5.5 驗證審批

5.5 驗證審批

5.5.1　驗證結果含義

對數據集去標識化后進行驗證，以確保生成的數據集在重標識風險和數據有用性方面都符合預設的目標。在驗證滿足目標過程中，需對去標識化后重標識風險進行評估，計算出實際風險，與預期可接受風險閾值進行比較，若風險超出閾值，需繼續進行調整直到滿足要求。由于重標識技術和重標識攻擊的能力在迅速演變，需要由內部專業人員或權威的外部組織定期展開驗證評估。

5.5.2　驗證個人信息安全

驗證去標識化數據滿足個人信息安全保護要求的方法包括：
a) 檢查生成的數據文件，以確保文件數據或元數據中不包含直接標識符和準標識符；
b) 檢查生成的數據文件，以確保所得數據符合既定重標識風險要求；
c) 評估去標識化軟件及其參數配置；
d) 進行有針對性的入侵者測試，看看是否有具備合格能力的外部人員可以使用公開的數據集執行重標識；
e) 讓團隊利用內部數據進行有針對性的入侵者測試，模擬違規者或敵對內幕人士可能發生的情況。

5.5.3　驗證數據有用性

去標識化降低了數據質量和生成數據集的有用性。因此，需要考慮去標識化后的數據集對于預期的應用仍然有用。

5.5.4　審批去標識化工作

在完成處理標識和驗證結果后，組織管理層應依據數據發布共享用途、重標識風險、數據有用性最低要求等因素，以及驗證結果、去標識化各步驟實施過程中的監控審查記錄等因素，做出是否認可數據去標識化結果的決定。