ICS 35.030 CCS L 70 DB31 上 海 市 地 方 标 准 DB31/T 1311—2021 数据去标识化共享指南 Guidance for de-identified data sharing 2021-7-27 发布 上海市市场监督管理局 2021-10-1 实施 发 布 DB31/T 1311—2021 目 次 前言 ................................................................................ Ⅲ 引言 ................................................................................ Ⅳ 1 范围 .............................................................................. 1 2 规范性引用文件 .................................................................... 1 3 术语和定义 ........................................................................ 1 4 数据去标识化共享基本原则 .......................................................... 3 4.1 主体权益保护 .................................................................. 3 4.2 机构互信制衡 .................................................................. 3 4.3 共享评估先行 .................................................................. 3 4.4 基础技术保障 .................................................................. 3 4.5 过程实时可控 .................................................................. 3 4.6 风险管理默认 .................................................................. 3 5 去标识化数据共享条件 .............................................................. 3 5.1 去标识化数据格式 .............................................................. 3 5.2 去标识化技术条件 .............................................................. 4 6 数据去标识化共享参与机构 .......................................................... 4 6.1 概述 .......................................................................... 4 6.2 共享主体 ...................................................................... 5 6.3 服务主体 ...................................................................... 6 6.4 支持主体 ...................................................................... 7 7 数据去标识化共享基本流程 .......................................................... 7 7.1 概述 .......................................................................... 7 7.2 数据预处理(含标记生成) ........................................................ 8 7.3 共享评估 ...................................................................... 8 7.4 计算增值 ...................................................................... 8 7.5 标记关联 ...................................................................... 8 7.6 碰撞配送 ...................................................................... 8 7.7 数据应用 ...................................................................... 8 8 数据去标识化共享风险管理 .......................................................... 8 8.1 8.2 8.3 8.4 8.5 组织管理 能力匹配 数据治理 事件响应 应用限制 ...................................................................... ...................................................................... ...................................................................... ...................................................................... ...................................................................... 8 8 9 9 9 I DB31/T XXX—XXXX 附录 A（资料性）数据分类分级分层建议 ................................................. 10 附录 B（资料性）数据共享风险识别与控制建议............................................ 13 参考文献 ............................................................................. 16 II DB31/T XXX—XXXX 前 言 本文件按照 GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的其他内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由上海市经济和信息化委员会提出、归口并组织实施。 本文件起草单位：上海世代企业发展促进中心、华东政法大学数据法律研究中心、公安部第三研究 所、上海数据交易中心有限公司、安永（中国）企业咨询有限公司、普华永道管理咨询（上海）有限公 司北京分公司、上海市华诚律师事务所、北京市天元律师事务所上海分所、北京市金杜律师事务所上海 分所、北京市竞天公诚律师事务所上海分所、上海邦信阳中建中汇律师事务所、北京大成（上海）律师 事务所、中兴通讯股份有限公司、交通银行股份有限公司太平洋信用卡中心、度小满科技（北京）有限 公司。 本文件主要起草人：高富平、申翔宇、胡永涛、方有明、邱俊琼、陈维娜、王苑、唐迪、李扬、施 建俊、吴涵、袁立志、胡峰、戴健民、吴月琴、高瑞鑫、庄皓、孙英、马小涵、金耀、虞磊珉、沈奕栋、 林静、张凯。 I DB31/T XXX—XXXX 引 言 数据是重要的社会资源。实现数据要素市场化配置是《中共中央 国务院关于构建更加完善的要素 市场化配置体制机制的意见》提出的重要目标。数据作为生产要素，其市场化配置可以促进数据的社会 化共享与流通利用，让更多的数据使用者能更好得获取数据和利用数据，以支撑科学研究、社会治理和 商业决策。 数据去标识化是数据共享利用中保护个人信息的关键技术，世界各国均认为去除数据(集)中所包含 的与个人关联的标识(符)即可降低识别个人的风险，但任何去标识化数据均存在被复原或再识别的可 能。因此，通过数据去标识化技术保护个人信息，需要相应的评估、控制与监督等综合性控制措施来实 现。 本文件通过“规范共享的数据内容、控制过程的安全有序、约束数据的有限使用”， 使数据去标识 化共享仍然遵循个人信息保护等的法律法规，以防范数据共享的风险，促进数据合法合规的共享和收集 利用。 本文件不是针对数据去标识化范围或技术实现的单一标准，而是“商业驱动、技术支撑、法律保障” 三位一体的共享架构与共享过程中的外部监督机制相结合的综合性方法指南。 II DB31/T XXX—XXXX 数据去标识化共享指南 1 范围 本文件提供了数据去标识化共享（分享与间接收集）的共享条件、参与机构、基本流程、风险管理 等方面的指导和建议。 本文件适用于组织(机构)之间进行数据共享的行为，包括企事业单位之间基于自愿协议的数据共享、 数据合作、数据交换、数据交易等行为、同一集团内部独立法人组织之间的数据共享的行为、政府或公 共机构向社会组织有条件开放数据的行为。组织内部的数据治理、自我测评等可参照执行。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 35273-20