ICS35.240CCSL72DB3212泰州市IDB3212/T1177—2025本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由泰州市數(shù)據(jù)局提出、歸口并組織實(shí)施、監(jiān)督。本文件由泰州市數(shù)據(jù)局負(fù)責(zé)具體技術(shù)內(nèi)容的解釋。本文件起草單位：泰州市數(shù)據(jù)局、泰州市數(shù)據(jù)產(chǎn)業(yè)集團(tuán)、泰州市標(biāo)準(zhǔn)化院。本文件主要起草人：許鑫、劉小芳、孫慧、翟敏、陳春陽、陶然、梁鑫晨、顧雅麗、李海鵬、吳薇、陳藍(lán)生、郭健、王友成、張婧嫻。DB3212/T1177—20251公共數(shù)據(jù)脫敏管理規(guī)范本文件規(guī)定了公共數(shù)據(jù)脫敏的總體要求、數(shù)據(jù)脫敏使用限制、數(shù)據(jù)脫敏場景、公共數(shù)據(jù)脫敏方法、公共數(shù)據(jù)脫敏流程、公共數(shù)據(jù)脫敏評價(jià)等內(nèi)容。本文件適用于公共數(shù)據(jù)主管部門、公共管理和服務(wù)機(jī)構(gòu)以及使用公共數(shù)據(jù)的組織、個(gè)人開展公共數(shù)據(jù)脫敏工作。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T35273信息安全技術(shù)個(gè)人信息安全規(guī)范3術(shù)語和定義下列術(shù)語和定義適用于本文件。3.1敏感數(shù)據(jù)sensitivedata能具備一定的安全性要求，一旦泄露會對人、單位、企業(yè)、甚至國家產(chǎn)生某種風(fēng)險(xiǎn)的數(shù)據(jù)。3.2數(shù)據(jù)脫敏datadesensitization對外提供敏感數(shù)據(jù)時(shí)，為避免敏感數(shù)據(jù)泄露，通過一定的方式消除敏感數(shù)據(jù)內(nèi)的敏感信息，并且保留原始數(shù)據(jù)的特征、格式的操作。4總體要求4.1有效性經(jīng)過數(shù)據(jù)脫敏處理后，原始信息中包含的敏感信息已被屏蔽，無法通過直接或簡單處理得到敏感信4.2真實(shí)性脫敏后的數(shù)據(jù)應(yīng)能真實(shí)體現(xiàn)原始數(shù)據(jù)的特征，以助于實(shí)現(xiàn)數(shù)據(jù)相關(guān)業(yè)務(wù)需求。4.3高效性應(yīng)保證數(shù)據(jù)脫敏的過程可通過程序自動實(shí)現(xiàn)，重復(fù)執(zhí)行，在確保一定安全底線的前提下，應(yīng)減少數(shù)據(jù)脫敏工作所花費(fèi)的額外代價(jià)。4.4穩(wěn)定性數(shù)據(jù)脫敏時(shí)應(yīng)保證對相同的原始數(shù)據(jù)，在各輸入條件一致的前提下，無論脫敏多少次，最終結(jié)果數(shù)據(jù)相同。4.5可配置性數(shù)據(jù)脫敏過程中，宜通過配置的方式，按照輸入條件不同生成不同的脫敏結(jié)果。2DB3212/T1177—20254.6一致性脫敏后的數(shù)據(jù)保留原始數(shù)據(jù)的主外鍵關(guān)系、業(yè)務(wù)包含關(guān)系，保證跨場景使用時(shí)數(shù)據(jù)的一致性。5公共數(shù)據(jù)脫敏使用限制在進(jìn)行公共數(shù)據(jù)脫敏時(shí)應(yīng)考慮以下使用限制：——在進(jìn)行數(shù)據(jù)脫敏前需確認(rèn)脫敏對象以及脫敏場景，——選擇合適的脫敏規(guī)則和方法；——采取符合脫敏數(shù)據(jù)等級要求的脫敏方法，避免非敏感數(shù)據(jù)推算出敏感數(shù)據(jù)；——需要確保脫敏后的數(shù)據(jù)具備數(shù)據(jù)原始特征，避免因數(shù)據(jù)脫敏過度而導(dǎo)致數(shù)據(jù)失效；——需要考慮到非敏感數(shù)據(jù)組合后生成敏感數(shù)據(jù)的可能性，對這些非敏感數(shù)據(jù)也要進(jìn)行脫敏工作；——對同一敏感數(shù)據(jù)進(jìn)行多次脫敏后，格式及內(nèi)容需保持一致；——對敏感數(shù)據(jù)進(jìn)行脫敏后，應(yīng)確保脫敏后數(shù)據(jù)無法被恢復(fù)成原始數(shù)據(jù)，或者恢復(fù)成原始數(shù)據(jù)需要花費(fèi)巨大代價(jià)。6公共數(shù)據(jù)脫敏方法脫敏方法示例見附錄A。7公共數(shù)據(jù)脫敏場景7.1場景分類7.1.1靜態(tài)脫敏將生產(chǎn)環(huán)境的敏感數(shù)據(jù)導(dǎo)出到非生產(chǎn)環(huán)境（如：開發(fā)環(huán)境、培訓(xùn)環(huán)境、測試環(huán)境、共享環(huán)境等）的過程中，采用靜態(tài)脫敏完成對敏感數(shù)據(jù)的脫敏處理。7.1.2動態(tài)脫敏在實(shí)時(shí)訪問生產(chǎn)環(huán)境中的敏感數(shù)據(jù)的場景下，采用動態(tài)脫敏技術(shù)完成對敏感數(shù)據(jù)的即時(shí)脫敏處理。7.2開發(fā)測試數(shù)據(jù)脫敏7.2.1包括內(nèi)部常規(guī)的系統(tǒng)測試、對外提供聯(lián)調(diào)數(shù)據(jù)，在使用業(yè)務(wù)真實(shí)數(shù)據(jù)進(jìn)行測試時(shí)，應(yīng)將敏感數(shù)據(jù)脫敏，避免因開發(fā)測試導(dǎo)致敏感數(shù)據(jù)泄漏。7.2.2因重視數(shù)據(jù)的可用性，宜采用替換、變形等技術(shù)，敏感數(shù)據(jù)脫敏可采用相同含義的數(shù)據(jù)替換原有的敏感數(shù)據(jù)。7.3分析數(shù)據(jù)脫敏7.3.1包括數(shù)據(jù)脫敏安全工程師根據(jù)需求將數(shù)據(jù)導(dǎo)出到終端時(shí)脫敏、外部單位使用其他公共服務(wù)機(jī)構(gòu)敏感數(shù)據(jù)分析脫敏。7.3.2因重視數(shù)據(jù)之間的關(guān)聯(lián)性、分析結(jié)果，宜采用抑制、泛化等技術(shù)，脫敏后的數(shù)據(jù)保留原有的數(shù)據(jù)關(guān)系與格式，數(shù)據(jù)脫敏后不會影響分析結(jié)果，脫敏后結(jié)果一致。7.4共享開放數(shù)據(jù)脫敏7.4.1在公共服務(wù)管理機(jī)構(gòu)之間數(shù)據(jù)共享是有條件共享的內(nèi)容，如脫敏后共享或脫敏后開放。7.4.2因重視敏感信息在不同政府部門間共享過程中的隱私泄露問題，宜采用遮蔽脫敏技術(shù)，將原數(shù)據(jù)中部分或全部內(nèi)容，用“*”或“#”等字符進(jìn)行替換，遮蓋部分或全部原文。7.5數(shù)據(jù)庫運(yùn)維脫敏7.5.1針對可獲取或查詢敏感數(shù)據(jù)的業(yè)務(wù)系統(tǒng)后臺運(yùn)維處理過程中，通過脫敏技術(shù)，限制運(yùn)維人員對數(shù)據(jù)庫中敏感信息內(nèi)容的訪問，DB3212/T1177—202537.5.2因需要實(shí)時(shí)訪問生產(chǎn)數(shù)據(jù)庫，但不需要看到敏感字段，宜采用掩碼或變形等技術(shù)在調(diào)用生產(chǎn)庫數(shù)據(jù)時(shí)，在返回的結(jié)果中對敏感數(shù)據(jù)做即時(shí)脫敏處理。7.6業(yè)務(wù)系統(tǒng)前臺脫敏7.6.1用戶在前端應(yīng)用處調(diào)取后臺數(shù)據(jù)庫中的敏感數(shù)據(jù)時(shí)，通過脫敏技術(shù)對敏感數(shù)據(jù)進(jìn)行脫敏，再將結(jié)果反饋至前臺呈現(xiàn)。7.6.2因需要實(shí)時(shí)訪問生產(chǎn)數(shù)據(jù)庫，但不需要看到敏感字段，宜采用掩碼或變形等技術(shù)在調(diào)用生產(chǎn)庫數(shù)據(jù)時(shí)，在返回的結(jié)果中對敏感數(shù)據(jù)做即時(shí)脫敏處理。7.7API接口脫敏7.7.1通過API接口調(diào)用數(shù)據(jù)時(shí)，采用脫敏技術(shù)在接口調(diào)用過程中對敏感數(shù)據(jù)進(jìn)行在線的屏蔽、變形、字符替換、隨機(jī)替換等處理。7.7.2因需要實(shí)時(shí)訪問生產(chǎn)數(shù)據(jù)庫，但不需要看到敏感字段，宜采用掩碼或變形等技術(shù)在調(diào)用生產(chǎn)庫數(shù)據(jù)時(shí)，在返回的結(jié)果中對敏感數(shù)據(jù)做即時(shí)脫敏處理。8公共數(shù)據(jù)脫敏流程8.1脫敏權(quán)限分配8.1.1應(yīng)設(shè)置專門的脫敏操作員、安全管理員和審計(jì)管理員，分工協(xié)作，實(shí)現(xiàn)權(quán)限分離。8.1.2從系統(tǒng)管理、安全管理、審計(jì)管理三個(gè)維度，評估業(yè)務(wù)系統(tǒng)和數(shù)據(jù)使用方所需權(quán)限并授權(quán)，過程應(yīng)符合下列要求。a)技術(shù)要求：1)系統(tǒng)管理應(yīng)分配系統(tǒng)的資源和運(yùn)行配置、控制和管理權(quán)限；2)安全管理應(yīng)分配脫敏任務(wù)的執(zhí)行權(quán)限，包括敏感數(shù)據(jù)管理、脫敏策略配置、脫敏結(jié)果查看3)審計(jì)管理應(yīng)該分配審計(jì)記錄存儲、管理和查詢權(quán)限。b)安全要求：1)應(yīng)實(shí)現(xiàn)用戶的權(quán)限分離；2)應(yīng)對用戶進(jìn)行身份鑒別，保證權(quán)限真實(shí)且唯一，并對操作行為進(jìn)行審計(jì)。8.2敏感數(shù)據(jù)發(fā)現(xiàn)8.2.1人工發(fā)現(xiàn)對于固定的業(yè)務(wù)數(shù)據(jù)，一般數(shù)據(jù)結(jié)構(gòu)和數(shù)據(jù)長度不會變化，大部分為數(shù)值型和固定長度的字符，如：身份證號、手機(jī)號，可采用人工甄別，明確需要脫敏的數(shù)據(jù)，公共數(shù)據(jù)分級參見DB32/T4608.1。8.2.2自動發(fā)現(xiàn)根據(jù)人工指定或預(yù)定義的敏感數(shù)據(jù)特征，借助敏感數(shù)據(jù)信息庫和分詞系統(tǒng)，自動識別數(shù)據(jù)庫中包含的敏感信息。8.3敏感數(shù)據(jù)梳理8.3.1在敏感數(shù)據(jù)發(fā)現(xiàn)的基礎(chǔ)上，完成敏感數(shù)據(jù)列、敏感數(shù)據(jù)關(guān)系的調(diào)整，以保證數(shù)據(jù)的關(guān)聯(lián)關(guān)系。8.3.2通過變形、替換、隨機(jī)、格式保留加密、強(qiáng)加密等數(shù)據(jù)脫敏算法，針對不同的數(shù)據(jù)類型進(jìn)行數(shù)據(jù)掩碼擾亂。8.4脫敏方案制定對于不同的數(shù)據(jù)脫敏需求，在基礎(chǔ)脫敏算法的基礎(chǔ)上，配置專門的脫敏策略，脫敏方案的制定主要依靠脫敏策略和脫敏算法的復(fù)用來實(shí)現(xiàn)，通過配置和擴(kuò)展脫敏算法以制定最優(yōu)方案。8.5脫敏任務(wù)執(zhí)行DB3212/T1177—20254脫敏任務(wù)執(zhí)行需遵循個(gè)人隱私保護(hù)、數(shù)據(jù)安全保護(hù)等相關(guān)法規(guī)、行業(yè)監(jiān)管規(guī)范或標(biāo)準(zhǔn)，個(gè)人敏感信息安全應(yīng)遵循GB/T35273中相關(guān)規(guī)定。根據(jù)已定義的數(shù)據(jù)脫敏規(guī)則，數(shù)據(jù)脫敏操作包括但不限于：——對脫敏任務(wù)自動化運(yùn)行；——對脫敏過程運(yùn)行監(jiān)控和分析；——定期對脫敏工作開展安全審計(jì)。8.6脫敏效果評估對脫敏后的數(shù)據(jù)進(jìn)行效果評估，確保已達(dá)到預(yù)期脫敏效果，過程應(yīng)符合下列要求。a)技術(shù)要求：1)應(yīng)評估數(shù)據(jù)特征是否變化；2)應(yīng)評估已知敏感信息是否去除；3)應(yīng)評估逆向恢復(fù)敏感數(shù)據(jù)的執(zhí)行難度；4)應(yīng)評估數(shù)據(jù)結(jié)構(gòu)和統(tǒng)計(jì)特征是否存在敏感性；5)應(yīng)評估脫敏后的數(shù)據(jù)是否滿足使用需求。b)安全要求：評估過程中產(chǎn)生的敏感數(shù)據(jù)應(yīng)在評估完成后執(zhí)行刪除銷毀操作。8.7脫敏數(shù)據(jù)標(biāo)識對脫敏后的數(shù)據(jù)進(jìn)行重新標(biāo)識，與原始數(shù)據(jù)區(qū)分，過程應(yīng)符合下列要求。a)技術(shù)要求：應(yīng)根據(jù)實(shí)際使用需要，標(biāo)識數(shù)據(jù)脫敏狀態(tài)為已脫敏，并標(biāo)識敏感級別。b)安全要求：1)應(yīng)保障數(shù)據(jù)標(biāo)識不被惡意刪除和篡改；2)數(shù)據(jù)標(biāo)識不應(yīng)影響數(shù)據(jù)的結(jié)構(gòu)、分析和使用。8.8脫敏過程審計(jì)記錄脫敏過程各個(gè)階段相關(guān)信息，形成完備的脫敏日志完成審計(jì)分析、溯源追蹤和監(jiān)督檢查，過程應(yīng)符合下列要求。a)技術(shù)要求：3)應(yīng)審計(jì)數(shù)據(jù)源相關(guān)信息，包含數(shù)據(jù)源自身安全策略和權(quán)限信息等內(nèi)容；4)應(yīng)審計(jì)脫敏工具配置信息，包含權(quán)限賬號、敏感數(shù)據(jù)識別規(guī)則、脫敏算法、脫敏規(guī)則和策略等關(guān)鍵配置信息等內(nèi)容；5)應(yīng)審計(jì)脫敏過程各個(gè)階段人員操作信息，包含登錄、登出、任務(wù)執(zhí)行、策略變更等人員操作日志等內(nèi)容；6)應(yīng)審計(jì)脫敏任務(wù)執(zhí)行信息，包含任務(wù)創(chuàng)建、執(zhí)行、查詢、刪除信息，任務(wù)報(bào)錯(cuò)信息等內(nèi)容；7)脫敏工具應(yīng)具備定期備份的能力。c)安全要求：1)脫敏日志應(yīng)保存不少于六個(gè)月；2)脫敏日志應(yīng)采取加密和校驗(yàn)機(jī)制，保障記錄保密性和完整性。9公共數(shù)據(jù)脫敏評價(jià)9.1應(yīng)按照系統(tǒng)、人員、安全、技術(shù)以及數(shù)據(jù)脫敏工作過程等多方面規(guī)范要求，每年開展至少1次及以上數(shù)據(jù)脫敏評價(jià)工作，評價(jià)其真實(shí)性、有效性、穩(wěn)定性。評價(jià)工作宜在數(shù)據(jù)脫敏工作驗(yàn)收結(jié)束后1個(gè)月內(nèi)完成。9.2根據(jù)評價(jià)結(jié)果，詳細(xì)記錄數(shù)據(jù)脫敏工作的存在的問題，形成書面評價(jià)報(bào)告。報(bào)告內(nèi)容應(yīng)包括評價(jià)目的、范圍、方法、結(jié)果、改進(jìn)建議等。9.3針對評價(jià)中發(fā)現(xiàn)的問題，制定具體的改進(jìn)措施和計(jì)劃，并明確責(zé)任人和時(shí)間節(jié)點(diǎn)。9.4對改進(jìn)措施的實(shí)施情況進(jìn)行跟蹤和監(jiān)督，確保問題得到及時(shí)有效的解決。在下一次評價(jià)工作中，重點(diǎn)檢查改進(jìn)措施的落實(shí)效果。DB3212/T1177—20255A脫敏方法示例脫敏方法示例見表A.1表A.1脫敏方法示例序號1術(shù)2345歸零是指對數(shù)據(jù)清空并置為0的處理。6術(shù)7行8列9機(jī)例如設(shè)定范圍1000至9999；那么對原金額數(shù)DB3212/T1177—20256表A.1脫敏方法示例（續(xù)）序號密E(nx)=E(x+x+…+x)=E(x)+E(x)+…+E(x)=DB3212/T1