ICS35.030 CCS L80 GB 中华人民共和国国家标准 GB/T42460—2023 信息安全技术 个人信息去标识化效果评估指南 Information security technology- Guidefor evaluating the effectiveness of personal information de-identification 2023-03-17发布 2023-10-01实施 国家市场监督管理总局 发布 国家标准化管理委员会 GB/T42460—2023 目 次 前言 引言 范围 2 规范性引用文件 3 术语和定义 个人信息去标识化效果分级 5 个人信息去标识化效果评估流程 6 评估实施 6.1 评估准备 6.2 定性评估 6.3 定量评估 6.4 形成评估结论 6.5 沟通与协商 6.6 评估过程文档管理 附录A（资料性） 直接标识符示例 附录B（资料性） 准标识符示例 附录C（资料性） 准标识符识别 附录D（资料性） 基于K匿名模型的去标识化效果评估示例 参考文献 GB/T42460—2023 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。 本文件起草单位：清华大学、中国电子技术标准化研究院、北京大学、绿盟科技集团股份有限公司、 上海三零卫士信息安全有限公司、中国软件评测中心、北京天融信网络安全技术有限公司、蚂蚁科技集 机系统有限公司、北京百度网讯科技有限公司、中国人民银行数字货币研究所。 本文件主要起草人：金涛、王建民、周晨炜、谢安明、张峰昌、陈磊、查海平、赵亮、王奠、叶晓俊、届劲 白晓媛、李媛、刘巍然、刘俊河、洪爵、宋玲娓。 I GB/T42460—2023 引 GB/T35273提出了个人信息去标识化的要求，明确了个人信息去标识化处理的环节和场景， GB/T37964就如何开展个人信息去标识化活动给出了指导。经去标识化处理后的个人信息并不能完 全实现匿名化，仍存在重标识的风险，需结合应用场景进行去标识化效果评估。 本文件旨在依据个人信息能多大程度上标识个人身份（即标识度）进行分级，用于评估个人信息去 标识化活动的效果。个人信息基于标识度分级，有利于个人信息分级别探讨适用场景和安全管理要 求，更有利于个人信息的使用和保护。根据国内外相关研究及实践成果，附录中给出了可供参考的计算 方法和阅值推荐。 GB/T42460—2023 信息安全技术 个人信息去标识化效果评估指南 1范围 本文件提供了个人信息去标识化效果分级与评估的指南。 本文件适用于个人信息去标识化活动，也适用于开展个人信息安全管理、监管和评估。 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于 本文件。 GB/T25069—2022 信息安全技术 术语 GB/T35273—2020 信息安全技术 个人信息安全规范 GB/T37964—2019 信息安全技术 个人信息去标识化指南 3 术语和定义 GB/T25069—2022、GB/T35273—2020、GB/T37964—2019界定的以及下列术语和定义适用于 本文件。 3.1 个人信息 personalinformation 以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。 注：不包括匿名化处理后的信息。 ［来源：GB/T35273一2020，3.1，有修改】 3.2 个人信息主体 personal information subject 个人信息所标识或者关联的自然人。 ［来源：GB/T35273—2020，3.3］ 3.3 去标识化 de-identification 通过对个人信息的技术处理，使其在不借助额外信息的情况下，无法识别或者关联个人信息主体的 过程。 ［来源：GB/T35273—2020，3.15] 3.4 微数据 microdata 属性。 ［来源：GB/T37964—2019,3.4] 1 GB/T42460—2023 3.5 标识符 identifier 微数据中的一个或多个属性，可以实现对个人信息主体的唯一识别。 注：标识符分为直接标识符和准标识符 ［来源：GB/T37964—2019,3.6] 3.6 直接标识符 directidentifier 微数据中的属性，在特定环境下可以单独识别个人信息主体。 注：常见的直接标识符见附录A。 ［来源：GB/T37964—2019，3.7] 3.7 准标识符 quasi-identifier 微数据中的属性，结合其他属性可唯一识别个人信息主体。 注：常见的准标识符见附录B，准标识符的识别见附录C。 ［来源：GB/T37964—2019,3.8] 3.8 重标识 re-identification 把去标识化的数据集重新关联到原始个人信息主体或一组个人信息主体的过程。 ［来源：GB/T37964—2019，3.9] 3.9 完全公开共享 completely public sharing 数据一且发布，很难召回，一般通过互联网直接公开发布。 ［来源：GB/T37964—2019，3.12] 3.10 受控公开共享 controlled public sharing 通过数据使用协议对数据的使用进行约束。 ［来源：GB/T37964—2019，3.13 3.11 领地公开共享 enclave public sharing 在物理或者虚拟的所辖范围内共享，数据不能流出到领地范围外。 ［来源：GB/T37964—2019,3.14] 3.12 重标识风险 re-identification risk 标识度 identifiability 从数据中能识别出个人信息主体的概率。 3.13 等价类 equivalence class 微数据中所有准标识符属性值相同的记录行的集合。 3.14 可接受风险阈值 acceptable risk threshold 设定的重标识风险临界数值。 注：当重标识风险大于该数值时，就需要采取缓解措施（包括去标识化处理）和应急措施，实现风险在可控范围内。 2 GB/T42460—2023 A 个人信息去标识化效果分级 基于数据是否能直接识别个人信息主体，或能以多大概率识别个人信息主体，个人信息标识度分级 划分为4级，详见表1，用于区分个人信息去标识化效果。 表1个人信息标识度4级划分 分级 划分依据 1级 包含直接标识符，在特定环境下能直接识别个人信息主体 2级 消除了直接标识符，但包含准标识符，且重标识风险高于或等于可接受风险阅值 3级 消除了直接标识符，但包含准标识符，且重标识风险低于可接受风险阔值 4级 不包含任何标识符 5 个人信息去标识化效果评估流程 个人信息去标识化效果评估流程见图1，包括以下内容： a) 评估准备； b) 定性评估； c) 定量评估； d) 形成评估结论。 沟通与协商和评估过程文档管理贯穿于整个评估过程。 3