DB31-T 1311-2021 数据去标识化共享指南

上海市市场监督管理局发布 I I 1 1 14数据去标识化共享基本原则 24.1主体权益保护 24.2机构互信制衡 2 24.4基础技术保障 34.5过程实时可控 34.6风险管理默认 35去标识化数据共享条件 3 35.2去标识化技术条件 3 4 46.2共享主体 56.3服务主体 56.4支持主体 6 6 67.2数据预处理(含标记生成) 77.3共享评估 77.4计算增值 77.5标记关联 7 77.7数据应用 8 88.1组织管理 8 88.3数据治理 88.4事件响应 88.5应用限制 8附录A(资料性)数据分类分级分层建议 9附录B(资料性)数据共享风险识别与控制建议 本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的其他内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由上海市经济和信息化委员会提出、归口并组织实施。本文件起草单位：上海世代企业发展促进中心、华东政法大学数据法律研究中心、公安部第三研究所、上海数据交易中心有限公司、安永(中国)企业咨询有限公司、普华永道管理咨询(上海)有限公司北京分公司、上海市华诚律师事务所、北京市天元律师事务所上海分所、北京市金杜律师事务所上海分所、北京市竞天公诚律师事务所上海分所、上海邦信阳中建中汇律师事务所、北京大成(上海)律师事务所、中兴通讯股份有限公司、交通银行股份有限公司太平洋信用卡中心、度小满科技(北京)有限公司。I数据是重要的社会资源。实现数据要素市场化配置是《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》提出的重要目标。数据作为生产要素，其市场化配置可以促进数据的社会化共享与流通利用，让更多的数据使用者能更好地获取数据和利用数据，以支撑科学研究、社会治理和商业决策。数据去标识化是数据共享利用中保护个人信息的关键技术，世界各国均认为去除数据(集)中所包含的与个人关联的标识(符)即可降低识别个人的风险，但任何去标识化数据均存在被复原或再识别的可能。因此，通过数据去标识化技术保护个人信息，需要相应的评估、控制与监督等综合性控制措施来本文件通过“规范共享的数据内容、控制过程的安全有序、约束数据的有限使用”,使数据去标识化共享仍然遵循个人信息保护等的法律法规，以防范数据共享的风险，促进数据合法合规的共享和收集本文件不是针对数据去标识化范围或技术实现的单一标准，而是“商业驱动、技术支撑、法律保障”三位一体的共享架构与共享过程中的外部监督机制相结合的综合性方法指南。Ⅱ本文件提供了数据去标识化共享(分享与间接收集)的共享条件、参与机构、基本流程、风险管理等方面的指导和建议。本文件适用于组织(机构)之间进行数据共享的行为，包括企事业单位之间基于自愿协议的数据共享、数据合作、数据交换、数据交易等行为、同一集团内部独立法人组织之间的数据共享的行为、政府或公共机构向社会组织有条件开放数据的行为。组织内部的数据治理、自我测评等可参照执行。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。3术语和定义GB/T37964—2019、GB/T35273—2020界定的以及下列术语和定义适用于本文件。共享sharing个人信息控制者向其他控制者提供个人信息，且双方分别对个人信息拥有独立控制权的过程。数据共享datasharing使特定主体共享利用其他主体所控制的数据的行为。包含“提供、计算和接收”等过程行为。数据共享域datasharingdomain以机构间数据共享为目的，由参与机构共同组织和运营的、有安全边界的、受控、互信且制衡的计算机域。1去标识化de-identification通过对个人信息的技术处理，使其在不借助额外信息的情况下，无法识别或者关联个人信息主体的过程。基于合法取得、合法持有、并实际控制的数据，对含有个人信息或可能导致形成个人信息的数据进行去标识化处理后，形成的适合通过数据共享域进行共享的数据。是数据标识(符)经去标识化处理后的结果。重标识re-identification把去标识化的数据(集)重新关联到原始个人信息主体或一组个人信息主体的过程。受控重标识re-identificationundercontrol在数据共享域内，经评估合格后，在已知信息主体身份并获得同意的状态下，利用数据共享域的实时关联控制能力，将去标识化数据(集)重新关联到该信息主体或一组信息主体的过程。4数据去标识化共享基本原则数据共享参与机构应保障信息主体所享有的法定权利，数据共享利用不应与信息主体的基本权利和自由相冲突。数据共享各方形成共识，共同组成“技术安全、评估规制、过程控制”三者相互信任制衡的服务与控制体系。4.3共享评估先行在数据共享前，对共享主体、共享过程、共享内容、同意授权及应用场景等行为和条件，进行充分的风险评估。24.4基础技术保障获数据中复原标识(符)而重新识别信息主体。4.5过程实时可控4.6风险管理默认数据去标识化共享的参与机构，应预先识别各种可能的风险，准备应对措施(见附录B),并对应实5去标识化数据共享条件5.1去标识化数据格式的分类分级分层(见附录A),使其能被有序控制重标识及限制后续使用。表1去标识化数据格式数据中信息主体的唯一性标识(符)1.应对原始标识(符)进行去标识化处理，转换为无识别性的“标记”。定义)1.原始标识(符)不得成为数据项进入共有敏感数据的内容(敏感数据判定参见GB2020附录B)型、日期时间型、布尔型、二进制等类型1.原始标识(符)不得成为数据值的部分或全部内容。5.2去标识化技术条件a)域内匿名1)标记由共享主体各自独立生成，基于共享主体的统一注册和登记编码(号),应用国产密码2)标记不可逆，且生成过程有额外信息或密钥被服务机构独立维护与管理，在数据共享域3)标记能够抗密码分析。除生成标记的共享主体之外，其他任何主体都不能将之复原为标识(符)。b)标识隔离31)标记在共享主体私域内具有唯一性；2)在各个共享主体的同一信息主体的“标记”各不相同；3)共享过程以标记作为数据共享索引在数据共享域进行。c)关联控制1)只有经数据共享评估合格后，才能利用密码算法等相应技术，通过标记间的关联，实现将2)只能对数据共享评估合格范围内的信息主体进行重标识处理；3)关联控制的密钥由支持主体中的技术方负责分配，由服务主体中的安全方等可靠机构实d)有据可查行追查和补救。6数据去标识化共享参与机构和不处理数据的支持主体三类(见图1)。二次加工(技术接口)数据提供(技术接口)股务主你合规合标测评(评估意见)评估核验见证(模型工具)密锅合理彼术方标记与关联(去标识技术)共享过程控制(关联服务)(技术接口)领收方数据应用(技术接口)4a)提供方2)对所提供的数据进行符合去标识化要求的技术处理；3)通过共享协议、合同等方式约定数据接收方、计算方的责任和义务；4)如通过平台方进行数据提供，提供方宜遵守平台方的数据共享管理标准；b)接收方1)严格遵守与提供方或平台方约定的合同义务，对任何超越范围和违反共享协议的使用行2)如需进行受控重标识，在接收数据前宜与提供方或平台方通过合同约定重标识目的；宜只接收所约定的重标识目的之所需的最少数据；3)对于经受控重标识过程重构的个人相关数据，接收方应具有合法、明确、具体的个人信息有相应的数据安全能力以保护信息主体权利；4)接收方不能超出信息主体同意的应用场景之外而使用数据；不得有法律法规所禁止的情5)如有数据再提供需求的，宜在共享协议中明确约定，包括接收到的数据和利用其计算处理形成的新数据向其他方提供；6)如接收方进行计算委托，宜对被委托进行数据计算的第三方的行为负责；7)发生安全事件而对信息主体权益造成侵害的，接收方承担相应的责任。c)计算方2)严格依据与委托方签署的委托协议而进行存储、计算、销毁等数据处理行为，对任何超越范围和违反协议的行为承担法律责任；3)在委托方技术平台之外进行处理计算的数据为去标识化数据，并禁止重标识，计算方作为接收方遵循本文件对数据进行重标识的除外；4)经委托方许可而再向其他方提供，或计算的结果数据未受到对外提供的限制时，计算方亦a)平台方在参与各方的支持下，建设和运营数据共享服务平台(51)仅以元数据形式管理所共享数据，不收集、存储和处理数据；2)妥善进行共享主体的注册和登记管理，审核共享主体身份并留存审核记录；3)准确记录存储所开展的数据共享情况，主动核验共享主体发起的评估结论与报告，必要时可要求共享主体补充证明材料(如要求提供方说明数据来源);4)平台方可以集成评估方、安全方、计算方等的第三方服务。集成的第三方服务，依据协议b)安全方数据共享域的有序控制与过程安全。1)核验评估方评估报告与结论真实有效后进行工作；2)及时响应共享主体和平台方的业务需求；3)及时配合有权机构的监测、监管要求。c)评估方1)评估方对评估报告与结论的真实性、时效性负责；2)评估方及时通知安全方相应评估结论。1)对评估方法、评估标准的有效性和一致性负责；2)及时响应法律法规的进展和有权机构的监管要求，修正相应方法标准工具；3)及时响应安全方要求，支持安全方对评估方提交的评估结论开展核验。b)技术方1)所提供的密码安全技术，应通过密码管理部门检测审查；2)根据平台方提供资料对共享主体进行统一注册和登记，及时支持共享主体进行标记生成；6数据共享域计算增值群体(含标记生成)使用7.2数据预处理(含标记生成)7.3共享评估性结论为数据去标识化共享的前置必要条件；7.4计算增值7.5标记关联如果直接共享使用的数据或增值计算的结果数据作用于个体，由安全方在数据共享域内对标记进7.6碰撞配送77.7数据应用经过标记关联的个体数据或计算后的群体结果数据，离开数据共享域，进入共享主体私域开展后续数据应用：a)以群体为对象的应用，维持数据去标识化的状态下，开展相关应用(例如统计分析);b)以个体为对象的应用，在应用私域内开展相关应用(例如身份验真、贷款审批),应遵循现行个人信息保护的法律规则。8数据去标识化共享风险管理8.1组织管理建立数据安全管理和评价考核制度，制定数据安全保护计划和风险评估机制，制定事件处置预案等安全制度，并组织开展教育培训等。8.2能力匹配具备必要的业务资质与信息安全等级，具备与所面临的安全风险相匹配的安全能力，并采取合理的8.3数据治理必要措施，加强数据安全防护。8.4事件响应发现滥用或泄漏等风险情况，立即通知事件相关方停止相关行为，采取或要求采取有效补救措施，控制或消除面临的安全风险；必要时解除业务关系，删除已共享的数据。8.5应用限制区分数据应用对个人或群体的影响，限制数据应用方向与范围；去标识化数据经重标识后，按照个人信息保护法律法规及相关标准要求，遵循信息主体同意规则，开展数据合规管理和应用。8A.1概述A.2数据分类(个人相关)定义举例功能或作用数据身份属性信息姓名1)区分社会个人(自然人)个人身份的生物信息1)区分生物个人3)医疗和健康研究用户名等网络和1)区分网络用户2)链接现实主体与网络行为(记录)的纽带3)触达用户数据自然1)将人分类或分群行为数据个人与时间和空间相关的个人行为、活动、1)了解个人行为习惯，识别个性特征2)预测行动动向关系数据个人与个人之间的关联性数据1)将人分类或分群2)触达用户A.3数据分级(个人相关)9表A.2数据标识(符)与分级说明表指向标识(符)自然人姓名已经识别不可联系1级身份证号已经识别不可联系已经识别不可联系已经识别不可联系已经识别不可联系个人)可直接识别固定电话可直接识别可间接识别不可联系可直接识别2级邮箱可直接识别多域可直接识别可直接识别可直接识别可间接识别多域电商可间接识别多域可间接识别多域可间接识别3级可间接识别可间接识别IP地址可间接识别可间接识别可间接识别可间接识别多域宽带ad可间接识别A.4数据分层(最小要求)为应对不同的应用场景、使用目的、个人同意等条件，遵循GBT37964-2019的数据泛化推荐技术，对数据值(数据内容)进行泛化处理，并形成相应数据分层。数据值的泛化处理，区分时间相关与时间无关的数据项，分别进行。b)时间无关数据项：推荐以“K匿名模型”为数据值分层的标准，以处理后数据集的该数据项的相同赋值条数为计，最少应区分为<1K、1K~5K、>5K三层。从数据值泛化处理的最小要求角度，形成数据分层(见表A.3)。数据项时间相关时间无关1实时2小时-天3周-月4年-无效(资料性)数据共享风险识别与控制建议B.1源自提供的共享风险风险识别：a)数据来源不明；b)未经同意输出个人相关数据。控制建议：a)清晰数据源头，形成来源证明材料；b)区分数据形成方式，包括提供方直接采集的、初步清洗处理的或经过算法计算后的数据等；c)区分数据输出形式，以个人相关数据输出的，原始采集时未获向特定主体输出的同意，应重新获得个人信息主体的同意；以去标识化数据输出的，需纳入数据共享域，形成对其他方的匿名；d)预先进行相应数据共享评估，只有经评估确认数据来源、形成方式、输出形式真实合法的数据可向第三方提供。B.2源自计算的共享风险风险识别：a)委托处理的数据在传输或存储时可能被泄漏；b)可能未获得委托方的再许可，而向他方提供数据；c)由于被委托方缺乏与信息主体的接触场景，无法获得真实有效的同意，缺失信息主体同意基础上的个人相关数据的接收、存储、计算等处理行为的合法性基础。控制建议：a)传输存储以去标识化数据进行，辅以安全适当的技术手段、组织措施，防范数据泄露；b)计算方应有委托方的真实合法授权，其中经许可而再提供需独立授权；c)委托计算的数据为去标识化数据，并纳入数据共享域，保持匿名状态开展计算工作；d)计算成果数据的再提供，遵循提供方要求而进行；e)预先进行相应数据共享评估，只有经评估确认委托授权、去标识化、安全措施等真实合法的才可进行计算。B.3源自接收的共享风险风险识别：a)是否获得信息主体的同意；c)使用个人信息是否符合个人信息保护相关法律法规的规定；d)可能未获得提供方的许可，而向他方提供数据。控制建议：a)检查接收方业务资质、等保资质等，确认其具备与所面临的安全风险相匹配的安全能力，并具备足够的管理措施和技术手段。b)细分分接收方数据处理应用目的：1)数据处理目的是否明确、清晰、具体；2)是否与信息主体的基本权利和自由相冲突；3)是否存在法律所规定的禁止情形(获取后非法出售、提供等)。c)细分接收方数据使用的应用场景、确认是否超出场景目的使用数据，是否未经提供方许可的数据再提供。d)对数据进行分级分类分层，确认是否只处理应用满足个人信息主体授权同意目的所需的最少个人信息类型和数量。e)细分接收方获得信息主体对其相关数据处理应用的同意的方式方法。f)预先进行数据共享评估，只有经评估确认数据内容、数据应用与资质授权等合理匹配、真实合法的才可进行接收。B.4源自数据敏感性的共享风险风险识别：a)个人敏感数据共享可能对个人主体权利、人身财产安全产生风险；b)法律法规禁止、限制共享的其他敏感数据进入共享可能对国家安全、公共安全产生风险。控制建议：a)区分场景，与应用无关的个人敏感数据不得共享；b)法律法规规定的其他敏感数据禁止共享。B.5源自身份识别性的共享风险风险识别：数据如若包含身份信息(标识)或直接与身份信息(标识)关联的信息，其泄露、非法提供和滥用，可能导致侵犯个人隐私权甚或产生为违法犯罪分子利用的人身或财产安全风险。控制建议：a)选择适当的数据处理与去标识化技术；b)禁止包含身份信息(标识)或直接与身份信息(标识)关联的数据