網絡安全知識

《個人信息保護法》下的密碼技術

發布時間：2021-11-03 18:33 瀏覽次數：3399

《中華人民共(gong)和國個人信息(xi)保護法(fa)》（下(xia)稱《個人(ren)信息保護法》）歷經三次審議(yi)及兩次公開征(zheng)求意見(jian)后，由(you)第十三屆全國人(ren)民代表大(da)會表決通過，正式(shi)于2021年11月1日起施行。《個人信(xin)息保護法(fa)》在當前(qian)網絡(luo)環境(jing)中個(ge)人(ren)信息(xi)不斷被(bei)非法(fa)獲取、濫用的背(bei)景(jing)下出(chu)臺，完善了我國在網絡安(an)全和數據保護領域的頂層設計，作為個(ge)人(ren)信息(xi)保護領域的基礎性法(fa)律，與《數據安(an)全法》、《網絡安(an)全法》、《密(mi)碼法》共同(tong)構建了我(wo)國數據治理法律框架(jia)，是我(wo)國數字經濟(ji)時代重要(yao)法律基石。

《個(ge)人信息保護(hu)法》規定了對(dui)個(ge)人信息處理(li)(li)的(de)保護(hu)要求及各方(fang)的(de)責任(ren)與(yu)權力，其中個(ge)人信息處理(li)(li)者負有個(ge)人信息安全保護(hu)的(de)主體責任(ren)。這就意味著將有更多的信(xin)息處理者需要(yao)用密碼技術(shu)來約束數據處理，密碼技術的應用領域將被拓寬。個人(ren)信息處理(li)者在個人信(xin)息(xi)的處理中，將用到(dao)數(shu)據(ju)加密、數(shu)據(ju)去標識化、數(shu)據(ju)匿名化、數(shu)據(ju)防(fang)篡改等技(ji)術(shu)，密碼技(ji)術(shu)的引(yin)入將使個人信(xin)息(xi)的處理應(ying)用更規(gui)范，推動數(shu)據(ju)的安全應(ying)用。

; 一(yi)、《個人(ren)(ren)信(xin)息保護法》對于個人(ren)(ren)信(xin)息處理(li)的相關(guan)法律規定

《個(ge)(ge)(ge)人(ren)(ren)信(xin)(xin)(xin)(xin)(xin)息(xi)(xi)(xi)保(bao)護(hu)(hu)法》第(di)四條指出：“個(ge)(ge)(ge)人(ren)(ren)信(xin)(xin)(xin)(xin)(xin)息(xi)(xi)(xi)是以(yi)電子或(huo)者(zhe)其他(ta)方式記錄的與(yu)(yu)已識(shi)別(bie)或(huo)者(zhe)可(ke)識(shi)別(bie)的自然人(ren)(ren)有(you)關的各(ge)種信(xin)(xin)(xin)(xin)(xin)息(xi)(xi)(xi)，不包括匿(ni)名(ming)(ming)(ming)(ming)化(hua)處理后的信(xin)(xin)(xin)(xin)(xin)息(xi)(xi)(xi)。”第(di)五十一條規(gui)(gui)定(ding)了通過加(jia)密(mi)(mi)、去標識(shi)化(hua)等安全(quan)技(ji)術措施保(bao)護(hu)(hu)信(xin)(xin)(xin)(xin)(xin)息(xi)(xi)(xi)。第(di)七(qi)十三條專門解釋了去標識(shi)化(hua)和匿(ni)名(ming)(ming)(ming)(ming)化(hua)兩種信(xin)(xin)(xin)(xin)(xin)息(xi)(xi)(xi)保(bao)護(hu)(hu)技(ji)術的含(han)義(yi)。根據《個(ge)(ge)(ge)人(ren)(ren)信(xin)(xin)(xin)(xin)(xin)息(xi)(xi)(xi)保(bao)護(hu)(hu)法》的要(yao)(yao)求，以(yi)及《信(xin)(xin)(xin)(xin)(xin)息(xi)(xi)(xi)安全(quan)技(ji)術個(ge)(ge)(ge)人(ren)(ren)信(xin)(xin)(xin)(xin)(xin)息(xi)(xi)(xi)安全(quan)規(gui)(gui)范》GB/T 35273-2020的相關規(gui)(gui)定(ding)，對個(ge)(ge)(ge)人(ren)(ren)信(xin)(xin)(xin)(xin)(xin)息(xi)(xi)(xi)進行(xing)處理時(shi)應(ying)以(yi)密(mi)(mi)碼技(ji)術為基礎，實現數據存儲、傳輸、處理中的加(jia)密(mi)(mi)與(yu)(yu)防篡改(gai)要(yao)(yao)求、實現個(ge)(ge)(ge)人(ren)(ren)信(xin)(xin)(xin)(xin)(xin)息(xi)(xi)(xi)去標記化(hua)和匿(ni)名(ming)(ming)(ming)(ming)化(hua)要(yao)(yao)求。以(yi)數據去標記化(hua)和匿(ni)名(ming)(ming)(ming)(ming)化(hua)實現數據脫敏或(huo)有(you)條件(jian)脫敏，擴大(da)數據的安全(quan)應(ying)用范圍，推動個(ge)(ge)(ge)人(ren)(ren)信(xin)(xin)(xin)(xin)(xin)息(xi)(xi)(xi)的安全(quan)應(ying)用。

相關法律條文：

第(di)五(wu)十一條(tiao)

個(ge)人信息(xi)(xi)處(chu)(chu)理(li)(li)(li)者應當根(gen)據個(ge)人信息(xi)(xi)的處(chu)(chu)理(li)(li)(li)目的、處(chu)(chu)理(li)(li)(li)方式、個(ge)人信息(xi)(xi)的種類(lei)以及對個(ge)人權益的影響、可能存在的安(an)全(quan)風險等，采取下列措施確保個(ge)人信息(xi)(xi)處(chu)(chu)理(li)(li)(li)活動(dong)符合法律、行政法規的規定，并防止(zhi)未經授權的訪問以及個(ge)人信息(xi)(xi)泄(xie)露(lu)、篡改、丟(diu)失：

（三）采取相應的加密、去標識化等安(an)全技術措施；

第七十三條

（三）去標識化，是(shi)指個人(ren)信(xin)息(xi)(xi)經過處理，使其在不(bu)借助額外信(xin)息(xi)(xi)的情況(kuang)下(xia)無法識別特定自然人(ren)的過程(cheng)。

（四）匿名化，是(shi)指(zhi)個人信息(xi)經過處理無法(fa)識別(bie)特定自然(ran)人且不能復原的過程。

二、《個人信息保護法》下的密碼技術

數據(ju)加密

《個人信(xin)(xin)息保護法》把加密作為一個安全(quan)技術(shu)措(cuo)施點(dian)名提出。數(shu)據加密是最(zui)常用的(de)信(xin)(xin)息保護技術(shu)，用來防止信(xin)(xin)息泄(xie)漏(lou)或非法獲取。

常見的(de)數據(ju)加(jia)(jia)密(mi)(mi)場景(jing)包括(kuo)數據(ju)庫加(jia)(jia)密(mi)(mi)、文件加(jia)(jia)密(mi)(mi)、磁盤加(jia)(jia)密(mi)(mi)、傳輸(shu)加(jia)(jia)密(mi)(mi)等。

去標識化

《個(ge)(ge)人信(xin)息(xi)保護(hu)(hu)法(fa)(fa)》在要求(qiu)安(an)(an)全保護(hu)(hu)的同時，也提(ti)出了“促進個(ge)(ge)人信(xin)息(xi)合理利用”，定(ding)義了“去標(biao)識化”這一實(shi)現(xian)方法(fa)(fa)，并作(zuo)為(wei)安(an)(an)全技術措施提(ti)出。

去(qu)標(biao)識(shi)(shi)化是指個(ge)(ge)人(ren)信(xin)(xin)息(xi)經過(guo)處理，使(shi)其在(zai)不借助(zhu)額(e)外(wai)信(xin)(xin)息(xi)的(de)情況下無法識(shi)(shi)別特定自然人(ren)的(de)過(guo)程(cheng)。通過(guo)去(qu)標(biao)識(shi)(shi)化的(de)個(ge)(ge)人(ren)信(xin)(xin)息(xi)，可以(yi)支持對(dui)個(ge)(ge)人(ren)信(xin)(xin)息(xi)的(de)處理，同(tong)時也保護了個(ge)(ge)人(ren)信(xin)(xin)息(xi)與個(ge)(ge)人(ren)的(de)對(dui)應關系，避免對(dui)個(ge)(ge)人(ren)產生不利影響(xiang)。

采用(yong)數據(ju)去(qu)(qu)標識(shi)化技術(shu)既可以處理數據(ju)，又(you)實現個(ge)人信息保(bao)(bao)護。去(qu)(qu)標識(shi)化的(de)數據(ju)處理，由(you)于(yu)滿足個(ge)人信息的(de)保(bao)(bao)護要求，因此(ci)在信息處理應用(yong)上場景用(yong)途會(hui)更加廣泛。

舉例：

支(zhi)付(fu)標記化(hua)，實現了支(zhi)付(fu)信(xin)息對交易(yi)平臺的(de)個(ge)人隱(yin)私(si)保(bao)(bao)護(hu)，和交易(yi)信(xin)息對支(zhi)付(fu)平臺的(de)個(ge)人隱(yin)私(si)保(bao)(bao)護(hu)，但是支(zhi)付(fu)結果卻是安全可信(xin)的(de)。

車聯(lian)網假名證書(shu)，實現(xian)了(le)(le)車車協同(tong)、車路(lu)協同(tong)中(zhong)車輛個(ge)人信息的(de)隱私保(bao)護，同(tong)時也保(bao)證了(le)(le)車輛身份的(de)可信性。

數據匿名化

匿名化(hua)，是(shi)指(zhi)個(ge)人信(xin)息(xi)(xi)經過處(chu)理無法識別特定自然人且不能復原的(de)(de)過程。數據匿名化(hua)處(chu)理后，不再屬(shu)于個(ge)人信(xin)息(xi)(xi)，可以(yi)公(gong)開并處(chu)理。因此匿名化(hua)處(chu)理，可以(yi)解(jie)放個(ge)人信(xin)息(xi)(xi)的(de)(de)大量使(shi)用(yong)場景。舉例來說，海量的(de)(de)網(wang)上(shang)購(gou)物(wu)交易(yi)信(xin)息(xi)(xi)，在(zai)非匿名化(hua)的(de)(de)情況下可以(yi)被用(yong)來“用(yong)戶畫像”，從而出現大數據殺(sha)熟等不公(gong)平現象；而匿名化(hua)的(de)(de)網(wang)上(shang)購(gou)物(wu)交易(yi)信(xin)息(xi)(xi)，可以(yi)被交易(yi)平臺用(yong)來統計(ji)分析(xi)改進整(zheng)體交易(yi)服務，但不會(hui)針(zhen)對(dui)個(ge)人出現宰客殺(sha)熟問題(ti)。

《個(ge)(ge)人(ren)信(xin)息保護(hu)法(fa)》中在(zai)第四(si)條規(gui)定了(le)(le)匿名(ming)化之后的信(xin)息不再屬于個(ge)(ge)人(ren)信(xin)息范疇，這一規(gui)定在(zai)規(gui)范個(ge)(ge)人(ren)信(xin)息使用的同時(shi)擴展了(le)(le)個(ge)(ge)人(ren)信(xin)息處(chu)理的方法(fa)，將推動(dong)個(ge)(ge)人(ren)信(xin)息的利用。

匿名(ming)化(hua)(hua)的(de)(de)(de)(de)技(ji)術手(shou)段和去標(biao)識化(hua)(hua)的(de)(de)(de)(de)手(shou)段類似，采用假名(ming)、屏蔽、泛化(hua)(hua)、隨機化(hua)(hua)等方式。匿名(ming)化(hua)(hua)與(yu)去標(biao)識化(hua)(hua)的(de)(de)(de)(de)不同之處在于匿名(ming)化(hua)(hua)要求(qiu)是(shi)不應(ying)從(cong)匿名(ming)數據識別出特定個人(ren)，而去標(biao)識化(hua)(hua)在特定條件下是(shi)可識別個人(ren)的(de)(de)(de)(de)。

防篡改

《個(ge)人信(xin)息(xi)(xi)保(bao)護法》五(wu)十一條還點名(ming)了個(ge)人信(xin)息(xi)(xi)的(de)“篡改”問(wen)(wen)題。個(ge)人信(xin)息(xi)(xi)處(chu)理者需要保(bao)證(zheng)其所處(chu)理的(de)個(ge)人信(xin)息(xi)(xi)保(bao)證(zheng)其完整性(xing)(xing)、真實性(xing)(xing)和不可(ke)否認(ren)性(xing)(xing)。一般(ban)來說，在信(xin)息(xi)(xi)的(de)存儲和傳輸中最容易出現非法篡改的(de)問(wen)(wen)題，需要通過數字指(zhi)紋、數字簽名(ming)等密碼技術來實現。

技術分享：標識化和匿名化的相關密碼技術

傳統數據(ju)加密：通(tong)過數據(ju)加密，實現數據(ju)無法與個(ge)人關聯。
假(jia)名化(hua)：通過不(bu)可(ke)逆的(de)加密(mi)運算(suan)(suan)如(ru)哈希運算(suan)(suan)，或其他密(mi)碼(ma)方案，利用(yong)(yong)個人(ren)信(xin)息(xi)產(chan)生假(jia)名標(biao)識，并用(yong)(yong)假(jia)名標(biao)識代替用(yong)(yong)戶(hu)的(de)唯一(yi)標(biao)識參與信(xin)息(xi)處(chu)理(li)，從而避免用(yong)(yong)戶(hu)個人(ren)信(xin)息(xi)的(de)泄漏。密(mi)碼(ma)技(ji)術(shu)是假(jia)名化(hua)的(de)技(ji)術(shu)基(ji)礎(chu)。金融行業的(de)“支(zhi)付標(biao)記化(hua)”和車聯網中的(de)“假(jia)名證書”都屬于(yu)假(jia)名化(hua)技(ji)術(shu)。
同(tong)態(tai)加密(mi)(mi)(mi)：信(xin)息在密(mi)(mi)(mi)文狀(zhuang)態(tai)下(xia)進(jin)行(xing)(xing)處(chu)(chu)理(li)(li)，處(chu)(chu)理(li)(li)后(hou)的結果被解密(mi)(mi)(mi)為明(ming)文后(hou)正是明(ming)文數(shu)(shu)據(ju)同(tong)樣處(chu)(chu)理(li)(li)后(hou)的對應結果。由于在密(mi)(mi)(mi)文狀(zhuang)態(tai)下(xia)進(jin)行(xing)(xing)數(shu)(shu)據(ju)處(chu)(chu)理(li)(li)，可以實現信(xin)息處(chu)(chu)理(li)(li)過程中的數(shu)(shu)據(ju)保護。在云計算、大(da)數(shu)(shu)據(ju)、區塊鏈等場景非常適(shi)合(he)。同(tong)態(tai)加密(mi)(mi)(mi)正處(chu)(chu)于迅(xun)速發展當中。

安全多方(fang)計(ji)算：基于多方(fang)數據協同(tong)完成計(ji)算，除(chu)計(ji)算結果及其可推導出(chu)的信息之外，不泄露各(ge)方(fang)隱私數據。

數據屏蔽清(qing)洗：刪除(chu)信息(xi)(xi)的直接標識或部分、刪除(chu)信息(xi)(xi)的部分記錄，使通過該信息(xi)(xi)無法識別到(dao)特定(ding)個(ge)人。

數據(ju)泛化(hua)：對數據(ju)集中的(de)記錄進行抽(chou)象概括(kuo)的(de)描述，例如(ru)數值的(de)取整、平均等，使數據(ju)對應多個(ge)記錄，提(ti)升利用數據(ju)識別到個(ge)人的(de)難度。

數(shu)據隨機化：通(tong)過(guo)對(dui)信(xin)(xin)息進行隨機性的修改或置換，隱藏實際的個人信(xin)(xin)息，使無法(fa)通(tong)過(guo)數(shu)據識別到個人。

數(shu)據合成（測試(shi)數(shu)據準(zhun)備）：利用真實數(shu)據，通過隨機(ji)化、抽(chou)樣等產生(sheng)合成數(shu)據，用于(yu)產生(sheng)測試(shi)數(shu)據。

（來源：信安世(shi)紀(ji)）

上一篇：楊元原博士國密課堂 · 第三期 | 商用密碼應用安全性評估：IPSec VPN協議的原理和測評驗證（一）

下一篇：35類商用密碼產品你知道多少？

刚到房间门口就热吻扔衣服,臭氧老化试验箱,做爰视频,性色av网站,床震吃胸膜奶免费视频

《個人信息保護法》下的密碼技術

技術分享：標識化和匿名化的相關密碼技術