国家标准《信息安全技术 个人信息去标识化指南》征求意见稿

各相关单位和专家:

经标准编制单位的辛勤努力,现已形成国家标准《信息安全技术 个人信息去标识化指南》征求意见稿。为确保标准质量,信安标委秘书处面向社会广泛征求意见。

恳切希望您对该标准提出宝贵意见。并将意见于2017年10月9日前反馈给信安标委秘书处。

联系人:许玉娜   xuyuna@cesi.cn   010-64102731

全国信息安全标准化技术委员会秘书处

2017年8月25日

标准文件:信息安全技术个人信息去标识化指南

编制说明:

国家标准《信息安全技术  个人信息去标识化指南》《征求意见稿》编制说明

一、工作概况

《信息安全技术  个人信息去标识化指南》是国家标准化管理委员会下达的信息安全国家标准制定项目,国标计划号为XXXX-XXX。本标准为自主制定标准,牵头单位为清华大学,参与标准研制单位有启明星辰信息技术有限公司、北京奇安信科技有限公司、阿里巴巴(北京)软件服务有限公司、浙江蚂蚁小微金融服务集团有限公司、上海计算机软件技术开发中心、北京天融信科技股份有限公司、中国软件评测中心、中国科学院软件研究所、北京数字认证股份有限公司、湖南科创信息技术股份有限公司、西安电子科技大学、中国电子技术标准化研究院、陕西省信息化工程研究院等14家单位,归口单位为全国信息安全标准化技术委员会(简称信安标委)。

二、标准编制原则和确定主要内容的论据及解决的主要问题

1、编制原则

本标准为自主制定,因此总体要求结构确定是标准主要内容编制的关键。在标准编制初期,编制组首先分析了NIST、ISO/IEC等国际与国家组织的个人信息去标识化相关标准规范,参考信安标委大数据安全标准特别工作组组织编制的《大数据安全标准化白皮书》相关内容,确定本标准围绕个人信息去标识化的目标、原则、方法、过程和组织措施展开,针对微数据提供具体的个人信息去标识化指导,适用于个人信息处理者,也适用于网络安全相关主管部门、第三方评估机构等组织开展个人信息安全监督管理、评估等工作。

标准编制基本原则是:

1)系统性

标准系统介绍了个人信息去标识化的目标、原则、过程和组织措施。

2)代表性

在标准立项成功后,编制组及时吸纳了启明星辰信息技术有限公司、北京奇安信科技有限公司、阿里巴巴(北京)软件服务有限公司、浙江蚂蚁小微金融服务集团有限公司、上海计算机软件技术开发中心、北京天融信科技股份有限公司、中国软件评测中心、中国科学院软件研究所、北京数字认证股份有限公司、湖南科创信息技术股份有限公司、西安电子科技大学、中国电子技术标准化研究院、陕西省信息化工程研究院的代表共同参与标准的编制,包括科研院所、测评机构、应用机构,目的是使个人信息去标识化指南内容贴近我国大多数个人信息处理机构、安全测评机构和研究机构的最新成果。这可以确保所编制的标准具有广泛的代表性,并在各方之间达成一致,并涵盖我国个人信息去标识化的最佳实践。

3)可操作性

标准内容尽可能的提供了示例对相关技术和模型进行说明,增强标准的可操作性。

4)与其它标准关系协调性

本标准作为《信息安全技术  个人信息安全规范》国家标准的配套标准,详细介绍了如何进行个人信息去标识化工作的开展。

2、标准内容

本标准描述了个人信息去标识化的目标和原则,提出了去标识化过程和组织措施。本标准针对微数据提供具体的个人信息去标识化指导,适用于个人信息处理者,也适用于网络安全相关主管部门、第三方评估机构等组织开展个人信息安全监督管理、评估等工作。

3、标准解决的主要问题

在大数据、云计算、万物互联的时代,基于数据的应用日益广泛,同时也带来了巨大的个人信息安全问题。为了保护个人信息安全,同时促进数据的共享使用,特制定个人信息去标识化指南标准。本标准旨在借鉴国内外个人信息去标识化的最新研究理论,提炼业内当前通行的最佳实践,研究个人信息去标识化的目标、原则、技术、模型、过程和组织措施,提出能科学有效地抵御安全风险、符合信息化发展需要的个人信息去标识化指南。本标准一方面可以为个人信息处理相关方提供去标识化的指导,另一方面可为第三方机构测评提供参考依据。。

三、主要试验情况分析

在标准申请获得批复后,标准编制组在2017年5月至6月组织了4次研讨会,并召开了1次专家论证会,形成了工作组草案,并在6月28日的大数据安全标准工作组全会上经过参会代表研讨表决通过为征求意见稿,7月份,编制组再次进行编制组会议,针对各方意见进行了标准草案修订,形成了征求意见稿。

四、知识产权情况说明

本标准不涉及专利。

五、产业化情况、推广应用论证和预期达到的经济效果

本标准作为《信息安全技术  个人信息安全规范》国家标准的配套标准,针对个人信息如何去标识化给出了具体的指导。在保障个人信息安全的前提下,推动数据的共享开放,充分发挥大数据价值具有十分重要的参考意义。

六、采用国际标准和国外先进标准情况

本标准为自主制定。

七、与现行相关法律、法规、规章及相关标准的协调性

网安法针对个人信息安全提出了明确的要求,国家标准《信息安全技术  个人信息安全规范》围绕个人信息安全针对个人信息控制者提出了更为详尽的要求,本标准作为《信息安全技术  个人信息安全规范》的配套标准,针对个人信息如何去标识化给出了详细的指导,与网安法和《信息安全技术  个人信息安全规范》保持了一致和协调。

八、重大分歧意见的处理经过和依据

反馈意见处理的基本流程如下:

  • 清华大学首先梳理反馈意见,对于文本表达、目标明确,易于确认的建议和意见进行预处理。
  • 对于一些难以处理或需要讨论的反馈意见,首先在标准编制核心人员之间通过微信、电话、邮件等进行讨论,需要标准参与单位集中讨论的由核心编制组商量后召集标准参与单位来清华集中讨论。

本标准在工作组草案阶段,还邀请了WG1组的专家进行了研讨,并针对专家意见进行了标准的修订,在2017年6月28日工作组全会上进行了标准内容报告和研讨,并就相关意见进行了标准修订。

九、标准性质的建议

建议本标准作为推荐性国家标准发布实施。

十、贯彻标准的要求和措施建议

本标准给出了详细的个人信息去标识化过程,旨在确保个人信息安全的前提下推动数据的共享开放,有助于大数据价值的发挥。

围绕本标准的实施,建议围绕后面的标准试点工作,建议编制个人信息去标识化效果评估方法。

十一、替代或废止现行相关标准的建议

本章无条文。

十二、其他事项说明

本章无条文。

标准编制组

2017年8月5日

上一篇:国家标准《信息安全技术 数据安全能力成熟度模型》征求意见稿

下一篇:国家标准《信息安全技术 灾难恢复服务能力评估准则》征求意见稿