《信息安全技术个人信息去标识化效果分级评估规范》编制说明

《信息安全技术个人信息去标识化效果分级评估》编制说明一、工作简况1.1任务来源《信息安全技术个人信息去标识化效果分级评估规范》是由清华大学于2020年5月申请立项的网络安全国家标准项目，2020年8月全国信息安全标准化技术委员会正式下达任务《信息安全技术个人信息去标识化效果分级评估规范》。2020年11月，全国信息安全标准化技术委员会大数据安全标准特别工作组全体会议决议更名为《信息安全技术个人信息去标识化效果分级与评定》。1.2主要起草单位和工作组成员《信息安全技术个人信息去标识化效果分级评估规范》由清华大学牵头，中国电子技术标准化研究院、北京大学、北京神州绿盟科技有限公司、上海三零卫士信息安全有限公司、中国软件评测中心、北京天融信网络安全技术有限公司、阿里巴巴（北京）软件服务有限公司、北京信息安全测评中心、腾讯科技（北京）有限公司、北京百度网讯科技有限公司、中国人民银行数字货币研究所等单位参与编制，归口单位为全国信息安全标准化技术委员会（简称信息安全标委会，TC260）。工作组成员包括：金涛、王建民、周晨炜、谢安明、张峰昌、陈磊、查海平、赵亮、王龑、叶晓俊、屈劲、白晓媛、李媛、刘巍然、刘俊河、洪爵、宋玲娓。1.3主要工作过程1、2020年3月17日，通过钉钉网络会议召开编制组第1次会议，就标准定位、范围和主要内容进行研讨；2、2020年3月19日，通过钉钉网络会议召开编制组第2次会议，就标准草案进行研讨；3、2020年3月26日，通过钉钉网络会议召开编制组第3次会议，就标准立项申报工作进行研讨；4、2020年5月7日，通过钉钉网络会议召开编制组第4次会议，就标准草案进行研讨；5、2020年5月14日，在信安标委大数据安全标准特别工作组会议周上，进行标准立项申报，并通过工作组决议，同意立项；6、2020年8月11日，全国信息安全标准化技术委员会正式下达标准制定任务；7、2020年8月21日，通过钉钉网络会议召开编制组第5次会议，就标准草案进行研讨；8、2020年9月25日，通过钉钉网络会议召开编制组第6次会议，就标准草案进行研讨；9、2020年10月14日，通过钉钉网络会议召开编制组第7次会议，就标准草案进行研讨；10、2020年10月23日，通过钉钉网络会议召开编制组第8次会议，就标准草案进行研讨；11、2020年11月6日，工作组专家会针对标准草案进行了评审，总体肯定了标准的内容，给出了一些意见建议；12、2020年11月10日，通过钉钉网络会议召开编制组第9次会议，就工作组专家会意见进行了讨论，修订标准草案；13、2020年11月12日，编制组通过钉钉网络投票决定，更改标准名为“个人信息去标识化效果分级与评定”，并讨论决定分级从5级模型变更为4级模型；14、2020年11月13日，在信安标委大数据安全标准特别工作组会议上进行了标准编制工作，通过工作组投票决，同意更名并推进到征求意见稿阶段；15、2020年11月20日，通过钉钉网络会议召开编制组第10次会议，就标准会议周意见进行了讨论，修订标准草案。16、2020年12月1日，通过钉钉网络会议召开编制组第11次会议，修订标准草案，形成征求意见稿。17、2021年3月24日，信安标委秘书处召开专家会针对标准草案给出意见建议，进一步修订标准草案。二、标准编制原则和确定主要内容的论据及解决的主要问题数字经济的发展需要数据的广泛流通使用，但同时又要做好数据安全保护，其中很重要的一部分是个人信息安全保护。去标识化工作有利于在保护个人信息安全的前提下推动数据的流通使用，但去标识化效果的判定尚无统一标准；另一方面，个人信息基于标识个人身份程度细分，有利于个人信息安全工作细化，可针对不同分级细化安全要求，明确各级的应用范围。主要解决如下问题：（1）去标识化效果如何分级；（2）常见直接标识符、常见准标识符有哪些；（3）如何度量重标识风险；（4）如何评估去标识化效果。三、主要试验[或验证]情况标准条款在制定过程中在相关单位进行了试验，并广泛征求意见。同时参考有关部门的意见，本标准充分考虑了前瞻性和应用推广后带来的安全考量。四、知识产权情况说明无，本标准不涉及专利。五、产业化情况、推广应用论证和预期达到的经济效果一方面，本标准可以对去标识化效果进行评估，切实保护个人信息安全；另一方面，本标准可以细化安全措施手段，在保障个人信息安全的前提下促进数据的流通使用，促进数字经济的发展。中共十九届四中全会明确提出数据可作为生产要素按贡献参与分配。2020年4月10日，中共中央、国务院公布《关于构建更加完善的要素市场化配置体制机制的意见》。越来越多的企业在实际工作中开展了去标识化工作，并在积极探索数据的流通使用，本标准上述两方面的作用将为企业去标识化工作和数据的流通使用提供基础，预期经济效益良好。六、采用国际标准和国外先进标准情况本标准为自主制定。七、与现行相关法律、法规、规章及相关标准的协调性《网络安全法》针对个人信息保护规范了相关网络安全监管部门的责权范围，明确了相关主体的法律责任，提高了个人对隐私信息的管控程度，增强了针对侵犯个人信息权益行为的威慑。《个人信息安全规范》针对个人信息安全工作提出了更为详尽的规范要求，其中多处提及要求个人信息控制者对个人信息去标识化以降低个人信息安全风险。《个人信息去标识化指南》就如何去除个人信息身份标识给出了指导，对《个人信息安全规范》形成配套和支撑作用，既确保了个人信息的安全，又能促进数据的共享开放，但如何评价去标识化效果并无结论。《个人信息去标识化效果分级评估规范》拟基于标识个人身份程度给出一种个人信息分级划分，可用于去标识化效果评价，也可进一步落实个人信息的分级保护，对《个人信息安全规范》和《个人信息去标识化指南》形成配套和支撑。八、重大分歧意见的处理经过和依据项目组在标准编制过程中，经历了内部讨论与论证、专家评审等过程，项目组在工作过程中遵循GB/T1.1—2020编制原则，对国内外现状做了大量调研，完成了标准草案的编写工作。在整个过程中未遇到重大意见分歧，对专家提出的意见和建议，我们做了应答和处理，更好地完善了我们的标准编制工作。九、标准性质的建议建议本标准作为推荐性国家标准发布实施。十、贯彻标准的要求和措施建议本标准提出基于个人信息标识身份的程度进行个人信息去标识化效果分级的准则和评定过程。适用于各类组织开展个人信息工作，也适用于网络安全相关主管部门、第三方评估机构等组织开展个人信息安全监督管理、评估等工作。在实际工作中，涉及个人信息处理的相关单位可基于此标准进行个人信息分级，并针对不同级别采取不同的安全措施，也可基于本标准对去标识化工作进行效果评价。十一、替代或废止现行相关标准的建议无。十二、其它应予说明的事项无《信息安全技术个人信息去标识化效果分级评估规范》标准编制组2021年4月