=1總體風(fēng)險可接受閾值宜設(shè)定為0.05。R=Rb×pr(context)……(D.6)R=R?！羛r(context)R?！葍r類重標(biāo)識風(fēng)險平均值；pr(context)——環(huán)境重標(biāo)識攻擊概率。D.2待評定數(shù)據(jù)集及條件表D.3某醫(yī)院內(nèi)部的去標(biāo)識化數(shù)據(jù)集性別年齡藥物編碼男35～40700225女35～40355421男51～55355611男35～40455641女45～50355421GB/T42460—2023表D.3某醫(yī)院內(nèi)部的去標(biāo)識化數(shù)據(jù)集(續(xù))性別年齡藥物編碼男男男女男女男41～45女45～50男41～45女45～50男該去標(biāo)識數(shù)據(jù)集有以下通過判定或獲取到的條件：a)定性判定：該領(lǐng)地公開共享數(shù)據(jù)集采取高級別的風(fēng)險減緩控制水平，攻擊者發(fā)起攻擊的動機和能力處于中等；b)根據(jù)GCO(GlobalClinicalOperations,全球臨床操作)在線數(shù)據(jù)庫估計，國內(nèi)胃癌患者約151萬人，占總?cè)丝诘?.00108(總?cè)丝诩s為140005萬人);假設(shè)該數(shù)據(jù)集的接收者認(rèn)識的平均人數(shù)為150人；c)評估醫(yī)院的安全和隱私控制能力為高，數(shù)據(jù)泄露的概率設(shè)定為0.14;d)重標(biāo)識可接受風(fēng)險閾值設(shè)定為0.05。D.3評估過程按照第5章所述評估過程評估。b)數(shù)據(jù)不含任何直接標(biāo)識符，不是1級，繼續(xù)評估?！澳挲g”為準(zhǔn)標(biāo)識符(“藥物編碼”不是標(biāo)識符),準(zhǔn)標(biāo)識符屬性值相同的數(shù)據(jù)記錄行作為一個等價類，因此一共有5個等價類，然后，計算數(shù)據(jù)集中每一個等價類的大小，以及相應(yīng)的表D.4計算表D.3每個等價類的重標(biāo)識風(fēng)險等價類準(zhǔn)標(biāo)識符等價類大小f;重標(biāo)識風(fēng)險性別年齡1男3中GB/T42460—2023中表D.4計算表D.3每個等價類的重標(biāo)識風(fēng)險(續(xù))等價類準(zhǔn)標(biāo)識符等價類大小f;重標(biāo)識風(fēng)險性別年齡2男33男44女35女32)計算數(shù)據(jù)集重標(biāo)識風(fēng)險指標(biāo)計算下述三種情況的概率：內(nèi)部故意攻擊，查表D.1,重標(biāo)識攻擊概率為0.1;熟悉數(shù)據(jù)集的內(nèi)部人無意識重標(biāo)識，根據(jù)D.2,p=0.00108和m=150,那么重標(biāo)識攻擊概率為1—(1—p)”=1—(1-0.00108)150≈0.15;數(shù)據(jù)泄露，根據(jù)D.2,數(shù)據(jù)泄露概率等于0.14;4)計算重標(biāo)識總體風(fēng)險：計算R?=0,進一步計算數(shù)據(jù)集重標(biāo)識風(fēng)險乘以環(huán)境重標(biāo)識攻擊概d)重標(biāo)識總體風(fēng)險值小于可接受風(fēng)險閾值0.05,評為3級。[1]ISO/IEC20889Privacyenhancingdatade-identificationterminologyandclassifoftechniques[2]InformationandPrivacyCommissionerofOntario,De-identificationGuidelinesforStruc-turedData,June2016.[3]ElEmamK,ArbuckleL.Anonymizinghealthdata:casestudiesandmethodstogetyoustarted[M]."O'ReillyMedia,Inc.",2013.[4]Nelson,GregoryS."Practica