GB/T 42460-2023《个人信息去标识化效果评估指南》公开

来源:TMT法律论坛

文章摘要
导读Law 对个人信息进行去标识化是我国《个人信息保护法》第五十一条对个人信息处理者明确提出的个人信息安全保障要求。
导读Law
对个人信息进行去标识化是我国《个人信息保护法》第五十一条对个人信息处理者明确提出的个人信息安全保障要求。根据《个人信息保护法》第七十三条第(三)款,去标识化是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。如何实现前述定义中的去标识化效果,是企业在个人信息处理安全合规实践中的重点问题。
2020年3月,国家标准GB/T 37964-2019《信息安全技术个人信息去标识化指南》就个人信息去标识化问题给出了具体指导。在此基础上,国家标准GB/T 42460-2023《信息安全技术个人信息去标识化效果评估指南》(以下简称“《指南》”)于近日公开,其引言指出:“经去标识化后处理的个人信息并不能完全实现匿名化,仍存在重标识的风险,需结合应用场景进行去标识化效果评估”。《指南》旨在依据个人信息能多大程度上标识个人身份(即标识度)进行分级,用于评估去标识化活动的效果,以此形成的个人信息标识度分级,有利于分级别探讨适用场景和安全管理要求。我们理解,《指南》提出的评估方法以及个人信息去标识化效果的量化可以指导和帮助企业更好地认识、提升及体现自身的个人信息安全保护水平。
《指南》主要基于数据是否能直接识别个人信息主体,或多大概率识别个人信息主体,将个人信息标识度划分为4级,用于区分去标识化的效果。

分级

划分依据

1级

包含直接标识符,在特定环境下能直接识别个人信息主体

2级

消除了直接标识符,但包含准标识符,且重标识风险高于或等于可接受风险阈值*

3级

消除了直接标识符,但包含准标识符,且重标识风险低于可接受风险阈值*

4级

不包含任何标识符


*可接受风险阈值:设定的重标识风险临界数值,当重标识风险大于该数值时,需采取风险缓解措施(包括去标识化处理)和应急措施,以确保风险处于可控范围内。
去标识化效果评估流程

1. 评估准备
*确定待评估数据集以及数据集使用的环境,组建评估团队;
*开展前期调研,包括数据使用环境的详细调研;
*确定评估依据;
*确定重标识风险计算方案及可接受风险阈值;
*制定评估方案。
2. 定性评估
按照GB/T 37964-2019《信息安全技术个人信息去标识化指南》的5.3条形成标识符清单(包括直接标识符和准标识符)。《指南》还分别给出了直接标识符及准标识符的示例如下:


不含任何标识符,评为4级;含有直接标识符,评为1级。
3. 定量评估
在消除了直接标识符,但包含准标识符的情况下,定量计算重标识风险,按照评估准备阶段确定的重标识风险计算方案进行重标识风险计算,判断是否小于可接受风险阈值,如是,评为3级,如否,则评为2级。
4. 形成评估结论
结合定性与定量评估结果,形成去标识化效果分级结论,并就结论获得管理层批准。
5. 沟通与协商
在评估过程中与相关方保持沟通并对沟通内容予以记录。
6. 评估过程文档管理
评估过程文档包括评估过程中依据、参考和产生的过程文档与结果文档,包括但不限于:评估方案、标识符识别报告、重标识风险计算方案、评估报告、评估记录;
文档管理包括标识、存储、保护、检索以及处置分发等。
正文Law



















技术驱动法律,专业成就未来