信息安全技术 个人信息去标识化效果分级评估规范.docVIP

ICS35.030

CCSL80

中华人民共和国国家标准

GB/TXXXXX—XXXX

信息安全技术

个人信息去标识化效果分级评估规范

Informationsecuritytechnology—

Gradationandevaluationfortheeffectofpersonalinformationde-identification

(征求意见稿)

(本稿完成日期：2021年4月2日)

在提交反馈意见时，请将您知道的相关专利与支持性文件一并附上

XXXX-XX-XX发布

国家市场监督管理总局国家标准化管理委员会

发布

XXXX-XX-XX实施

1

GB/TXXXXX—XXXX

目次

前言 I

引言 II

1范围 1

2规范性引用文件 1

3术语和定义 1

4个人信息标识度分级 3

4.1概述 3

4.21级(能直接识别主体的数据) 3

4.32级(消除直接标识符的数据) 3

4.43级(重标识风险可接受数据) 3

4.54级(聚合数据) 3

5个人信息去标识化效果评定 3

5.1评定流程 4

5.2重标识风险计算 4

附录A(资料性)直接标识符示例 7

附录B(资料性)准标识符示例 8

附录C(资料性)去标识化效果分级评定示例 9

参考文献 11

Ⅱ

GB/TXXXXX—XXXX

前言

本标准按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。

请注意本文件的其他内容可能涉及专利，本文件的发布机构不承担识别这些专利的责任。

本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。

本标准主要起草单位：清华大学、中国电子技术标准化研究院、北京大学、北京神州绿盟科技有限公司、上海三零卫士信息安全有限公司、中国软件评测中心、北京天融信网络安全技术有限公司、阿里巴巴(北京)软件服务有限公司、北京信息安全测评中心、腾讯科技(北京)有限公司、北京百度网讯科技有限公司、中国人民银行数字货币研究所。

本标准主要起草人：金涛、王建民、周晨炜、谢安明、张峰昌、陈磊、查海平、赵亮、王夔、叶晓俊、屈劲、白晓媛、李媛、刘巍然、刘俊河、洪爵、宋玲娓。

III

GB/TXXXXX—XXXX

引言

GB/T35273-2020《信息安全技术个人信息安全规范》对个人信息的安全使用提出了规范，提出了去标识化的要求。GB/T37964-2019《信息安全技术个人信息去标识化指南》就如何开展去标识化活动给出了指导。本标准旨在依据个人信息能多大程度上标识个人身份进行个人信息去标识化效果分级，可用于评价个人信息去标识化活动的效果，从而在保护个人信息安全的前提下促进数据的共享使用，也可以细化不同分级个人信息的安全措施。

GB/TXXXXX—XXXX

1

信息安全技术个人信息去标识化效果分级评估规范

1范围

本文件提出了个人信息标识度分级和评定方法。

本文件适用于个人信息去标识化活动，也适用于开展对个人信息安全管理、监管和评估。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其必威体育精装版版本(包括所有的修改单)适用于本文件。

GB/T25069信息安全技术术语

GB/T35273—2020信息安全技术个人信息安全规范

GB/T37964—2019信息安全技术个人信息去标识化指南

3术语和定义

GB/T25069、GB/T35273—2020、GB/T37964—2019中界定的以及下列术语和定义适用于本文件。

3.1

个人信息personalinformation

以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。

[来源：GB/T35273-2020,定义3.1]

3.2

个人信息主体personaldatasubject

个人信息所标识或者关联的自然人。

[来源：