数据脱敏作业规范

1  术语和定义

1.1  数据脱敏

数据脱敏是指从原始环境向目标环境进行敏感数据交换时，通过一定的方法消除原始环境中数据的敏感性， 并保留目标环境业务所需的数据特性或内容的数据处理过程。

注：引用《金融数据安全数据生命周期安全规范》（JR/T 0223—2021）。

1.2  敏感个人信息

敏感个人信息是指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息， 包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息， 以及不满十四岁未成年人的个人信息。

注：引用《中华人民共和国个人信息保护法》

举例如下：

个人财产信息	银行账户、鉴别信息(口令)、存款信息（包括资金数量、支付收款记录 等）、房产信息、信贷记录、征信信息、交易和消费记录、流水记录等，以 及虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息
个人健康生理信 息	个人因生病医治等产生的相关记录，如病症、住院志、医嘱单、检验报告、 手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以 往病史、诊治情况、家族病史、现病史、传染病史等
个人生物识别信 息	个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等
个人身份信息	身份证、军官证、护照、驾驶证、工作证、社保卡、居住证等
其他信息	性取向、婚史、宗教信仰、未公开的违法犯罪记录、通信记录和内容、通讯 录、好友列表、群组列表、行踪轨迹、网页浏览记录、住宿信息、精准定位 信息等

注：引用《信息安全技术  个人信息安全规范》（GBT 35273 — 2020）。

2  管理职责

2.1  数据安全责任

按照“谁主管谁负责， 谁运维谁负责， 谁运营谁负责， 谁使用谁负责”的原则， 数据责任部门、研发部门、运维部门、运营部门、数据使用部门均为数据安全责任部门， 按照数据的分类分级，在主管范围内、运维范围内、运营范围内和数据使用中， 按照此规范对数据进行脱敏保护。

3 管理内容

3.1  数据脱敏原则

1)     充分性原则：脱敏范围应对敏感字段充分覆盖。

2)     不落地原则：应脱敏的数据在数据传输前或过程中已经脱敏，避免落到目标端（页面、测试库、终端等）后再脱敏。

3)     不可逆原则：在脱敏场景下对敏感数据采用的脱敏算法应不可逆，不可恢复出原始数据，以保障原始敏感数据的安全。

3.2  脱敏场景

1)     根据敏感数据使用的场景，脱敏场景包括但不限于：业务系统脱敏、数据提取脱敏、日志脱敏、大数据脱敏、外部合作脱敏、测试库脱敏。

2)     应脱敏的数据包括： 敏感个人信息、员工薪酬数据、员工职级、股权、 key、口令、项目名称、客户名称、客户地址、样本特征等公司各业务线确定的核心商秘、普通商秘，这些数据统称为敏感数据。

3.2.1 业务系统脱敏

1)     业务系统可查询敏感信息的页面，应对敏感数据进行脱敏处理；

2)     用户查看用户所属的敏感数据时，也应进行脱敏处理。

3.2.2 数据提取脱敏

因临时业务的需要产生的数据提取需求， 应对敏感数据进行脱敏处理； 脱敏应在生产域进行，脱敏后再带出生产域交付给数据需求方。

3.2.3 日志脱敏

日志记录中禁止包含敏感数据， 避免因日志分析导致敏感数据泄露。若日志中已经包含敏感字段的记录， 需要进行脱敏处理，脱敏可采用遮蔽方法。

3.2.4 大数据脱敏

1)     大数据使用场景例如模型验证、数据分析等， 原则上禁止使用原始的敏感数据， 应对敏感数据脱敏后使用，若需使用原始数据，需要按照其他数据安全管理办法进行逐级审批。

2)     大数据平台应建立敏感数据区和非敏感数据区，两个区域进行隔离管理，对敏感区域进行权限的最小化管理，敏感数据区的数据需脱敏后才能带出敏感数据区。

3.2.5 外部合作脱敏

外部数据合作是指超出公司各组织部门范畴的合作。在外部数据合作中，应对合作需要的敏感数据进行脱敏处理，合作双方采用共同的脱敏算法对敏感数据脱敏后进行碰撞匹配。

3.2.6 测试库脱敏

因测试、研发需求使用生产数据到测试库时， 应对生产数据进行脱敏处理， 脱敏应在生产域内进行。详细流程如下图：

1. 数据使用申请
2. 确定脱敏方案
3. 数据源等配置
4. 脱敏规则配置
5. 配置脱敏方案
6. 执行脱敏
7. 数据对比

3.3  脱敏例外

1)     例外流程： 如因业务必要性而不具备数据脱敏条件的情况，数据提供前应进行备案。

2)     已知例外： 项目管理、经营分析、审计管理、质量管理、监察工作5个场景对项目未脱敏信息的使用必要为已知的例外场景，可不进行例外流程的邮件备案。

3.4  脱敏规则

1)    脱敏规则可在以下规则中进行选取设置

基本的脱敏规则如下：

• 按位遮蔽： 选择相关的位数，进行星号代替；
• 随机字符串：使用随机字符串代替；
• 固定值：设置为固定值；
• Hash（加盐） ：使用hash加盐进行转换；
• 字符串截取&截断： 进行位数的截断；
• 仿真： 进行仿真替换。

2)    如选择遮蔽规则，需不低于如下规则的强度：

n 敏感个人信息脱敏规则：

• 【身份证号】显示最后四位， 其他隐藏。共计 18 位或者15 位， 比如： *************1234；
•  【固定电话】 显示后四位，其他隐藏，比如： *******3241；
•  【手机号码】前三位，后四位， 其他隐藏，比如： 135****1234；
•  【地址】只显示到地区，不显示详细地址，比如：北京经济开发区***；
•  【电子邮箱】 邮箱前缀仅显示第一个字母，前缀其他隐藏，用星号代替， @及后面的地址显示， 比如：d**@126.com；
•  【银行账户】显示前六位，后三位，其他用星号隐藏每位1个星号， 比如：622260**********123。

n 项目类敏感数据脱敏规则：

•  【项目名称】： 前6个字加星号显示，对小于等于6个字的情况，对长度前50%的部分加星号显示；
•  【客户名称】： 前6个字加星号显示，对小于等于6个字的情况，对长度前50% 的部分加星号显示；
•  【地址】： 同“敏感个人信息脱敏规则”中的地址脱敏规则；
•  【银行账户】： 同“敏感个人信息脱敏规则”中的银行账户脱敏规则。

3.5  脱敏审计

敏感数据提供方应记录敏感数据的脱敏过程和脱敏规则， 用于审计；