ICS 35.020 CCS L 72 浙 江 3301 省 杭 州 市 地 方 标 准 DB 3301/T 0363—2022 公共数据脱敏管理规范 Specification for public data desensitization 2022 - 04 - 30 发布 2022 - 05 - 30 实施 杭州市市场监督管理局  发 布 DB 3301/T 0363—2022 目 次 前言....................................................................................................................................................................... II 引言..................................................................................................................................................................... III 1 范围................................................................................................................................................................... 1 2 规范性引用文件............................................................................................................................................... 1 3 术语和定义....................................................................................................................................................... 1 4 基本原则........................................................................................................................................................... 2 真实性....................................................................................................................................................... 2 有效性....................................................................................................................................................... 2 一致性....................................................................................................................................................... 2 稳定性....................................................................................................................................................... 2 5 管理要求........................................................................................................................................................... 2 基本要求................................................................................................................................................... 2 系统要求................................................................................................................................................... 3 人员要求................................................................................................................................................... 5 安全要求................................................................................................................................................... 5 技术要求................................................................................................................................................... 6 附录 A（规范性） 数据脱敏全生命周期工作过程......................................................................................... 7 附录 B（资料性） 公共数据安全承诺书..........................................................................................................8 附录 C（资料性） 常见脱敏算法及使用示例................................................................................................. 9 附录 D（资料性） 复杂数据脱敏场景说明................................................................................................... 11 附录 E（资料性） 常见敏感数据类型的适用脱敏算法规则....................................................................... 12 参考文献............................................................................................................................................................... 15 I DB 3301/T 0363—2022 前 言 本文件按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利，本文件的发布机构不承担识别专利的责任。 本文件由杭州市数据资源管理局提出并归口。 本文件起草单位：杭州市萧山区数据资源管理局、杭州美创科技有限公司。 本文件主要起草人：刘诚征、陈琼、肖国军、孙茂阳、胡江涛、张建林、乔祥耀、冯晨、王纪东。 II DB 3301/T 0363—2022 引 言 公共数据的共享与开放，为数据深度分析与挖掘提供了使用价值。公共数据因涉及国家安全、商业 秘密和公民隐私等敏感信息，开放共享中需加以保护，完成敏感数据脱敏工作。为指导公共数据脱敏工 作的实施，规范操作流程和管理，降低敏感数据泄露风险，特制订本文件。 III DB 3301/T 0363—2022 公共数据脱敏管理规范 1 范围 本文件规定了公共数据的基本原则和管理要求。 本文件适用于公共数据脱敏工作的规划、实施和管理。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 20945—2013 信息安全技术 信息系统安全审计产品技术要求和测试评价方法 DB33/T 2350—2021 数字化改革术语定义 3 术语和定义 DB33/T 2350—2021界定的以及下列术语和定义适用于本文件。 公共数据 public data 国家机关、法律法规规章授权的具有管理公共事务职能的组织，在依法履行职责和提供公共服务过 程中，所获取的数据资源以及法律、法规规定纳入公共数据管理范围的其他数据资源。 [来源：DB33/T 2350—2021，3.2.2.1] 敏感数据 sensitive data 能具备一定的安全性要求，一旦泄露会对人、单位、企业、甚至国家产生某种风险的数据。 数据脱敏 data desensitization 对某些敏感信息按照一定规则进行数据变形，实现敏感信息隐私数据的可靠