ICS35.040

CCSL80

團體標準

T/YPSMXXXX—2024

非結(jié)構(gòu)化數(shù)據(jù)匿名化指南

肖像圖片和視頻

Guideforanonymizingunstructureddata—Portraitimagesandvideos

（征求意見稿）

（本草案完成時間：2024.07.01）

在提交反饋意見時，請將您知道的相關(guān)專利連同支持性文件一并附上。

2024-XX-XX發(fā)布2024-XX-XX實施

中關(guān)村英普斯蔓軟件行業(yè)知識產(chǎn)權(quán)促進會發(fā)布

T/YPSMXXXX—2024

非結(jié)構(gòu)化數(shù)據(jù)匿名化指南

肖像圖片和視頻

1范圍

本文件給出了肖像圖片和視頻類非結(jié)構(gòu)化數(shù)據(jù)（以下簡稱“數(shù)據(jù)”）匿名化的目標和原則，并提供

了匿名化過程和管理措施。

本文件適用于組織開展肖像圖片和視頻類的非結(jié)構(gòu)化數(shù)據(jù)匿名化工作，網(wǎng)絡安全和信息化主管部

門、第三方評估機構(gòu)等組織開展監(jiān)督管理、評估等工作參照使用。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T25069信息安全技術(shù)術(shù)語

3術(shù)語和定義

GB/T25069界定的以及下列術(shù)語和定義適用于本文件。

非結(jié)構(gòu)化數(shù)據(jù)unstructureddata

不具有預定義模型或未以預定義方式組織的數(shù)據(jù)。

[來源：GB/T35295—2017,2.1.25]

注：例如文本、圖像、音頻、視頻等。

個人信息personalinformation

以電子或其他方式記錄的能夠單獨或與其他信息結(jié)合識別特定自然人身份或反映特定自然人活動

情況的各種信息。

[來源：GB/T35273—2020,3.1]

個人信息主體personalinformationsubject

個人信息所標識或者關(guān)聯(lián)的自然人。

[來源：GB/T35273—2020,3.3]

匿名化anonymization

通過對個人信息的技術(shù)處理，使得個人信息主體無法被識別或者關(guān)聯(lián)，且處理后的信息不能被復原

的過程。

[來源：GB/T35273—2020,3.14]

標識符identifier

肖像圖片和視頻類非結(jié)構(gòu)化數(shù)據(jù)中的一個或多個屬性，可以實現(xiàn)對個人信息主體的唯一識別。

[來源：GB/T37964—2019,3.6,有修改]

重標識re-identification

把匿名化的肖像圖片和視頻類非結(jié)構(gòu)化數(shù)據(jù)重新關(guān)聯(lián)到原始個人信息主體或一組個人信息主體的

過程。

1

T/YPSMXXXX—2024

[來源：GB/T37964—2019,3.9,有修改]

肖像Portraitimage

通過影像、雕塑、繪畫等方式在一定載體上所反映的特定自然人可以被識別的外部形象。

4概述

匿名化目標

匿名化的目標包括：

a)通過匿名化技術(shù)，對數(shù)據(jù)進行匿名化處理，完全去除數(shù)據(jù)中包含的所有標識符，徹底刪除匿名

化處理前的非結(jié)構(gòu)化數(shù)據(jù)；

b)匿名化處理后的數(shù)據(jù)無法通過任何技術(shù)進行重標識，無法關(guān)聯(lián)到個人信息和個人信息主體；

c)結(jié)合業(yè)務目標和數(shù)據(jù)特性，選擇合適的匿名化模型和技術(shù)，確保匿名化處理后的數(shù)據(jù)的可用性

滿足預期目的。

匿名化原則

4.2.1安全與可用相結(jié)合

根據(jù)業(yè)務目標和安全保護的需要，對數(shù)據(jù)進行恰當?shù)娜ツ涿幚?，在保護個人信息安全的前提下，

確保匿名化后的數(shù)據(jù)具有應用價值。

4.2.2技術(shù)與管理相結(jié)合

根據(jù)工作目標制定適當?shù)牟呗裕x擇適當?shù)哪Ｐ秃图夹g(shù)，綜合利用技術(shù)和管理兩方面措施實現(xiàn)最佳

效果，包括設定具體的崗位，明確相應的職責，對匿名化過程中形成的輔助信息采取有效的安全防護措

施等。

4.2.3軟件與人工相結(jié)合

針對大規(guī)模數(shù)據(jù)的匿名化工作，使用軟件工具提高去標識化效率、保證有效性，但同時配置適當數(shù)

量的授權(quán)人員進行人工核對。

5匿名化過程

概述

匿名化過程宜分為確定目標、識別標識、處理標識以及驗證審批等步驟，并在上述各步驟的實施過

程中和完成后進行有效的監(jiān)控和審查，如圖1所示。

確定目標

識別標識

監(jiān)

控

審

處理標識查

驗證審批

圖1匿名化過程

2

T/YPSMXXXX—2024

確定目標

5.2.1概述

確定目標的步驟包括確定匿名化對象、建立匿名化目標和制定工作計劃等內(nèi)容。

5.2.2確定匿名化對象

宜根據(jù)以下要素確定哪些數(shù)據(jù)屬于匿名化對象：

a)了解數(shù)據(jù)是否屬于組織列入的重要數(shù)據(jù)或敏感數(shù)據(jù)范疇，數(shù)據(jù)應用時是否存在匿名化的要求；

b)了解這些數(shù)據(jù)采集時是否做過匿名化相關(guān)承諾；

c)了解數(shù)據(jù)來源相關(guān)信息系統(tǒng)的業(yè)務特性，了解業(yè)務內(nèi)容和業(yè)務流程，披露數(shù)據(jù)是否涉及個人信

息安全風險；

d)了解待發(fā)布數(shù)據(jù)的用途，是否存在個人信息安全風險；

e)了解數(shù)據(jù)披露歷史和匿名化歷史情況，待披露數(shù)據(jù)是否和歷史數(shù)據(jù)存在關(guān)聯(lián)關(guān)系。

5.2.3建立匿名化目標

建立匿名化目標，具體包括確定匿名化的技術(shù)方法以及數(shù)據(jù)有用性最低要求。

考慮因素宜包括：

a)了解數(shù)據(jù)匿名化后的用途，涉及業(yè)務系統(tǒng)的功能和特性，考慮數(shù)據(jù)匿名化的影響，確定數(shù)據(jù)有

用性的最低要求；

b)了解數(shù)據(jù)獲取時的相關(guān)承諾，以及涉及哪些個人信息；

c)了解數(shù)據(jù)屬性和業(yè)務特性，擬采用的重標識風險評估方式；

d)了解可能采用的匿名化模型和技術(shù)。

5.2.4制定工作計劃

制定匿名化的實施計劃，包括匿名化的目的、目標、數(shù)據(jù)對象、實施團隊、實施方案、利益相關(guān)方、

應急措施以及進度安排等，形成匿名化實施計劃書。

確定相關(guān)內(nèi)容后，匿名化實施計劃書宜得到組織高級管理層的批準和支持。

識別標識

5.3.1概述

識別標識符的方法包括可交換圖像文件格式（EXIF）法、計算機視覺法、規(guī)則判定法和人工分

析法。

5.3.2可交換圖像文件格式（EXIF）法

EXIF包含了有關(guān)拍攝設備、拍攝參數(shù)、時間、地點等信息，這些信息通常是由相機或手機等設備自

動添加到文件中的，其中時間、地點等信息較敏感。

5.3.3計算機視覺法

通過計算機視覺算法識別高清晰肖像圖片和視頻中存在個人生物識別信息，如面部特征、虹膜、指

紋等各種生物識別特征。若肖像圖片或視頻中出現(xiàn)人臉、虹膜、指紋等個人生物識別信息時，進行加密

處理。

5.3.4規(guī)則判定法

組織宜分析業(yè)務特點，總結(jié)可能涉及標識符的數(shù)據(jù)格式和規(guī)律,確立相關(guān)標識符識別規(guī)則，然后通

過運行程序，自動化地識別出標識數(shù)據(jù)。

5.3.5人工分析法

組織宜在對業(yè)務處理、數(shù)據(jù)結(jié)構(gòu)、相互依賴關(guān)系和對可用數(shù)據(jù)等要素分析的基礎(chǔ)上，直接指定數(shù)據(jù)

中需要匿名化的標識符。在個別情況下，人工分析法較其他方法對標識的識別準確率更高。

3

T/YPSMXXXX—2024

處理標識

5.4.1概述

處理標識步驟分為預處理、選擇模型技術(shù)、實施匿名化三個階段工作。

5.4.2預處理

預處理階段工作宜按下列方法進行：

a)形成規(guī)范化或滿足特定格式要求的數(shù)據(jù)；

b)對數(shù)據(jù)抽樣，減小數(shù)據(jù)的整體規(guī)模；

c)增加或擾亂數(shù)據(jù)，改變數(shù)據(jù)的真實性。

組織宜根據(jù)數(shù)據(jù)的實際情況選擇預處理措施或選擇不預處理。

5.4.3選擇模型技術(shù)

選擇模型技術(shù)的因素包括但不限于下列方面：

a)是否存在重標識風險；

b)處理前的數(shù)據(jù)是否能刪除；

c)是否需要保持原有數(shù)據(jù)格式；

d)是否可以更改數(shù)據(jù)類型；

e)是否可以對屬性值實施隨機噪聲添加，對屬性值做微小變化；

f)匿名化的成本約束；

g)匿名化處理后數(shù)據(jù)的可用性。

附錄A給出了幾種常用的去標識化技術(shù)。

5.4.4實施匿名化

主要工作包括：

a)若存在多個需要匿名化的標識符，則根據(jù)數(shù)據(jù)特點和業(yè)務特性設定匿名化的順序；

b)依次選擇相應的工具或程序；

c)設置工具或程序的屬性和參數(shù)；

d)依次執(zhí)行匿名化工具或程序，獲得結(jié)果數(shù)據(jù)。

驗證審批

5.5.1驗證個人信息安全

驗證匿名化數(shù)據(jù)滿足個人信息安全保護要求的方法包括：

a)檢查生成的數(shù)據(jù)文件，以確保文件數(shù)據(jù)中不包含任何標識符；

b)評估匿名化軟件及其參數(shù)配置；

c)進行有針對性的入侵者測試，檢查是否有具備合格能力的外部人員可以使用公開的數(shù)據(jù)執(zhí)行

重標識。

5.5.2驗證數(shù)據(jù)有用性

匿名化降低了數(shù)據(jù)質(zhì)量和生成數(shù)據(jù)的有用性，需要考慮匿名化后的數(shù)據(jù)集對于預期的應用仍然有

用。

存在一些方法用于驗證數(shù)據(jù)有用性。例如，內(nèi)部人員對原始數(shù)據(jù)和匿名化的數(shù)據(jù)執(zhí)行統(tǒng)計計算，并

對結(jié)果進行比較，以查看匿名化后是否導致不可接受的更改。組織可讓可信的外部人員檢查匿名化數(shù)據(jù)

集，以確定數(shù)據(jù)能被用于預期目的。

5.5.3審批匿名化工作

在完成處理標識和驗證結(jié)果后，組織管理層應依據(jù)重標識風險、數(shù)據(jù)有用性最低要求等因素，以及

驗證結(jié)果、去標識化各步驟實施過程中的監(jiān)控審查記錄等因素，做出是否認可數(shù)據(jù)去標識化結(jié)果的決定。

審批由組織高級管理層來執(zhí)行。

4

T/YPSMXXXX—2024

監(jiān)控審查

5.6.1監(jiān)控審查匿名化各步驟實施過程

宜確保匿名化的每一步驟均實現(xiàn)了預定目標。

在匿名化的各個步驟中，為有效完成匿名化任務，需在確定目標步驟編制匿名化工作方案明確各步

驟要完成的工作，并在識別標識、處理標識、驗證結(jié)果階段記錄工作過程和結(jié)果，形成文檔。

組織管理層在匿名化的各個步驟完成時，對該階段記錄文檔進行審查，檢查輸出文檔是否齊全和內(nèi)

容完備，及時發(fā)現(xiàn)已經(jīng)出現(xiàn)或可能出現(xiàn)的錯誤或偏差，并采取適當控制措施，監(jiān)督各步驟執(zhí)行過程得到

完整和有效地執(zhí)行。

監(jiān)控審查過程也應記錄到文檔中，記錄內(nèi)容至少包括監(jiān)控審查對象、時間、過程、結(jié)果和措施等內(nèi)

容。

5.6.2持續(xù)監(jiān)控匿名化效果

由于重標識技術(shù)在迅速演變，宜對匿名化處理后的數(shù)據(jù)保持持續(xù)監(jiān)控，一方面確保數(shù)據(jù)安全不被重

標識，另一方面確保數(shù)據(jù)具備可用性。

6角色職責和人員管理

角色職責

數(shù)據(jù)匿名化工作相關(guān)的主要角色包括規(guī)劃管理者、執(zhí)行者、監(jiān)督者規(guī)劃管理者。

a)在組織中，規(guī)劃管理者對數(shù)據(jù)匿名化工作負總責，具體職責包括:

1)規(guī)劃數(shù)據(jù)匿名化策略；

2)建立相關(guān)的規(guī)范制度和監(jiān)控審計機制；

3)宣貫匿名化政策和制度；

4)認可和批準匿名化工作的結(jié)果；

5)和上級主管部門、監(jiān)管機構(gòu)進行溝通；

6)與外部技術(shù)單位進行合作和交流。

b)執(zhí)行者負責匿名化業(yè)務的具體執(zhí)行，主要職責包括：

1)依據(jù)數(shù)據(jù)共享場景，提出數(shù)據(jù)匿名化需求；

2)識別數(shù)據(jù)安全風險，制定匿名化工作計劃。

3)執(zhí)行匿名化工作，記錄工作情況；

4)申請審批匿名化結(jié)果。

c)監(jiān)督者主要職責是監(jiān)督匿名化工作情況、審計該業(yè)務執(zhí)行過程，保證業(yè)務合規(guī)、安全風險可控。

人員管理

組織宜整體規(guī)劃數(shù)據(jù)匿名化有關(guān)的工作任務和職責，做到有效保護個人信息安全、確保數(shù)據(jù)匿名化

工作順利開展。在人員管理方面尚宜考慮如下因素：

a)提煉數(shù)據(jù)匿名化工作崗位需求，包括技術(shù)能力需求和安全保密需求；

b)與數(shù)據(jù)匿名化工作崗位人員工作合同或補充文檔中，明確其理解工作職責和要承擔的安全保

密要求；

c)定期開展業(yè)務和安全培訓，確保數(shù)據(jù)匿名化工作崗位人員接受充分和最新的培訓，保證崗位人

員達到培訓要求，持續(xù)擁有適當?shù)募寄埽軌虬匆髨?zhí)行數(shù)據(jù)匿名化的相關(guān)工作；

d)數(shù)據(jù)匿名化工作崗位人員離職時，宜根據(jù)其涉及數(shù)據(jù)重要程度，在離職保密協(xié)議中增加適當?shù)?/p>

保密要求條款。

5

T/YPSMXXXX—2024

附錄A

（資料性）

常用匿名化技術(shù)

A.1第三方Python庫

通過第三方Python庫刪除圖片中的EXIF信息，此技術(shù)只刪除圖片文件中的額外信息，并不會對圖片

中的內(nèi)容造成損傷，不必驗證處理后的數(shù)據(jù)。

A.2模糊化處理

采用模糊化/馬賽克處理、部分隱藏/遮擋、添加噪聲、局部混淆等方法修改高清晰肖像圖片中的內(nèi)

容。

該技術(shù)適用于以面部之外的區(qū)域為匿名化處理后的使用區(qū)域。

A.3圖像編碼器

圖像編碼器是一種神經(jīng)網(wǎng)絡架構(gòu)，用于學習圖像數(shù)據(jù)的緊湊表示，編碼后的數(shù)據(jù)即無法通過肉