ICS35.240 CCSL72DB3212 泰州市地方标准 DB3212/T1177—2025 公共数据脱敏管理规范 Publicdatadesensitizationmanagementnorms 2025-01-07发布 2025-02-07实施 泰州市市场监督管理局发布DB3212/T1177—2025 I前言 本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规 定起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由泰州市数据局提出、归口并组织实施、监督。 本文件由泰州市数据局负责具体技术内容的解释。 本文件起草单位：泰州市数据局、泰州市数据产业集团、泰州市标准化院。 本文件主要起草人：许鑫、刘小芳、孙慧、翟敏、陈春阳、陶然、梁鑫晨、顾雅丽、李海鹏、吴薇、 陈蓝生、郭健、王友成、张婧娴。DB3212/T1177—2025 1公共数据脱敏管理规范 1范围 本文件规定了公共数据脱敏的总体要求、数据脱敏使用限制、数据脱敏场景、公共数据脱敏方法、 公共数据脱敏流程、公共数据脱敏评价等内容。 本文件适用于公共数据主管部门、公共管理和服务机构以及使用公共数据的组织、个人开展公共数 据脱敏工作。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T35273信息安全技术个人信息安全规范 3术语和定义 下列术语和定义适用于本文件。 3.1 敏感数据sensitivedata 能具备一定的安全性要求，一旦泄露会对人、单位、企业、甚至国家产生某种风险的数据。 3.2 数据脱敏datadesensitization 对外提供敏感数据时，为避免敏感数据泄露，通过一定的方式消除敏感数据内的敏感信息，并且保 留原始数据的特征、格式的操作。 4总体要求 4.1有效性 经过数据脱敏处理后，原始信息中包含的敏感信息已被屏蔽，无法通过直接或简单处理得到敏感信 息。 4.2真实性 脱敏后的数据应能真实体现原始数据的特征，以助于实现数据相关业务需求。 4.3高效性 应保证数据脱敏的过程可通过程序自动实现，重复执行，在确保一定安全底线的前提下，应减少数 据脱敏工作所花费的额外代价。 4.4稳定性 数据脱敏时应保证对相同的原始数据，在各输入条件一致的前提下，无论脱敏多少次，最终结果数 据相同。 4.5可配置性 数据脱敏过程中，宜通过配置的方式，按照输入条件不同生成不同的脱敏结果。DB3212/T1177—2025 24.6一致性 脱敏后的数据保留原始数据的主外键关系、业务包含关系，保证跨场景使用时数据的一致性。 5公共数据脱敏使用限制 在进行公共数据脱敏时应考虑以下使用限制： ——在进行数据脱敏前需确认脱敏对象以及脱敏场景， ——选择合适的脱敏规则和方法； ——采取符合脱敏数据等级要求的脱敏方法，避免非敏感数据推算出敏感数据； ——需要确保脱敏后的数据具备数据原始特征，避免因数据脱敏过度而导致数据失效； ——需要考虑到非敏感数据组合后生成敏感数据的可能性，对这些非敏感数据也要进行脱敏工作； ——对同一敏感数据进行多次脱敏后，格式及内容需保持一致； ——对敏感数据进行脱敏后，应确保脱敏后数据无法被恢复成原始数据，或者恢复成原始数据需 要花费巨大代价。 6公共数据脱敏方法 脱敏方法示例见附录A。 7公共数据脱敏场景 7.1场景分类 7.1.1静态脱敏 将生产环境的敏感数据导出到非生产环境（如：开发环境、培训环境、测试环境、共享环境等）的 过程中，采用静态脱敏完成对敏感数据的脱敏处理。 7.1.2动态脱敏 在实时访问生产环境中的敏感数据的场景下，采用动态脱敏技术完成对敏感数据的即时脱敏处理。 7.2开发测试数据脱敏 7.2.1包括内部常规的系统测试、对外提供联调数据，在使用业务真实数据进行测试时，应将敏感数 据脱敏，避免因开发测试导致敏感数据泄漏。 7.2.2因重视数据的可用性，宜采用替换、变形等技术，敏感数据脱敏可采用相同含义的数据替换原 有的敏感数据。 7.3分析数据脱敏 7.3.1包括数据脱敏安全工程师根据需求将数据导出到终端时脱敏、外部单位使用其他公共服务机构 敏感数据分析脱敏。 7.3.2因重视数据之间的关联性、分析结果，宜采用抑制、泛化等技术，脱敏后的数据保留原有的数 据关系与格式，数据脱敏后不会影响分析结果，脱敏后结果一致。 7.4共享开放数据脱敏 7.4.1在公共服务管理机构之间数据共享是有条件共享的内容，如脱敏后共享或脱敏后开放。 7.4.2因重视敏感信息在不同政府部门间共享过程中的隐私泄露问题，宜采用遮蔽脱敏技术，将原数 据中部分或全部内容，用“*”或“#”等字符进行替换，遮盖部分或全部原文。 7.5数据库运维脱敏 7.5.1针对可获取或查询敏感数据的业务系统后台运维处理过程中，通过脱敏技术，限制运维人员对 数据库中敏感信息内容的访问，DB3212/T1177—2025 37.5.2因需要实时访问生产数据库，但不需要看到敏感字段，宜采用掩码或变形等技术在调用生产库 数据时，在返回的结果中对敏感数据做即时脱敏处理。 7.6业务系统前台脱敏 7.6.1用户在前端应用处调取后台数据库中的敏感数据时，通过脱敏技术对敏感数据进行脱敏，再将 结果反馈至前台呈现。 7.6.2因需要实时访问生产数据库，但不需要看到敏感字段，宜采用掩码或变形等技术在调用生产库 数据时，在返回的结果中对敏感数据做即时脱敏处理。 7.7API接口脱敏 7.7.1通过API接口调用数据时，采用脱敏技术在接口调用过程中对敏感数据进行在线的屏蔽、变形、 字符替换、随机替换等处理。 7.7.2因需要实时访问生产数据库，但不需要看到敏感字段，宜采用掩码或变形等技术在调用生产库 数据时，在返回的结果中对敏感数据做即时脱敏处理。 8公共数据脱敏流程 8.1脱敏权限分配 8.1.1应设置专门的脱敏操作员、安全管理员和审计管理员，分工协作，实现权限分离。 8.1.2从系统管理、安全管理、审计管理三个维度，评估业务系统和数据使用方所需权限并授权，过 程应符合下列要求。 a)技术要求： 1)系统管理应分配系统的资源和运行配置、控制和管理权限； 2)安全管理应分配脱敏任务的执行权限，包括敏感数据管理、脱敏策略配置、脱敏结果查看 等； 3)审计管理应该分配审计记录存储、管理和查询权限。 b)安全要求： 1)应实现用户的权限分离； 2)应对用户进行身份鉴别，保证权限真实且唯一，并对操作行为进行审计。 8.2敏感数据发现 8.2.1人工发现 对于固定的业务数据，一般数据结构和数据长度不会变化，大部分为数值型和固定长度的字符，如： 身份证号、手机号，可采用人工甄别，明确需要脱敏的数据，公共数据分级参见DB32/T4608.1。 8.2.2自动发现 根据人工指定或预定义的敏感数据特征，借助敏感数据信息库和分词系统，自动识别数据库中包含 的敏感信息。 8.3敏感数据梳理 8.3.1在敏感数据发现的基础上，完成敏感数据列、敏感数据关系的调整，以保证数据的关联关系。 8.3.2通过变形、替换、随机、格式保留加密、强加密等数据脱敏算法，针对不同的数据类型进行数 据掩码扰乱。 8.4脱敏方案制定 对于不同的数据脱敏需求，在基础脱敏算法的基础上，配置专门的脱敏策略，脱敏方案的制定主要 依靠脱敏策略和脱敏算法的复用来实现，通过配置和扩展脱敏算法以制定最优方案。 8.5脱敏任务执行DB3212/T1177—2025 4脱敏任务执行需遵循个人隐私保护、数据安全保护等相关法规、行业监管规范或标准，个人敏感信 息安全应遵循GB/T35273中相关规定。根据已定义的数据脱敏规则，数据脱敏操作包括但不限于： ——对脱敏任务自动化运行； ——对脱敏过程运行监控和分析； ——定期对脱敏工作开展安全审计。 8.6脱敏效果评估 对脱敏后的数据进行效果评估，确保已达到预期脱敏效果，过程应符合下列要求。 a)技术要求： 1)应评估数据特征是否变化； 2)应评估已知敏感信息是否去除； 3)应评估逆向恢复敏感数据的执行难度； 4)应评估数据结构和统计特征是否存在敏感性； 5)应评估脱敏后的数据是否满足使用需求。 b)安全要求：评估过程中产生的敏感数据应在评估完成后执行删除销毁操作。 8.7脱敏数据标识 对脱敏后的数据进行重新标识，与原始数据区分，过程应符合下列要求。 a)技术要求：应根据实际使用需要，标识数据脱敏状态为已脱敏，并标识敏感级别。 b)安全要求： 1)应保障数据标识不被恶意删除和篡改； 2)数据标识不应影响数据的结构、分析和使用。 8.8脱敏过程审计 记录脱敏过程各个阶段相关信息，形成完备的脱敏日志完成审计分析、溯源追踪和监督检查，过程 应符合下列要求。 a)技术要求： 3)应审计数据源相关信息，包含数据源自身安全策略和权限信息等内容； 4)应审计脱敏工具配置信息，包含权限账号、敏感数据识别规则、脱敏算法、脱敏规则和策 略等关键配置信息等内容； 5)应审计脱敏过程各个阶段人员操作信息，包含登录、登出、任务执行、策略变更等人员操 作日志等内容； 6)应审计脱敏任务执行信息，包含任务创建、执行、查询、删除信息，任务报错信息等内容； 7)脱敏工具应具备定期备份的能力。 c)安全要求： 1)脱敏日志应保存不少于六个月； 2)脱敏日志应采取加密和校验机制，保障记录保密性和完整性。 9公共数据脱敏评价 9.1应按照系统、人员、安全、技术以及