ICS35030

CCSL.80

中華人民共和國國家標(biāo)準(zhǔn)

GB/T42460—2023

信息安全技術(shù)

個人信息去標(biāo)識化效果評估指南

Informationsecuritytechnology—

Guideforevaluatingtheeffectivenessofpersonalinformationde-identification

2023-03-17發(fā)布2023-10-01實施

國家市場監(jiān)督管理總局發(fā)布

國家標(biāo)準(zhǔn)化管理委員會

GB/T42460—2023

目次

前言

…………………………Ⅰ

引言

…………………………Ⅱ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

個人信息去標(biāo)識化效果分級

4……………3

個人信息去標(biāo)識化效果評估流程

5………………………3

評估實施

6…………………4

評估準(zhǔn)備

6.1……………4

定性評估

6.2……………5

定量評估

6.3……………5

形成評估結(jié)論

6.4………………………5

溝通與協(xié)商

6.5…………………………5

評估過程文檔管理

6.6…………………5

附錄資料性直接標(biāo)識符示例

A()………………………6

附錄資料性準(zhǔn)標(biāo)識符示例

B()…………7

附錄資料性準(zhǔn)標(biāo)識符識別

C()…………8

附錄資料性基于匿名模型的去標(biāo)識化效果評估示例

D()K………10

參考文獻

……………………15

GB/T42460—2023

前言

本文件按照標(biāo)準(zhǔn)化工作導(dǎo)則第部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機構(gòu)不承擔(dān)識別專利的責(zé)任

。。

本文件由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口

(SAC/TC260)。

本文件起草單位清華大學(xué)中國電子技術(shù)標(biāo)準(zhǔn)化研究院北京大學(xué)綠盟科技集團股份有限公司

:、、、、

上海三零衛(wèi)士信息安全有限公司中國軟件評測中心北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司螞蟻科技集

、、、

團股份有限公司阿里巴巴北京軟件服務(wù)有限公司北京市政務(wù)信息安全保障中心深圳市騰訊計算

、()、、

機系統(tǒng)有限公司北京百度網(wǎng)訊科技有限公司中國人民銀行數(shù)字貨幣研究所

、、。

本文件主要起草人金濤王建民周晨煒謝安明張峰昌陳磊查海平趙亮王龑葉曉俊屈勁

:、、、、、、、、、、、

白曉媛李媛劉巍然劉俊河洪爵宋玲娓

、、、、、。

Ⅰ

GB/T42460—2023

引言

提出了個人信息去標(biāo)識化的要求明確了個人信息去標(biāo)識化處理的環(huán)節(jié)和場景

GB/T35273,,

就如何開展個人信息去標(biāo)識化活動給出了指導(dǎo)經(jīng)去標(biāo)識化處理后的個人信息并不能完

GB/T37964。

全實現(xiàn)匿名化仍存在重標(biāo)識的風(fēng)險需結(jié)合應(yīng)用場景進行去標(biāo)識化效果評估

,,。

本文件旨在依據(jù)個人信息能多大程度上標(biāo)識個人身份即標(biāo)識度進行分級用于評估個人信息去

(),

標(biāo)識化活動的效果個人信息基于標(biāo)識度分級有利于個人信息分級別探討適用場景和安全管理要

。,

求更有利于個人信息的使用和保護根據(jù)國內(nèi)外相關(guān)研究及實踐成果附錄中給出了可供參考的計算

,。,

方法和閾值推薦

。

Ⅱ

GB/T42460—2023

信息安全技術(shù)

個人信息去標(biāo)識化效果評估指南

1范圍

本文件提供了個人信息去標(biāo)識化效果分級與評估的指南

。

本文件適用于個人信息去標(biāo)識化活動也適用于開展個人信息安全管理監(jiān)管和評估

,、。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對應(yīng)的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,;,()

本文件

。

信息安全技術(shù)術(shù)語

GB/T25069—2022

信息安全技術(shù)個人信息安全規(guī)范

GB/T35273—2020

信息安全技術(shù)個人信息去標(biāo)識化指南

GB/T37964—2019

3術(shù)語和定義

界定的以及下列術(shù)語和定義適用于

GB/T25069—2022、GB/T35273—2020、GB/T37964—2019

本文件

。

31

.

個人信息personalinformation

以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息

。

注不包括匿名化處理后的信息

:。

來源有修改

[:GB/T35273—2020,3.1,]

32

.