《隱私計算脫敏控制技術(shù)要求》編制說明

隱私計算脫敏控制技術(shù)要求編制說明目的意義《關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見》，提出加速建設(shè)數(shù)據(jù)基礎(chǔ)制度，以促進數(shù)據(jù)要素的高效合規(guī)流通使用，在保護公民個人信息權(quán)益的前提下，挖掘數(shù)據(jù)價值，賦能實體經(jīng)濟。然而，隨著互聯(lián)網(wǎng)和數(shù)字技術(shù)的普及，大量個人信息被收集和處理，這些信息收集和使用，雖然極大促進了技術(shù)的進步，但也導(dǎo)致了個人隱私泄露和濫用。未經(jīng)授權(quán)的數(shù)據(jù)訪問、數(shù)據(jù)泄露事件和對個人信息的商業(yè)化使用已引發(fā)了全球性的關(guān)注和擔(dān)憂。在數(shù)字經(jīng)濟時代，數(shù)據(jù)共享和數(shù)據(jù)安全需要協(xié)同發(fā)展，數(shù)字技術(shù)和國民經(jīng)濟、社會發(fā)展融合得越深，面臨的數(shù)據(jù)安全和個人信息保護的挑戰(zhàn)也就越大。在維護國家數(shù)據(jù)安全、個人信息保護和商業(yè)秘密的同時，打破數(shù)據(jù)孤島、暢通經(jīng)濟大動脈，就必須將數(shù)據(jù)安全和隱私保護貫穿于數(shù)據(jù)開發(fā)和流通的全過程。脫敏控制是指個人信息流轉(zhuǎn)過程中，針對信息在不同個人信息控制者之間流轉(zhuǎn)的各環(huán)節(jié)（例如：采集、分享、交換等過程），結(jié)合不同信息主體，不同處理階段的差異化脫敏要求，對隱私信息進行合理控制和迭代脫敏操作的技術(shù)。為了促進數(shù)據(jù)共享和數(shù)據(jù)安全需要協(xié)同發(fā)展，開展脫敏控制相關(guān)的標(biāo)注制定，對于確保數(shù)據(jù)的合規(guī)跨域流通至關(guān)重要。通過制定脫敏控制相關(guān)標(biāo)準(zhǔn)，將有助于全面梳理信息跨域流通共享過程中存在的問題，進而針對個人信息控制者提出技術(shù)要求，推動數(shù)據(jù)要素流通機制與個人信息權(quán)益保障技術(shù)體系的協(xié)同發(fā)展。尤其在我國全面加速建設(shè)數(shù)據(jù)基礎(chǔ)制度過程中，這項工作是非常重要和必不可少的。其中，脫敏控制技術(shù)要求的關(guān)鍵作用在于：1、業(yè)界亟需面向數(shù)據(jù)要素流通場景下的脫敏控制技術(shù)框架，以便支撐隱私保護合規(guī)產(chǎn)品的開發(fā)。2、業(yè)界缺乏對脫敏控制技術(shù)的全面了解，導(dǎo)致數(shù)據(jù)要素流通過程中，因為短板效應(yīng)引發(fā)的隱私泄露問題。3、脫敏控制技術(shù)要求的制定，有助于提升個人信息權(quán)益保障能力，防范數(shù)據(jù)泄露和濫用對個人合法權(quán)益的侵犯。4、主管監(jiān)管部門在了解數(shù)據(jù)要素流通場景下脫敏操作方面的抓手不夠成熟，無法支撐相關(guān)決策的制定。5、世界范圍內(nèi)缺乏一套統(tǒng)一的規(guī)范化的脫敏控制流程，以促進國際間數(shù)據(jù)安全技術(shù)的交流與合作。任務(wù)來源在當(dāng)前我國個人信息權(quán)益保障技術(shù)體系建設(shè)過程中，雖然存在一些與脫敏相關(guān)的標(biāo)準(zhǔn)，但這些標(biāo)準(zhǔn)的關(guān)注點各異。例如：單一數(shù)據(jù)域內(nèi)的脫敏流程規(guī)范化問題、脫敏算法能力評估問題、脫敏算法脫敏效果評估問題以及行業(yè)性的脫敏流程規(guī)范化等。既有標(biāo)準(zhǔn)在一定程度上促進了脫敏技術(shù)標(biāo)準(zhǔn)化與規(guī)范化，但無法有效針對數(shù)據(jù)要素跨域流通場景下的個人信息保護問題。在當(dāng)前全球化和數(shù)字化的經(jīng)濟環(huán)境中，數(shù)據(jù)的跨域流通成為了推動商業(yè)和技術(shù)創(chuàng)新的關(guān)鍵動力。對于個人信息控制者而言，充分利用各型業(yè)務(wù)流程中采集的個人數(shù)據(jù)，已經(jīng)成為提升服務(wù)效率、優(yōu)化資源配置、增強客戶滿意度的重要手段。然而，這一過程中對用戶數(shù)據(jù)的收集、處理和分析必須建立在嚴(yán)格遵守法律法規(guī)、保護信息安全和數(shù)據(jù)安全的基礎(chǔ)之上。目前，國內(nèi)外尚未制定出數(shù)據(jù)跨域流通場景下個人信息控制者應(yīng)遵循的脫敏控制技術(shù)標(biāo)準(zhǔn)。這一空缺不僅限制了各行業(yè)數(shù)據(jù)利用和服務(wù)創(chuàng)新方面的潛力，也增加了各行業(yè)在處理跨域數(shù)據(jù)時面臨的合規(guī)風(fēng)險。因此，作為隱私計算技術(shù)體系的重要組成部分，制定一套脫敏控制技術(shù)標(biāo)準(zhǔn)，特別是從數(shù)據(jù)要素跨域流通的角度出發(fā)，對于個人控制者合規(guī)地收集、使用和保護用戶數(shù)據(jù)，促進數(shù)據(jù)安全和個人信息保護，具有重要意義。編制過程1）2023年3月2日，規(guī)范研制正式啟動會。標(biāo)準(zhǔn)牽頭單位對前期的研究工作進行了匯報。確定了標(biāo)準(zhǔn)的研究思路和分工。2）2023年3月29日，提交項目立項申請書。3）2023年4月3日至2023年5月20日，期間進行了多次標(biāo)準(zhǔn)工作組內(nèi)部討論，并針對標(biāo)準(zhǔn)大體框架與內(nèi)容方向進行了修改與調(diào)整，形成第一版標(biāo)準(zhǔn)草案。4）2023年5月25日，召開立項評審會，邀請專家對草案給出建議。5）2023年7月10日至2023年12月10日，期間進行了多次標(biāo)準(zhǔn)工作組內(nèi)部討論，針對標(biāo)準(zhǔn)內(nèi)容進行了細節(jié)的修改與調(diào)整。6）2023年12月16日，形成第二版標(biāo)準(zhǔn)草案，并召集了標(biāo)準(zhǔn)草案的內(nèi)部閉門研討會。7) 2024年1月30日，繼續(xù)完善標(biāo)準(zhǔn)草稿，形成第三版。8）2024年6月28日，召開專家評審會，邀請專家對修改后的版本進行評審。9）2024年8月，形成征求意見稿。主要內(nèi)容技術(shù)指標(biāo)確立本標(biāo)準(zhǔn)描述了個人信息流轉(zhuǎn)傳播下，隱私信息全生命周期脫敏控制技術(shù)要求，規(guī)范了脫敏控制合規(guī)性驗證、違反脫敏控制違規(guī)事件處置與通報、脫敏控制監(jiān)管接口的技術(shù)要求等。詳情如下：1、脫敏控制概述：描述了脫敏控制的目的，應(yīng)遵循的基本原則以及脫敏控制的流程，主要包括：脫敏意圖理解、脫敏控制集合生成、脫敏算法選擇、脫敏算法執(zhí)行以及脫敏控制存證。2、脫敏控制通用技術(shù)要求：針對脫敏控制流程的各個階段，提出針對性的技術(shù)要求。主要包括：脫敏意圖理解技術(shù)要求、脫敏控制集合生成的技術(shù)要求、脫敏算法選擇技術(shù)要求以及脫敏控制存證技術(shù)要求。3、脫敏控制的合規(guī)性驗證技術(shù)要求：用以驗證個人信息控制者對接收到的信息進行脫敏操作過程中，是否按照預(yù)定約束進行了脫敏控制集合生成、脫敏操作以及存證。4、脫敏控制監(jiān)管接口技術(shù)要求：為了便于對個人信息控制者的脫敏控制過程進行合規(guī)監(jiān)管，個人信息控制者應(yīng)提供面向主管監(jiān)管機構(gòu)的存證接口、通報與處置接口，以便后者對個人信息控制者的操作進行監(jiān)管、違規(guī)通報以及處置。本標(biāo)準(zhǔn)適用于規(guī)范各類組織在個人信息流轉(zhuǎn)下的個人信息脫敏處理活動，也可為主管監(jiān)管部門、第三方評估機構(gòu)等組織，對隱私信息脫敏處理進行監(jiān)督、管理、評估提供參考。本標(biāo)準(zhǔn)牽頭單位為中國科學(xué)院信息工程研究所，參加單位包括西安電子科技大學(xué)、中國網(wǎng)絡(luò)安全審查認證和市場監(jiān)管大數(shù)據(jù)中心、電子科技大學(xué)、國網(wǎng)智能電網(wǎng)研究院有限公司、北京理工大學(xué)、四川昊華銳恒科技有限公司、成都西電網(wǎng)絡(luò)安全研究院、長春吉大正元信息技術(shù)股份有限公司、普華永道商務(wù)咨詢(上海)有限公司、北京市計算中心有限公司、中移(杭州)信息技術(shù)有限公司等。與相關(guān)法律法規(guī)和國家標(biāo)準(zhǔn)的關(guān)系本標(biāo)準(zhǔn)的總體結(jié)構(gòu)和編寫方法按照GB/T1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則第一部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定執(zhí)行。本標(biāo)準(zhǔn)參考的相關(guān)法律、法規(guī)和標(biāo)準(zhǔn)文件如下：GB/T22239-2019信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求GB/T35273-2020信息安全技術(shù)個人信息安全規(guī)范GB/T25069-2022信息安全技術(shù)術(shù)語GB/T37988-2019信息安全技術(shù)數(shù)