从数据分级到脱敏加密：互联网企业安全信息治理实践

概览

面向互联网企业，系统梳理跨法域安全信息分类、个人信息保护、敏感数据控制、脱敏、去标识化、匿名化、加密、密钥管理与全生命周期治理。

摘要

安全信息等级分类是数据安全治理、个人信息保护和组织信息资产管理的基础制度。不同国家和地区采用的分类体系并不完全一致，但均围绕信息泄露、篡改、损毁、非法获取、非法使用、非法披露对国家安全、公共利益、组织权益和个人权益造成的影响程度展开。本文依据中国、欧盟、美国、英国、新加坡、日本、澳大利亚和加拿大的公开官方法规、政策与技术标准，对企业信息、个人信息、敏感个人信息、重要数据、核心数据、政府涉密或受保护信息的分类方式进行归纳，并从掩码、替换、随机化、哈希、加密、去标识化和匿名化等技术控制角度分析不同等级信息在互联网企业中的处理方式。研究表明，多数法域并不以法规形式规定“某字段必须使用某一种脱敏算法”，而是以风险适当、目的限制、最小必要、安全保障、去标识化、匿名化、加密和密钥管理等要求规定控制目标。互联网企业在实施分级保护时，应以数据分类分级为前提，将数据采集、存储、传输、使用、加工、共享、导出、日志、测试、备份和销毁纳入统一控制链路。

关键词

安全信息等级；数据分类分级；个人信息保护；敏感个人信息；脱敏；去标识化；匿名化；加密；互联网企业

1 引言

安全信息等级分类的对象包括企业经营信息、组织内部信息、个人信息、敏感个人信息、行业监管数据、国家安全相关数据以及政府或公共部门受保护信息。中国《数据安全法》将数据定义为任何以电子或者其他方式对信息的记录，并将数据处理活动界定为收集、存储、使用、加工、传输、提供、公开等活动。[1] 因此，安全信息等级分类并非只针对数据库字段，也覆盖数据生命周期中的业务文档、接口数据、日志、模型训练数据、备份数据、导出文件和第三方共享数据。

各法域的制度差异主要体现在两个维度。第一是信息资产维度，即按照泄露、篡改或不可用所造成的国家安全、公共利益、组织运行或个人权益影响程度划分等级。第二是个人信息维度，即区分一般个人信息、敏感个人信息、特殊类别个人数据、受保护健康信息、匿名化信息、假名化信息或去标识化信息。前者更接近安全等级保护和保密管理逻辑，后者更接近隐私保护和数据处理合法性逻辑。

本文采用公开官方文件分析方法，依据各国和地区官方法规、监管指南及标准文件，梳理安全信息等级分类，并对互联网企业在不同等级数据处理中的技术控制方式作事实性归纳。

2 各主要法域的安全信息等级分类

2.1 中国：核心数据、重要数据、一般数据与个人信息分类

中国的数据安全分类体系同时包含数据安全等级、个人信息分类和国家秘密制度。按照《数据安全法》，国家建立数据分类分级保护制度，并对关系国家安全、国民经济命脉、重要民生、重大公共利益等数据实行更加严格的管理制度。[1] 国家标准 GB/T 43697—2024《数据安全技术 数据分类分级规则》将数据从高到低划分为核心数据、重要数据和一般数据。其分级依据包括数据在经济社会发展中的重要程度，以及数据遭到泄露、篡改、损毁、非法获取、非法使用、非法共享后对国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益造成的危害程度。[2]

在个人信息维度，《个人信息保护法》将个人信息界定为以电子或者其他方式记录的与已识别或者可识别自然人有关的各种信息，并将敏感个人信息界定为一旦泄露或者非法使用，容易导致自然人人格尊严受到侵害或者人身、财产安全受到危害的个人信息。敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。[3] GB/T 35273—2020《信息安全技术 个人信息安全规范》进一步要求，收集个人信息后宜立即进行去标识化处理；传输和存储个人敏感信息时，应采用加密等安全措施；存储个人生物识别信息时，应采用技术措施处理后再进行存储，例如仅存储摘要信息。[4]

由此，中国体系中至少存在四类并行对象：国家秘密及相关涉密信息、核心数据、重要数据、一般数据，以及个人信息和敏感个人信息。互联网企业通常面对的是一般数据、重要数据、个人信息、敏感个人信息；在特定行业、特定规模或特定精度数据场景下，也可能涉及重要数据或核心数据识别。

2.2 欧盟：个人数据、特殊类别个人数据与欧盟机密信息

欧盟 GDPR 将个人数据定义为与已识别或可识别自然人相关的任何信息，并将假名化定义为在不使用额外信息的情况下无法再归属于特定数据主体的处理方式，但该额外信息应单独保存并受技术和组织措施保护。[5] GDPR 第 9 条规定了特殊类别个人数据，包括揭示种族或民族出身、政治观点、宗教或哲学信仰、工会会员身份的数据，以及遗传数据、生物识别数据、健康数据、性生活或性取向数据等。[6] GDPR 第 32 条将假名化和加密列为可用于保障处理安全的技术和组织措施之一，并要求控制者和处理者根据技术水平、实施成本、处理性质、范围、背景、目的以及对自然人权利和自由的风险，采取与风险相适应的安全措施。[7]

欧盟在政府和机构机密信息层面另有 EUCI 分类制度，分为 TRÈS SECRET UE/EU TOP SECRET、SECRET UE/EU SECRET、CONFIDENTIEL UE/EU CONFIDENTIAL、RESTREINT UE/EU RESTRICTED 四级，依据未经授权披露对欧盟或成员国基本利益造成的损害程度划分。[8]

因此，欧盟体系中个人数据保护与机密信息保护是两个不同但可并行适用的分类体系。互联网企业处理欧盟个人数据时，核心分类依据是普通个人数据、特殊类别个人数据、刑事定罪和犯罪相关数据、假名化数据与匿名化数据，而不是 EUCI 机密等级。

2.3 美国：FIPS 199 影响等级、PII、PHI 与密码模块要求

美国联邦信息系统分类采用 FIPS 199。该标准按照保密性、完整性、可用性三个安全目标，对联邦信息和信息系统的潜在影响划分为 LOW、MODERATE、HIGH。信息系统总体安全类别取决于各安全目标影响值的组合。[9] 对个人身份信息，NIST SP 800-122 提供了识别 PII 并确定适当保护等级的上下文方法，要求保护 PII 免遭不当访问、使用和披露。[10]

在健康信息场景下，美国 HHS 关于 HIPAA 的去标识化指南规定，受保护健康信息可通过专家判定或安全港方法实现去标识化。[11] HIPAA Security Rule 面向电子受保护健康信息，要求实施行政、物理和技术保障措施，以保护其保密性、完整性和可用性。[12] 在密码技术方面，FIPS 140-3 规定了联邦部门及其承包方使用密码模块时的安全要求，并包含四个递增的密码模块安全等级；NIST SP 800-57 提供密钥管理指南。[13]

美国体系体现为“影响等级 + 数据类别 + 行业规则 + 密码标准”的组合：联邦信息系统按 LOW/MODERATE/HIGH 分类，PII 按上下文风险确定保护水平，PHI 按 HIPAA 规则处理，密码能力按 FIPS 和 NIST 标准实施。

2.4 英国：OFFICIAL、SECRET、TOP SECRET

英国 Government Security Classifications Policy 使用 OFFICIAL、SECRET、TOP SECRET 三个分类等级。该制度明确，三个等级的保护控制和基线行为应与信息泄露、意外丢失或错误披露的潜在影响以及威胁主体关注程度相匹配。OFFICIAL-SENSITIVE 是 OFFICIAL 信息的处理标记，不是新的分类等级。[14]

英国体系主要适用于政府信息和承包商处理政府信息的场景。互联网企业如果作为政府供应商或处理英国政府信息，应按照合同、安全分类标记和处理要求执行；如果处理英国个人数据，则通常适用 UK GDPR 和英国数据保护制度。

2.5 新加坡：个人数据与匿名化处理

新加坡 PDPA 规制组织对个人数据的收集、使用和披露，并承认保护个人数据与组织合法收集、使用或披露个人数据之间的平衡。[15] 新加坡 PDPC 的匿名化指南说明，匿名化和去标识化可用于降低个人数据使用和共享中的重识别风险，并特别指出在外部共享数据时应尽可能采用匿名化实践；在内部共享中，如处理目的不需要识别个人，也可采用匿名化。[16]

新加坡 PDPA 本身没有像 GDPR 第 9 条那样列举“特殊类别个人数据”的统一法定清单。其官方指南的控制重点在于合理安全安排、匿名化、去标识化、重识别风险评估和组织责任。

2.6 日本：个人信息、需特别关照个人信息、匿名加工信息与假名加工信息

日本 APPI 规定了个人信息保护的基本制度，并由个人信息保护委员会负责监督。日本制度中存在个人信息、个人数据、保有个人数据、需特别关照个人信息、匿名加工信息和假名加工信息等概念。匿名加工信息强调经处理后无法识别特定个人，假名加工信息强调不与其他信息对照即无法识别特定个人。该分类使企业在数据利用、第三方提供和内部分析场景中可以依据数据是否仍能识别个人、是否需要复原识别、是否用于统计或分析目的而采用不同处理方式。[17]

2.7 澳大利亚：政府信息安全分类与个人信息安全义务

澳大利亚政府保护性安全政策框架中，安全分类包括 Official: Sensitive、Protected、Secret、Top Secret；Official 和 Unofficial 不是安全分类。安全分类信息需要保护性标记，信息元数据也应标记。[18] 在个人信息保护方面，澳大利亚 Privacy Act 1988 及 Australian Privacy Principles 适用于部分政府机构和私营组织。OAIC 关于 APP 11 的指南要求 APP 实体采取合理步骤保护其持有的个人信息，防止误用、干扰、丢失以及未经授权的访问、修改或披露；当个人信息不再需要时，应采取合理步骤销毁或去标识化，除非法律另有要求。[19]

澳大利亚体系同样区分政府信息资产分类和个人信息保护义务。互联网企业处理个人信息时，控制重点是合理安全措施、保留期限、销毁、去标识化和泄露风险控制。

2.8 加拿大：Protected A/B/C 与 Classified 信息

加拿大政府安全制度区分 Protected information/assets 与 Classified information/assets。Protected 信息适用于泄露后可能损害非国家利益的信息，例如个人、组织或政府利益；其等级包括 Protected A、Protected B、Protected C。Classified 信息适用于泄露后可能损害国家利益、国防以及加拿大社会、政治和经济稳定的信息；其等级包括 Confidential、Secret、Top Secret。[20] 在个人信息方面，PIPEDA 适用于加拿大私营部门组织在商业活动中收集、使用或披露个人信息的场景；加拿大隐私专员办公室指出，健康、金融、种族或民族来源、政治观点、遗传数据、生物识别数据、性生活或性取向、宗教或哲学信仰等通常会被视为敏感信息并需要更高保护程度。[21]

加拿大体系对个人和组织利益损害使用 Protected A/B/C，对国家利益损害使用 Classified 层级，二者共同构成安全信息分类框架。

3 跨法域安全信息等级的对应关系

不同法域的等级名称不能直接互换。核心原因是分类依据不同：有的依据国家安全损害程度，有的依据组织或个人权益影响，有的依据个人识别性和敏感性，有的依据系统保密性、完整性、可用性影响。因此，跨法域比较只能形成功能性对应，而不能形成法律上的等价替代。

从互联网企业的数据治理角度，可以将安全信息分为五类：

第一类是公开信息，包括已依法公开的公告、公开产品文档、公开营销材料、公开接口说明、公开统计数据等。该类信息通常不需要脱敏，但需要完整性保护、来源控制和版本管理。

第二类是内部一般信息，包括普通内部文档、一般运营数据、一般系统配置、非敏感业务指标、普通企业流程信息。该类信息通常不对公众开放，但泄露后的影响主要限于组织内部管理、商业竞争或一般声誉风险。

第三类是受限企业信息和普通个人信息，包括客户资料、员工资料、订单信息、联系方式、一般账户信息、普通日志中可识别用户的信息、一般业务策略、未公开合同内容、供应商信息等。该类信息在多个法域中会触发个人信息保护、合同保密或商业秘密保护义务。

第四类是高敏感信息，包括敏感个人信息、特殊类别个人数据、受保护健康信息、金融账户、支付信息、精确位置轨迹、生物识别数据、未成年人信息、认证凭证、密钥、令牌、重要业务风控策略、核心算法参数、批量用户数据和高价值商业数据。该类信息通常需要严格访问控制、加密、密钥管理、审计、去标识化或匿名化处理。

第五类是国家安全、公共利益或行业关键数据，包括中国语境下的核心数据、重要数据，政府涉密信息，英国、欧盟、澳大利亚、加拿大等制度下的 SECRET/TOP SECRET 或 Classified 信息，以及美国 FIPS HIGH 影响信息系统中的高影响数据。该类信息一般不应进入普通互联网企业的通用数据处理链路；如企业因政企合作、行业监管、关键基础设施、公共服务或跨境业务而处理此类信息，应按照国家或行业主管部门、合同、等保、密码应用、供应链安全和数据出境等要求建立专门控制域。

4 不同信息等级下的脱敏与加密方式

4.1 脱敏方式的功能边界

掩码、替换、随机化、哈希和加密属于不同性质的技术措施。

掩码通常用于展示层、报表层、客服后台、日志展示和低权限查询场景。其功能是隐藏部分字符，例如手机号显示前三后四、身份证号显示前几位和后几位、邮箱隐藏局部字符。掩码不等于源数据保护；如果数据库仍保存明文，掩码只降低展示和误披露风险，不降低数据库被拖取后的明文泄露风险。

替换通常用于测试数据、演示数据、研发排障数据和外发样本数据。其功能是用同类型但非真实的值替代真实值，例如将真实姓名替换为虚构姓名，将真实地址替换为虚构地址。如果替换映射表被保留，则仍可能构成可复原的假名化或可逆脱敏；如果映射表被销毁且不存在其他重识别路径，则更接近匿名化或不可逆去标识化。

随机化通常用于统计分析、模型训练、测试环境和非精确分析场景。其功能是通过扰动、泛化、分桶、采样、噪声注入等方式降低单个自然人或单个组织被识别的概率。随机化适用于不需要精确还原原始值的场景，但会改变数据分布或字段真实性，因此不适用于账务、交易、风控判责、实名核验等需要原始值的业务链路。

哈希通常用于不可逆校验、去重、关联匹配和认证秘密存储。普通哈希对低熵数据存在字典攻击风险，例如手机号、身份证号、邮箱等可枚举字段不宜仅使用无盐普通哈希。用于关联匹配时，应使用带密钥的哈希或令牌化机制，并将密钥与数据分离管理。用于密码等认证秘密时，应使用加盐、带成本因子的密码哈希方案，而不是可逆加密存储。

加密是可逆保护措施，适用于业务必须恢复明文的场景，例如支付、实名、风控、客服核验、合规留存、审计调查和用户权利响应。加密保护的核心不只是算法，还包括密钥生命周期、密钥访问权限、密钥轮换、密钥托管、硬件安全模块或密钥管理系统、解密审计、最小化解密和异常解密告警。

4.2 分级脱敏与加密矩阵

公开信息通常不需要掩码、替换、随机化、哈希或加密保护，但需要完整性校验、发布审批、版本控制和防篡改措施。

内部一般信息在非生产环境、低权限展示和跨团队共享时可使用掩码或替换。涉及企业经营秘密、未公开合同、供应商报价、内部策略和系统配置时，应使用访问控制、传输加密和存储加密。系统密钥、API Token、数据库密码、证书私钥不属于普通内部信息，应按高敏感信息处理。

普通个人信息在展示、日志、客服后台、运营后台和导出文件中应采用掩码或字段级最小化。用于测试和研发环境时，应采用替换、随机化或匿名化数据。用于用户去重、黑名单匹配、跨系统关联时，可使用带密钥哈希或令牌化。用于业务原始处理且需要还原明文时，应采用传输加密和存储加密，并限制解密权限。

敏感个人信息、特殊类别个人数据、PHI、金融账户、精确位置、生物识别、未成年人信息、证件影像等高敏感信息，应优先采用加密存储、加密传输、字段级访问控制、单独授权、操作审计和解密审批。展示层应采用强掩码或完全隐藏；日志中应默认禁止输出明文；测试、分析和共享场景应采用替换、泛化、随机化、匿名化或不可逆去标识化。生物识别信息不宜直接存储原始图像或原始特征，应存储经技术处理后的模板、摘要或不可逆结果，并配套加密和访问控制。

认证凭证、密码、私钥、令牌、会话 Cookie、刷新 Token、短信验证码、一次性口令等安全秘密，不应以可逆明文方式存储。密码应采用加盐、带成本因子的密码哈希方案。API Token、刷新 Token、私钥和证书应进入密钥或秘密管理系统，业务数据库中不应以普通字段保存可直接使用的明文秘密。

重要数据、核心数据、国家安全相关信息、政府 SECRET/TOP SECRET 或 Classified 信息，应优先采用隔离域、专用网络、专用终端、专门授权、专门审计、强加密、介质管控、访问审批和全生命周期追踪。此类数据的脱敏不能替代主管部门、合同或国家安全制度要求；如果用于统计、测试、模型训练或外部共享，应先完成数据分类分级、影响评估、审批和必要的匿名化或去标识化处理。

5 互联网企业处理不同等级加密信息的操作路径

5.1 数据资产识别与标签化

互联网企业处理安全信息的第一步是建立数据资产目录。数据资产目录应覆盖结构化数据库、数据仓库、对象存储、缓存、搜索索引、日志系统、消息队列、备份、离线文件、模型训练集、报表平台和第三方数据接口。每个数据对象应至少记录数据来源、业务系统、数据主体、字段含义、个人信息属性、敏感属性、是否涉及重要数据或核心数据、存储位置、使用目的、保留期限、共享对象、出境属性和责任人。

标签化是分级控制落地的基础。字段级标签可包括公开、内部、个人信息、敏感个人信息、认证秘密、金融信息、健康信息、位置轨迹、未成年人信息、企业秘密、重要数据、核心数据等。对象级标签可包括表、文件、Topic、索引、API、报表、模型数据集和备份集。数据标签应进入权限、审计、脱敏、导出、加密和告警策略，而不是只停留在文档台账中。

5.2 采集阶段的最小必要控制

采集阶段应按照业务目的限定字段范围。普通个人信息采集应与业务功能直接相关；敏感个人信息采集应具有特定目的和充分必要性，并采用单独同意或其他法定处理基础。对生物识别、金融账户、精确位置、未成年人信息等高敏感数据，采集前应完成影响评估、告知、授权、存储方案、访问范围和留存期限确认。

企业内部数据采集也应进行范围限定。日志系统、埋点系统、链路追踪系统和错误上报系统不应默认采集身份证号、银行卡号、密码、Token、Cookie、原始请求体中的敏感字段。无法避免采集时，应在采集端或入湖前完成掩码、截断、哈希、令牌化或加密。

5.3 存储阶段的分层加密

存储阶段应区分基础设施层加密、数据库透明加密、字段级加密和应用层加密。公开数据和内部一般数据可使用磁盘加密、对象存储加密和传输加密作为基础控制。普通个人信息宜使用数据库访问控制、备份加密和传输加密；涉及高频展示的字段可采用字段级掩码策略。敏感个人信息、高敏感企业信息和认证秘密应采用字段级加密、应用层加密或令牌化，并将密钥与数据分离。

密钥管理应独立于业务数据库。密钥生成、分发、存储、使用、轮换、吊销和销毁应由密钥管理系统或硬件安全模块控制。业务应用只应获得最小化解密能力。生产运维人员不应通过数据库直连获得批量解密能力。密钥访问日志应独立留存，且与数据访问日志能够关联审计。

5.4 使用阶段的动态脱敏与最小化解密

使用阶段应按照角色、场景和目的进行动态脱敏。客服人员查询用户手机号时，可显示部分号码；风控系统进行模型计算时，可使用令牌化或加密特征；账务系统进行清结算时，可在受控流程中解密必要字段；研发排障时，应默认使用脱敏日志和脱敏样本，而不是生产明文数据。

最小化解密是高敏感数据使用阶段的核心控制。解密行为应满足业务必要性、授权身份、访问范围、时间窗口和审计要求。批量解密、跨库关联解密、导出后解密、离线明文分析、截图传播和复制到本地文件均属于高风险操作，应纳入审批、二次认证、水印、行为审计和异常告警。

5.5 加工、分析与模型训练阶段的去标识化

数据加工、分析和模型训练通常不需要直接识别自然人。此类场景应优先使用去标识化、匿名化、泛化、随机化、聚合或差分隐私等方式降低重识别风险。若模型训练需要稳定用户关联，可使用带密钥哈希或令牌化 ID；若训练任务不需要用户级追踪，应删除直接标识符并降低准标识符粒度，例如年龄分段、地区泛化、时间窗口聚合。

匿名化不是一次性字段删除操作。对于位置轨迹、设备指纹、行为序列、医疗记录、少数群体特征和长文本内容，即使删除姓名、手机号、身份证号，也可能通过组合特征重识别个人。因此，匿名化应包括重识别风险评估、攻击者能力假设、准标识符处理、输出数据可用性评估和剩余风险记录。

5.6 共享、导出与第三方处理

共享和导出是数据泄露风险集中环节。普通个人信息导出应进行字段最小化、掩码、水印、审批、下载次数限制、有效期限制和操作日志记录。敏感个人信息、高敏感企业信息和批量用户数据导出前应进行风险评估、二次审批、多因素认证、数据接收方校验、传输加密和到期销毁要求。测试、外包、供应商分析和跨部门共享场景应默认使用脱敏数据，不应直接提供生产明文数据。

对第三方处理者，应通过合同、数据处理协议、接口权限、审计权、删除义务、再委托限制、安全事件通知和跨境传输条件进行约束。共享后的数据仍需要可追踪性，尤其是高敏感数据和重要数据，应保留数据集版本、字段清单、接收主体、传输时间、传输方式、审批单据和销毁证明。

5.7 日志、监控与应急响应

日志系统不应成为敏感数据的旁路副本。应用日志、访问日志、网关日志、错误堆栈、审计日志、消息失败重试日志、链路追踪标签和 BI 查询日志均可能记录个人信息或安全秘密。互联网企业应在 SDK、网关、日志采集 Agent、消息中间件和数据入湖层设置敏感字段识别、脱敏和拦截规则。

应急响应中应按照数据等级确定处置优先级。普通内部信息泄露主要触发组织内部调查和访问控制修复；个人信息泄露可能触发通知、报告和用户权益保护；敏感个人信息、认证凭证、金融信息、健康信息、未成年人信息泄露通常需要更高等级响应；重要数据、核心数据或政府分类信息泄露可能触发行业主管、国家安全、网络安全和合同责任流程。

5.8 销毁、匿名化与留存期限

当个人信息超过实现处理目的所必需的期限，或业务不再需要时，应删除或匿名化处理。备份、归档、搜索索引、缓存、对象存储副本、离线宽表、训练样本和第三方副本也应纳入删除或匿名化范围。仅删除主库记录不能视为完成数据销毁。高敏感信息的销毁应留存操作记录；密钥销毁可使密文不可恢复，但仍应结合介质销毁、备份过期和索引清理完成闭环。

6 结论

各主要法域对安全信息等级的分类并不采用统一名称，但均以影响程度、识别性、敏感性、处理目的和风险相称性为核心依据。中国形成了核心数据、重要数据、一般数据与个人信息、敏感个人信息并行的分类体系；欧盟以 GDPR 的个人数据、特殊类别个人数据、假名化和加密要求为基础，并另有 EUCI 机密信息体系；美国以 FIPS 199 的 LOW/MODERATE/HIGH 影响等级、NIST PII 指南、HIPAA PHI 规则和密码标准形成组合式保护框架；英国、澳大利亚、加拿大则分别在政府信息分类中使用 OFFICIAL/SECRET/TOP SECRET、Official: Sensitive/Protected/Secret/Top Secret、Protected A/B/C 与 Classified 层级；新加坡和日本则在个人数据、匿名化、去标识化、假名化或匿名加工信息方面形成制度要求。

脱敏和加密不是同一类控制措施。掩码主要降低展示风险，替换和随机化主要服务测试、分析和共享，哈希主要服务不可逆校验、关联匹配和认证秘密保护，加密主要服务业务需要还原明文时的机密性保护。互联网企业应以数据分类分级为入口，将脱敏、加密、密钥管理、访问控制、审计、导出审批、日志治理、第三方管理、应急响应和销毁机制纳入统一的数据安全治理体系。对于敏感个人信息、特殊类别个人数据、受保护健康信息、金融账户、生物识别、认证秘密、重要数据和核心数据，单纯掩码不足以满足保护目标，应结合加密、去标识化、匿名化、密钥分离、最小化解密和全链路审计实施控制。

参考文献

[1] 《中华人民共和国数据安全法》。 [2] GB/T 43697—2024《数据安全技术 数据分类分级规则》。 [3] 《中华人民共和国个人信息保护法》。 [4] GB/T 35273—2020《信息安全技术 个人信息安全规范》。 [5] Regulation (EU) 2016/679, Article 4. [6] Regulation (EU) 2016/679, Article 9. [7] Regulation (EU) 2016/679, Article 32. [8] Council of the European Union, Protection of European Union classified information. [9] NIST FIPS 199, Standards for Security Categorization of Federal Information and Information Systems. [10] NIST SP 800-122, Guide to Protecting the Confidentiality of Personally Identifiable Information. [11] U.S. HHS, Guidance Regarding Methods for De-identification of Protected Health Information. [12] U.S. HHS, Summary of the HIPAA Security Rule. [13] NIST FIPS 140-3; NIST SP 800-57. [14] UK Government Security Classifications Policy. [15] Singapore Personal Data Protection Act 2012 and PDPC materials. [16] Singapore PDPC, Guide to Basic Anonymisation and Advisory Guidelines. [17] Japan Act on the Protection of Personal Information and PPC materials. [18] Australian Government Protective Security Policy Framework and Style Manual. [19] OAIC, Australian Privacy Principles and APP 11 guidance. [20] Government of Canada, Levels of security and security categorization materials. [21] Office of the Privacy Commissioner of Canada, PIPEDA and sensitive information guidance.