《网络安全法》第四十二条:网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
《数据安全法》第二十七条:开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,采取相应的技术措施和其他必要措施,保障数据安全。
《个人信息保护法》第五十一条:个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取相应的加密、去标识化等安全技术措施。
《信息安全技术 网络安全等级保护基本要求》明确规定,二级以上保护则需要对敏感数据进行脱敏或其他处理。其中H.4.3 安全计算环境要求“大数据平台应提供静态脱敏和去标识化的工具或服务组件技术。”H.4.5 安全运维管理 “应在数据分类分级的基础上,划分重要数字资产范围,明确重要数据进行自动脱敏或去标识使用场景和业务处理流程。”
《网络数据安全管理条例(征求意见稿)》第十二条:数据处理者向第三方提供个人信息,或者共享、交易、委托处理重要数据的,应当向个人告知提供个人信息的目的、类型、方式、范围、存储期限、存储地点,并取得个人单独同意,符合法律、行政法规规定的不需要取得个人同意的情形或者经过匿名化处理的除外。
“脱敏”这个词在相关的法律法规、规范中通常作为保护数据安全的技术手段或技术措施出现,有时与“去标识化”或“匿名化”并列,有时则包含了“去标识化”或“匿名化”。
数据脱敏,顾名思义,是屏蔽敏感数据,对某些敏感信息(比如,身份证号、手机号、卡号、客户姓名、客户地址、邮箱地址、薪资等等 )通过脱敏规则进行数据的变形,实现隐私数据的可靠保护。
任何涉及敏感信息的行业都对数据脱敏有着天然的需求,其中,金融、政府和医疗行业首当其冲。
本文将「国家层面、行业层面、地方层面」出台的各项数据脱敏标准指南进行总结汇编,希望对此领域感兴趣的同学能够起到一定借鉴作用。
如需下载标准汇编【PDF完整版】,以及各项数据脱敏标准指南完整版,关注“极盾科技”微信公众号,回复“数据脱敏”即可下载。
如需下载标准汇编【PDF完整版】
以及各项数据脱敏标准指南完整版
关注“极盾科技”微信公众号,回复“数据脱敏”下载
