ICS 35.020 CCS L 67 34 安徽省地方标准 DB34/T 4631.22023 政务数据 第 2 部分：脱敏技 术规范 Government dataPart2:Specification for desensitization technology 2023-10-07 发布 2023-11-07 实施 安徽省市 场监督 管 理局 发 布 DB34/T 4631.22023 I 前 言 本文件 按照GB/T 1.12020 标准 化工 作导则 第1 部分：标准化 文件 的结构 和起草 规则 的规 定起草。请注意 本文 件的 某些 内容 可能涉 及专 利。本文 件的 发布机 构不 承担 识别 专利 的责任。本文件 由安 徽省 大数 据中 心提出。本文件 由安 徽省 数据 资源 管理局 归 口。本文件 起草 单位：安 徽省 大数据 中心、蚌 埠市 信息 中心、安徽 省电 子产 品监 督检验 所、六安 市 大 数据中心、安徽 省数 据资 源管 理 局、滁州 市大 数据 中心、淮北 市数 据资 源发 展中 心、阜 阳市 大数据产业发展中心、合肥 市数 据资 源管 理 局、马鞍 山市 大数 据中 心、亳 州市 数据 资源 管理 局、上 海观 安信息技术股份 有 限公 司、深圳 昂楷 科技 有 限公 司、闪捷 信息 科技 有 限公 司、北京 天融 信网 络 安全 技术 有限公司、杭州安恒 信息 技术 股份 有限 公司、五色 石（杭州）数 据技术 有限 公司。本文件 主要起 草人：朱典、杨阳、董超、王 理冬、陈先才、闫 飞、张 锐、王 立志、王征、张园 园、陶峰、李欣、王俊、戴国 建、谢 园园、程博、邹莉 强、王 永红、徐慧 子、马 宁、黄 建、谢 江、乐凯 明、周绪鹏、方 鹏、张禹、章 玉龙。DB34/T 4631.22023 1 政 务数据 第 2 部 分：脱 敏技术规 范 1 范围 本文件 确立 了政 务数 据脱 敏技术 的基 本要 求，并规 定了数 据脱 敏流 程。本文件 适用 于指 导非 涉密 政务信 息系 统中 结构 化数 据的数 据脱 敏工 作。2 规范性 引用 文件 下列文 件中 的内 容通 过文 中的规 范性 引用 而构 成本 文件必 不可 少的 条款。其 中，注日 期的 引用 文件，仅该日 期对 应的 版本 适用 于本文 件；不注 日期 的引 用文件，其 最新 版本（包 括所有 的修 改单）适 用 于 本文件。GB/T 37988 信息 安全 技术 数据 安全 能力 成熟 度模 型 GB/T 39477 信息 安全 技术 政务 信息 共享 数据 安 全技术 要求 3 术语和 定义 下列术 语和 定义 适用 于本 文件。3.1 数据脱 敏 data desensitization 通过一 系列 数据 处理 方法 对原始 数据 进行 处理 以屏 蔽敏感 数据 的一 种数 据保 护方法。来 源：GB/T 37988,定义3.12 3.2 敏感数 据 sensitive data 由权威 机构 确定 的受 保护 的信息 数据。注：敏 感信 息数 据的 泄露、修改、破 坏或 丢失 会对 人或事 产生 可预 知的 损害。来 源：GB/T 39477,定义3.7 3.3 静态数 据脱 敏 static data desensitization 将数据 抽取 出生 产环 境脱 敏后进 行变 形转 换处 理。3.4 动态数 据脱 敏 dynamic data desensitization 对于外 部申 请访 问的 数据 进行即 时处 理并 返回 脱敏 后结果。3.5 脱敏策 略 desensitization policy 根据一 定的 业务 场景，选 择数据 脱敏 方法 和一 系列 的数据 脱敏 技术 对敏 感数 据进行 脱敏。4 数据脱 敏基 本要 求 数据可 用性 4.1 DB34/T 4631.22023 2 数据脱 敏后 应具 备数 据可 用性。数据有 效性 4.2 数据脱 敏后 应具 备有 效性，原 始数 据脱 敏处 理后，原 始信息 中包 含的 敏感 信息 应已被 消除，无法 通过处理 后的 数据 得到 敏感 信息。数据真 实性 4.3 数据脱 敏后 应具 备有 真实 性，脱 敏后 的数 据应 真实 地体现 原始 数据 的特 征。数据脱 敏自 动化 4.4 数据脱 敏的 过程 应可 通过 程序自 动化 实现，可 重复 执行。数据一 致性 4.5 数据脱 敏后 应具 有一 致性，在脱 敏策 略不 变的 前提 下，脱 敏结 果应 不受 到脱 敏次数 的影 响。数据可 配置 性 4.6 数据脱 敏工 作应 具有 可配 置性，支持 配置 多种 脱敏 方式，不同 脱敏 条件 生成 不同结 果。5 数据脱 敏流 程 发现敏 感数 据 5.1 5.1.1 敏感数 据识 别 基于组织 的数据 安全 分级 策略，数据 泄露、篡 改、破坏、非法 利用 后可 能损 害个人 合法 权益、组 织合法权 益、公共 利益 或国 家安全 的级 别数 据均 为敏 感数据。5.1.2 敏感数 据标 识 利用数 据标 识技 术工 具对 敏感数 据的 位置 和格 式信 息进行 标识。制定脱 敏方 案 5.2 脱敏方 案应 包括 脱敏 场景 和脱敏 技术。数 据脱 敏技 术说明 表见 附录A。脱敏操 作 5.3 政务数 据脱 敏操 作一 览表 见表1。DB34/T 4631.22023 3 表1 政务数 据脱 敏操 作一 览表 序号 数据脱敏场景 场景描述 脱敏技术 描述 适用数据类型 推荐脱敏方法 1 数据分析 主要包括：1.根据需求将数据导 出。2.外部 单位使用其他 公共服 务机 构敏感数据进行分析。重排、关系映射、遮盖、偏移取整、随机值替换、泛化 跨行随机互换原始敏感数据，打破原始敏感数据与本行其他数据关联关系。通用、日期、时间、数字、收入、日期、时间、数字、收入 动态脱敏、静态脱敏 2 开发测试 主要包括：1.内部常规的系统测试。2.对外提供联调数据。3.使用业务真实数据进行测试。散列、加密 对原始数据通过散列算法计算，使用计算后的散列来代替原始数据。通用 动态脱敏、静态脱敏 3 数据共享 主要包括：1.公共服务管理机构 之间根 据数 据的敏感等级 进行有 条件 的数据共享。2.根据需求将数据导出。截断、泛化、掩码屏蔽 数据尾部截断内容 通用 动态脱敏、静态脱敏 4 数据开放 主要包 括政务 部门 面向公民、法 人和其 他组 织以非排他形 式有条 件开 放部分政务数据内容。匿名、掩码屏蔽 通过对数据内容的处理，保证在数据表发布时，数据中存在一定量的准标识符上不可区分的记录。通用、字符串 静态脱敏、动态脱敏 5 数据库运维 提供数据库运行维护。差分隐私 在原数据中加入噪音信息，使得满足差分隐私的数据集能够抵抗任何对隐私数据的分析。数据集 动态脱敏 6 群体信息统计 保证数 据集的 业务 属性的前提下，适用 于群 体信息统计的 场景，对数 据集进行全体信息的统计。均化 针对数值性的敏感数据，在保证脱敏后数据集总值或平均值与原数据集相同的情况下，改变数值的原始值。数据集 静态脱敏 7 数据运营 数据运 营的过 程，应该包括数据 采集、数据 存储、数据提 取、数 据挖 掘、数据分析、数据 展现、数据应用七个方面。重排、关系映射、遮盖、偏移取整、随机值替换、泛化 跨行随机互换原始敏感数据，打破原始敏感数据与本行其他数据关联关系。通用、日期、时间、数字、收入、日期、时间、数字、收入 动态脱敏、静态脱敏 审计与 改进 5.4 记录留 存所 有脱 敏操 作日 志，并由 政务 部门 数据 安 全负责 人定 期组 织脱 敏过 程审计。通过 收集、整理 脱 敏过 程数 据和 脱敏 后的 数 据，监 控分 析脱 敏过程 的 效果、稳定 性以 及对业 务 的影 响，并 对脱 敏效果进行持 续改 进。DB34/T 4631.22023 4 附录A（资料 性）数据脱 敏技 术说 明表 见表A.1。表A.1 数据脱 敏技 术说 明表 序号 数据脱敏技术类型 技术类型说明 数据脱敏技术名称 技术说明 1 统计技术 对数据集进行 去标识化或提升脱 敏技术有效性的常 用方法，主要包括 数据抽样和数据聚 合两种处理方法；数据抽样 数据抽样是通过选取数据集中有代表性的子集来对原始数据集进行分析和评估。2 数据聚合 数据聚合作为一系列统计技术的集合，应用于微数据中的属性时，产生的结果能够代表原始数据集中的所有记录。3 加密技术 对未脱敏数据 进行加密处理，使 未授权的系统或用 户只能看到无意义 的加密数据，主要 包括确定性加密、保序加密、保留格 式加密、同态加密、同态秘密共享等 处理方法；确定性 加密 确定性加密是一种非随机加密方法。可以用确定性加密结果替代微数据据中的标识符值。4 保序加密 保序加密是一种非随机加密方法，可以用保序加密值替代微数据中的标识符值。5 保留格式加密 保留格式加密要求密文与明文具有相同的格式，当作为去标识化技术的一部分加以采用时，可用保留格式加密值替代微数据中的标识符值。6 同态加密 同态加密是一种随机加密。对加密数据进行处理，但是处理过程不会泄露任何原始内容。同时，拥有密钥的用户对处理过的数据进行解密后，得到的正好是处理后的结果。同态加密用加密值替代微数据中的标识符值。7 同态秘密共享 同态秘密共享可将一个秘密拆分为“若干份额”，可利用拆 分后秘密信息的特定子集来重构原始的秘密，如果对用于重构秘密的所有份额执行相同的数学运算，则其结果等价于在原始秘密上执行相应数据学原酸的结果。同态秘密共享可用信息共享算法得出的两个或以上若干份额替代数据记录中的任何标识符或敏感属性。8 扰乱技术 通过加入噪声 的方式对原始数据 进行干扰，扰乱后 的数据仍保留着原 始数据的分布特征，并能通过业务校 验，主要包括唯一 值映射、排序映射、重排、混洗、固 定偏唯一值 映射 将数据映射成一个唯一值，允许根据映射值找回原始值，支持正确的聚合或者连接操作。9 排序映射 将数据映射成新值，同时保持数据顺序。10 重排 将数据库的某一列值进行重排。11 混洗 主要通过对敏感数据进行跨行随机互换来打破其与本行其他数据的关联关系，从而实现脱敏。12 固定偏移 将数据值增加 1 个固定的偏移 量，隐藏数值部分特征。13 局部混淆 保持前面 n 位不变，混淆其余 部分。14 乱序 对敏感数据进行重新随机分布，混淆原有值和其他字段的联系。DB34/T 4631.22023 5 15 移、局部混淆、乱序、随机值替 换、散列、保留随 机、均化等处理方法；随机值 替换 如统一将女性用户名替换为 F，对内部人员可以完全保持信息完整性，但易破解，常见的替换方式包括常数替换、查表替换、参数化替换。16 散列 将输入映射 为 1 个 hash 值，常用作将不 定长数 据为固定 长 度的字符串，常用的 hash 算 法，如 MD5、SHA-256、SHA-1、HMAC。17 保留随机 选中分段保留，其他分段随机。18 均化 针对数值性的敏感数据，在保证脱敏后数据集总值或平均值与原数据集相同的情况下，改变数值的原始值。19 抑制技术 通过隐藏数据 中部分信息的方式 来对原始数据的值 进行转换，又称为 隐藏技术或掩码技 术，主要包括遮盖、掩码屏蔽、局部抑制、记录抑制等处 理方法；遮盖 通过设置遮盖符，对原数据全部或部分进行遮盖处理。20 掩码屏蔽 利用“*”符 号遮掩 部分信 息，并且保证 数据长 度不变，容易 识别出原来的信息格式。21 局部抑制 局部抑制技术是从所选记录中删除特定属性值，该特定属性值与其他标识符结合使用可能识别出相关个人信息主体。22 记录抑制 记录抑制是一种从数据集中删除整个记录或一些记录的技术，典型应用场景为删除包含稀有属性（如异常值）组合的记录。23 泛化技术 在保留原始数 据局部特征的前提 下使用一般值替代 原始数据，泛化后 的数据具有不可逆 性，主要包括偏移取整、截断、顶 层与底层编码、规 整、变换等处理方法。偏移取整 按照一定粒度对数据如时间进行向上或向下偏移取整，可在保证数据一定分布特征的情况下隐藏原始时间。24 规整 将数据按照大小规整到预定义的多个档位，例如将客户资产按照规模分为高、中、低三个级别，将客户资产数据用这三个级别代替。25 变换 指对数值和日期类型的源数据，通过随机函数进行可控的调整，以便在保持原始数据相关统计特征的同时，完成对具体数值的伪装。26 截断 直接舍弃业务不需要的信息，仅保留部分关键信息，例如将手机号码 13500010001 截断为135。27 顶层与底层编码 泛化技术为某一属性设定一个可能的最大（或最小）阈值。顶层与底层编码技术使用表示顶层（或底层）的阈值替换高于（或低于）该阈值的值。28 随机化 技术 通过随机修改 属性的值，使得随 机化处理后的值区 别于原来的真实值，主要包括噪声添 加、置换、微聚集 等处理方法。噪声添加 噪声添加 是通过 添加随机 值、“随机噪声”到所 选的连续 属性 值种来修改数据集，同时保持该属性在数据集种的原始统计特性。该类统计特性包括属性的分布、平均值、方差、标准偏差、协方差以及相关性。29 置换 置换实在不修改属性值的情况下对数据集记录种所选属性的值进行重新排序的一种技术。30 微聚集 微聚集是指用某种算法方式计算出来的平均值代替连续属性所有值的技术。对于每种连续属性，或对于所选的一组连续属性，数据集中的所有记录都进行了分组，具有最近属性值的记录属于同一组，而且每一组种至少有 K 个记录。每一种属性的新值替换为该属性所在组中的平均值。31 有损技术 通过损失部分 数据 限制返回 返回可用数据集合中一定行数的数据。DB34/T 4631.22023 6 的方式来保护 整个敏感数据集，主要包括限制返回行数、排序映射 等处理方法。行数 32 排序映射 返回可用数据集合中一定列数的数据。