脫敏算法能力評估技術(shù)要求編制說明

隱私計算脫敏算法能力評估技術(shù)要求編制說明目的意義數(shù)據(jù)作為“信息時代的石油”，已成為國家基礎(chǔ)性戰(zhàn)略資源，在推動經(jīng)濟(jì)高質(zhì)量發(fā)展的同時，也帶來了數(shù)據(jù)泄露等安全問題。隱私計算的算法能力評估缺乏統(tǒng)一的標(biāo)準(zhǔn)和方法，增加了數(shù)據(jù)安全的風(fēng)險，對國家信息安全構(gòu)成了威脅。2020年由國家發(fā)改委發(fā)布的《關(guān)于加快構(gòu)建全國一體化大數(shù)據(jù)中心協(xié)同創(chuàng)新體系的指導(dǎo)意見》中指出要開展通信網(wǎng)絡(luò)安全防護(hù)工作，同步規(guī)劃、同步建設(shè)和同步運(yùn)行網(wǎng)絡(luò)安全設(shè)施，提升應(yīng)對高級威脅攻擊能力。加快研究完善海量數(shù)據(jù)匯聚融合的風(fēng)險識別與防護(hù)技術(shù)、數(shù)據(jù)脫敏技術(shù)、數(shù)據(jù)安全合規(guī)性評估認(rèn)證、數(shù)據(jù)加密保護(hù)機(jī)制及相關(guān)技術(shù)監(jiān)測手段等。2022年工信部發(fā)布的《工業(yè)和信息化部等十六部門關(guān)于促進(jìn)數(shù)據(jù)安全產(chǎn)業(yè)發(fā)展的指導(dǎo)意見》提出要積極發(fā)展檢測、評估、認(rèn)證服務(wù)。建立數(shù)據(jù)安全檢測評估體系，加強(qiáng)與網(wǎng)絡(luò)安全等級保護(hù)評測等相關(guān)體系銜接。鼓勵檢測、評估、認(rèn)證機(jī)構(gòu)跨行業(yè)跨領(lǐng)域發(fā)展，推動跨行業(yè)標(biāo)準(zhǔn)互通和結(jié)果互認(rèn)。推動檢測、評估等服務(wù)與數(shù)據(jù)安全相關(guān)標(biāo)準(zhǔn)體系的動態(tài)銜接。因此，開展脫敏算法能力評估是確保數(shù)據(jù)安全檢測評估的一項(xiàng)重要工作，通過脫敏算法能力評估將有助于全面了解和掌握脫敏算法的脫敏能力和存在的問題，進(jìn)而有針對性的補(bǔ)齊短板，推動隱私計算與數(shù)據(jù)安全能力建設(shè)協(xié)同發(fā)展。尤其在我國提高數(shù)據(jù)安全管理和個人信息保護(hù)水平的過程中，這項(xiàng)工作是非常重要和必不可少的。其中，脫敏算法能力評估技術(shù)要求的關(guān)鍵作用在于：1、社會各方都亟需可以統(tǒng)一評估脫敏算法能力的技術(shù)要求，以實(shí)現(xiàn)規(guī)范脫敏算法在數(shù)據(jù)處理中的應(yīng)用流程和操作規(guī)范。2、社會各方通過對脫敏算法能力的評估，可以有效降低敏感數(shù)據(jù)泄露和濫用的風(fēng)險，保障個人隱私和敏感信息的安全。3、社會各方通過對脫敏算法能力的評估，有助于提高數(shù)據(jù)安全信任，促進(jìn)數(shù)據(jù)共享和合作，推動數(shù)據(jù)的開放和創(chuàng)新應(yīng)用。4、脫敏算法評估技術(shù)要求的制定有助于提升國家信息安全防護(hù)能力，防范數(shù)據(jù)泄露和濫用對國家安全的威脅。5、各國缺乏一套統(tǒng)一的規(guī)范化的脫敏算法能力評估標(biāo)準(zhǔn)，用以促進(jìn)國際間數(shù)據(jù)安全技術(shù)的交流與合作。任務(wù)來源在國際上，一些國際標(biāo)準(zhǔn)組織和技術(shù)機(jī)構(gòu)已經(jīng)制定和發(fā)布了脫敏算法能力評估的相關(guān)標(biāo)準(zhǔn)和指南。例如，ISO/IEC27002《信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)—信息安全管理》和ISO/IEC29101《信息技術(shù)—安全技術(shù)—隱私架構(gòu)框架》等標(biāo)準(zhǔn)，提供了信息安全管理與隱私架構(gòu)框架的要求和指南，其中包括了隱私計算和脫敏技術(shù)的相關(guān)內(nèi)容。GDPR（《通用數(shù)據(jù)保護(hù)條例》）規(guī)定了個人數(shù)據(jù)的處理方式，包括了對個人隱私信息進(jìn)行脫敏的要求和脫敏算法能力評估的相關(guān)內(nèi)容。在國內(nèi)，一些行業(yè)組織和標(biāo)準(zhǔn)化機(jī)構(gòu)也開始關(guān)注脫敏效果評估的標(biāo)準(zhǔn)制定和實(shí)踐。例如，國家市場監(jiān)督管理總局與國家標(biāo)準(zhǔn)化管理委員會發(fā)布的《信息安全技術(shù)個人信息安全規(guī)范》標(biāo)準(zhǔn)，規(guī)定了個人隱私信息處理活動的原則和安全要求，其中包括了脫敏算法能力的相關(guān)內(nèi)容。此外，標(biāo)準(zhǔn)制定機(jī)構(gòu)和一些行業(yè)組織(如金融行業(yè)、醫(yī)療保健行業(yè)等)也開展了脫敏算法能力評估相關(guān)的指南和標(biāo)準(zhǔn)的實(shí)踐研究工作，完善脫敏算法能力評估的方法和技術(shù)。并且，進(jìn)行脫敏算法能力評估能夠明確脫敏算法的算法類別、優(yōu)勢以及不足，有助于進(jìn)一步采取有針對性的改進(jìn)措施，持續(xù)改進(jìn)和提高脫敏算法的能力和水平，匹配脫敏算法的應(yīng)用場景。脫敏算法能力評估需保障不同的單位和團(tuán)體所采用的脫敏算法具有合規(guī)性和一致性，謹(jǐn)防跨系統(tǒng)中的隱私泄露問題，預(yù)防全社會各系統(tǒng)隱私保護(hù)的短板效應(yīng)。目前，國內(nèi)外還未對脫敏算法能力評估進(jìn)行標(biāo)準(zhǔn)化，社會各方在對脫敏算法能力評估的實(shí)踐中積累了豐富的經(jīng)驗(yàn)，但存在維度考慮不足，體系化程度不足等問題，亟需制定相關(guān)標(biāo)準(zhǔn)，用以體系化、全面化地對實(shí)踐進(jìn)行指導(dǎo)，完善脫敏算法能力評估技術(shù)要求。制定脫敏算法能力評估技術(shù)要求標(biāo)準(zhǔn)將有助于解決這一難題，推動數(shù)據(jù)安全和隱私保護(hù)的發(fā)展、實(shí)現(xiàn)評估的系統(tǒng)化和全面性；同時，標(biāo)準(zhǔn)也有助于進(jìn)行脫敏算法能力評估的實(shí)踐，從而進(jìn)一步維護(hù)數(shù)據(jù)安全，促進(jìn)數(shù)據(jù)共享與應(yīng)用。編制過程1) 2023年4月5日，規(guī)范研制正式啟動會。標(biāo)準(zhǔn)牽頭單位對前期的研究工作進(jìn)行了匯報。確定了標(biāo)準(zhǔn)的研究思路和分工。2) 2023年4月15日，提交項(xiàng)目立項(xiàng)申請書。3) 2023年4月16日至2022年6月24日，期間進(jìn)行了多次標(biāo)準(zhǔn)工作組內(nèi)部討論，并針對標(biāo)準(zhǔn)大體框架與內(nèi)容方向進(jìn)行了修改與調(diào)整，形成第一版標(biāo)準(zhǔn)草案。4) 2023年7月1日，召開立項(xiàng)評審會，邀請專家對草案給出建議。5) 2023年7月4日至2022年11月4日，期間進(jìn)行了多次標(biāo)準(zhǔn)工作組內(nèi)部討論，針對標(biāo)準(zhǔn)內(nèi)容進(jìn)行了細(xì)節(jié)的修改與調(diào)整。6) 2023年11月6日，形成第二版標(biāo)準(zhǔn)草案，并召集了標(biāo)準(zhǔn)草案的內(nèi)部閉門研討會。7) 2024年1月30日，繼續(xù)完善標(biāo)準(zhǔn)草稿，形成第三版。8）2024年6月28日，召開專家評審會，邀請專家對修改后的版本進(jìn)行評審。9）2024年8月，形成征求意見稿。主要內(nèi)容技術(shù)指標(biāo)確立本標(biāo)準(zhǔn)規(guī)范了脫敏算法能力評估技術(shù)要求的概述、脫敏算法能力評估通用技術(shù)要求及脫敏算法能力評估的報告要求。詳情如下：1、概述：脫敏算法能力評估技術(shù)要求的概括性描述，其中包括目的、算法評估的基本原則和用途三個方面。2、脫敏算法能力評估通用技術(shù)要求：用以評估脫敏算法能力的通用技術(shù)要求，包括脫敏算法分類、脫敏算法能力評估指標(biāo)體系、脫敏算法可逆性評估、脫敏算法信息偏差性評估、脫敏算法信息損失性評估、脫敏算法復(fù)雜性評估六個部分。3、脫敏算法能力評估的報告要求：用以規(guī)范生成的脫敏算法能力評估報告，幫助主管監(jiān)管部門、第三方評估機(jī)構(gòu)燈組織對隱私信息脫敏處理活動進(jìn)行監(jiān)督、管理和評估，包括形成評估報告的目的、評估報告的組成內(nèi)容、評估項(xiàng)目概述組成內(nèi)容、評估指標(biāo)、單項(xiàng)評估結(jié)果分析、整體評估組成內(nèi)容及等級評估結(jié)論組成內(nèi)容七個部分。本文件適用于規(guī)范各類組織的隱私信息脫敏處理活動，也可為主管監(jiān)管部門、第三方評估機(jī)構(gòu)等組織對隱私信息脫敏處理活動進(jìn)行監(jiān)督、管理和評估提供參考。本標(biāo)準(zhǔn)牽頭單位為西安電子科技大學(xué)，參與單位包括中國科學(xué)院信息工程研究所、中國網(wǎng)絡(luò)安全審查認(rèn)證和市場監(jiān)管大數(shù)據(jù)中心、北京理工大學(xué)、四川昊華銳恒科技有限公司、成都西電網(wǎng)絡(luò)安全研究院、長春吉大正元信息技術(shù)股份有限公司、國網(wǎng)上海研究院、普華永道商務(wù)咨詢(上海)有限公司等。與相關(guān)法律法規(guī)和國家標(biāo)準(zhǔn)的關(guān)系本標(biāo)準(zhǔn)的總體結(jié)構(gòu)和編寫方法按照GB/T1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則第一部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定執(zhí)行。本標(biāo)準(zhǔn)參考的相關(guān)法律、法規(guī)和標(biāo)準(zhǔn)文件如下：GB/T35273—2020《信息安全技術(shù)個人信息安全規(guī)范》GB/T25069-2022《信息安全技術(shù)術(shù)語》GB/T37988-2019《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》GB/T37964-2019《信息安全技術(shù)個人信息去標(biāo)識化指南》《中華人民共和