2024可信數(shù)據(jù)服務(wù)多方數(shù)據(jù)價值挖掘體系框架

可信數(shù)據(jù)服務(wù)多方數(shù)據(jù)價值挖掘體系框架目??次1范圍 12規(guī)范性引用文件 13術(shù)語和定義 14可信體系框架 24.1可信基本原則 24.2多方數(shù)據(jù)價值挖掘的典型需求和可應(yīng)用場景 34.3多方數(shù)據(jù)價值挖掘可信體系的基本架構(gòu)特點 34.4可挖掘數(shù)據(jù)范圍 34.5確保多方數(shù)據(jù)價值挖掘可信的關(guān)鍵技術(shù)能力 45可信體系建設(shè)的基本要求 55.1多方數(shù)據(jù)價值挖掘區(qū)域運營者的可信性要求 55.2多方數(shù)據(jù)價值挖掘的申請流程 55.3可挖掘數(shù)據(jù)進(jìn)入挖掘區(qū)域的可信要求 55.4挖掘區(qū)域中的可信要求 55.5挖掘區(qū)域輸出數(shù)據(jù)價值的可信要求 65.6數(shù)據(jù)價值使用的可信要求 66可信體系保障的要求 66.1組織人員保障 66.2管理與培訓(xùn)要求 66.3多方數(shù)據(jù)價值挖掘活動記錄 76.4可信體系審計 7可信數(shù)據(jù)服務(wù)多方數(shù)據(jù)價值挖掘體系框架范圍本標(biāo)準(zhǔn)確立了網(wǎng)絡(luò)運營者針對多方數(shù)據(jù)價值挖掘的可信體系建設(shè)框架，給出了讓多方數(shù)據(jù)價值挖掘達(dá)到可信程度的基本要求。本標(biāo)準(zhǔn)適用于網(wǎng)絡(luò)運營者，為其開展多方數(shù)據(jù)價值挖掘工作提供參考和指引。規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本標(biāo)準(zhǔn)必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本標(biāo)準(zhǔn)；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本標(biāo)準(zhǔn)。GB/T29828-2013《信息安全技術(shù)可信計算規(guī)范可信連接架構(gòu)》GB/T30847.1-2014《系統(tǒng)與軟件工程可信計算平臺可信性度量第1部分概述與詞匯》GB/T35273《信息安全技術(shù)個人信息安全規(guī)范》GB/T37964-2019《信息安全技術(shù)個人信息去標(biāo)識化指南》術(shù)語和定義下列術(shù)語和定義適用于本標(biāo)準(zhǔn)。網(wǎng)絡(luò)運營者networkoperators網(wǎng)絡(luò)的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者?？尚舤rust信任者對于被信任者關(guān)于能否在沒有直接管控的情況下履行承諾的一種認(rèn)知?？尚判詔rustworthiness被信任者的一種內(nèi)在的、動態(tài)的屬性，由被信任者所展示的履行承諾的能力和基于監(jiān)督證據(jù)持續(xù)改進(jìn)的能力所反映。可信計算平臺trustcomputingplatform具有可信保證機制的計算平臺。可信第三方trustedthirdparty一個安全的權(quán)威方，它為其他安全相關(guān)實體所信任。注:本標(biāo)準(zhǔn)中的可信第三方是指多方數(shù)據(jù)價值挖掘區(qū)域的運營者，不能由為多方數(shù)據(jù)價值挖掘提供數(shù)據(jù)的網(wǎng)絡(luò)運營者擔(dān)任，不能為本標(biāo)準(zhǔn)以外的目的使用挖掘區(qū)域中的數(shù)據(jù)和數(shù)據(jù)價值。原始數(shù)據(jù)由不同網(wǎng)絡(luò)運營者合法控制的數(shù)據(jù)，通常基于其業(yè)務(wù)、職能或提供的服務(wù)所收集、產(chǎn)生。數(shù)據(jù)價值本標(biāo)準(zhǔn)中的數(shù)據(jù)價值特指無法反推出原始數(shù)據(jù)或個人信息的挖掘結(jié)果。具體類型包括但不局限于：聚合統(tǒng)計結(jié)果；探查、分析、預(yù)測、決策結(jié)論；可運算的加密數(shù)據(jù)；算法模型；策略化建議；無法識別個人的特征標(biāo)簽；經(jīng)過混淆的不精準(zhǔn)數(shù)據(jù)等。數(shù)據(jù)價值挖掘在對原始數(shù)據(jù)進(jìn)行包括去標(biāo)識化等處理的基礎(chǔ)上，對數(shù)據(jù)進(jìn)行加工、分析、建模、聚合等處理，挖掘數(shù)據(jù)背后隱藏的價值，以用于分析、決策、預(yù)測等應(yīng)用場景。個人信息personalinformation以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。個人信息主體personalinformationsubject個人信息所標(biāo)識或者關(guān)聯(lián)的自然人。去標(biāo)識化de-identification通過對個人信息的技術(shù)處理，使其在不借助額外信息的情況下，無法識別或者關(guān)聯(lián)個人信息主體的過程。注:去標(biāo)識化建立在個體基礎(chǔ)之上，保留了個體顆粒度，采用假名、加密、哈希函數(shù)等技術(shù)手段替代對個人信息的標(biāo)識?？尚朋w系框架本標(biāo)準(zhǔn)給出了針對多方數(shù)據(jù)價值挖掘，建設(shè)可信體系的基本框架，其中包括:針對可挖掘數(shù)據(jù)的預(yù)處理、可信挖掘區(qū)域建設(shè)、數(shù)據(jù)進(jìn)入挖掘區(qū)域、數(shù)據(jù)挖掘?qū)嵤?、?shù)據(jù)價值輸出、數(shù)據(jù)價值使用、可信體系保障等?？尚呕驹瓌t可信基本原則包括：數(shù)據(jù)價值打通而原始數(shù)據(jù)不打通、保護(hù)數(shù)據(jù)主體權(quán)益不受侵害、保護(hù)數(shù)據(jù)控制者正當(dāng)利益不受侵害、確保數(shù)據(jù)挖掘區(qū)域運營者獨立性和可信性、不得濫用數(shù)據(jù)價值、全鏈路可審計追溯。多方數(shù)據(jù)價值挖掘的典型需求和可應(yīng)用場景典型需求包括：聚合統(tǒng)計、決策分析、數(shù)據(jù)探查、數(shù)據(jù)資產(chǎn)建設(shè)、模型訓(xùn)練及模型預(yù)測、提供策略化建議以及其他無法精準(zhǔn)反推出原始數(shù)據(jù)的數(shù)據(jù)價值輸出場景。上述需求可能出現(xiàn)在政府?dāng)?shù)據(jù)開放、學(xué)術(shù)科研數(shù)據(jù)分析、商業(yè)數(shù)據(jù)應(yīng)用等常見的數(shù)據(jù)應(yīng)用場景中。多方數(shù)據(jù)價值挖掘可信體系的基本架構(gòu)特點多方數(shù)據(jù)價值挖掘可信體系的基本架構(gòu)特點為：數(shù)據(jù)寬進(jìn)嚴(yán)出，充分挖掘，最小使用；價值挖掘中間層資產(chǎn)可沉淀復(fù)用；數(shù)據(jù)鏈路可追溯，行為可審計，風(fēng)險可管理；多方數(shù)據(jù)價值挖掘區(qū)域為可信計算平臺；如果原始數(shù)據(jù)中包含個人信息，應(yīng)當(dāng)在進(jìn)入價值挖掘區(qū)域之前做去標(biāo)識化處理，或采用隱私計算技術(shù)（可信執(zhí)行環(huán)境、多方安全計算、同態(tài)加密、功能加密等）對多方數(shù)據(jù)進(jìn)行加密處理?；炯軜?gòu)如下圖所示。圖1多方數(shù)據(jù)價值挖掘體系的基本架構(gòu)可挖掘數(shù)據(jù)范圍原則上網(wǎng)絡(luò)運營者收集、產(chǎn)生的數(shù)據(jù)均可以根據(jù)本標(biāo)準(zhǔn)搭建的可信體系進(jìn)行數(shù)據(jù)價值的挖掘，但以下數(shù)據(jù)除外：——根據(jù)國家法律法規(guī)或者監(jiān)管部門規(guī)定，禁止進(jìn)行多方數(shù)據(jù)價值挖掘的數(shù)據(jù)；——沒有經(jīng)過去標(biāo)識化處理的個人信息；——來源違法或者違反合同義務(wù)約定的數(shù)據(jù)；——個人生物識別信息；——進(jìn)行數(shù)據(jù)價值挖掘后可能對國家安全、社會公共利益以及他人的合法權(quán)益造成危害的數(shù)據(jù)。確保多方數(shù)據(jù)價值挖掘可信的關(guān)鍵技術(shù)能力概述為確保多方數(shù)據(jù)價值挖掘的可信性，可采取以下技術(shù)能力：個人信息去標(biāo)識化、全鏈路列級血緣、未去標(biāo)識化個人信息和個人生物識別信息識別/使用攔截、數(shù)據(jù)真實性驗證、主體打標(biāo)、數(shù)據(jù)分類分級、數(shù)據(jù)安全網(wǎng)關(guān)、全景權(quán)限管控、數(shù)據(jù)流轉(zhuǎn)管控、數(shù)據(jù)訪問風(fēng)控、動態(tài)數(shù)據(jù)脫敏、智能行為審計、隱私計算。個人信息去標(biāo)識化去標(biāo)識化是對直接標(biāo)識符和準(zhǔn)標(biāo)識符進(jìn)行刪除或變換，而且能控制避免被重標(biāo)識的風(fēng)險，最后確保去標(biāo)識化后的數(shù)據(jù)集可用。處理標(biāo)識步驟分為預(yù)處理、選擇模型技術(shù)、實施去標(biāo)識化三個階段。去標(biāo)識化的技術(shù)主要有：加密、加鹽哈希、刪除、K匿名、L多樣性等。數(shù)據(jù)安全網(wǎng)關(guān)數(shù)據(jù)安全網(wǎng)關(guān)技術(shù)能力包括：a)對于網(wǎng)關(guān)賬戶，建立賬戶安全體系，控制賬號接口訪問權(quán)限；b)對于數(shù)據(jù)的訪問，加密記錄數(shù)據(jù)請求日志；c)在網(wǎng)關(guān)穩(wěn)定方面，集群需要可彈性擴容并支持超大并發(fā)；d)在安全方面，支持HTTPS協(xié)議，并提供防DDoS/CC等功能。數(shù)據(jù)真實性驗證數(shù)據(jù)真實性驗證技術(shù)能力包括：a)使用區(qū)塊鏈、數(shù)字簽名、電子存證、可信機構(gòu)的數(shù)據(jù)認(rèn)證等，保證數(shù)據(jù)可驗證；b)通過使用“零知識證明”的密碼學(xué)手段，在各方不泄露信息的情況下，對數(shù)據(jù)真實性進(jìn)行驗證。數(shù)據(jù)安全流轉(zhuǎn)管控詳細(xì)記錄數(shù)據(jù)流轉(zhuǎn)環(huán)節(jié)，分析數(shù)據(jù)流轉(zhuǎn)痕跡，主要使用的辦法：a)對數(shù)據(jù)流轉(zhuǎn)事件采用人工審核、機器審核等多種審核機制b)記錄數(shù)據(jù)流轉(zhuǎn)的詳細(xì)過程，保證數(shù)據(jù)流轉(zhuǎn)行為可追溯c)可以采用文檔加密、數(shù)據(jù)脫敏等手段，保證數(shù)據(jù)的安全流轉(zhuǎn)數(shù)據(jù)訪問風(fēng)控數(shù)據(jù)訪問風(fēng)控技術(shù)能力包括：控制用戶對數(shù)據(jù)資源的訪問；接入WAF，保障數(shù)據(jù)安全；根據(jù)數(shù)據(jù)屬性、用戶及行為，建立模型計算數(shù)據(jù)訪問風(fēng)險級別；進(jìn)行人機操作識別，攔截非法的數(shù)據(jù)訪問請求。動態(tài)數(shù)據(jù)脫敏對時效性要求很高的請求進(jìn)行數(shù)據(jù)脫敏和日志脫敏，主要技術(shù)有：a)數(shù)據(jù)抽樣；b)字符子鏈屏蔽等模糊化處理；c)屏蔽、局部抑制、記錄抑制等抑制技術(shù)；d)噪聲添加、置換、微聚集等隨機化技術(shù)?？尚朋w系建設(shè)的基本要求多方數(shù)據(jù)價值挖掘區(qū)域運營者的可信性要求多方數(shù)據(jù)價值挖掘區(qū)域運營者應(yīng)當(dāng)滿足可信性的要求?？尚判砸缶唧w包括：多方數(shù)據(jù)價值挖掘區(qū)域應(yīng)由可信第三方運營、控制和管理。該可信第三方能夠被為多方數(shù)據(jù)價值挖掘提供數(shù)據(jù)的網(wǎng)絡(luò)運營者所信任，從技術(shù)和管理上可以防止任何為多方數(shù)據(jù)價值挖掘提供數(shù)據(jù)的網(wǎng)絡(luò)運營者訪問、導(dǎo)出挖掘區(qū)域中的數(shù)據(jù)。但符合本標(biāo)準(zhǔn)規(guī)定的數(shù)據(jù)價值輸出除外。多方數(shù)據(jù)價值挖掘區(qū)域運營者應(yīng)與參與多方數(shù)據(jù)價值挖掘的網(wǎng)絡(luò)運營者分別簽署數(shù)據(jù)委托處理協(xié)議。除了基于數(shù)據(jù)委托處理協(xié)議約定，為多個網(wǎng)絡(luò)運營者提供多方數(shù)據(jù)價值挖掘之外，挖掘區(qū)域運營者不從事其他任何業(yè)務(wù)，沒有其他任何數(shù)據(jù)來源，既不會做出任何再識別去標(biāo)識化數(shù)據(jù)的行為，也不會將挖掘區(qū)域內(nèi)的數(shù)據(jù)及數(shù)據(jù)價值用于數(shù)據(jù)委托處理協(xié)議以外的目的。多方數(shù)據(jù)價值挖掘區(qū)域運營者應(yīng)當(dāng)根據(jù)本標(biāo)準(zhǔn)的要求定期接受可信性審計。多方數(shù)據(jù)價值挖掘區(qū)域運營者應(yīng)當(dāng)具備充分的數(shù)據(jù)安全能力，嚴(yán)格按照網(wǎng)絡(luò)安全等級保護(hù)制度等履行安全保護(hù)義務(wù)。多方數(shù)據(jù)價值挖掘的申請流程任何參與多方數(shù)據(jù)價值挖掘的網(wǎng)絡(luò)運營者，應(yīng)針對其每一個數(shù)據(jù)價值挖掘需求向挖掘區(qū)域運營者發(fā)起申請流程。申請中應(yīng)當(dāng)包含以下要素：各方參與挖掘的原始數(shù)據(jù)說明、去標(biāo)識化情況、具體需求場景、挖掘持續(xù)周期、對本標(biāo)準(zhǔn)的遵守情況說明及承諾。挖掘區(qū)域運營者應(yīng)當(dāng)按照本標(biāo)準(zhǔn)要求核實申請后，方可同意進(jìn)行多方數(shù)據(jù)價值挖掘?？赏诰驍?shù)據(jù)進(jìn)入挖掘區(qū)域的可信要求可挖掘數(shù)據(jù)在進(jìn)入挖掘區(qū)域之前，參與多方數(shù)據(jù)價值挖掘的網(wǎng)絡(luò)運營者應(yīng)對原始數(shù)據(jù)進(jìn)行清洗、加工、去標(biāo)識化等預(yù)處理，尤其對其中的個人信息應(yīng)當(dāng)進(jìn)行去標(biāo)識化處理或采用隱私計算技術(shù)（可信執(zhí)行環(huán)境、多方安全計算、同態(tài)加密、功能加密等）對可挖掘數(shù)據(jù)進(jìn)行加密，以確保挖掘區(qū)域運營者無法重新識別或者關(guān)聯(lián)個人信息主體，或者確保挖掘區(qū)域運營者無法將可挖掘數(shù)據(jù)用于價值挖掘以外的目的。針對進(jìn)入挖掘區(qū)域的數(shù)據(jù)，挖掘區(qū)域應(yīng)當(dāng)具備相應(yīng)的技術(shù)和管理能力，確保將不符合本標(biāo)準(zhǔn)4.4款規(guī)定的數(shù)據(jù)識別并攔截在挖掘區(qū)域之外。注：上述去標(biāo)識化處理不影響挖掘區(qū)域運營者利用去標(biāo)識化后新生成的唯一標(biāo)識字段進(jìn)行數(shù)據(jù)表的融合擴列，以確保多方數(shù)據(jù)價值可被進(jìn)一步挖掘。挖掘區(qū)域中的可信要求挖掘區(qū)域中的可信要求包括數(shù)據(jù)流轉(zhuǎn)管控、可信應(yīng)用訪問、數(shù)據(jù)訪問風(fēng)控、用戶行為審計。數(shù)據(jù)流轉(zhuǎn)管控：挖掘區(qū)域應(yīng)基于保護(hù)模式，保證數(shù)據(jù)只進(jìn)不出，嚴(yán)格管控?？尚艖?yīng)用訪問：基于應(yīng)用簽名+用戶簽名雙簽名方式，做到應(yīng)用未經(jīng)挖掘區(qū)域認(rèn)證不可訪問數(shù)據(jù)。數(shù)據(jù)訪問風(fēng)控：基于數(shù)據(jù)安全風(fēng)控能力，進(jìn)行實時風(fēng)控識別，并可對風(fēng)險進(jìn)行實時的動態(tài)脫敏、阻斷等處置。用戶行為審計：在挖掘區(qū)域中對全鏈路上的應(yīng)用行為和數(shù)據(jù)訪問行為進(jìn)行日志采集，一旦發(fā)現(xiàn)數(shù)據(jù)安全風(fēng)險，系統(tǒng)可自動發(fā)起審計，進(jìn)行風(fēng)險追溯和排查。挖掘區(qū)域輸出數(shù)據(jù)價值的可信要求挖掘區(qū)域僅可輸出經(jīng)挖掘后的數(shù)據(jù)價值，不得直接輸出任何未經(jīng)聚合統(tǒng)計、模糊化、策略化或者混淆化處理的數(shù)據(jù)。挖掘區(qū)域輸出的數(shù)據(jù)價值對于接收方而言不得構(gòu)成個人信息，不得危害國家安全、公共利益，不得侵犯他人的合法權(quán)益。數(shù)據(jù)價值使用的可信要求經(jīng)挖掘后產(chǎn)生的數(shù)據(jù)價值，僅可用于基于本標(biāo)準(zhǔn)5.2款申請流程中所聲明的需求使用場景。參與多方數(shù)據(jù)價值挖掘并使用數(shù)據(jù)價值的網(wǎng)絡(luò)運營者，應(yīng)當(dāng)接受針對數(shù)據(jù)價值使用的可信核查或?qū)徲??？尚朋w系保障的要求組織人員保障參與多方數(shù)據(jù)價值挖掘的網(wǎng)絡(luò)運營者和挖掘區(qū)域運營者均應(yīng)當(dāng)配備專門人員負(fù)責(zé)多方數(shù)據(jù)價值挖掘的可信體系保障工作。應(yīng)明確其法定代表人或主要負(fù)責(zé)人對多方數(shù)據(jù)價值挖掘體系的可信性負(fù)全面領(lǐng)導(dǎo)責(zé)任，包括為可信體系提供人力、財力、物力保障等；應(yīng)任命可信體系負(fù)責(zé)人和可信體系工作機構(gòu)，可信體系負(fù)責(zé)人應(yīng)由具有相關(guān)管理工作經(jīng)歷和專業(yè)知識的人員擔(dān)任，有關(guān)多方數(shù)據(jù)價值挖掘的重要決策直接向組織主要負(fù)責(zé)人報告工作；可信體系負(fù)責(zé)人和可信體系工作機構(gòu)的職責(zé)應(yīng)包括但不限于:全面統(tǒng)籌實施多方數(shù)據(jù)價值挖掘的可信體系工作，對多方數(shù)據(jù)價值挖掘的可信性負(fù)直接責(zé)任；組織制定多方數(shù)據(jù)價值挖掘的可信體系工作計劃并督促落實；制定、簽發(fā)、實施、定期更新多方數(shù)據(jù)價值挖掘可信體系相關(guān)政策和相關(guān)規(guī)程；建立、維護(hù)和更新組織已開展的多方數(shù)據(jù)價值挖掘活動記錄和數(shù)據(jù)價值使用情況；開展多方數(shù)據(jù)價值挖掘的可信性評估，提出可信體系建設(shè)的對策建議，督促整改可信隱患；組織開展多方數(shù)據(jù)價值挖掘的可信體系培訓(xùn)；負(fù)責(zé)組織實施內(nèi)部的可信性審計，定期邀請外部機構(gòu)進(jìn)行可信性審計；與監(jiān)督、管理部門保持溝通，通報或報告多方數(shù)據(jù)價值挖掘的相關(guān)情況。應(yīng)為可信體系負(fù)責(zé)人和可信體系工作機構(gòu)提供必要的資源，保障其獨立履行職責(zé)。管理與培訓(xùn)要求參與多方數(shù)據(jù)價值挖掘的網(wǎng)絡(luò)運營者和挖掘區(qū)域運營者均應(yīng)當(dāng)做好相關(guān)管理與培訓(xùn)工作，具體要求為：應(yīng)與從事多方數(shù)據(jù)價值挖掘崗位上的相關(guān)人員簽署保密協(xié)議，對大量接觸數(shù)據(jù)的人員進(jìn)行背景審查，以了解其犯罪記錄、誠信狀況等；應(yīng)明確內(nèi)部涉及多方數(shù)據(jù)價值挖掘不同崗位的可信體系職責(zé)，建立懲戒處分機制；應(yīng)要求多方數(shù)據(jù)價值挖掘崗位上的相關(guān)人員在調(diào)離崗位或終止勞動合同時，繼續(xù)履行保密義務(wù)；應(yīng)定期(至少每年一次)對多方數(shù)據(jù)價值挖掘崗位上的相關(guān)人員開展專業(yè)化培訓(xùn)和考核。多方數(shù)據(jù)價值挖掘活動記錄參與多方數(shù)據(jù)價值挖掘的網(wǎng)絡(luò)運營者和挖掘區(qū)域運營者應(yīng)建立、維護(hù)和更新多方數(shù)據(jù)價值挖掘活動記錄，記錄的內(nèi)容可包括:根據(jù)本標(biāo)準(zhǔn)5.2款提出的多方數(shù)據(jù)價值挖掘申請的具體