《隱私計(jì)算 脫敏控制技術(shù)要求（征求意見稿）》

1T/CSACXXXX—XXXX隱私計(jì)算脫敏控制技術(shù)要求本文件描述了數(shù)據(jù)泛在流通與共享下，隱私信息全生命周期脫敏控制技術(shù)要求，涵蓋脫敏控制策略生成、控制策略可控傳遞、控制策略迭代調(diào)整、策略執(zhí)行可信驗(yàn)證等要素，規(guī)范了脫敏控制合規(guī)性驗(yàn)證、脫敏控制監(jiān)管接口的技術(shù)要求等。本文件適用于規(guī)范各類組織在個(gè)人信息流轉(zhuǎn)下的個(gè)人信息脫敏處理活動(dòng)，也可為主管監(jiān)管機(jī)構(gòu)、第三方評(píng)估機(jī)構(gòu)等組織對(duì)隱私信息脫敏處理進(jìn)行監(jiān)督、管理、評(píng)估提供參考。2規(guī)范性引用文件本文件引述下列文件中的部分內(nèi)容。下列文件中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本指南；不注日期的引用文件，其最新版本適用于本指南。GB/T25069-2022信息安全技術(shù)術(shù)語(yǔ)GB/T35273-2020信息安全技術(shù)個(gè)人信息安全規(guī)范GB/T37988-2019信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型3術(shù)語(yǔ)和定義3.1個(gè)人信息personalinformation以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的各種信息，包含個(gè)人信息本身及其衍生信息，不包括匿名化處理后的信息。[來(lái)源：GB/T35273—2020,3.1,有修改]3.2隱私信息所有者privateinformationowner隱私信息所標(biāo)識(shí)或者關(guān)聯(lián)的自然人、組織、設(shè)備或程序等實(shí)體。3.3隱私信息處理者privateinformationprocessor對(duì)隱私信息進(jìn)行收集、存儲(chǔ)、使用、加工、傳輸、提供、公開、刪除、脫敏、存證與取證等操作的實(shí)體。3.4隱私信息提供者privateinformationprovider向其他自然人、組織、設(shè)備或程序提供隱私信息的實(shí)體。3.5隱私信息接受者privateinformationrecipient接收其他自然人、組織、設(shè)備或程序提供的隱私信息的實(shí)體。3.6隱私信息privateinformation2T/CSACXXXX—XXXX能通過(guò)信息系統(tǒng)進(jìn)行處理的敏感個(gè)人信息，是個(gè)人信息記錄中的標(biāo)識(shí)符、準(zhǔn)標(biāo)識(shí)符和敏感屬性的集合。注：隱私信息包括個(gè)人生物特征信息、銀行賬號(hào)、通健康生理信息、交易信息、14歲以下（含）3.7個(gè)人信息流轉(zhuǎn)transferandsharingofpersonalinformation個(gè)人信息在不同隱私信息處理者之間共享傳播的過(guò)程。3.8原始信息rawinformation是指當(dāng)前主體采集或者接收到的信息，其包含敏感個(gè)人信息，需要進(jìn)行脫敏處理，且可以通過(guò)攜帶脫敏控制策略來(lái)實(shí)現(xiàn)個(gè)人信息的流轉(zhuǎn)脫敏控制。3.9信息模態(tài)informationmode是指?jìng)€(gè)人信息載體數(shù)據(jù)的具體表示形式，比如數(shù)字、文本、圖像、視頻、語(yǔ)音等。3.10數(shù)據(jù)脫敏datadesensitization通過(guò)一系列數(shù)據(jù)處理方法對(duì)原始數(shù)據(jù)進(jìn)行處理以減少或消除敏感個(gè)人信息的一種數(shù)據(jù)保護(hù)方法。[來(lái)源：GB/T37988-2019,3.12,有修改]3.11脫敏算法desensitizationalgorithm通過(guò)對(duì)隱私信息的技術(shù)處理，使其在不借助額外信息的情況下，無(wú)法識(shí)別或者關(guān)聯(lián)隱私信息主體。注：脫敏算法包括k-匿名、差分隱私等算法。[來(lái)源：GB/T35273—2020,3.15]3.12脫敏算法集合desensitizationalgorithmset一組用于處理不同類型或者數(shù)據(jù)結(jié)構(gòu)的敏感數(shù)據(jù)的技術(shù)和方法，目的是減少或消除數(shù)據(jù)中的敏感信息，以降低用戶隱私泄露的風(fēng)險(xiǎn)。脫敏算法集合包括脫敏算法類別、脫敏算法、脫敏算法參數(shù)集合。3.13脫敏控制desensitizationcontrol個(gè)人信息流轉(zhuǎn)過(guò)程中，針對(duì)信息在不同隱私信息處理者之間流轉(zhuǎn)的各環(huán)節(jié)（例如：采集、分享、交換等過(guò)程結(jié)合不同信息主體，不同處理階段的差異化脫敏要求，對(duì)隱私信息進(jìn)行合理控制和迭代脫敏操作的技術(shù)。3.14脫敏意圖desensitizationintention反映了隱私信息所有者在分享個(gè)人信息時(shí)對(duì)信息的預(yù)期保護(hù)力度，其內(nèi)容涉及信息采集、信息獲取、信息處理、保護(hù)內(nèi)容、使用權(quán)限、脫敏測(cè)評(píng)等信息傳播全生命周期中的多個(gè)方面。3.15脫敏要求desensitizationrequirements待脫敏的隱私信息的脫敏等級(jí)、脫敏時(shí)機(jī)、脫敏算法及其參數(shù)選擇等約束信息。3.16脫敏效果期望expectationondesensitizationperformance隱私信息執(zhí)行脫敏操作之后所達(dá)到的預(yù)期效果。3T/CSACXXXX—XXXX3.17脫敏控制策略desensitizationcontrolpolicy個(gè)人信息流轉(zhuǎn)傳播過(guò)程中脫敏要求、脫敏約束等脫敏控制相關(guān)要素的載體，多數(shù)嵌入信息中伴隨信息一起傳播。信息分享傳播過(guò)程中，脫敏控制策略約束隱私信息處理者進(jìn)行按需脫敏控制操作，是完成按需脫敏的主要依據(jù)。3.18按需脫敏on-demanddesensitization隱私信息處理者按照隱私信息的延伸控制要求進(jìn)行脫敏的過(guò)程。3.19流轉(zhuǎn)脫敏desensitizationwithininformationtransfer個(gè)人信息流轉(zhuǎn)過(guò)程中，一系列隱私信息處理者對(duì)隱私信息依次進(jìn)行按需脫敏的過(guò)程。3.20首次脫敏initialdesensitization在流轉(zhuǎn)脫敏過(guò)程中，首個(gè)隱私信息處理者對(duì)個(gè)人信息進(jìn)行隱私脫敏的過(guò)程。3.21迭代脫敏iterativedesensitization在流轉(zhuǎn)脫敏過(guò)程中，首次脫敏之后，后續(xù)隱私信息處理者對(duì)接收到的個(gè)人信息進(jìn)行隱私脫敏的過(guò)程。3.22本地收斂脫敏localobjective-orienteddesensitization在流轉(zhuǎn)脫敏過(guò)程中，隱私信息處理者在其管理域內(nèi)，依照脫敏控制策略的約束，重復(fù)地進(jìn)行脫敏算法選擇、脫敏操作以及脫敏效果評(píng)測(cè)等步驟，直至滿足脫敏效果期望的過(guò)程。4縮略語(yǔ)下列縮略語(yǔ)適用于本文件。UDP：用戶數(shù)據(jù)報(bào)協(xié)議(UserDatagramProtocol)XML：可擴(kuò)展標(biāo)記語(yǔ)言(eXtensibleMarkupLanguage)TCP：傳輸控制協(xié)議(TransmissionControlProtocol)API：應(yīng)用程序接口(ApplicationProgrammingInterface)TLS：傳輸層安全性(TransportLayerSecurity)SSL：安全套接層協(xié)議(SecureSocketsLayer)JSON：JS鍵值對(duì)數(shù)據(jù)(JavaScriptObjectNotation)REST：表述性狀態(tài)轉(zhuǎn)移(RepresentationalStateTransfer)5概述5.1脫敏控制的目的脫敏控制的目的是，在個(gè)人信息流轉(zhuǎn)態(tài)勢(shì)下，避免因數(shù)據(jù)流通與共享導(dǎo)致的隱私泄露，保護(hù)敏感個(gè)人信息。采用脫敏控制的個(gè)人信息流轉(zhuǎn)過(guò)程如圖1所示。首次分享者采集個(gè)人信息后，執(zhí)行首次脫敏操作，即按照隱私信息所有者設(shè)定的脫敏意圖，進(jìn)行本地收斂脫敏，直至達(dá)到預(yù)期脫敏效果。首次分享者4T/CSACXXXX—XXXX在共享信息時(shí)，更新脫敏控制策略并隨信息共享給迭代脫敏者。迭代脫敏者接收信息之后，執(zhí)行迭代脫敏，即結(jié)合具體應(yīng)用場(chǎng)景，選定合適脫敏算法集合，進(jìn)行本地收斂脫敏，直至達(dá)到預(yù)期脫敏效果。流轉(zhuǎn)脫敏過(guò)程中，脫敏控制流程需要存證，以支持脫敏控制違規(guī)事件的檢測(cè)與問(wèn)題溯源。圖1脫敏控制約束下的數(shù)據(jù)流通與共享過(guò)程5.2脫敏控制的基本原則5.2.1有效性有效性要求脫敏控制的過(guò)程是健壯的，即脫敏控制系統(tǒng)應(yīng)具備在安全威脅之下，依然可以確保各隱私信息處理者按照脫敏意圖進(jìn)行脫敏操作。5.2.2準(zhǔn)確性準(zhǔn)確性要求各隱私信息處理者能夠綜合考慮原始信息、應(yīng)用場(chǎng)景、隱私信息接收者防護(hù)能力等多種因素，選擇合適的脫敏算法集合，對(duì)隱私信息中不同信息模態(tài)的數(shù)據(jù)進(jìn)行脫敏處理。5.2.3一致性一致性要求在數(shù)據(jù)流通與共享過(guò)程中，不同的隱私信息處理者應(yīng)按照脫敏控制的約束，對(duì)接收的信息進(jìn)行數(shù)據(jù)脫敏操作，避免因?yàn)槎贪逍?yīng)導(dǎo)致隱私泄露。5.2.4迭代性迭代性要求數(shù)據(jù)在不同主體之間流通與共享過(guò)程中，各隱私信息處理者應(yīng)按照相關(guān)約束，對(duì)信息模態(tài)進(jìn)行迭代脫敏控制。5.2.5可審計(jì)性T/CSACXXXX—XXXX可審計(jì)性要求在脫敏控制系統(tǒng)在各個(gè)階段加入安全審計(jì)機(jī)制，嚴(yán)格、詳細(xì)記錄脫敏過(guò)程中的相關(guān)信息，形成完整數(shù)據(jù)整理記錄，以便后續(xù)問(wèn)題排查與數(shù)據(jù)追蹤分析。5.3脫敏控制的流程5.3.1脫敏控制流程概述如圖2所示，脫敏控制框架關(guān)注數(shù)據(jù)跨域流通與共享場(chǎng)景下，相關(guān)隱私信息處理者對(duì)接收到的原始信息展開脫敏操作的管理和控制工作，包括脫敏控制策略生成、控制策略可控傳遞、脫敏算法選擇與執(zhí)行、控制策略迭代調(diào)整、策略執(zhí)行可信驗(yàn)證、脫敏控制存證等步驟。版式文檔流通與共享場(chǎng)景下的脫敏控制流程示例參見附錄A。5.3.2脫敏控制策略生成脫敏控制策略生成是指，在數(shù)據(jù)流通與共享過(guò)程中，通過(guò)系統(tǒng)化、標(biāo)準(zhǔn)化的方法，結(jié)合隱私信息所有者或前序隱私信息提供者的脫敏意圖、當(dāng)前隱私信息處理者的脫敏意圖及設(shè)備環(huán)境等條件，動(dòng)態(tài)地針對(duì)特定隱私信息，生成脫敏控制策略的過(guò)程。脫敏控制策略旨在確保隱私信息在跨組織、跨系統(tǒng)或跨應(yīng)用流通與共享時(shí)，相關(guān)隱私信息處理者的脫敏處理環(huán)節(jié)能得到恰當(dāng)且有效的控制，最大程度保護(hù)個(gè)人隱私權(quán)益。5.3.3脫敏算法選擇執(zhí)行脫敏算法選擇執(zhí)行是指，根據(jù)獲取的脫敏控制策略，結(jié)合原始信息中的隱私信息、信息模態(tài)、應(yīng)用場(chǎng)景等因素，篩選確定合適的脫敏算法集合，并據(jù)此對(duì)原始信息中的隱私信息進(jìn)行按需脫敏。脫敏算法執(zhí)行完畢后，對(duì)脫敏數(shù)據(jù)進(jìn)行脫敏效果評(píng)估，判斷是否滿足脫敏要求。若脫敏效果未及預(yù)期，則對(duì)脫敏算法集合中的脫敏算法及其參數(shù)進(jìn)行更新調(diào)整。隱私信息處理者可根據(jù)脫敏效果評(píng)估結(jié)果，執(zhí)行多次脫敏，直至達(dá)到預(yù)期效果。按需脫敏具體流程參見附錄B。5.3.4控制策略可控傳遞控制策略可控傳遞是指，在數(shù)據(jù)流通與共享過(guò)程中，脫敏控制策略能跟隨共享數(shù)據(jù)在不同隱私信息處理者之間安全、可靠且有序的傳輸?？刂撇呗钥煽貍鬟f過(guò)程不僅要求保護(hù)共享數(shù)據(jù)的完整性以及機(jī)密性，還需確保脫敏控制策略在傳遞過(guò)程中不被未經(jīng)授權(quán)的篡改或泄露，同時(shí)保證策略能夠準(zhǔn)確無(wú)誤地到達(dá)指定的隱私信息接收者。5.3.5控制策略迭代調(diào)整控制策略迭代調(diào)整是指，脫敏控制策略在不同隱私信息處理者之間流轉(zhuǎn)時(shí)，能隨著應(yīng)用場(chǎng)景等因素變化而正確的更新調(diào)整，避免隱私保護(hù)的短板效應(yīng)，確保隱私保護(hù)效果的一致性。該過(guò)程主要關(guān)注于脫敏控制策略在不同隱私信息處理者之間的傳遞過(guò)程中，根據(jù)實(shí)際應(yīng)用場(chǎng)景的變化、脫敏效果的評(píng)估結(jié)果以及各個(gè)隱私信息處理者的脫敏意圖，對(duì)脫敏控制策略的內(nèi)容進(jìn)行適時(shí)、合理的調(diào)整。6T/CSACXXXX—XXXX圖2隱私信息處理者的脫敏控制流程5.3.6策略執(zhí)行可信驗(yàn)證7T/CSACXXXX—XXXX策略執(zhí)行可信驗(yàn)證是指，隱私信息提供者驗(yàn)證脫敏控制策略在傳遞至隱私信息接受者后，能夠被完整正確地執(zhí)行。這一過(guò)程通過(guò)一系列驗(yàn)證措施，保障隱私信息處理者能夠確信隱私信息接受者已遵循既定的控制策略要求，從而維護(hù)數(shù)據(jù)流通與共享過(guò)程中的隱私保護(hù)完整性和合規(guī)性。5.3.7脫敏控制過(guò)程存證脫敏控制過(guò)程存證是指，對(duì)脫敏控制各環(huán)節(jié)的執(zhí)行過(guò)程、操作記錄、生成結(jié)果等信息進(jìn)行日志存證，為后續(xù)完備刪除和主被動(dòng)監(jiān)管等隱私信息全生命周期、全流程的保護(hù)提供良好的存證基礎(chǔ)。脫敏過(guò)程存證包括脫敏控制執(zhí)行過(guò)程存證和脫敏控制策略傳遞存證。6脫敏控制通用技術(shù)要求6.1脫敏控制策略生成脫敏控制策略生成使用自然語(yǔ)言處理、形式化分析等技術(shù)，按照前序隱私信息提供者和當(dāng)前隱私信息處理者的脫敏意圖，產(chǎn)生計(jì)算機(jī)程序可處理的脫敏控制策略。此過(guò)程宜遵守以下要求：a)針對(duì)隱私信息被首次流轉(zhuǎn)的應(yīng)用場(chǎng)景，支持隱私信息所有者導(dǎo)入脫敏意圖；b)針對(duì)隱私信息非首次流轉(zhuǎn)的應(yīng)用場(chǎng)景，支持通過(guò)前序的隱私信息所有者、隱私信息提供者或隱私信息處理者的脫敏控制策略，獲得脫敏意圖；c)隱私信息所有者向隱私信息處理者提供脫敏意圖的時(shí)機(jī)，包括但不限于：隱私信息收集之前獲取、隱私信息收集之后獲取、數(shù)據(jù)流通與共享之前獲取等方式；d)根據(jù)脫敏意圖，生成脫敏要求，其內(nèi)容應(yīng)包括但不限于：脫敏意圖標(biāo)識(shí)、獲取與調(diào)整脫敏意圖方式、脫敏意圖來(lái)源、脫敏級(jí)別等；e)通過(guò)自然語(yǔ)言處理等技術(shù)，對(duì)獲取的脫敏意圖進(jìn)行解析，并結(jié)合隱私信息模態(tài)、隱私信息接收者的隱私保護(hù)能力、應(yīng)用場(chǎng)景等因素，生成脫敏控制策略；f)脫敏控制策略的內(nèi)容包括但不限于：原始信息中待脫敏敏感信息、脫敏算法集合及其參數(shù)、獲取原始信息的過(guò)程中的相關(guān)信息，以及原始信息在傳輸?shù)疆?dāng)前主體之前經(jīng)過(guò)的脫敏流程和相關(guān)信息；g)采用數(shù)字簽名技術(shù)對(duì)脫敏控制策略進(jìn)行簽名，確保其內(nèi)容的真實(shí)性和不可篡改性。簽名過(guò)程應(yīng)使用安全可靠的密鑰管理機(jī)制，保障簽名的有效性；h)脫敏控制策略采用底層系統(tǒng)無(wú)關(guān)的標(biāo)準(zhǔn)化描述，支持脫敏控制策略的跨系統(tǒng)傳遞。6.2控制策略可控傳遞控制策略可控傳遞采用密碼學(xué)技術(shù)保障脫敏控制策略在隱私信息提供者和隱私信息接收者之間傳遞過(guò)程中的完整性、機(jī)密性、不可剝離性、不可抵賴性和保護(hù)一致性。此過(guò)程宜遵守以下要求：a)完整性，利用消息驗(yàn)證碼等技術(shù)，保證脫敏控制策略在傳遞過(guò)程中不可被非授權(quán)方式更改或破壞；b)機(jī)密性，可采用密碼技術(shù)對(duì)脫敏控制策略進(jìn)行加密保護(hù)，保證脫敏控制策略不可被未授權(quán)的第三方解析，避免脫敏控制策略被非法獲取而導(dǎo)致的隱私泄露；c)不可剝離性，采用可信執(zhí)行環(huán)境、密碼學(xué)等技術(shù)將脫敏控制策略嵌入被交換隱私信息中，并保證控制策略和隱私信息的關(guān)聯(lián)關(guān)系不能被破壞；d)不可抵賴性，采用數(shù)字簽名技術(shù)對(duì)脫敏控制策略進(jìn)行處理，保證脫敏控制策略來(lái)源的真實(shí)性，避免隱私信息處理者否認(rèn)其前序隱私信息提供者所生成的脫敏控制策略；8T/CSACXXXX—XXXXe)保護(hù)一致性，隱私信息跨系統(tǒng)交換或采用數(shù)據(jù)使用安全技術(shù)進(jìn)行數(shù)據(jù)聯(lián)合利用時(shí)，對(duì)隱私信息提供者和隱私信息接收者的脫敏算法保護(hù)能力和脫敏效果進(jìn)行關(guān)聯(lián)的保護(hù)量化映射，量化映射關(guān)系存于脫敏控制策略中。6.3控制策略迭代調(diào)整為了支持脫敏控制策略在隱私信息提供者和隱私信息接收者之間流轉(zhuǎn)時(shí)的動(dòng)態(tài)更新，避免因短板效應(yīng)導(dǎo)致的隱私泄露，控制策略迭代動(dòng)態(tài)調(diào)整宜遵守以下要求：a)從接收到的信息中，解析并獲取前序隱私信息處理者嵌入的脫敏控制策略；b)當(dāng)前隱私信息接受者，根據(jù)脫敏控制策略中的脫敏強(qiáng)度等元素，確定脫敏算法集合及其參數(shù)，并更新脫敏控制策略；c)當(dāng)前隱私信息接受者，將隱私信息脫敏后的脫敏效果評(píng)估結(jié)果，記錄于脫敏控制策略；d)根據(jù)后序隱私信息接收者的隱私保護(hù)能力、應(yīng)用場(chǎng)景、數(shù)據(jù)模態(tài)等信息，調(diào)整脫敏要求、脫敏效果期望，并更新脫敏控制策略；e)更新后的脫敏控制策略，連同本級(jí)根據(jù)脫敏控制策略處理過(guò)的脫敏信息，安全地傳遞給后序隱私信息接收者；f)支持在脫敏控制策略中，嵌入部分或全部前序隱私處理者信息，需至少包含前一級(jí)隱私信息處理者的信息；g)若脫敏效果評(píng)估結(jié)論的未達(dá)到脫敏效果期望閾值，則需要調(diào)整脫敏算法集合及其參數(shù)，并更新脫敏控制策略；h)可采用可信環(huán)境等技術(shù)措施，保證脫敏控制策略更新調(diào)整過(guò)程的安全性與可信性。6.4策略執(zhí)行可信驗(yàn)證為驗(yàn)證脫敏控制策略是否被隱私信息接收者完整正確地執(zhí)行，策略執(zhí)行可信驗(yàn)證宜遵守以下要求：a)支持當(dāng)前隱私信息處理者，驗(yàn)證隱私信息傳播鏈上任一后序隱私信息接收者和隱私信息處理者是否按預(yù)期執(zhí)行其脫敏控制策略；b)隱私信息接受者對(duì)脫敏數(shù)據(jù)的脫敏效果評(píng)估結(jié)果，可采用可信日志存證、密碼學(xué)等技術(shù)進(jìn)行處理，支持驗(yàn)證隱私信息接收者是否按照預(yù)期完整正確地執(zhí)行了脫敏控制策略；c)可采用聚合簽名等技術(shù)，保證當(dāng)前隱私信息接收者可驗(yàn)證隱私信息傳播鏈上所有前序隱私信息處理者是否按要求執(zhí)行了脫敏控制策略；d)可將脫敏控制策略生成、解析以及執(zhí)行等功能部署在可信執(zhí)行環(huán)境中，支持脫敏控制策略執(zhí)行的可信驗(yàn)證。6.5脫敏控制過(guò)程存證脫敏控制過(guò)程存證使用審計(jì)日志、數(shù)字簽名等技術(shù)，確保隱私信息在脫敏處理過(guò)程中可追溯、可驗(yàn)證。此過(guò)程宜遵守以下要求：a)在脫敏算法選擇時(shí)，可對(duì)考慮的因素，例如：應(yīng)用場(chǎng)景、信息模態(tài)、后續(xù)隱私信息處理者防護(hù)能力等，進(jìn)行存證，并對(duì)選定的脫敏算法集合進(jìn)行存證；b)對(duì)更新后的脫敏算法控制集合進(jìn)行存證；c)在進(jìn)行脫敏操作時(shí)，可就脫敏操作的執(zhí)行時(shí)間、執(zhí)行者、所采用的脫敏算法集合及相關(guān)參數(shù)等信息進(jìn)行存證；d)在接收原始信息時(shí)，可對(duì)接收到原始信息中含有的脫敏控制策略信息進(jìn)行存證；e)在將脫敏控制策略傳遞給下游隱私信息控制者時(shí)，對(duì)脫敏控制策略內(nèi)容、相關(guān)信息等進(jìn)行存證；T/CSACXXXX—XXXXf)在接收到脫敏控制策略時(shí)，對(duì)其來(lái)源進(jìn)行可信認(rèn)證，并在正確接收之后，給予確認(rèn)消息，并對(duì)確認(rèn)信息進(jìn)行存證。7脫敏控制的合規(guī)性驗(yàn)證的技術(shù)要求7.1脫敏控制策略生成合規(guī)性驗(yàn)證脫敏控制策略生成合規(guī)性驗(yàn)證，宜遵守以下要求：a)支持對(duì)獲取的脫敏意圖和生成的脫敏要求進(jìn)行匹配性驗(yàn)證，以驗(yàn)證脫敏意圖理解過(guò)程的合規(guī)性；b)采用形式化分析技術(shù)，對(duì)脫敏控制策略進(jìn)行驗(yàn)證，確保策略完全符合脫敏要求，且策略內(nèi)部的各項(xiàng)內(nèi)容之間不存在邏輯沖突或執(zhí)行上的障礙。7.2控制策略可控傳遞合規(guī)性驗(yàn)證控制策略可控傳遞合規(guī)性驗(yàn)證，宜遵守以下要求：a)隱私信息處理者在將脫敏控制策略傳遞給下一隱私信息處理者時(shí)，對(duì)脫敏控制策略內(nèi)容進(jìn)行存證；b)隱私信息處理者在將脫敏控制策略傳遞給下一隱私信息處理者時(shí)，對(duì)隱私信息接受者的身份進(jìn)行驗(yàn)證。7.3控制策略迭代調(diào)整合規(guī)性驗(yàn)證控制策略迭代調(diào)整合規(guī)性驗(yàn)證，宜遵守以下要求：a)支持對(duì)脫敏意圖和對(duì)應(yīng)的脫敏控制策略進(jìn)行匹配性驗(yàn)證；b)支持獲取原始信息中含有的脫敏控制策略，以及脫敏操作過(guò)程實(shí)際采用的脫敏控制策略，并對(duì)比上述兩者之間的一致性。7.4策略執(zhí)行可信驗(yàn)證合規(guī)性驗(yàn)證策略執(zhí)行可信驗(yàn)證合規(guī)性驗(yàn)證，宜遵守以下要求：a)對(duì)生成日志等記錄進(jìn)行審查，確保脫敏控制策略執(zhí)行可信驗(yàn)證的完備性，并能追溯到具體的隱私信息處理者；b)所有驗(yàn)證過(guò)程及結(jié)果按照要求格式進(jìn)行保存和歸檔，以便后續(xù)審計(jì)和責(zé)任追溯。7.5脫敏控制過(guò)程存證合規(guī)性驗(yàn)證脫敏控制存證合規(guī)性驗(yàn)證，宜遵守以下要求：a)按照章節(jié)6.5的技術(shù)要求，對(duì)脫敏控制全程進(jìn)行存證；b)提供存證合規(guī)驗(yàn)證接口，對(duì)存證過(guò)程的合規(guī)性進(jìn)行驗(yàn)證。8脫敏控制監(jiān)管接口的技術(shù)要求8.1存證接口的技術(shù)要求8.1.1自存證接口技術(shù)要求T/CSACXXXX—XXXX脫敏控制自存證的接口，支持將脫敏控制過(guò)程產(chǎn)生的日志信息，寫入本地存儲(chǔ)系統(tǒng)。在設(shè)計(jì)和實(shí)現(xiàn)上，對(duì)自存證接口的要求如下：a)上報(bào)處理數(shù)據(jù)請(qǐng)求的接口平臺(tái)支持跨平臺(tái)使用，支持Windows、Linux等常用操作系統(tǒng)；b)上報(bào)處理數(shù)據(jù)請(qǐng)求的傳輸方式應(yīng)采用標(biāo)準(zhǔn)的傳輸協(xié)議，包括不限于RESTAPI、消息系統(tǒng)、TCP/UDP等標(biāo)準(zhǔn)協(xié)議；c)上報(bào)處理數(shù)據(jù)請(qǐng)求的內(nèi)容應(yīng)采用結(jié)構(gòu)化或半結(jié)構(gòu)化格式，包括不限于JSON、XML等格式；d)上報(bào)存證信息的內(nèi)容應(yīng)附有自身的簽名，以確定存證信息來(lái)源；e)上報(bào)處理數(shù)據(jù)請(qǐng)求的內(nèi)容應(yīng)至少包括存證摘要、信息模態(tài)、目的、處理時(shí)間、處理方式、處理結(jié)果、操作人員/組織等相關(guān)操作日志。8.1.2主管監(jiān)管機(jī)構(gòu)存證接口脫敏控制的自存證系統(tǒng)向主管監(jiān)管機(jī)構(gòu)上報(bào)必要存證信息,以便在出現(xiàn)脫敏控制違規(guī)事件時(shí)進(jìn)行取證與溯源分析。在設(shè)計(jì)和實(shí)現(xiàn)上，對(duì)主管監(jiān)管機(jī)構(gòu)存證接口要求如下：a)向所屬主管監(jiān)管機(jī)構(gòu)上報(bào)存證信息，應(yīng)遵循最少必要原則，即在本地存儲(chǔ)全部存證信息，向所屬主管監(jiān)管機(jī)構(gòu)上報(bào)取證、溯源所需的最少必要信息；b)向所屬主管監(jiān)管機(jī)構(gòu)上報(bào)存證信息之前,應(yīng)就上報(bào)內(nèi)容、采用協(xié)議等信息，進(jìn)行確認(rèn)；c)隱私信息處理者和所屬監(jiān)管機(jī)構(gòu)之間的存證信息傳輸，所采用的通信協(xié)議應(yīng)具備低開銷、防篡改、抗抵賴的安全特性，保障證據(jù)信息的完整性、真實(shí)性和可靠性；d)主管監(jiān)管機(jī)構(gòu)對(duì)隱私信息處理者采用事中檢查機(jī)制，確保數(shù)據(jù)處理行為合法合規(guī)。8.2通報(bào)與處置接口的技術(shù)要求當(dāng)流轉(zhuǎn)脫敏的過(guò)程中出現(xiàn)違反脫敏控制的事件之時(shí)，在事件通報(bào)方面，對(duì)相關(guān)主體的要求如下：a)在發(fā)生脫敏控制違規(guī)事件后，應(yīng)根據(jù)事件的影響程度，及時(shí)向應(yīng)用關(guān)聯(lián)的單位、機(jī)構(gòu)、主管部門或國(guó)家相關(guān)部門報(bào)送事件信息。報(bào)送的事件信息包括但不限于：發(fā)現(xiàn)事件的人員、時(shí)間、地點(diǎn)，涉及的隱私信息，發(fā)生事件的系統(tǒng)名稱，對(duì)其他互聯(lián)系統(tǒng)的影響等；b)發(fā)生違規(guī)事件的單位應(yīng)提供相關(guān)接口，配合主管監(jiān)管機(jī)構(gòu)或者國(guó)家相關(guān)部門完成事件調(diào)查和溯源；c)具體通報(bào)詳細(xì)要求參見團(tuán)體標(biāo)準(zhǔn)《侵權(quán)事件通報(bào)與協(xié)查技術(shù)要求》（T/CSACXXXX-YYYY）。8.2.1脫敏控制違規(guī)事件通報(bào)接口出現(xiàn)脫敏控制違規(guī)事件后，在遵守《侵權(quán)事件通報(bào)與協(xié)查技術(shù)要求》（T/CSACXXXX-YYYY）的基礎(chǔ)上，對(duì)涉事隱私信息處理者的要求如下：a)涉事隱私信息處理者，應(yīng)對(duì)違反脫敏控制事件的影響程度展開評(píng)估，及時(shí)向應(yīng)用關(guān)聯(lián)的單位、機(jī)構(gòu)，主管部門或國(guó)家相關(guān)部門通報(bào)違規(guī)事件信息；b)通報(bào)事件信息包括但不限于：發(fā)現(xiàn)事件的人員、時(shí)間、地點(diǎn)，涉及的隱私信息，脫敏意圖，違規(guī)類型等；c)涉事隱私信息處理者,應(yīng)提供相關(guān)取證接口，配合主管監(jiān)管機(jī)構(gòu)或者其他相關(guān)部門完成事件調(diào)d)涉事隱私信息處理者提供的取證接口，應(yīng)支持主管監(jiān)管機(jī)構(gòu)獲取存證信息，開展違規(guī)事件調(diào)查和問(wèn)題溯源。8.2.2脫敏控制違規(guī)事件處置接口T/CSACXXXX—XXXX針對(duì)脫敏控制違規(guī)事件的處置，在遵守《侵權(quán)事件通報(bào)與協(xié)查技術(shù)要求》（T/CSACXXXX-YYYY）的基礎(chǔ)上，對(duì)涉事隱私信息處理者的要求如下：a)脫敏控制違規(guī)事件導(dǎo)致隱私信息所有者個(gè)人信息權(quán)益受到侵害時(shí)，應(yīng)依照相關(guān)法律規(guī)定及時(shí)告知隱私信息所有者；b)脫敏控制違規(guī)事件發(fā)生后，應(yīng)提供相關(guān)接口，允許隱私信息處理者刪除相關(guān)隱私信息；c)脫敏控制違規(guī)事件發(fā)生后，涉事隱私信息處理者，應(yīng)按照脫敏控制策略，重新進(jìn)行本地收斂脫敏。T/CSACXXXX—XXXX脫敏控制示例A.1概述本附錄以版式文檔為例，介紹脫敏控制流程，重點(diǎn)針對(duì)脫敏控制策略生成、脫敏算法選擇執(zhí)行等環(huán)節(jié)進(jìn)行了介紹，供脫敏控制系統(tǒng)設(shè)計(jì)者參考。版式文檔包含不同信息模態(tài)的隱私信息。不同的隱私信息處理者，通過(guò)即時(shí)通信系統(tǒng)，進(jìn)行版式文檔的流轉(zhuǎn)共享。在版式文檔流轉(zhuǎn)共享過(guò)程中，采用脫敏控制保護(hù)版式文檔中的隱私信息。該問(wèn)題可以形式化描述為如下：含有隱私信息的版式文檔X，分享者s，脫敏控制策略P，其中，X={X1,X2,…,Xk,…,Xn}由n個(gè)信息分量組成，每個(gè)信息分量Xk的組成內(nèi)容是Xk=c,A,Γ,Ω,Ψ,P,其中，c是信息分量的內(nèi)容，A是隱私屬性向量（量化隱私信息分量及分量組合的保護(hù)程度），Γ是廣義定位信息集合，Ω是審計(jì)控制信息集合（流轉(zhuǎn)過(guò)程中的主客體信息和被執(zhí)行的操作記錄），Ψ是脫敏控制操作集合（信息分量及其組合可被執(zhí)行的操作P是脫敏控制策略。在信息分享過(guò)程中，si?1將信息分享給si，si再分享給si+1，信息要根據(jù)三者的傳遞關(guān)系和各自接收者的不同，逐漸減少信息所含內(nèi)容。A.2面向版式文檔的跨域脫敏控制示例面向隱私版式文檔的脫敏控制的過(guò)程如下：a)脫敏控制策略生成，該過(guò)程包括脫敏意圖理解和脫敏控制策略生成，具體過(guò)程如下：1)脫敏意圖理解：隱私信息處理者執(zhí)行首次脫敏時(shí)，根據(jù)提供的脫敏意圖生成機(jī)器可識(shí)別、可執(zhí)行的脫敏要求；執(zhí)行迭代脫敏時(shí)，根據(jù)上游隱私信息處理者的脫敏控制策略解析生成相應(yīng)脫敏要求；2)脫敏控制生成：為了滿足脫敏要求，對(duì)分享的版式文檔生成脫敏控制策略P，劃分需脫敏的內(nèi)容。在迭代脫敏過(guò)程中，隱私信息處理者提取已有脫敏控制策略，并結(jié)合當(dāng)前分享者的屬性和接收者的隱私保護(hù)能力，生成新的脫敏控制策略。針對(duì)信息分量Xk，根據(jù)已有脫敏控制策略Xk.Pexist，結(jié)合當(dāng)前分享者si的屬性和接收者si+1的隱私保護(hù)能力，迭代生成信息分量Xk的第j條脫敏控制策略X_k.P_j、調(diào)整后的脫敏控制策略Xk.Pj以及控制集合調(diào)整動(dòng)作t；b)脫敏算法選擇執(zhí)行，該過(guò)程包括敏感數(shù)據(jù)識(shí)別、脫敏算法選擇、脫敏算法識(shí)別、脫敏效果評(píng)估，具體過(guò)程如下：1)敏感數(shù)據(jù)識(shí)別：使用關(guān)鍵詞匹配、支持向量機(jī)、自然語(yǔ)言處理等信息識(shí)別算法和人工方式，根據(jù)數(shù)據(jù)特征和使用環(huán)境，標(biāo)識(shí)版式文檔中的敏感數(shù)據(jù)，包括其位置和格式。對(duì)數(shù)據(jù)進(jìn)行分類分級(jí)，明確隱私數(shù)據(jù)的類別和敏感級(jí)別；2)脫敏算法選擇：根據(jù)脫敏控制策略、信息分量類別及敏感級(jí)別，確定脫敏效果期望。遍歷已有脫敏算法集合Ψ及其參數(shù)，評(píng)估各算法的脫敏效果。再根據(jù)期望和評(píng)估結(jié)果，通過(guò)映射表或機(jī)器學(xué)習(xí)，選擇候選脫敏算法，構(gòu)建與脫敏控制策略對(duì)應(yīng)的脫敏算法集合；3)脫敏算法執(zhí)行：基于脫敏控制策略X.P，對(duì)版式文檔X中的每個(gè)信息分量Xk，在不同信息模態(tài)下執(zhí)行脫敏算法。針對(duì)不同的信息模態(tài)（如圖像、文字等根據(jù)保護(hù)策略實(shí)施差異化脫敏控制。針對(duì)分享方向，確定文檔需要部分過(guò)濾、全部過(guò)濾或完全放行的交換邊界控制。針對(duì)本地設(shè)備模式，確定文檔的顯示、復(fù)制、粘貼等本地使用控制方式；4)脫敏效果評(píng)估：完成脫敏后，進(jìn)行質(zhì)量檢查以確保文檔保持可用性且不含敏感信息。利用深度學(xué)習(xí)模型檢測(cè)可能的隱私泄露，同時(shí)使用數(shù)據(jù)質(zhì)量評(píng)估工具確保數(shù)據(jù)準(zhǔn)確性和一T/CSACXXXX—XXXX致性。應(yīng)用差分隱私評(píng)估保護(hù)措施，同時(shí)實(shí)時(shí)評(píng)估隱私信息接收者的防護(hù)能力，以確保個(gè)人數(shù)據(jù)得到有效保護(hù)；c)控制策略可控傳遞，該過(guò)程包括控制策略可控傳輸?shù)谋Ｃ苄詫?shí)現(xiàn)、真實(shí)性實(shí)現(xiàn)、安全性實(shí)現(xiàn)，具體過(guò)程如下：1)保密性：使用SM2等加密技術(shù)確?？刂撇呗栽趥鬏斶^(guò)程中的保密性，實(shí)施基于角色的訪問(wèn)控制，僅授權(quán)的隱私信息接收者能解密和訪問(wèn)策略；2)真實(shí)性：利用數(shù)字簽名確認(rèn)策略的真實(shí)性，詳細(xì)記錄傳輸過(guò)程以保證透明性和追溯性；3)安全性：采用可信執(zhí)行環(huán)境技術(shù)保障傳輸和處理過(guò)程的安全性；d)控制策略迭代調(diào)整，該過(guò)程包括脫敏控制策略解析、更新、防篡改，具體過(guò)程如下：1)脫敏控制策略解析：利用自然語(yǔ)言處理技術(shù)解析前序隱私信息處理者嵌入的脫敏控制策略，生成操作性強(qiáng)的脫敏控制策略；2)脫敏控制策略更新：通過(guò)規(guī)則引擎，根據(jù)隱私信息接收者的隱私保護(hù)能力、應(yīng)用場(chǎng)景和數(shù)據(jù)模態(tài)等動(dòng)態(tài)更新脫敏控制策略；3)脫敏控制策略防篡改：利用RSA數(shù)字簽名技術(shù)對(duì)更新后的脫敏控制策略進(jìn)行簽名，以確保策略的真實(shí)性和防篡改性；e)策略執(zhí)行可信驗(yàn)證，該過(guò)程包括策略執(zhí)行遠(yuǎn)程驗(yàn)證、審計(jì)日志記錄、傳播鏈驗(yàn)證，具體過(guò)程如下：1)遠(yuǎn)程驗(yàn)證：使用遠(yuǎn)程驗(yàn)證技術(shù)，確保隱私信息接收者能驗(yàn)證后序隱私信息處理者是否按預(yù)期執(zhí)行了脫敏控制策略；2)審計(jì)日志記錄：通過(guò)安全審計(jì)日志系統(tǒng)記錄和分析隱私信息處理過(guò)程中的所有操作，保證脫敏控制策略執(zhí)行的透明性和可追溯性；3)傳播鏈驗(yàn)證：采用聚合簽名技術(shù)，確保隱私信息接收者能驗(yàn)證傳播鏈上所有前序隱私信息處理者的脫敏控制策略執(zhí)行情況；f)脫敏過(guò)程存證，該過(guò)程包括脫敏過(guò)程日志存證、存證記錄防篡改，具體過(guò)程如下：1)脫敏過(guò)程日志存證：使用日志記錄工具建立詳細(xì)的存證日志，記錄數(shù)據(jù)脫敏的各個(gè)階段活動(dòng)，包括數(shù)據(jù)采集、脫敏方法、執(zhí)行時(shí)間、執(zhí)行者身份等信息；2)存證記錄防篡改：采用開源或商業(yè)數(shù)字簽名工具確保存證記錄的完整性和真實(shí)性，用于簽署存證日志文件，以驗(yàn)證其未被篡改。T/CSACXXXX—XXXX按需脫敏過(guò)程示例B.1概述在網(wǎng)約車出行服務(wù)系統(tǒng)中，會(huì)涉及大量的用戶隱私信息，例如：位置數(shù)據(jù)、行程詳情、銀行賬號(hào)和個(gè)人習(xí)慣等。出行服務(wù)系統(tǒng)在日常運(yùn)營(yíng)中，會(huì)針對(duì)上述敏感個(gè)人信息進(jìn)行采集、脫敏、計(jì)算、共享和刪除等各種操作，若處理不當(dāng)，可能會(huì)導(dǎo)致嚴(yán)重的隱私泄露。在脫敏控制的協(xié)同下，按需脫敏可針對(duì)業(yè)務(wù)系統(tǒng)不同階段的隱私信息跨域流轉(zhuǎn)提供按需隱私保護(hù)能力，支撐在不泄露用戶具體數(shù)據(jù)的前提下，實(shí)現(xiàn)數(shù)據(jù)的有效利用。本附錄以出行服務(wù)系統(tǒng)的數(shù)據(jù)流轉(zhuǎn)為例，介紹了按需脫敏在不同數(shù)據(jù)流轉(zhuǎn)場(chǎng)景的示例及使用方法，供設(shè)計(jì)開發(fā)脫敏控制以及按需脫敏功能時(shí)參考。B.2按需脫敏操作過(guò)程示例當(dāng)出行服務(wù)結(jié)束后，出行服務(wù)過(guò)程中收集的隱私信息被上傳至后臺(tái)信息服務(wù)系統(tǒng)。此階段后數(shù)據(jù)流轉(zhuǎn)過(guò)程如圖B.1所示。出行服務(wù)系統(tǒng)在符合個(gè)人信息保護(hù)要求的條件下，結(jié)合具體的業(yè)務(wù)內(nèi)容，可以在本系統(tǒng)內(nèi)合規(guī)地脫敏、存儲(chǔ)、使用和刪除收集的個(gè)人信息，也可以在同機(jī)構(gòu)跨系統(tǒng)、跨機(jī)構(gòu)跨系統(tǒng)等場(chǎng)景下進(jìn)行隱私信息流轉(zhuǎn)。圖B.1出行服務(wù)數(shù)據(jù)流轉(zhuǎn)示意圖B.3出行服務(wù)系統(tǒng)B.3.1導(dǎo)航過(guò)程中在導(dǎo)航過(guò)程中出行服務(wù)數(shù)據(jù)可以不脫敏，原始出行數(shù)據(jù)示見表B.1。T/CSACXXXX—XXXX表B.1原始出行數(shù)據(jù)示例39653702256591538053089558802330廣西壯族自治區(qū)玉林市北流市塘岸收費(fèi)站廣西壯族自治區(qū)玉林市北39008618992441074060559558802261四川省攀枝花市東區(qū)四川省攀枝花市東區(qū)新宏25731670114955722348119558802261重慶市城口縣復(fù)興街道太和社區(qū)銀子巖隧道龍城宏翰復(fù)興派出所(城口縣復(fù)興街道社重慶市城口縣城口縣朱家溝23317595240281881834476222002261廣西壯族自治區(qū)崇左廣西壯族自治區(qū)崇左市天等縣天寶路西100米古鼎B.3.2導(dǎo)航結(jié)束后在導(dǎo)航結(jié)束后，根據(jù)隱私信息所有者設(shè)定的脫敏要求，出行服務(wù)提供商，即隱私信息處理者，針對(duì)不同模態(tài)信息采用適合的脫敏算法集合處理。例如：為了保護(hù)用戶隱私，通過(guò)匿名化處理方法對(duì)移動(dòng)電話號(hào)碼、支付信息等隱私信息進(jìn)行保護(hù)，達(dá)到對(duì)可標(biāo)識(shí)到具體個(gè)人的信息匿名化處理。在位置信息等發(fā)送到服務(wù)器前，本地設(shè)備可通過(guò)實(shí)施差分隱私技術(shù)添加隨機(jī)噪聲。例如，對(duì)于出發(fā)地、目的地等位置