《隱私計算 脫敏控制技術(shù)要求（征求意見稿）》

1T/CSACXXXX—XXXX隱私計算脫敏控制技術(shù)要求本文件描述了數(shù)據(jù)泛在流通與共享下，隱私信息全生命周期脫敏控制技術(shù)要求，涵蓋脫敏控制策略生成、控制策略可控傳遞、控制策略迭代調(diào)整、策略執(zhí)行可信驗(yàn)證等要素，規(guī)范了脫敏控制合規(guī)性驗(yàn)證、脫敏控制監(jiān)管接口的技術(shù)要求等。本文件適用于規(guī)范各類組織在個人信息流轉(zhuǎn)下的個人信息脫敏處理活動，也可為主管監(jiān)管機(jī)構(gòu)、第三方評估機(jī)構(gòu)等組織對隱私信息脫敏處理進(jìn)行監(jiān)督、管理、評估提供參考。2規(guī)范性引用文件本文件引述下列文件中的部分內(nèi)容。下列文件中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本指南；不注日期的引用文件，其最新版本適用于本指南。GB/T25069-2022信息安全技術(shù)術(shù)語GB/T35273-2020信息安全技術(shù)個人信息安全規(guī)范GB/T37988-2019信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型3術(shù)語和定義3.1個人信息personalinformation以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包含個人信息本身及其衍生信息，不包括匿名化處理后的信息。[來源：GB/T35273—2020,3.1,有修改]3.2隱私信息所有者privateinformationowner隱私信息所標(biāo)識或者關(guān)聯(lián)的自然人、組織、設(shè)備或程序等實(shí)體。3.3隱私信息處理者privateinformationprocessor對隱私信息進(jìn)行收集、存儲、使用、加工、傳輸、提供、公開、刪除、脫敏、存證與取證等操作的實(shí)體。3.4隱私信息提供者privateinformationprovider向其他自然人、組織、設(shè)備或程序提供隱私信息的實(shí)體。3.5隱私信息接受者privateinformationrecipient接收其他自然人、組織、設(shè)備或程序提供的隱私信息的實(shí)體。3.6隱私信息privateinformation2T/CSACXXXX—XXXX能通過信息系統(tǒng)進(jìn)行處理的敏感個人信息，是個人信息記錄中的標(biāo)識符、準(zhǔn)標(biāo)識符和敏感屬性的集合。注：隱私信息包括個人生物特征信息、銀行賬號、通健康生理信息、交易信息、14歲以下（含）3.7個人信息流轉(zhuǎn)transferandsharingofpersonalinformation個人信息在不同隱私信息處理者之間共享傳播的過程。3.8原始信息rawinformation是指當(dāng)前主體采集或者接收到的信息，其包含敏感個人信息，需要進(jìn)行脫敏處理，且可以通過攜帶脫敏控制策略來實(shí)現(xiàn)個人信息的流轉(zhuǎn)脫敏控制。3.9信息模態(tài)informationmode是指個人信息載體數(shù)據(jù)的具體表示形式，比如數(shù)字、文本、圖像、視頻、語音等。3.10數(shù)據(jù)脫敏datadesensitization通過一系列數(shù)據(jù)處理方法對原始數(shù)據(jù)進(jìn)行處理以減少或消除敏感個人信息的一種數(shù)據(jù)保護(hù)方法。[來源：GB/T37988-2019,3.12,有修改]3.11脫敏算法desensitizationalgorithm通過對隱私信息的技術(shù)處理，使其在不借助額外信息的情況下，無法識別或者關(guān)聯(lián)隱私信息主體。注：脫敏算法包括k-匿名、差分隱私等算法。[來源：GB/T35273—2020,3.15]3.12脫敏算法集合desensitizationalgorithmset一組用于處理不同類型或者數(shù)據(jù)結(jié)構(gòu)的敏感數(shù)據(jù)的技術(shù)和方法，目的是減少或消除數(shù)據(jù)中的敏感信息，以降低用戶隱私泄露的風(fēng)險。脫敏算法集合包括脫敏算法類別、脫敏算法、脫敏算法參數(shù)集合。3.13脫敏控制desensitizationcontrol個人信息流轉(zhuǎn)過程中，針對信息在不同隱私信息處理者之間流轉(zhuǎn)的各環(huán)節(jié)（例如：采集、分享、交換等過程結(jié)合不同信息主體，不同處理階段的差異化脫敏要求，對隱私信息進(jìn)行合理控制和迭代脫敏操作的技術(shù)。3.14脫敏意圖desensitizationintention反映了隱私信息所有者在分享個人信息時對信息的預(yù)期保護(hù)力度，其內(nèi)容涉及信息采集、信息獲取、信息處理、保護(hù)內(nèi)容、使用權(quán)限、脫敏測評等信息傳播全生命周期中的多個方面。3.15脫敏要求desensitizationrequirements待脫敏的隱私信息的脫敏等級、脫敏時機(jī)、脫敏算法及其參數(shù)選擇等約束信息。3.16脫敏效果期望expectationondesensitizationperformance隱私信息執(zhí)行脫敏操作之后所達(dá)到的預(yù)期效果。3T/CSACXXXX—XXXX3.17脫敏控制策略desensitizationcontrolpolicy個人信息流轉(zhuǎn)傳播過程中脫敏要求、脫敏約束等脫敏控制相關(guān)要素的載體，多數(shù)嵌入信息中伴隨信息一起傳播。信息分享傳播過程中，脫敏控制策略約束隱私信息處理者進(jìn)行按需脫敏控制操作，是完成按需脫敏的主要依據(jù)。3.18按需脫敏on-demanddesensitization隱私信息處理者按照隱私信息的延伸控制要求進(jìn)行脫敏的過程。3.19流轉(zhuǎn)脫敏desensitizationwithininformationtransfer個人信息流轉(zhuǎn)過程中，一系列隱私信息處理者對隱私信息依次進(jìn)行按需脫敏的過程。3.20首次脫敏initialdesensitization在流轉(zhuǎn)脫敏過程中，首個隱私信息處理者對個人信息進(jìn)行隱私脫敏的過程。3.21迭代脫敏iterativedesensitization在流轉(zhuǎn)脫敏過程中，首次脫敏之后，后續(xù)隱私信息處理者對接收到的個人信息進(jìn)行隱私脫敏的過程。3.22本地收斂脫敏localobjective-orienteddesensitization在流轉(zhuǎn)脫敏過程中，隱私信息處理者在其管理域內(nèi)，依照脫敏控制策略的約束，重復(fù)地進(jìn)行脫敏算法選擇、脫敏操作以及脫敏效果評測等步驟，直至滿足脫敏效果期望的過程。4縮略語下列縮略語適用于本文件。UDP：用戶數(shù)據(jù)報協(xié)議(UserDatagramProtocol)XML：可擴(kuò)展標(biāo)記語言(eXtensibleMarkupLanguage)TCP：傳輸控制協(xié)議(TransmissionControlProtocol)API：應(yīng)用程序接口(ApplicationProgrammingInterface)TLS：傳輸層安全性(TransportLayerSecurity)SSL：安全套接層協(xié)議(SecureSocketsLayer)JSON：JS鍵值對數(shù)據(jù)(JavaScriptObjectNotation)REST：表述性狀態(tài)轉(zhuǎn)移(RepresentationalStateTransfer)5概述5.1脫敏控制的目的脫敏控制的目的是，在個人信息流轉(zhuǎn)態(tài)勢下，避免因數(shù)據(jù)流通與共享導(dǎo)致的隱私泄露，保護(hù)敏感個人信息。采用脫敏控制的個人信息流轉(zhuǎn)過程如圖1所示。首次分享者采集個人信息后，執(zhí)行首次脫敏操作，即按照隱私信息所有者設(shè)定的脫敏意圖，進(jìn)行本地收斂脫敏，直至達(dá)到預(yù)期脫敏效果。首次分享者4T/CSACXXXX—XXXX在共享信息時，更新脫敏控制策略并隨信息共享給迭代脫敏者。迭代脫敏者接收信息之后，執(zhí)行迭代脫敏，即結(jié)合具體應(yīng)用場景，選定合適脫敏算法集合，進(jìn)行本地收斂脫敏，直至達(dá)到預(yù)期脫敏效果。流轉(zhuǎn)脫敏過程中，脫敏控制流程需要存證，以支持脫敏控制違規(guī)事件的檢測與問題溯源。圖1脫敏控制約束下的數(shù)據(jù)流通與共享過程5.2脫敏控制的基本原則5.2.1有效性有效性要求脫敏控制的過程是健壯的，即脫敏控制系統(tǒng)應(yīng)具備在安全威脅之下，依然可以確保各隱私信息處理者按照脫敏意圖進(jìn)行脫敏操作。5.2.2準(zhǔn)確性準(zhǔn)確性要求各隱私信息處理者能夠綜合考慮原始信息、應(yīng)用場景、隱私信息接收者防護(hù)能力等多種因素，選擇合適的脫敏算法集合，對隱私信息中不同信息模態(tài)的數(shù)據(jù)進(jìn)行脫敏處理。5.2.3一致性一致性要求在數(shù)據(jù)流通與共享過程中，不同的隱私信息處理者應(yīng)按照脫敏控制的約束，對接收的信息進(jìn)行數(shù)據(jù)脫敏操作，避免因?yàn)槎贪逍?yīng)導(dǎo)致隱私泄露。5.2.4迭代性迭代性要求數(shù)據(jù)在不同主體之間流通與共享過程中，各隱私信息處理者應(yīng)按照相關(guān)約束，對信息模態(tài)進(jìn)行迭代脫敏控制。5.2.5可審計性T/CSACXXXX—XXXX可審計性要求在脫敏控制系統(tǒng)在各個階段加入安全審計機(jī)制，嚴(yán)格、詳細(xì)記錄脫敏過程中的相關(guān)信息，形成完整數(shù)據(jù)整理記錄，以便后續(xù)問題排查與數(shù)據(jù)追蹤分析。5.3脫敏控制的流程5.3.1脫敏控制流程概述如圖2所示，脫敏控制框架關(guān)注數(shù)據(jù)跨域流通與共享場景下，相關(guān)隱私信息處理者對接收到的原始信息展開脫敏操作的管理和控制工作，包括脫敏控制策略生成、控制策略可控傳遞、脫敏算法選擇與執(zhí)行、控制策略迭代調(diào)整、策略執(zhí)行可信驗(yàn)證、脫敏控制存證等步驟。版式文檔流通與共享場景下的脫敏控制流程示例參見附錄A。5.3.2脫敏控制策略生成脫敏控制策略生成是指，在數(shù)據(jù)流通與共享過程中，通過系統(tǒng)化、標(biāo)準(zhǔn)化的方法，結(jié)合隱私信息所有者或前序隱私信息提供者的脫敏意圖、當(dāng)前隱私信息處理者的脫敏意圖及設(shè)備環(huán)境等條件，動態(tài)地針對特定隱私信息，生成脫敏控制策略的過程。脫敏控制策略旨在確保隱私信息在跨組織、跨系統(tǒng)或跨應(yīng)用流通與共享時，相關(guān)隱私信息處理者的脫敏處理環(huán)節(jié)能得到恰當(dāng)且有效的控制，最大程度保護(hù)個人隱私權(quán)益。5.3.3脫敏算法選擇執(zhí)行脫敏算法選擇執(zhí)行是指，根據(jù)獲取的脫敏控制策略，結(jié)合原始信息中的隱私信息、信息模態(tài)、應(yīng)用場景等因素，篩選確定合適的脫敏算法集合，并據(jù)此對原始信息中的隱私信息進(jìn)行按需脫敏。脫敏算法執(zhí)行完畢后，對脫敏數(shù)據(jù)進(jìn)行脫敏效果評估，判斷是否滿足脫敏要求。若脫敏效果未及預(yù)期，則對脫敏算法集合中的脫敏算法及其參數(shù)進(jìn)行更新調(diào)整。隱私信息處理者可根據(jù)脫敏效果評估結(jié)果，執(zhí)行多次脫敏，直至達(dá)到預(yù)期效果。按需脫敏具體流程參見附錄B。5.3.4控制策略可控傳遞控制策略可控傳遞是指，在數(shù)據(jù)流通與共享過程中，脫敏控制策略能跟隨共享數(shù)據(jù)在不同隱私信息處理者之間安全、可靠且有序的傳輸?？刂撇呗钥煽貍鬟f過程不僅要求保護(hù)共享數(shù)據(jù)的完整性以及機(jī)密性，還需確保脫敏控制策略在傳遞過程中不被未經(jīng)授權(quán)的篡改或泄露，同時保證策略能夠準(zhǔn)確無誤地到達(dá)指定的隱私信息接收者。5.3.5控制策略迭代調(diào)整控制策略迭代調(diào)整是指，脫敏控制策略在不同隱私信息處理者之間流轉(zhuǎn)時，能隨著應(yīng)用場景等因素變化而正確的更新調(diào)整，避免隱私保護(hù)的短板效應(yīng)，確保隱私保護(hù)效果的一致性。該過程主要關(guān)注于脫敏控制策略在不同隱私信息處理者之間的傳遞過程中，根據(jù)實(shí)際應(yīng)用場景的變化、脫敏效果的評估結(jié)果以及各個隱私信息處理者的脫敏意圖，對脫敏控制策略的內(nèi)容進(jìn)行適時、合理的調(diào)整。6T/CSACXXXX—XXXX圖2隱私信息處理者的脫敏控制流程5.3.6策略執(zhí)行可信驗(yàn)證7T/CSACXXXX—XXXX策略執(zhí)行可信驗(yàn)證是指，隱私信息提供者驗(yàn)證脫敏控制策略在傳遞至隱私信息接受者后，能夠被完整正確地執(zhí)行。這一過程通過一系列驗(yàn)證措施，保障隱私信息處理者能夠確信隱私信息接受者已遵循既定的控制策略要求，從而維護(hù)數(shù)據(jù)流通與共享過程中的隱私保護(hù)完整性和合規(guī)性。5.3.7脫敏控制過程存證脫敏控制過程存證是指，對脫敏控制各環(huán)節(jié)的執(zhí)行過程、操作記錄、生成結(jié)果等信息進(jìn)行日志存證，為后續(xù)完備刪除和主被動監(jiān)管等隱私信息全生命周期、全流程的保護(hù)提供良好的存證基礎(chǔ)。脫敏過程存證包括脫敏控制執(zhí)行過程存證和脫敏控制策略傳遞存證。6脫敏控制通用技術(shù)要求6.1脫敏控制策略生成脫敏控制策略生成使用自然語言處理、形式化分析等技術(shù)，按照前序隱私信息提供者和當(dāng)前隱私信息處理者的脫敏意圖，產(chǎn)生計算機(jī)程序可處理的脫敏控制策略。此過程宜遵守以下要求：a)針對隱私信息被首次流轉(zhuǎn)的應(yīng)用場景，支持隱私信息所有者導(dǎo)入脫敏意圖；b)針對隱私信息非首次流轉(zhuǎn)的應(yīng)用場景，支持通過前序的隱私信息所有者、隱私信息提供者或隱私信息處理者的脫敏控制策略，獲得脫敏意圖；c)隱私信息所有者向隱私信息處理者提供脫敏意圖的時機(jī)，包括但不限于：隱私信息收集之前獲取、隱私信息收集之后獲取、數(shù)據(jù)流通與共享之前獲取等方式；d)根據(jù)脫敏意圖，生成脫敏要求，其內(nèi)容應(yīng)包括但不限于：脫敏意圖標(biāo)識、獲取與調(diào)整脫敏意圖方式、脫敏意圖來源、脫敏級別等；e)通過自然語言處理等技術(shù)，對獲取的脫敏意圖進(jìn)行解析，并結(jié)合隱私信息模態(tài)、隱私信息接收者的隱私保護(hù)能力、應(yīng)用場景等因素，生成脫敏控制策略；f)脫敏控制策略的內(nèi)容包括但不限于：原始信息中待脫敏敏感信息、脫敏算法集合及其參數(shù)、獲取原始信息的過程中的相關(guān)信息，以及原始信息在傳輸?shù)疆?dāng)前主體之前經(jīng)過的脫敏流程和相關(guān)信息；g)采用數(shù)字簽名技術(shù)對脫敏控制策略進(jìn)行簽名，確保其內(nèi)容的真實(shí)性和不可篡改性。簽名過程應(yīng)使用安全可靠的密鑰管理機(jī)制，保障簽名的有效性；h)脫敏控制策略采用底層系統(tǒng)無關(guān)的標(biāo)準(zhǔn)化描述，支持脫敏控制策略的跨系統(tǒng)傳遞。6.2控制策略可控傳遞控制策略可控傳遞采用密碼學(xué)技術(shù)保障脫敏控制策略在隱私信息提供者和隱私信息接收者之間傳遞過程中的完整性、機(jī)密性、不可剝離性、不可抵賴性和保護(hù)一致性。此過程宜遵守以下要求：a)完整性，利用消息驗(yàn)證碼等技術(shù)，保證脫敏控制策略在傳遞過程中不可被非授權(quán)方式更改或破壞；b)機(jī)密性，可采用密碼技術(shù)對脫敏控制策略進(jìn)行加密保護(hù)，保證脫敏控制策略不可被未授權(quán)的第三方解析，避免脫敏控制策略被非法獲取而導(dǎo)致的隱私泄露；c)不可剝離性，采用可信執(zhí)行環(huán)境、密碼學(xué)等技術(shù)將脫敏控制策略嵌入被交換隱私信息中，并保證控制策略和隱私信息的關(guān)聯(lián)關(guān)系不能被破壞；d)不可抵賴性，采用數(shù)字簽名技術(shù)對脫敏控制策略進(jìn)行處理，保證脫敏控制策略來源的真實(shí)性，避免隱私信息處理者否認(rèn)其前序隱私信息提供者所生成的脫敏控制策略；8T/CSACXXXX—XXXXe)保護(hù)一致性，隱私信息跨系統(tǒng)交換或采用數(shù)據(jù)使用安全技術(shù)進(jìn)行數(shù)據(jù)聯(lián)合利用時，對隱私信息提供者和隱私信息接收者的脫敏算法保護(hù)能力和脫敏效果進(jìn)行關(guān)聯(lián)的保護(hù)量化映射，量化映射關(guān)系存于脫敏控制策略中。6.3控制策略迭代調(diào)整為了支持脫敏控制策略在隱私信息提供者和隱私信息接收者之間流轉(zhuǎn)時的動態(tài)更新，避免因短板效應(yīng)導(dǎo)致的隱私泄露，控制策略迭代動態(tài)調(diào)整宜遵守以下要求：a)從接收到的信息中，解析并獲取前序隱私信息處理者嵌入的脫敏控制策略；b)當(dāng)前隱私信息接受者，根據(jù)脫敏控制策略中的脫敏強(qiáng)度等元素，確定脫敏算法集合及其參數(shù)，并更新脫敏控制策略；c)當(dāng)前隱私信息接受者，將隱私信息脫敏后的脫敏效果評估結(jié)果，記錄于脫敏控制策略；d)根據(jù)后序隱私信息接收者的隱私保護(hù)能力、應(yīng)用場景、數(shù)據(jù)模態(tài)等信息，調(diào)整脫敏要求、脫敏效果期望，并更新脫敏控制策略；e)更新后的脫敏控制策略，連同本級根據(jù)脫敏控制策略處理過的脫敏信息，安全地傳遞給后序隱私信息接收者；f)支持在脫敏控制策略中，嵌入部分或全部前序隱私處理者信息，需至少包含前一級隱私信息處理者的信息；g)若脫敏效果評估結(jié)論的未達(dá)到脫敏效果期望閾值，則需要調(diào)整脫敏算法集合及其參數(shù)，并更新脫敏控制策略；h)可采用可信環(huán)境等技術(shù)措施，保證脫敏控制策略更新調(diào)整過程的安全性與可信性。6.4策略執(zhí)行可信驗(yàn)證為驗(yàn)證脫敏控制策略是否被隱私信息接收者完整正確地執(zhí)行，策略執(zhí)行可信驗(yàn)證宜遵守以下要求：a)支持當(dāng)前隱私信息處理者，驗(yàn)證隱私信息傳播鏈上任一后序隱私信息接收者和隱私信息處理者是否按預(yù)期執(zhí)行其脫敏控制策略；b)隱私信息接受者對脫敏數(shù)據(jù)的脫敏效果評估結(jié)果，可采用可信日志存證、密碼學(xué)等技術(shù)進(jìn)行處理，支持驗(yàn)證隱私信息接收者是否按照預(yù)期完整正確地執(zhí)行了脫敏控制策略；c)可采用聚合簽名等技術(shù)，保證當(dāng)前隱私信息接收者可驗(yàn)證隱私信息傳播鏈上所有前序隱私信息處理者是否按要求執(zhí)行了脫敏控制策略；d)可將脫敏控制策略生成、解析以及執(zhí)行等功能部署在可信執(zhí)行環(huán)境中，支持脫敏控制策略執(zhí)行的可信驗(yàn)證。6.5脫敏控制過程存證脫敏控制過程存證使用審計日志、數(shù)字簽名等技術(shù)，確保隱私信息在脫敏處理過程中可追溯、可驗(yàn)證。此過程宜遵守以下要求：a)在脫敏算法選擇時，可對考慮的因素，例如：應(yīng)用場景、信息模態(tài)、后續(xù)隱私信息處理者防護(hù)能力等，進(jìn)行存證，并對選定的脫敏算法集合進(jìn)行存證；b)對更新后的脫敏算法控制集合進(jìn)行存證；c)在進(jìn)行脫敏操作時，可就脫敏操作的執(zhí)行時間、執(zhí)行者、所采用的脫敏算法集合及相關(guān)參數(shù)等信息進(jìn)行存證；d)在接收原始信息時，可對接收到原始信息中含有的脫敏控制策略信息進(jìn)行存證；e)在將脫敏控制策略傳遞給下游隱私信息控制者時，對脫敏控制策略內(nèi)容、相關(guān)信息等進(jìn)行存證；T/CSACXXXX—XXXXf)在接收到脫敏控制策略時，對其來源進(jìn)行可信認(rèn)證，并在正確接收之后，給予確認(rèn)消息，并對確認(rèn)信息進(jìn)行存證。7脫敏控制的合規(guī)性驗(yàn)證的技術(shù)要求7.1脫敏控制策略生成合規(guī)性驗(yàn)證脫敏控制策略生成合規(guī)性驗(yàn)證，宜遵守以下要求：a)支持對獲取的脫敏意圖和生成的脫敏要求進(jìn)行匹配性驗(yàn)證，以驗(yàn)證脫敏意圖理解過程的合規(guī)性；b)采用形式化分析技術(shù)，對脫敏控制策略進(jìn)行驗(yàn)證，確保策略完全符合脫敏要求，且策略內(nèi)部的各項內(nèi)容之間不存在邏輯沖突或執(zhí)行上的障礙。7.2控制策略可控傳遞合規(guī)性驗(yàn)證控制策略可控傳遞合規(guī)性驗(yàn)證，宜遵守以下要求：a)隱私信息處理者在將脫敏控制策略傳遞給下一隱私信息處理者時，對脫敏控制策略內(nèi)容進(jìn)行存證；b)隱私信息處理者在將脫敏控制策略傳遞給下一隱私信息處理者時，對隱私信息接受者的身份進(jìn)行驗(yàn)證。7.3控制策略迭代調(diào)整合規(guī)性驗(yàn)證控制策略迭代調(diào)整合規(guī)性驗(yàn)證，宜遵守以下要求：a)支持對脫敏意圖和對應(yīng)的脫敏控制策略進(jìn)行匹配性驗(yàn)證；b)支持獲取原始信息中含有的脫敏控制策略，以及脫敏操作過程實(shí)際采用的脫敏控制策略，并對比上述兩者之間的一致性。7.4策略執(zhí)行可信驗(yàn)證合規(guī)性驗(yàn)證策略執(zhí)行可信驗(yàn)證合規(guī)性驗(yàn)證，宜遵守以下要求：a)對生成日志等記錄進(jìn)行審查，確保脫敏控制策略執(zhí)行可信驗(yàn)證的完備性，并能追溯到具體的隱私信息處理者；b)所有驗(yàn)證過程及結(jié)果按照要求格式進(jìn)行保存和歸檔，以便后續(xù)審計和責(zé)任追溯。7.5脫敏控制過程存證合規(guī)性驗(yàn)證脫敏控制存證合規(guī)性驗(yàn)證，宜遵守以下要求：a)按照章節(jié)6.5的技術(shù)要求，對脫敏控制全程進(jìn)行存證；b)提供存證合規(guī)驗(yàn)證接口，對存證過程的合規(guī)性進(jìn)行驗(yàn)證。8脫敏控制監(jiān)管接口的技術(shù)要求8.1存證接口的技術(shù)要求8.1.1自存證接口技術(shù)要求T/CSACXXXX—XXXX脫敏控制自存證的接口，支持將脫敏控制過程產(chǎn)生的日志信息，寫入本地存儲系統(tǒng)。在設(shè)計和實(shí)現(xiàn)上，對自存證接口的要求如下：a)上報處理數(shù)據(jù)請求的接口平臺支持跨平臺使用，支持Windows、Linux等常用操作系統(tǒng)；b)上報處理數(shù)據(jù)請求的傳輸方式應(yīng)采用標(biāo)準(zhǔn)的傳輸協(xié)議，包括不限于RESTAPI、消息系統(tǒng)、TCP/UDP等標(biāo)準(zhǔn)協(xié)議；c)上報處理數(shù)據(jù)請求的內(nèi)容應(yīng)采用結(jié)構(gòu)化或半結(jié)構(gòu)化格式，包括不限于JSON、XML等格式；d)上報存證信息的內(nèi)容應(yīng)附有自身的簽名，以確定存證信息來源；e)上報處理數(shù)據(jù)請求的內(nèi)容應(yīng)至少包括存證摘要、信息模態(tài)、目的、處理時間、處理方式、處理結(jié)果、操作人員/組織等相關(guān)操作日志。8.1.2主管監(jiān)管機(jī)構(gòu)存證接口脫敏控制的自存證系統(tǒng)向主管監(jiān)管機(jī)構(gòu)上報必要存證信息,以便在出現(xiàn)脫敏控制違規(guī)事件時進(jìn)行取證與溯源分析。在設(shè)計和實(shí)現(xiàn)上，對主管監(jiān)管機(jī)構(gòu)存證接口要求如下：a)向所屬主管監(jiān)管機(jī)構(gòu)上報存證信息，應(yīng)遵循最少必要原則，即在本地存儲全部存證信息，向所屬主管監(jiān)管機(jī)構(gòu)上報取證、溯源所需的最少必要信息；b)向所屬主管監(jiān)管機(jī)構(gòu)上報存證信息之前,應(yīng)就上報內(nèi)容、采用協(xié)議等信息，進(jìn)行確認(rèn)；c)隱私信息處理者和所屬監(jiān)管機(jī)構(gòu)之間的存證信息傳輸，所采用的通信協(xié)議應(yīng)具備低開銷、防篡改、抗抵賴的安全特性，保障證據(jù)信息的完整性、真實(shí)性和可靠性；d)主管監(jiān)管機(jī)構(gòu)對隱私信息處理者采用事中檢查機(jī)制，確保數(shù)據(jù)處理行為合法合規(guī)。8.2通報與處置接口的技術(shù)要求當(dāng)流轉(zhuǎn)脫敏的過程中出現(xiàn)違反脫敏控制的事件之時，在事件通報方面，對相關(guān)主體的要求如下：a)在發(fā)生脫敏控制違規(guī)事件后，應(yīng)根據(jù)事件的影響程度，及時向應(yīng)用關(guān)聯(lián)的單位、機(jī)構(gòu)、主管部門或國家相關(guān)部門報送事件信息。報送的事件信息包括但不限于：發(fā)現(xiàn)事件的人員、時間、地點(diǎn)，涉及的隱私信息，發(fā)生事件的系統(tǒng)名稱，對其他互聯(lián)系統(tǒng)的影響等；b)發(fā)生違規(guī)事件的單位應(yīng)提供相關(guān)接口，配合主管監(jiān)管機(jī)構(gòu)或者國家相關(guān)部門完成事件調(diào)查和溯源；c)具體通報詳細(xì)要求參見團(tuán)體標(biāo)準(zhǔn)《侵權(quán)事件通報與協(xié)查技術(shù)要求》（T/CSACXXXX-YYYY）。8.2.1脫敏控制違規(guī)事件通報接口出現(xiàn)脫敏控制違規(guī)事件后，在遵守《侵權(quán)事件通報與協(xié)查技術(shù)要求》（T/CSACXXXX-YYYY）的基礎(chǔ)上，對涉事隱私信息處理者的要求如下：a)涉事隱私信息處理者，應(yīng)對違反脫敏控制事件的影響程度展開評估，及時向應(yīng)用關(guān)聯(lián)的單位、機(jī)構(gòu)，主管部門或國家相關(guān)部門通報違規(guī)事件信息；b)通報事件信息包括但不限于：發(fā)現(xiàn)事件的人員、時間、地點(diǎn)，涉及的隱私信息，脫敏意圖，違規(guī)類型等；c)涉事隱私信息處理者,應(yīng)提供相關(guān)取證接口，配合主管監(jiān)管機(jī)構(gòu)或者其他相關(guān)部門完成事件調(diào)d)涉事隱私信息處理者提供的取證接口，應(yīng)支持主管監(jiān)管機(jī)構(gòu)獲取存證信息，開展違規(guī)事件調(diào)查和問題溯源。8.2.2脫敏控制違規(guī)事件處置接口T/CSACXXXX—XXXX針對脫敏控制違規(guī)事件的處置，在遵守《侵權(quán)事件通報與協(xié)查技術(shù)要求》（T/CSACXXXX-YYYY）的基礎(chǔ)上，對涉事隱私信息處理者的要求如下：a)脫敏控制違規(guī)事件導(dǎo)致隱私信息所有者個人信息權(quán)益受到侵害時，應(yīng)依照相關(guān)法律規(guī)定及時告知隱私信息所有者；b)脫敏控制違規(guī)事件發(fā)生后，應(yīng)提供相關(guān)接口，允許隱私信息處理者刪除相關(guān)隱私信息；c)脫敏控制違規(guī)事件發(fā)生后，涉事隱私信息處理者，應(yīng)按照脫敏控制策略，重新進(jìn)行本地收斂脫敏。T/CSACXXXX—XXXX脫敏控制示例A.1概述本附錄以版式文檔為例，介紹脫敏控制流程，重點(diǎn)針對脫敏控制策略生成、脫敏算法選擇執(zhí)行等環(huán)節(jié)進(jìn)行了介紹，供脫敏控制系統(tǒng)設(shè)計者參考。版式文檔包含不同信息模態(tài)的隱私信息。不同的隱私信息處理者，通過即時通信系統(tǒng)，進(jìn)行版式文檔的流轉(zhuǎn)共享。在版式文檔流轉(zhuǎn)共享過程中，采用脫敏控制保護(hù)版式文檔中的隱私信息。該問題可以形式化描述為如下：含有隱私信息的版式文檔X，分享者s，脫敏控制策略P，其中，X={X1,X2,…,Xk,…,Xn}由n個信息分量組成，每個信息分量Xk的組成內(nèi)容是Xk=c,A,Γ,Ω,Ψ,P,其中，c是信息分量的內(nèi)容，A是隱私屬性向量（量化隱私信息分量及分量組合的保護(hù)程度），Γ是廣義定位信息集合，Ω是審計控制信息集合（流轉(zhuǎn)過程中的主客體信息和被執(zhí)行的操作記錄），Ψ是脫敏控制操作集合（信息分量及其組合可被執(zhí)行的操作P是脫敏控制策略。在信息分享過程中，si?1將信息分享給si，si再分享給si+1，信息要根據(jù)三者的傳遞關(guān)系和各自接收者的不同，逐漸減少信息所含內(nèi)容。A.2面向版式文檔的跨域脫敏控制示例面向隱私版式文檔的脫敏控制的過程如下：a)脫敏控制策略生成，該過程包括脫敏意圖理解和脫敏控制策略生成，具體過程如下：1)脫敏意圖理解：隱私信息處理者執(zhí)行首次脫敏時，根據(jù)提供的脫敏意圖生成機(jī)器可識別、可執(zhí)行的脫敏要求；執(zhí)行迭代脫敏時，根據(jù)上游隱私信息處理者的脫敏控制策略解析生成相應(yīng)脫敏要求；2)脫敏控制生成：為了滿足脫敏要求，對分享的版式文檔生成脫敏控制策略P，劃分需脫敏的內(nèi)容。在迭代脫敏過程中，隱私信息處理者提取已有脫敏控制策略，并結(jié)合當(dāng)前分享者的屬性和接收者的隱私保護(hù)能力，生成新的脫敏控制策略。針對信息分量Xk，根據(jù)已有脫敏控制策略Xk.Pexist，結(jié)合當(dāng)前分享者si的屬性和接收者si+1的隱私保護(hù)能力，迭代生成信息分量Xk的第j條脫敏控制策略X_k.P_j、調(diào)整后的脫敏控制策略Xk.Pj以及控制集合調(diào)整動作t；b)脫敏算法選擇執(zhí)行，該過程包括敏感數(shù)據(jù)識別、脫敏算法選擇、脫敏算法識別、脫敏效果評估，具體過程如下：1)敏感數(shù)據(jù)識別：使用關(guān)鍵詞匹配、支持向量機(jī)、自然語言處理等信息識別算法和人工方式，根據(jù)數(shù)據(jù)特征和使用環(huán)境，標(biāo)識版式文檔中的敏感數(shù)據(jù)，包括其位置和格式。對數(shù)據(jù)進(jìn)行分類分級，明確隱私數(shù)據(jù)的類別和敏感級別；2)脫敏算法選擇：根據(jù)脫敏控制策略、信息分量類別及敏感級別，確定脫敏效果期望。遍歷已有脫敏算法集合Ψ及其參數(shù)，評估各算法的脫敏效果。再根據(jù)期望和評估結(jié)果，通過映射表或機(jī)器學(xué)習(xí)，選擇候選脫敏算法，構(gòu)建與脫敏控制策略對應(yīng)的脫敏算法集合；3)脫敏算法執(zhí)行：基于脫敏控制策略X.P，對版式文檔X中的每個信息分量Xk，在不同信息模態(tài)下執(zhí)行脫敏算法。針對不同的信息模態(tài)（如圖像、文字等根據(jù)保護(hù)策略實(shí)施差異化脫敏控制。針對分享方向，確定文檔需要部分過濾、全部過濾或完全放行的交換邊界控制。針對本地設(shè)備模式，確定文檔的顯示、復(fù)制、粘貼等本地使用控制方式；4)脫敏效果評估：完成脫敏后，進(jìn)行質(zhì)量檢查以確保文檔保持可用性且不含敏感信息。利用深度學(xué)習(xí)模型檢測可能的隱私泄露，同時使用數(shù)據(jù)質(zhì)量評估工具確保數(shù)據(jù)準(zhǔn)確性和一T/CSACXXXX—XXXX致性。應(yīng)用差分隱私評估保護(hù)措施，同時實(shí)時評估隱私信息接收者的防護(hù)能力，以確保個人數(shù)據(jù)得到有效保護(hù)；c)控制策略可控傳遞，該過程包括控制策略可控傳輸?shù)谋Ｃ苄詫?shí)現(xiàn)、真實(shí)性實(shí)現(xiàn)、安全性實(shí)現(xiàn)，具體過程如下：1)保密性：使用SM2等加密技術(shù)確?？刂撇呗栽趥鬏斶^程中的保密性，實(shí)施基于角色的訪問控制，僅授權(quán)的隱私信息接收者能解密和訪問策略；2)真實(shí)性：利用數(shù)字簽名確認(rèn)策略的真實(shí)性，詳細(xì)記錄傳輸過程以保證透明性和追溯性；3)安全性：采用可信執(zhí)行環(huán)境技術(shù)保障傳輸和處理過程的安全性；d)控制策略迭代調(diào)整，該過程包括脫敏控制策略解析、更新、防篡改，具體過程如下：1)脫敏控制策略解析：利用自然語言處理技術(shù)解析前序隱私信息處理者嵌入的脫敏控制策略，生成操作性強(qiáng)的脫敏控制策略；2)脫敏控制策略更新：通過規(guī)則引擎，根據(jù)隱私信息接收者的隱私保護(hù)能力、應(yīng)用場景和數(shù)據(jù)模態(tài)等動態(tài)更新脫敏控制策略；3)脫敏控制策略防篡改：利用RSA數(shù)字簽名技術(shù)對更新后的脫敏控制策略進(jìn)行簽名，以確保策略的真實(shí)性和防篡改性；e)策略執(zhí)行可信驗(yàn)證，該過程包括策略執(zhí)行遠(yuǎn)程驗(yàn)證、審計日志記錄、傳播鏈驗(yàn)證，具體過程如下：1)遠(yuǎn)程驗(yàn)證：使用遠(yuǎn)程驗(yàn)證技術(shù)，確保隱私信息接收者能驗(yàn)證后序隱私信息處理者是否按預(yù)期執(zhí)行了脫敏控制策略；2)審計日志記錄：通過安全審計日志系統(tǒng)記錄和分析隱私信息處理過程中的所有操作，保證脫敏控制策略執(zhí)行的透明性和可追溯性；3)傳播鏈驗(yàn)證：采用聚合簽名技術(shù)，確保隱私信息接收者能驗(yàn)證傳播鏈上所有前序隱私信息處理者的脫敏控制策略執(zhí)行情況；f)脫敏過程存證，該過程包括脫敏過程日志存證、存證記錄防篡改，具體過程如下：1)脫敏過程日志存證：使用日志記錄工具建立詳細(xì)的存證日志，記錄數(shù)據(jù)脫敏的各個階段活動，包括數(shù)據(jù)采集、脫敏方法、執(zhí)行時間、執(zhí)行者身份等信息；2)存證記錄防篡改：采用開源或商業(yè)數(shù)字簽名工具確保存證記錄的完整性和真實(shí)性，用于簽署存證日志文件，以驗(yàn)證其未被篡改。T/CSACXXXX—XXXX按需脫敏過程示例B.1概述在網(wǎng)約車出行服務(wù)系統(tǒng)中，會涉及大量的用戶隱私信息，例如：位置數(shù)據(jù)、行程詳情、銀行賬號和個人習(xí)慣等。出行服務(wù)系統(tǒng)在日常運(yùn)營中，會針對上述敏感個人信息進(jìn)行采集、脫敏、計算、共享和刪除等各種操作，若處理不當(dāng)，可能會導(dǎo)致嚴(yán)重的隱私泄露。在脫敏控制的協(xié)同下，按需脫敏可針對業(yè)務(wù)系統(tǒng)不同階段的隱私信息跨域流轉(zhuǎn)提供按需隱私保護(hù)能力，支撐在不泄露用戶具體數(shù)據(jù)的前提下，實(shí)現(xiàn)數(shù)據(jù)的有效利用。本附錄以出行服務(wù)系統(tǒng)的數(shù)據(jù)流轉(zhuǎn)為例，介紹了按需脫敏在不同數(shù)據(jù)流轉(zhuǎn)場景的示例及使用方法，供設(shè)計開發(fā)脫敏控制以及按需脫敏功能時參考。B.2按需脫敏操作過程示例當(dāng)出行服務(wù)結(jié)束后，出行服務(wù)過程中收集的隱私信息被上傳至后臺信息服務(wù)系統(tǒng)。此階段后數(shù)據(jù)流轉(zhuǎn)過程如圖B.1所示。出行服務(wù)系統(tǒng)在符合個人信息保護(hù)要求的條件下，結(jié)合具體的業(yè)務(wù)內(nèi)容，可以在本系統(tǒng)內(nèi)合規(guī)地脫敏、存儲、使用和刪除收集的個人信息，也可以在同機(jī)構(gòu)跨系統(tǒng)、跨機(jī)構(gòu)跨系統(tǒng)等場景下進(jìn)行隱私信息流轉(zhuǎn)。圖B.1出行服務(wù)數(shù)據(jù)流轉(zhuǎn)示意圖B.3出行服務(wù)系統(tǒng)B.3.1導(dǎo)航過程中在導(dǎo)航過程中出行服務(wù)數(shù)據(jù)可以不脫敏，原始出行數(shù)據(jù)示見表B.1。T/CSACXXXX—XXXX表B.1原始出行數(shù)據(jù)示例39653702256591538053089558802330廣西壯族自治區(qū)玉林市北流市塘岸收費(fèi)站廣西壯族自治區(qū)玉林市北39008618992441074060559558802261四川省攀枝花市東區(qū)四川省攀枝花市東區(qū)新宏25731670114955722348119558802261重慶市城口縣復(fù)興街道太和社區(qū)銀子巖隧道龍城宏翰復(fù)興派出所(城口縣復(fù)興街道社重慶市城口縣城口縣朱家溝23317595240281881834476222002261廣西壯族自治區(qū)崇左廣西壯族自治區(qū)崇左市天等縣天寶路西100米古鼎B.3.2導(dǎo)航結(jié)束后在導(dǎo)航結(jié)束后，根據(jù)隱私信息所有者設(shè)定的脫敏要求，出行服務(wù)提供商，即隱私信息處理者，針對不同模態(tài)信息采用適合的脫敏算法集合處理。例如：為了保護(hù)用戶隱私，通過匿名化處理方法對移動電話號碼、支付信息等隱私信息進(jìn)行保護(hù)，達(dá)到對可標(biāo)識到具體個人的信息匿名化處理。在位置信息等發(fā)送到服務(wù)器前，本地設(shè)備可通過實(shí)施差分隱私技術(shù)添加隨機(jī)噪聲。例如，對于出發(fā)地、目的地等位置