國家標準《信息安全技術 個人信息去標識化指南》征求意見稿
責編:mhshi |2017-09-01 11:26:51各相關單位和專家:
經標準編制單位的辛勤努力,現已形成國家標準《信息安全技術 個人信息去標識化指南》征求意見稿。為確保標準質量,信安標委秘書處面向社會廣泛征求意見。
懇切希望您對該標準提出寶貴意見。并將意見于2017年10月9日前反饋給信安標委秘書處。
聯系人:許玉娜???xuyuna@cesi.cn?? 010-64102731
全國信息安全標準化技術委員會秘書處
2017年8月25日
標準文件:信息安全技術個人信息去標識化指南
編制說明:
國家標準《信息安全技術 ?個人信息去標識化指南》《征求意見稿》編制說明
一、工作概況
《信息安全技術 ?個人信息去標識化指南》是國家標準化管理委員會下達的信息安全國家標準制定項目,國標計劃號為XXXX-XXX。本標準為自主制定標準,牽頭單位為清華大學,參與標準研制單位有啟明星辰信息技術有限公司、北京奇安信科技有限公司、阿里巴巴(北京)軟件服務有限公司、浙江螞蟻小微金融服務集團有限公司、上海計算機軟件技術開發中心、北京天融信科技股份有限公司、中國軟件評測中心、中國科學院軟件研究所、北京數字認證股份有限公司、湖南科創信息技術股份有限公司、西安電子科技大學、中國電子技術標準化研究院、陜西省信息化工程研究院等14家單位,歸口單位為全國信息安全標準化技術委員會(簡稱信安標委)。
二、標準編制原則和確定主要內容的論據及解決的主要問題
1、編制原則
本標準為自主制定,因此總體要求結構確定是標準主要內容編制的關鍵。在標準編制初期,編制組首先分析了NIST、ISO/IEC等國際與國家組織的個人信息去標識化相關標準規范,參考信安標委大數據安全標準特別工作組組織編制的《大數據安全標準化白皮書》相關內容,確定本標準圍繞個人信息去標識化的目標、原則、方法、過程和組織措施展開,針對微數據提供具體的個人信息去標識化指導,適用于個人信息處理者,也適用于網絡安全相關主管部門、第三方評估機構等組織開展個人信息安全監督管理、評估等工作。
標準編制基本原則是:
1)系統性
標準系統介紹了個人信息去標識化的目標、原則、過程和組織措施。
2)代表性
在標準立項成功后,編制組及時吸納了啟明星辰信息技術有限公司、北京奇安信科技有限公司、阿里巴巴(北京)軟件服務有限公司、浙江螞蟻小微金融服務集團有限公司、上海計算機軟件技術開發中心、北京天融信科技股份有限公司、中國軟件評測中心、中國科學院軟件研究所、北京數字認證股份有限公司、湖南科創信息技術股份有限公司、西安電子科技大學、中國電子技術標準化研究院、陜西省信息化工程研究院的代表共同參與標準的編制,包括科研院所、測評機構、應用機構,目的是使個人信息去標識化指南內容貼近我國大多數個人信息處理機構、安全測評機構和研究機構的最新成果。這可以確保所編制的標準具有廣泛的代表性,并在各方之間達成一致,并涵蓋我國個人信息去標識化的最佳實踐。
3)可操作性
標準內容盡可能的提供了示例對相關技術和模型進行說明,增強標準的可操作性。
4)與其它標準關系協調性
本標準作為《信息安全技術 ?個人信息安全規范》國家標準的配套標準,詳細介紹了如何進行個人信息去標識化工作的開展。
2、標準內容
本標準描述了個人信息去標識化的目標和原則,提出了去標識化過程和組織措施。本標準針對微數據提供具體的個人信息去標識化指導,適用于個人信息處理者,也適用于網絡安全相關主管部門、第三方評估機構等組織開展個人信息安全監督管理、評估等工作。
3、標準解決的主要問題
在大數據、云計算、萬物互聯的時代,基于數據的應用日益廣泛,同時也帶來了巨大的個人信息安全問題。為了保護個人信息安全,同時促進數據的共享使用,特制定個人信息去標識化指南標準。本標準旨在借鑒國內外個人信息去標識化的最新研究理論,提煉業內當前通行的最佳實踐,研究個人信息去標識化的目標、原則、技術、模型、過程和組織措施,提出能科學有效地抵御安全風險、符合信息化發展需要的個人信息去標識化指南。本標準一方面可以為個人信息處理相關方提供去標識化的指導,另一方面可為第三方機構測評提供參考依據。。
三、主要試驗情況分析
在標準申請獲得批復后,標準編制組在2017年5月至6月組織了4次研討會,并召開了1次專家論證會,形成了工作組草案,并在6月28日的大數據安全標準工作組全會上經過參會代表研討表決通過為征求意見稿,7月份,編制組再次進行編制組會議,針對各方意見進行了標準草案修訂,形成了征求意見稿。
四、知識產權情況說明
本標準不涉及專利。
五、產業化情況、推廣應用論證和預期達到的經濟效果
本標準作為《信息安全技術 ?個人信息安全規范》國家標準的配套標準,針對個人信息如何去標識化給出了具體的指導。在保障個人信息安全的前提下,推動數據的共享開放,充分發揮大數據價值具有十分重要的參考意義。
六、采用國際標準和國外先進標準情況
本標準為自主制定。
七、與現行相關法律、法規、規章及相關標準的協調性
網安法針對個人信息安全提出了明確的要求,國家標準《信息安全技術 ?個人信息安全規范》圍繞個人信息安全針對個人信息控制者提出了更為詳盡的要求,本標準作為《信息安全技術 ?個人信息安全規范》的配套標準,針對個人信息如何去標識化給出了詳細的指導,與網安法和《信息安全技術 ?個人信息安全規范》保持了一致和協調。
八、重大分歧意見的處理經過和依據
反饋意見處理的基本流程如下:
- 清華大學首先梳理反饋意見,對于文本表達、目標明確,易于確認的建議和意見進行預處理。
- 對于一些難以處理或需要討論的反饋意見,首先在標準編制核心人員之間通過微信、電話、郵件等進行討論,需要標準參與單位集中討論的由核心編制組商量后召集標準參與單位來清華集中討論。
本標準在工作組草案階段,還邀請了WG1組的專家進行了研討,并針對專家意見進行了標準的修訂,在2017年6月28日工作組全會上進行了標準內容報告和研討,并就相關意見進行了標準修訂。
九、標準性質的建議
建議本標準作為推薦性國家標準發布實施。
十、貫徹標準的要求和措施建議
本標準給出了詳細的個人信息去標識化過程,旨在確保個人信息安全的前提下推動數據的共享開放,有助于大數據價值的發揮。
圍繞本標準的實施,建議圍繞后面的標準試點工作,建議編制個人信息去標識化效果評估方法。
十一、替代或廢止現行相關標準的建議
本章無條文。
十二、其他事項說明
本章無條文。
標準編制組
2017年8月5日