2019年5月28日網信辦公開的《資料安全管理辦法(徵求意見稿)》中,明確要求對個人資訊的儲存和提供要經過匿名化處理,以切實降低個人資訊可能存在的洩露風險。而資料脫敏技術,是一種實現匿名化處理十分有效的方式。資料脫敏技術的主要目標是按照脫敏規則通過變形、轉換等方式降低資料的敏感程度,在資料的採集、傳輸、使用等環節中最小化敏感資料的暴露。在使用較為嚴格的脫敏規則時即可實現匿名化處理。
在降低資料敏感程度的基礎上,資料脫敏技術會最大程度上的保持脫敏後資料的可用性,使脫敏後的資料依舊能夠滿足關聯分析、機器學習、即時查詢等需求。根據應用場景和實現機制,資料脫敏技術可分為靜態資料脫敏和動態資料脫敏。
在政務領域,由於政務資訊來源於各政府部門的第一手資料,必然涉及到大量個人資訊。為保障政務平臺安全,嚴防敏感資料洩露,政務領域中資料脫敏技術被應用於敏感資料採集、傳輸、使用在內的全生命週期。
在金融、電信領域,廣泛存在著諸如交易記錄、通話記錄、賬戶資訊、手機號碼等個人敏感資訊,也存在著諸如徵信、反欺詐等需要使用個人敏感資訊的需求,同時還面臨著嚴格的監管要求。在此情況下,通過針對不同級別人員使用不同脫敏規則,以動態脫敏嚴格限制各級人員可以接觸到的敏感資訊,以靜態脫敏將生產資料交付至測試、開發等使用環節,成為當下金融、電信行業的首選。
在網際網路領域,越來越多的企業通過挖掘資料的額外價值實現業務收入提升。近年來頻發的資料洩露事件和針對網際網路企業使用使用者隱私資料的處罰不斷提醒著相關企業重視使用者敏感資料的保護。目前大型網際網路企業在使用使用者敏感資料進行使用者行為分析、個性化推薦、精準營銷等分析應用時,資料脫敏成為了必經步驟。
資料脫敏技術的供給側,主要包括三類企業。第一類是資訊保安服務商,這類企業從提供完整資料安全體系的角度出發,將資料脫敏作為其中關鍵一環提供給客戶,一般主要服務於金融、電信等行業;第二類是滿足自身需求的自研企業,主要包括運營商、通訊服務商、大型網際網路企業等,這類企業從自身資料脫敏需求出發,量身定製適合自己的資料脫敏工具;第三類是通用資料脫敏工具開發商,這類企業瞄準資料脫敏技術的應用前景,致力於開發出滿足市場需求的資料脫敏工具,產品可能會直接向企業出售,也可能同安全服務商合作,納入到資料安全解決方案中一同提供給客戶。
目前資料脫敏需求仍在增加,市面上的產品也層出不窮,但實際上供需雙方的對接並不順暢。企業出現資料脫敏需求時,需要考慮如何保證脫敏過程安全、脫敏程度是否達到要求等一系列問題,無法直接選取合適的產品,這實際上是由於時下資料脫敏市場缺乏針對產品本身的標準。一個符合規範標準的資料脫敏產品能夠打消需求方的眾多疑慮,因此資料脫敏工具的標準化以及評估評測工作十分值得關注。目前,中國信通院已聯合行業多家企業就通用資料脫敏工具制定了相應標準,後續也將陸續開展產品評測及其他相關標準制定工作。
來自: