DB3212T 1177—2025公共数据脱敏管理规范.docx

《DB3212T 1177—2025公共数据脱敏管理规范.docx》由会员分享，可在线阅读，更多相关《DB3212T 1177—2025公共数据脱敏管理规范.docx（9页珍藏版）》请在课桌文档上搜索。

1、ICS35.240CCSL72DB3212泰州市地方标准DB3212/T11772025公共数据脱敏管理规范Publicdatadesensitizationmanagementnorms2025-01-07发布2025-02-07实施泰州市市场监督管理局发布本文件按照GB/T1.1-2020标准化工作导则第1部分：标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由泰州市数据局提出、归口并组织实施、监督。本文件由泰州市数据局负责具体技术内容的解释。本文件起草单位：泰州市数据局、泰州市数据产业集团、泰州市标准化院。本文件主要起

2、草人：许鑫、刘小芳、孙慧、翟敏、陈春阳、陶然、梁鑫晨、顾雅丽、李海鹏、吴薇、陈蓝生、郭健、王友成、张靖娴。公共数据脱敏管理规范1范围本文件规定了公共数据脱敏的总体要求、数据脱敏使用限制、数据脱敏场景、公共数据脱敏方法、公共数据脱敏流程、公共数据脱敏评价等内容。本文件适用于公共数据主管部门、公共管理和服务机构以及使用公共数据的组织、个人开展公共数据脱敏工作。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T35273信息安全技术个人信息安全

3、规范3术语和定义下列术语和定义适用于本文件。3. 1敏感数据sensitivedata能具备一定的安全性要求，一旦泄露会对人、单位、企业、甚至国家产生某种风险的数据。3. 2数据脱敏datadesensitization对外提供敏感数据时，为避免敏感数据泄露，通过一定的方式消除敏感数据内的敏感信息，并且保留原始数据的特征、格式的操作。4总体要求4. 1有效性经过数据脱敏处理后，原始信息中包含的敏感信息已被屏蔽，无法通过直接或简单处理得到敏感信息。4. 2真实性脱敏后的数据应能真实体现原始数据的特征，以助于实现数据相关业务需求。4. 3高效性应保证数据脱敏的过程可通过程序自动实现，重复执行，在确

4、保一定安全底线的前提下，应减少数据脱敏工作所花费的额外代价。4.4稳定性数据脱敏时应保证对相同的原始数据，在各输入条件一致的前提下，无论脱敏多少次，最终结果数据相同。4.5可配置性数据脱敏过程中，宜通过配置的方式，按照输入条件不同生成不同的脱敏结果。DB3212T117720254. 6一致性脱敏后的数据保留原始数据的主外键关系、业务包含关系，保证跨场景使用时数据的一致性。5公共数据脱敏使用限制在进行公共数据脱敏时应考虑以下使用限制： 在进行数据脱敏前需确认脱敏对象以及脱敏场景， 选择合适的脱敏规则和方法； 采取符合脱敏数据等级要求的脱敏方法，避免非敏感数据推算出敏感数据； 需要确保脱敏后的数

5、据具备数据原始特征，避免因数据脱敏过度而导致数据失效； 需要考虑到非敏感数据组合后生成敏感数据的可能性，对这些非敏感数据也要进行脱敏工作； 对同一敏感数据进行多次脱敏后，格式及内容需保持一致； 对敏感数据进行脱敏后，应确保脱敏后数据无法被恢复成原始数据，或者恢复成原始数据需要花费巨大代价。6公共数据脱敏方法脱敏方法示例见附录A。7公共数据脱敏场景7.1场景分类7.1.1静态脱敏将生产环境的敏感数据导出到非生产环境（如：开发环境、培训环境、测试环境、共享环境等）的过程中，采用静态脱敏完成对敏感数据的脱敏处理。7.1.2动态脱敏在实时访问生产环境中的敏感数据的场景下，采用动态脱敏技术完成对敏感数据

6、的即时脱敏处理。7.2开发测试数据脱敏7.2.1包括内部常规的系统测试、对外提供联调数据，在使用业务真实数据进行测试时，应将敏感数据脱敏，避免因开发测试导致敏感数据泄漏。7.2.2因重视数据的可用性，宜采用替换、变形等技术，敏感数据脱敏可采用相同含义的数据替换原有的敏感数据。7.3分析数据脱敏7.3.1包括数据脱敏安全工程师根据需求将数据导出到终端时脱敏、外部单位使用其他公共服务机构敏感数据分析脱敏。7.3.2因重视数据之间的关联性、分析结果，宜采用抑制、泛化等技术，脱敏后的数据保留原有的数据关系与格式，数据脱敏后不会影响分析结果，脱敏后结果一致。7.4共享开放数据脱敏7.4.1在公共服务管理

7、机构之间数据共享是有条件共享的内容，如脱敏后共享或脱敏后开放。7.4.2因重视敏感信息在不同政府部门间共享过程中的隐私泄露问题，宜采用遮蔽脱敏技术，将原数据中部分或全部内容，用“*”或叶”等字符进行替换，遮盖部分或全部原文。7.5数据库运维脱敏7.5.1针对可获取或查询敏感数据的业务系统后台运维处理过程中，通过脱敏技术，限制运维人员对数据库中敏感信息内容的访问，7.5.2因需要实时访问生产数据库，但不需要看到敏感字段，宜采用掩码或变形等技术在调用生产库数据时，在返回的结果中对敏感数据做即时脱敏处理。7.6业务系统前台脱敏7.6.1用户在前端应用处调取后台数据库中的敏感数据时，通过脱敏技术对敏感

8、数据进行脱敏，再将结果反馈至前台呈现。7.6.2因需要实时访问生产数据库，但不需要看到敏感字段，宜采用掩码或变形等技术在调用生产库数据时，在返回的结果中对敏感数据做即时脱敏处理。7. 7APl接口脱敏7.1.1 通过APl接口调用数据时，采用脱敏技术在接口调用过程中对敏感数据进行在线的屏蔽、变形、字符替换、随机替换等处理。7.1.2 因需要实时访问生产数据库，但不需要看到敏感字段，宜采用掩码或变形等技术在调用生产库数据时，在返回的结果中对敏感数据做即时脱敏处理。8公共数据脱敏流程8.1脱敏权限分配8. 1.1应设置专门的脱敏操作员、安全管理员和审计管理员，分工协作，实现权限分离。8. 1.2从

9、系统管理、安全管理、审计管理三个维度，评估业务系统和数据使用方所需权限并授权，过程应符合下列要求。a）技术要求：D系统管理应分配系统的资源和运行配置、控制和管理权限；2）安全管理应分配脱敏任务的执行权限，包括敏感数据管理、脱敏策略配置、脱敏结果查看等；3）审计管理应该分配审计记录存储、管理和查询权限。b）安全要求：D应实现用户的权限分离；2）应对用户进行身份鉴别，保证权限真实且唯一，并对操作行为进行审计。8.2敏感数据发现8.2.1人工发现对于固定的业务数据，一般数据结构和数据长度不会变化，大部分为数值型和固定长度的字符，如：身份证号、手机号，可采用人工甄别，明确需要脱敏的数据，公共数据分级参

10、见DB32/T4608.Io8.2.2自动发现根据人工指定或预定义的敏感数据特征，借助敏感数据信息库和分词系统，自动识别数据库中包含的敏感信息。8. 3敏感数据梳理8.3 .1在敏感数据发现的基础上，完成敏感数据列、敏感数据关系的调整，以保证数据的关联关系。8.3.2通过变形、替换、随机、格式保留加密、强加密等数据脱敏算法，针对不同的数据类型进行数据掩码扰乱。8.4 脱敏方案制定对于不同的数据脱敏需求，在基础脱敏算法的基础上，配置专门的脱敏策略，脱敏方案的制定主要依靠脱敏策略和脱敏算法的复用来实现，通过配置和扩展脱敏算法以制定最优方案。8.5 脱敏任务执行脱敏任务执行需遵循个人隐私保护、数据安

11、全保护等相关法规、行业监管规范或标准，个人敏感信息安全应遵循GB/T35273中相关规定。根据已定义的数据脱敏规则，数据脱敏操作包括但不限于： 对脱敏任务自动化运行； 对脱敏过程运行监控和分析； 定期对脱敏工作开展安全审计。8.6 脱敏效果评估对脱敏后的数据进行效果评估，确保已达到预期脱敏效果，过程应符合下列要求。a）技术要求：D应评估数据特征是否变化；2）应评估已知敏感信息是否去除；3）应评估逆向恢复敏感数据的执行难度；4）应评估数据结构和统计特征是否存在敏感性；5）应评估脱敏后的数据是否满足使用需求。b）安全要求：评估过程中产生的敏感数据应在评估完成后执行删除销毁操作。8.7 脱敏数据标识

12、对脱敏后的数据进行重新标识，与原始数据区分，过程应符合下列要求。a）技术要求：应根据实际使用需要，标识数据脱敏状态为已脱敏，并标识敏感级别。b）安全要求：D应保障数据标识不被恶意删除和篡改；2）数据标识不应影响数据的结构、分析和使用。8.8 脱敏过程审计记录脱敏过程各个阶段相关信息，形成完备的脱敏日志完成审计分析、溯源追踪和监督检查，过程应符合下列要求。a）技术要求：3）应审计数据源相关信息，包含数据源自身安全策略和权限信息等内容；4）应审计脱敏工具配置信息，包含权限账号、敏感数据识别规则、脱敏算法、脱敏规则和策略等关键配置信息等内容；5）应审计脱敏过程各个阶段人员操作信息，包含登录、登出、任

13、务执行、策略变更等人员操作日志等内容；6）应审计脱敏任务执行信息，包含任务创建、执行、查询、删除信息，任务报错信息等内容；7）脱敏工具应具备定期备份的能力。c）安全要求：D脱敏日志应保存不少于六个月；2）脱敏日志应采取加密和校验机制，保障记录保密性和完整性。9公共数据脱敏评价9.1 应按照系统、人员、安全、技术以及数据脱敏工作过程等多方面规范要求，每年开展至少1次及以上数据脱敏评价工作，评价其真实性、有效性、稳定性。评价工作宜在数据脱敏工作验收结束后1个月内完成。9.2 根据评价结果，详细记录数据脱敏工作的存在的问题，形成书面评价报告。报告内容应包括评价目的、范围、方法、结果、改进建议等。9.

14、3 针对评价中发现的问题，制定具体的改进措施和计划，并明确责任人和时间节点。9.4 对改进措施的实施情况进行跟踪和监督，确保问题得到及时有效的解决。在下一次评价工作中，重点检查改进措施的落实效果。附录A（资料性）脱敏方法示例脱敏方法示例见表A.1表A.1脱敏方法示例序号脱敏算法算法说明示例1泛化技术时间偏移整取按随机位移量对时间进行向上或向下偏移并取整，可在保证时间数据一定分布特征的情况下隐藏原始时间。例如时间2021101209:41:09按照10秒向下偏移量、5秒取整量通过时间偏移取整脱敏即为2021101209:41:20o2截取截取是指对字符串按照起始位置、结束位置截取一定长度连续字符

15、串。例如设定开始位置：3,结束位置7,那么原数据：helloworld采用截取算法脱敏结果为Ilowoo3截断截断是指除去字符串起始位置、结束位置之间内容，而保留其他内容。例如设定起始位置：3,结束位置7,那么原数据：helloworld采用截断算法脱敏结果为herldo4分档将数据按照预设条件规整到预定义的多个区间档位，使原有数据模糊化。例如将家庭年收入按照100万、50万、10万界限分为高收入家庭、中等收入家庭、低收入家庭三个级别，家庭年收入数据用这三个级别代替。5归零归零是指对数据清空并置为0的处理。例如对于原数据：1234.55采用归零算法后脱敏结果为0.OOo6抑制技术遮盖遮盖是指通

16、过设置遮盖符，对原数据全部或部分进行遮盖处理，比如设定遮盖符：*。例如身份证号321202198001011234采用遮盖算法后脱蔽结果为321202*1234。7限制返回行对返回数据集的行数进行限制。例如药品配方数据，只有在拿到所有配方数据后才具有意义，可在脱敏时仅返回一行的数据。8限制返回列对返回数据集的列数进行限制。例如在查询人员基本信息时，对于某些敏感列，不包含在返回的数据集中。9随机化技术随机映射随机映射是指采用了一定程度的随机性作为其逻辑的一部分，对数值、字符或字符串进行随机，并保留原业务特征。例如将生日19941118通过随机映射脱敏为20000220；脱敏后依然保障是一串生日特

17、征的数据。10固定映射固定映射是指设置映射种子，在映射种子不变的情况下，相同的原始数据脱敏后结果相同，并保留原始业务特征。例如设定映射种子：张映射为李，三映射为华；那么原数据张三通过固定映射算法后脱敏结果为李华。11围随范内机范围内随机主要对日期或金额类型数据，在一个指定的范围内进行随机，并保留原业务特征。例如设定范围1000至9999；那么对原金额数值365.00采用范围内随机脱敏后的脱敏结果：8394.70.表A.1脱敏方法示例（续）序号脱敏算法算法说明示例12浮动浮动是指对日期或金额类型数据，设置上浮或下降固定值或百分比，并保留原业务特征。例如设定下降8%；那么对原数据1000.00采用

18、浮动脱敏后脱敏结果：920.0013重排将原始数据按照特定的规则进行重新排列。例如将原数据123456通过重排脱敏后为654321。14加密技术可逆加密是一种对称加密或非对称加密技术，可以使用密钥对属性进行加解密来进行数据脱敏和还原，常见于对id类数据进行处理。需要对密钥进行妥善保护。例如原数据身份证号321202198001011234加密后的变为64位的数字字母型的字符串。15不可逆加密一般是使用散列（hash）函数等对数据进行处理，不可直接解密，需保存映射关系。常见于对id类数据进行处理。由于hash函数的特性，会存在数据碰撞的问题。这种方式用法简单，无需担心密钥保护。例如原数据身份证号

19、321202198001011234散列脱敏后变为：1950036935。16同态加密对于密文计算的结果，解密之后和明文计算的结果是相同的，一般可以直接对密文进行运算。常见于对数值类型数据进行处理。例如加法同态加密：E(nx)=E(x+x+x)=E(x)+E(x)+E(x)=nE(x)。17统计技术抽样通过采样抽取数据集中有代表性的子集来对原始数据集进行分析和评估。这种方式可以避免使用全量数据进行分析。例如根据人口地域分布情况抽样10%的数据做统计分析，使得地域分布概率统计保持不变。18聚合经常用于统计分析中，使得脱敏后数据集的聚合特征（总值、平均值、最大值、最小值、环比增长、同比增长等）与原始数据集的的聚合特征保持相同，使用统计值来反应原始数据集中的记录属性。均化：例如10、15、20数据集总值45,平均值15,均化后为11、16、18o参考文1省政府办公厅关于印发江苏省政务“一朵云”建设总体方案的通知（苏政办发202336号）2江苏省公共数据管理办法（江苏省人民政府令第148号）3中华人民共和国网络安全法4中华人民共和国保守国家秘密法5中华人民共和国计算机信息系统安全保护条例6 GB/T31506-2022信息安全技术政务网站系统安全指南7 DB32/T4608.1公共数据管理规范第1部分：数据分类分级