内容简介
ICS 35.240 州 市 地 DB3212 CCS L 72
泰 方 标 准
DB3212/T 1177—2025
公共数据脱敏管理规范
Public data desensitization management norms
2025-01-07 发布 2025-02-07 实施
泰 州 市 市 场 监 督 管 理 局 发 布
DB3212/T 1177—2025
前
言
本文件按照 GB/T 1.1—2020《标准化工作导则
定起草。
第 1 部分:标准化文件的结构和起草规则》的规
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由泰州市数据局提出、归口并组织实施、监督。
本文件由泰州市数据局负责具体技术内容的解释。
本文件起草单位:泰州市数据局、泰州市数据产业集团、泰州市标准化院。
本文件主要起草人:许鑫、刘小芳、孙慧、翟敏、陈春阳、陶然、梁鑫晨、顾雅丽、李海鹏、吴薇、
陈蓝生、郭健、王友成、张婧娴。
I
DB3212/T 1177—2025
公共数据脱敏管理规范
1
范围
本文件规定了公共数据脱敏的总体要求、数据脱敏使用限制、数据脱敏场景、公共数据脱敏方法、
公共数据脱敏流程、公共数据脱敏评价等内容。
本文件适用于公共数据主管部门、公共管理和服务机构以及使用公共数据的组织、个人开展公共数
据脱敏工作。
2
规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,
仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本
文件。
3 GB/T 35273 信息安全技术 个人信息安全规范
术语和定义
下列术语和定义适用于本文件。
3.1
敏感数据
sensitive data
能具备一定的安全性要求,一旦泄露会对人、单位、企业、甚至国家产生某种风险的数据。
3.2
数据脱敏
data desensitization
对外提供敏感数据时,为避免敏感数据泄露,通过一定的方式消除敏感数据内的敏感信息,并且保
留原始数据的特征、格式的操作。
4 总体要求
4.1 有效性
经过数据脱敏处理后,原始信息中包含的敏感信息已被屏蔽,无法通过直接或简单处理得到敏感信
息。
4.2
真实性
脱敏后的数据应能真实体现原始数据的特征,以助于实现数据相关业务需求。
4.3
高效性
应保证数据脱敏的过程可通过程序自动实现,重复执行,在确保一定安全底线的前提下,应减少数
据脱敏工作所花费的额外代价。
4.4
稳定性
数据脱敏时应保证对相同的原始数据,在各输入条件一致的前提下,无论脱敏多少次,最终结果数
据相同。
4.5
可配置性
数据脱敏过程中,宜通过配置的方式,按照输入条件不同生成不同的脱敏结果。
1
DB3212/T 1177—2025
4.6
一致性
脱敏后的数据保留原始数据的主外键关系、业务包含关系,保证跨场景使用时数据的一致性。
5
公共数据脱敏使用限制
在进行公共数据脱敏时应考虑以下使用限制:
——在进行数据脱敏前需确认脱敏对象以及脱敏场景,
——选择合适的脱敏规则和方法;
——采取符合脱敏数据等级要求的脱敏方法,避免非敏感数据推算出敏感数据;
——需要确保脱敏后的数据具备数据原始特征,避免因数据脱敏过度而导致数据失效;
——需要考虑到非敏感数据组合后生成敏感数据的可能性,对这些非敏感数据也要进行脱敏工作;
——对同一敏感数据进行多次脱敏后,格式及内容需保持一致;
——对敏感数据进行脱敏后,应确保脱敏后数据无法被恢复成原始数据,或者恢复成原始数据需
要花费巨大代价。
6
公共数据脱敏方法
脱敏方法示例见附录 A。
7 公共数据脱敏场景
7.1 场景分类
7.1.1 静态脱敏
将生产环境的敏感数据导出到非生产环境(如:开发环境、培训环境、测试环境、共享环境等)的
过程中,采用静态脱敏完成对敏感数据的脱敏处理。
7.1.2
动态脱敏
在实时访问生产环境中的敏感数据的场景下,采用动态脱敏技术完成对敏感数据的即时脱敏处理。
7.2 开发测试数据脱敏
7.2.1 包括内部常规的系统测试、对外提供联调数据,在使用业务真实数据进行测试时,应将敏感数
据脱敏,避免因开发测试导致敏感数据泄漏。
7.2.2
因重视数据的可用性,宜采用替换、变形等技术,敏感数据脱敏可采用相同含义的数据替换原
有的敏感数据。
7.3 分析数据脱敏
7.3.1 包括数据脱敏安全工程师根据需求将数据导出到终端时脱敏、外部单位使用其他公共服务机构
敏感数据分析脱敏。
7.3.2
因重视数据之间的关联性、分析结果,宜采用抑制、泛化等技术,脱敏后的数据保留原有的数
据关系与格式,数据脱敏后不会影响分析结果,脱敏后结果一致。
7.4 共享开放数据脱敏
7.4.1 在公共服务管理机构之间数据共享是有条件共享的内容,如脱敏后共享或脱敏后开放。
7.4.2 因重视敏感信息在不同政府部门间共享过程中的隐私泄露问题,宜采用遮蔽脱敏技术,将原数
据中部分或全部内容,用“*”或“#”等字符进行替换,遮盖部分或全部原文。
7.5 数据库运维脱敏
7.5.1 针对可获取或查询敏感数据的业务系统后台运维处理过程中,通过脱敏技术,限制运维人员对
数据库中敏感信息内容的访问,
2
DB3212/T 1177—2025
7.5.2
因需要实时访问生产数据库,但不需要看到敏感字段,宜采用掩码或变形等技术在调用生产库
数据时,在返回的结果中对敏感数据做即时脱敏处理。
7.6
业务系统前台脱敏
7.6.1
用户在前端应用处调取后台数据库中的敏感数据时,通过脱敏技术对敏感数据进行脱敏,再将
结果反馈至前台呈现。
7.6.2
因需要实时访问生产数据库,但不需要看到敏感字段,宜采用掩码或变形等技术在调用生产库
数据时,在返回的结果中对敏感数据做即时脱敏处理。
7.7
API 接口脱敏
7.7.1
通过 API 接口调用数据时,采用脱敏技术在接口调用过程中对敏感数据进行在线的屏蔽、变形、
字符替换、随机替换等处理。
7.7.2
因需要实时访问生产数据库,但不需要看到敏感字段,宜采用掩码或变形等技术在调用生产库
数据时,在返回的结果中对敏感数据做即时脱敏处理。
8 公共数据脱敏流程
8.1 脱敏权限分配
8.1.1 应设置专门的脱敏操作员、安全管理员和审计管理员,分工协作,实现权限分离。
8.1.2 从系统管理、安全管理、审计管理三个维度,评估业务系统和数据使用方所需权限并授权,过
程应符合下列要求。
a)
技术要求:
1)
系统管理应分配系统的资源和运行配置、控制和管理权限;
2)
安全管理应分配脱敏任务的执行权限,包括敏感数据管理、脱敏策略配置、脱敏结果查看
等;
3) 审计管理应该分配审计记录存储、管理和查询权限。
b) 安全要求:
1) 应实现用户的权限分离;
2) 应对用户进行身份鉴别,保证权限真实且唯一,并对操作行为进行审计。
8.2 敏感数据发现
8.2.1 人工发现
对于固定的业务数据,一般数据结构和数据长度不会变化,大部分为数值型和固定长度的字符,如:
身份证号、手机号,可采用人工甄别,明确需要脱敏的数据,公共数据分级参见 DB32/T 4608.1。
8.2.2
自动发现
根据人工指定或预定义的敏感数据特征,借助敏感数据信息库和分词系统,自动识别数据库中包含
的敏感信息。
8.3
敏感数据梳理
8.3.1
在敏感数据发现的基础上,完成敏感数据列、敏感数据关系的调整,以保证数据的关联关系。
8.3.2
通过变形、替换、随机、格式保留加密、强加密等数据脱敏算法,针对不同的数据类型进行数
据掩码扰乱。
8.4
脱敏方案制定
对于不同的数据脱敏需求,在基础脱敏算法的基础上,配置专门的脱敏策略,脱敏方案的制定主要
依靠脱敏策略和脱敏算法的复用来实现,通过配置和扩展脱敏算法以制定最优方案。
8.5
脱敏任务执行
3
DB3212/T 1177—2025
脱敏任务执行需遵循个人隐私保护、数据安全保护等相关法规、行业监管规范或标准,个人敏感信
息安全应遵循 GB/T 35273 中相关规定。根据已定义的数据脱敏规则,数据脱敏操作包括但不限于:
——对脱敏任务自动化运行;
——对脱敏过程运行监控和分析;
——定期对脱敏工作开展安全审计。
8.6
脱敏效果评估
对脱敏后的数据进行效果评估,确保已达到预期脱敏效果,过程应符合下列要求。
a)
技术要求:
1)
应评估数据特征是否变化;
2)
应评估已知敏感信息是否去除;
3)
应评估逆向恢复敏感数据的执行难度;
4)
应评估数据结构和统计特征是否存在敏感性;
5)
应评估脱敏后的数据是否满足使用需求。
b)
安全要求:评估过程中产生的敏感数据应在评估完成后执行删除销毁操作。
8.7
脱敏数据标识
对脱敏后的数据进行重新标识,与原始数据区分,过程应符合下列要求。
a)
技术要求:应根据实际使用需要,标识数据脱敏状态为已脱敏,并标识敏感级别。
b)
安全要求:
1)
应保障数据标识不被恶意删除和篡改;
2)
数据标识不应影响数据的结构、分析和使用。
8.8
脱敏过程审计
记录脱敏过程各个阶段相关信息,形成完备的脱敏日志完成审计分析、溯源追踪和监督检查,过程
应符合下列要求。
a)
技术要求:
3)
应审计数据源相关信息,包含数据源自身安全策略和权限信息等内容;
4)
应审计脱敏工具配置信息,包含权限账号、敏感数据识别规则、脱敏算法、脱敏规则和策
略等关键配置信息等内容;
5)
应审计脱敏过程各个阶段人员操作信息,包含登录、登出、任务执行、策略变更等人员操
作日志等内容;
6)
应审计脱敏任务执行信息,包含任务创建、执行、查询、删除信息,任务报错信息等内容;
7)
脱敏工具应具备定期备份的能力。
c)
安全要求:
1)
脱敏日志应保存不少于六个月;
2)
脱敏日志应采取加密和校验机制,保障记录保密性和完整性。
9
公共数据脱敏评价
9.1
应按照系统、人员、安全、技术以及数据脱敏工作过程等多方面规范要求,每年开展至少 1 次及
以上数据脱敏评价工作,评价其真实性、有效性、稳定性。评价工作宜在数据脱敏工作验收结束后 1
个月内完成。
9.2
根据评价结果,详细记录数据脱敏工作的存在的问题,形成书面评价报告。报告内容应包括评价
目的、范围、方法、结果、改进建议等。
9.3
针对评价中发现的问题,制定具体的改进措施和计划,并明确责任人和时间节点。
9.4
对改进措施的实施情况进行跟踪和监督,确保问题得到及时有效的解决。在下一次评价工作中,
重点检查改进措施的落实效果。
4
附 A A A DB3212/T 1177—2025
录
(资料性)
脱敏方法示例
脱敏方法示例见表 A.1
表 A.1
脱敏方法示例
序 号 脱敏算法 算法说明 示例
1 泛化技 术 时间 偏移 整取 按随机位移量对时间进行向上或向下偏移 并取整,可在保证时间数据一定分布特征 的情况下隐藏原始时间。 例如时间 2021101209:41:09 按照 10 秒向下偏 移量、5 秒取整量通过时间偏移取整脱敏即为 2021101209:41:20。
2 截取 截取是指对字符串按照起始位置、结束位 置截取一定长度连续字符串。 例如设定开始位置:3,结束位置 7,那么原数 据:helloworld 采用截取算法脱敏结果为 llowo。
3 截断 截断是指除去字符串起始位置、结束位置 之间内容,而保留其他内容。 例如设定起始位置:3,结束位置 7,那么原数 据:helloworld 采用截断算法脱敏结果为 herld。
4 分档 将数据按照预设条件规整到预定义的多个 区间档位,使原有数据模糊化。 例如将家庭年收入按照 100 万、50 万、10 万界 限分为高收入家庭、中等收入家庭、低收入家 庭三个级别,家庭年收入数据用这三个级别代 替。
5 归零 归零是指对数据清空并置为 0 的处理。 例如对于原数据:1234.55 采用归零算法后脱敏 结果为 0.00。
6 抑制技 术 遮盖 遮盖是指通过设置遮盖符,对原数据全部 或部分进行遮盖处理,比如设定遮盖符:*。 例如身份证号 321202198001011234 采用遮盖算 法后脱敏结果为 321202********1234。
7 限制 返回 行 对返回数据集的行数进行限制。 例如药品配方数据,只有在拿到所有配方数据 后才具有意义,可在脱敏时仅返回一行的数据。
8 限制 返回 列 对返回数据集的列数进行限制。 例如在查询人员基本信息时,对于某些敏感列, 不包含在返回的数据集中。
9 随机化 技术 随机 映射 随机映射是指采用了一定程度的随机性作 为其逻辑的一部分,对数值、字符或字符 串进行随机,并保留原业务特征。 例如将生日 19941118 通过随机映射脱敏为 20000220;脱敏后依然保障是一串生日特征的 数据。
10 固定 映射 固定映射是指设置映射种子,在映射种子 不变的情况下,相同的原始数据脱敏后结 果相同,并保留原始业务特征。 例如设定映射种子:张映射为李,三映射为华; 那么原数据张三通过固定映射算法后脱敏结果 为李华。
11 范围 内随 机 范围内随机主要对日期或金额类型数据, 在一个指定的范围内进行随机,并保留原 业务特征。 例如设定范围 1000 至 9999;那么对原金额数 值 365.00 采用范围内随机脱敏后的脱敏结果: 8394.70。
5
DB3212/T 1177—2025
表 A.1
脱敏方法示例(续)
序 号 脱敏算法 算法说明 示例
12 浮动 浮动是指对日期或金额类型数据,设置 上浮或下降固定值或百分比,并保留原 业务特征。 例如设定下降 8%;那么对原数据 1000.00 采用浮 动脱敏后脱敏结果:920.00。
13 重排 将原始数据按照特定的规则进行重新 排列。 例如将原数据 123456 通过重排脱敏后为 654321。
14 加密 技术 可逆 加密 是一种对称加密或非对称加密技术,可 以使用密钥对属性进行加解密来进行 数据脱敏和还原,常见于对 id 类数据 进行处理。需要对密钥进行妥善保护。 例如原数据身份证号 321202198001011234 加密后 的变为 64 位的数字字母型的字符串。
15 不可 逆加 密 一般是使用散列(hash)函数等对数据 进行处理,不可直接解密,需保存映射 关系。常见于对 id 类数据进行处理。 由于 hash 函数的特性,会存在数据碰 撞的问题。这种方式用法简单,无需担 心密钥保护。 例如原数据身份证号 321202198001011234 散列脱 敏后变为:1950036935。
16 同态 加密 对于密文计算的结果,解密之后和明文 计算的结果是相同的,一般可以直接对 密文进行运算。常见于对数值类型数据 进行处理。 例如加法同态加密: E(nx)=E(x+x+…+x)=E(x)+E(x)+…+E(x)=nE(x)。
17 统计 技术 抽样 通过采样抽取数据集中有代表性的子 集来对原始数据集进行分析和评估。这 种方式可以避免使用全量数据进行分 析。 例如根据人口地域分布情况抽样 10%的数据做统计 分析,使得地域分布概率统计保持不变。
18 聚合 经常用于统计分析中,使得脱敏后数据 集的聚合特征(总值、平均值、最大值、 最小值、环比增长、同比增长等)与原 始数据集的的聚合特征保持相同,使用 统计值来反应原始数据集中的记录属 性。 均化:例如 10、15、20 数据集总值 45,平均值 15, 均化后为 11、16、18。
6
DB3212/T 1177—2025
参 考 文 献
[1] 省政府办公厅关于印发江苏省政务“一朵云”建设总体方案的通知(苏政办发〔2023〕36 号)
[2] 江苏省公共数据管理办法(江苏省人民政府令第 148 号)
[3] 中华人民共和国网络安全法
[4] 中华人民共和国保守国家秘密法
[5] 中华人民共和国计算机信息系统安全保护条例
[6] GB/T 31506-2022 信息安全技术 政务网站系统安全指南
[7] DB32/T 4608.1 公共数据管理规范 第 1 部分:数据分类分级
━━━━━━━━━━━
7