脫敏算法能力評估技術(shù)要求編制說明

隱私計算脫敏算法能力評估技術(shù)要求編制說明目的意義數(shù)據(jù)作為“信息時代的石油”，已成為國家基礎(chǔ)性戰(zhàn)略資源，在推動經(jīng)濟高質(zhì)量發(fā)展的同時，也帶來了數(shù)據(jù)泄露等安全問題。隱私計算的算法能力評估缺乏統(tǒng)一的標準和方法，增加了數(shù)據(jù)安全的風險，對國家信息安全構(gòu)成了威脅。2020年由國家發(fā)改委發(fā)布的《關(guān)于加快構(gòu)建全國一體化大數(shù)據(jù)中心協(xié)同創(chuàng)新體系的指導意見》中指出要開展通信網(wǎng)絡(luò)安全防護工作，同步規(guī)劃、同步建設(shè)和同步運行網(wǎng)絡(luò)安全設(shè)施，提升應(yīng)對高級威脅攻擊能力。加快研究完善海量數(shù)據(jù)匯聚融合的風險識別與防護技術(shù)、數(shù)據(jù)脫敏技術(shù)、數(shù)據(jù)安全合規(guī)性評估認證、數(shù)據(jù)加密保護機制及相關(guān)技術(shù)監(jiān)測手段等。2022年工信部發(fā)布的《工業(yè)和信息化部等十六部門關(guān)于促進數(shù)據(jù)安全產(chǎn)業(yè)發(fā)展的指導意見》提出要積極發(fā)展檢測、評估、認證服務(wù)。建立數(shù)據(jù)安全檢測評估體系，加強與網(wǎng)絡(luò)安全等級保護評測等相關(guān)體系銜接。鼓勵檢測、評估、認證機構(gòu)跨行業(yè)跨領(lǐng)域發(fā)展，推動跨行業(yè)標準互通和結(jié)果互認。推動檢測、評估等服務(wù)與數(shù)據(jù)安全相關(guān)標準體系的動態(tài)銜接。因此，開展脫敏算法能力評估是確保數(shù)據(jù)安全檢測評估的一項重要工作，通過脫敏算法能力評估將有助于全面了解和掌握脫敏算法的脫敏能力和存在的問題，進而有針對性的補齊短板，推動隱私計算與數(shù)據(jù)安全能力建設(shè)協(xié)同發(fā)展。尤其在我國提高數(shù)據(jù)安全管理和個人信息保護水平的過程中，這項工作是非常重要和必不可少的。其中，脫敏算法能力評估技術(shù)要求的關(guān)鍵作用在于：1、社會各方都亟需可以統(tǒng)一評估脫敏算法能力的技術(shù)要求，以實現(xiàn)規(guī)范脫敏算法在數(shù)據(jù)處理中的應(yīng)用流程和操作規(guī)范。2、社會各方通過對脫敏算法能力的評估，可以有效降低敏感數(shù)據(jù)泄露和濫用的風險，保障個人隱私和敏感信息的安全。3、社會各方通過對脫敏算法能力的評估，有助于提高數(shù)據(jù)安全信任，促進數(shù)據(jù)共享和合作，推動數(shù)據(jù)的開放和創(chuàng)新應(yīng)用。4、脫敏算法評估技術(shù)要求的制定有助于提升國家信息安全防護能力，防范數(shù)據(jù)泄露和濫用對國家安全的威脅。5、各國缺乏一套統(tǒng)一的規(guī)范化的脫敏算法能力評估標準，用以促進國際間數(shù)據(jù)安全技術(shù)的交流與合作。任務(wù)來源在國際上，一些國際標準組織和技術(shù)機構(gòu)已經(jīng)制定和發(fā)布了脫敏算法能力評估的相關(guān)標準和指南。例如，ISO/IEC27002《信息安全、網(wǎng)絡(luò)安全和隱私保護—信息安全管理》和ISO/IEC29101《信息技術(shù)—安全技術(shù)—隱私架構(gòu)框架》等標準，提供了信息安全管理與隱私架構(gòu)框架的要求和指南，其中包括了隱私計算和脫敏技術(shù)的相關(guān)內(nèi)容。GDPR（《通用數(shù)據(jù)保護條例》）規(guī)定了個人數(shù)據(jù)的處理方式，包括了對個人隱私信息進行脫敏的要求和脫敏算法能力評估的相關(guān)內(nèi)容。在國內(nèi)，一些行業(yè)組織和標準化機構(gòu)也開始關(guān)注脫敏效果評估的標準制定和實踐。例如，國家市場監(jiān)督管理總局與國家標準化管理委員會發(fā)布的《信息安全技術(shù)個人信息安全規(guī)范》標準，規(guī)定了個人隱私信息處理活動的原則和安全要求，其中包括了脫敏算法能力的相關(guān)內(nèi)容。此外，標準制定機構(gòu)和一些行業(yè)組織(如金融行業(yè)、醫(yī)療保健行業(yè)等)也開展了脫敏算法能力評估相關(guān)的指南和標準的實踐研究工作，完善脫敏算法能力評估的方法和技術(shù)。并且，進行脫敏算法能力評估能夠明確脫敏算法的算法類別、優(yōu)勢以及不足，有助于進一步采取有針對性的改進措施，持續(xù)改進和提高脫敏算法的能力和水平，匹配脫敏算法的應(yīng)用場景。脫敏算法能力評估需保障不同的單位和團體所采用的脫敏算法具有合規(guī)性和一致性，謹防跨系統(tǒng)中的隱私泄露問題，預防全社會各系統(tǒng)隱私保護的短板效應(yīng)。目前，國內(nèi)外還未對脫敏算法能力評估進行標準化，社會各方在對脫敏算法能力評估的實踐中積累了豐富的經(jīng)驗，但存在維度考慮不足，體系化程度不足等問題，亟需制定相關(guān)標準，用以體系化、全面化地對實踐進行指導，完善脫敏算法能力評估技術(shù)要求。制定脫敏算法能力評估技術(shù)要求標準將有助于解決這一難題，推動數(shù)據(jù)安全和隱私保護的發(fā)展、實現(xiàn)評估的系統(tǒng)化和全面性；同時，標準也有助于進行脫敏算法能力評估的實踐，從而進一步維護數(shù)據(jù)安全，促進數(shù)據(jù)共享與應(yīng)用。編制過程1) 2023年4月5日，規(guī)范研制正式啟動會。標準牽頭單位對前期的研究工作進行了匯報。確定了標準的研究思路和分工。2) 2023年4月15日，提交項目立項申請書。3) 2023年4月16日至2022年6月24日，期間進行了多次標準工作組內(nèi)部討論，并針對標準大體框架與內(nèi)容方向進行了修改與調(diào)整，形成第一版標準草案。4) 2023年7月1日，召開立項評審會，邀請專家對草案給出建議。5) 2023年7月4日至2022年11月4日，期間進行了多次標準工作組內(nèi)部討論，針對標準內(nèi)容進行了細節(jié)的修改與調(diào)整。6) 2023年11月6日，形成第二版標準草案，并召集了標準草案的內(nèi)部閉門研討會。7) 2024年1月30日，繼續(xù)完善標準草稿，形成第三版。8）2024年6月28日，召開專家評審會，邀請專家對修改后的版本進行評審。9）2024年8月，形成征求意見稿。主要內(nèi)容技術(shù)指標確立本標準規(guī)范了脫敏算法能力評估技術(shù)要求的概述、脫敏算法能力評估通用技術(shù)要求及脫敏算法能力評估的報告要求。詳情如下：1、概述：脫敏算法能力評估技術(shù)要求的概括性描述，其中包括目的、算法評估的基本原則和用途三個方面。2、脫敏算法能力評估通用技術(shù)要求：用以評估脫敏算法能力的通用技術(shù)要求，包括脫敏算法分類、脫敏算法能力評估指標體系、脫敏算法可逆性評估、脫敏算法信息偏差性評估、脫敏算法信息損失性評估、脫敏算法復雜性評估六個部分。3、脫敏算法能力評估的報告要求：用以規(guī)范生成的脫敏算法能力評估報告，幫助主管監(jiān)管部門、第三方評估機構(gòu)燈組織對隱私信息脫敏處理活動進行監(jiān)督、管理和評估，包括形成評估報告的目的、評估報告的組成內(nèi)容、評估項目概述組成內(nèi)容、評估指標、單項評估結(jié)果分析、整體評估組成內(nèi)容及等級評估結(jié)論組成內(nèi)容七個部分。本文件適用于規(guī)范各類組織的隱私信息脫敏處理活動，也可為主管監(jiān)管部門、第三方評估機構(gòu)等組織對隱私信息脫敏處理活動進行監(jiān)督、管理和評估提供參考。本標準牽頭單位為西安電子科技大學，參與單位包括中國科學院信息工程研究所、中國網(wǎng)絡(luò)安全審查認證和市場監(jiān)管大數(shù)據(jù)中心、北京理工大學、四川昊華銳恒科技有限公司、成都西電網(wǎng)絡(luò)安全研究院、長春吉大正元信息技術(shù)股份有限公司、國網(wǎng)上海研究院、普華永道商務(wù)咨詢(上海)有限公司等。與相關(guān)法律法規(guī)和國家標準的關(guān)系本標準的總體結(jié)構(gòu)和編寫方法按照GB/T1.1-2020《標準化工作導則第一部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定執(zhí)行。本標準參考的相關(guān)法律、法規(guī)和標準文件如下：GB/T35273—2020《信息安全技術(shù)個人信息安全規(guī)范》GB/T25069-2022《信息安全技術(shù)術(shù)語》GB/T37988-2019《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》GB/T37964-2019《信息安全技術(shù)個人信息去標識化指南》《中華人民共和