版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)
文檔簡介
1T/CSACXXXX—XXXX隱私計算總體框架本文件描述了隱私保護(hù)的目標(biāo)、隱私信息全生命周期過程的計算操作,給出了隱私計算總體框架和參與者,描述了隱私信息抽取與度量、隱私度量動態(tài)調(diào)整、隱私延伸控制、隱私按需保護(hù)、保護(hù)效果評估、存證與取證等框架核心組件的功能。本文件適用于數(shù)據(jù)泛在流通與共享過程中隱私信息全生命周期保護(hù)、跨平臺/跨系統(tǒng)/跨域流通利用的隱私延伸控制、隱私按需保護(hù)、保護(hù)效果評估等,適用于互聯(lián)網(wǎng)、通信等領(lǐng)域的企業(yè)為主體的個人信息處理者、個人信息保護(hù)產(chǎn)品提供商、產(chǎn)品評測機(jī)構(gòu)、個人信息保護(hù)合規(guī)審計評估機(jī)構(gòu)、認(rèn)證監(jiān)管機(jī)構(gòu)等,為隱私信息保護(hù)、隱私計算服務(wù)安全評估提供參考。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中,注日期的引用文件,僅該日期對應(yīng)的版本適用于本文件;不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。GB/T25069-2022信息安全技術(shù)術(shù)語GB/T31500-2015信息安全技術(shù)存儲介質(zhì)數(shù)據(jù)恢復(fù)服務(wù)要求GB/T35273-2020信息安全技術(shù)個人信息安全規(guī)范GB/T37988-2019信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型GB/T37964-2019信息安全技術(shù)個人信息去標(biāo)識化指南3術(shù)語和定義GB/T25069-2022界定的以及下列術(shù)語和定義適用于本文件。3.1個人信息personalinformation以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息,包含個人信息本身及其衍生信息,不包括匿名化處理后的信息。[來源:GB/T35273—2020,3.1,有修改]3.2標(biāo)識符identity可以明顯識別記錄主體身份的屬性集合,包括姓名、電話號碼、身份證號碼等信息。3.3組合起來可以識別記錄主體身份的屬性集合,包括年齡、性別、郵編等信息。3.4隱私信息privateinformation2T/CSACXXXX—XXXX能通過信息系統(tǒng)進(jìn)行處理的敏感個人信息,是個人信息記錄中的標(biāo)識符、準(zhǔn)標(biāo)識符和敏感屬性的集合。注:隱私信息包括個人生物特征信息、銀行賬號、通健康生理信息、交易信息、14歲以下(含)3.5隱私計算privacycomputing面向隱私信息全生命周期保護(hù)的計算理論、方法和技術(shù),涵蓋了收集、脫敏、存儲、使用、交換、刪除、存證與取證等全生命周期過程的所有計算操作,包含處理視頻、音頻、圖像、圖形、文字、數(shù)值、泛在網(wǎng)絡(luò)行為信息流等信息時,對所涉及的隱私信息進(jìn)行描述、度量、控制、脫敏、使用、評價、刪除等處理。3.6敏感屬性privateattribute信息載體中含有敏感個人信息的屬性,泄露、修改或破壞該屬性值會對個人權(quán)益產(chǎn)生影響。注:在潛在的重標(biāo)識攻擊期間需要防止其值與任何一個隱私信息主體相關(guān)聯(lián)。[來源:GB/T37964-2019,3.10]3.7隱私信息向量privateinformationvector隱私信息提取的輸出結(jié)果,由一個向量標(biāo)識和若干隱私信息分量組成,隱私信息分量是指具有一定語義的、彼此之間互不相交的原子隱私信息。3.8約束條件集合constraintconditionset由隱私信息分量對應(yīng)的約束條件向量組成的集合,用于描述在不同場景下實體訪問隱私信息分量所需的訪問權(quán)限,或者使用隱私信息分量時的操作限制要求。3.9隱私屬性向量privateattributevector由隱私屬性分量組成,用于量化隱私信息分量及分量組合的敏感度或者期望保護(hù)程度。注:在實際應(yīng)用時針對不同場景,不同隱私信息分量可進(jìn)行加權(quán)動態(tài)3.10廣義定位信息集合generalizedlocatinginformationset由廣義定位信息向量組成的集合,廣義定位信息向量是由隱私信息分量在信息中的位置信息和屬性信息組成。3.11審計控制信息集合auditcontrolinformationset由傳播過程中具體的審計控制向量組成的集合,用于記錄隱私信息分量在流轉(zhuǎn)過程中的主客體信息和被執(zhí)行的操作。3.12傳播控制操作集合circulationcontroloperationset3T/CSACXXXX—XXXX由傳播控制操作向量組成的集合,用于描述隱私信息分量及其組合的流轉(zhuǎn)限制要求、可被執(zhí)行的操作限制要求。3.13隱私信息所有者privateinformationowner隱私信息所標(biāo)識或者關(guān)聯(lián)的自然人、組織、設(shè)備或程序等實體。3.14隱私信息提供者privateinformationprovider向其他自然人、組織、設(shè)備或程序提供隱私信息的實體。3.15隱私信息發(fā)布者privateinformationpublisher基于向特定或所有公眾自由訪問的目的,向其他自然人、組織、設(shè)備或程序提供隱私信息的實體。3.16隱私信息接收者privateinformationrecipient接收其他自然人、組織、設(shè)備或程序提供的隱私信息的實體。3.17隱私信息轉(zhuǎn)發(fā)者privateinformationforwarder接收其他自然人、組織、設(shè)備或程序提供的隱私信息的實體,該實體對接收到的隱私信息經(jīng)過使用、或迭代脫敏、或保持原樣轉(zhuǎn)發(fā)給其他隱私信息接收者。3.18隱私信息使用者privateinformationuser對接收到的隱私信息進(jìn)行統(tǒng)計、加工、模型訓(xùn)練等操作的實體。3.19隱私信息收集者privateinformationcollector從隱私信息所有者、隱私信息提供者或其他公開渠道獲取隱私信息的實體。3.20隱私信息刪除者privateinformationremover對持有的隱私信息執(zhí)行刪除操作的實體。3.21隱私信息處理者privateinformationprocessor對隱私信息進(jìn)行收集、存儲、使用、加工、傳輸、提供、公開、刪除、脫敏、存證與取證等操作的實體。3.22延伸控制extendedcontrol在數(shù)據(jù)流通與共享過程中,收集、存儲、使用、加工、傳輸、提供、公開、刪除、脫敏、存證與取證等環(huán)節(jié)的隱私操作迭代控制、控制策略動態(tài)調(diào)整、控制策略可控傳遞,以及控制策略執(zhí)行可信驗證。3.23脫敏要求desensitizationrequirements待脫敏的隱私信息的脫敏等級、脫敏時機(jī)、脫敏算法及其參數(shù)選擇等約束信息。3.24脫敏算法desensitizationalgorithm通過對隱私信息的技術(shù)處理,使其在不借助額外信息的情況下,無法識別或者關(guān)聯(lián)隱私信息主體。注:脫敏算法包括k-匿名、差分隱私等算法。4T/CSACXXXX—XXXX[來源:GB/T35273—2020,3.15]3.25脫敏效果期望expectationondesensitizationperformance隱私信息執(zhí)行脫敏操作之后所達(dá)到的預(yù)期效果。3.26按需脫敏on-demanddesensitization隱私信息處理者按照隱私信息的延伸控制要求進(jìn)行脫敏的過程。3.27可逆性reversibility被脫敏掉的隱私信息被復(fù)原的可能性。3.28泛化generalization將一類屬性中的特定值用一個更寬泛的值代替,以更概括、抽象的方式描述數(shù)據(jù)。注:泛化技術(shù)包括替換、取整、K-匿名、模糊化、概化等手段。[來源:GB/T37964—2019,A.5.1,有修改]3.29抑制suppression將某個屬性、屬性的值或者屬性值的一部分進(jìn)行刪除或者以特定的符號代替。3.30解耦和置換anatomizationandpermutation去除準(zhǔn)標(biāo)識符和敏感屬性間的關(guān)聯(lián)性,而不改變準(zhǔn)標(biāo)識符或敏感屬性的值。3.31擾動perturbation用合成的數(shù)據(jù)值取代原始的數(shù)據(jù)值,改變后的數(shù)據(jù)與真實數(shù)據(jù)主體失去關(guān)聯(lián)性。3.32差分隱私differentialprivacy通過擾動的方式對個人隱私信息進(jìn)行脫敏,且擾動添加的噪聲類型和參數(shù)滿足差分的數(shù)學(xué)定義。3.33信息偏差性informationdeviation脫敏算法執(zhí)行前后,可觀測到的脫敏信息與原始信息的偏差。3.34信息損失性informationloss信息被不可逆的脫敏算法作用后,隱私信息損失部分對可用性的影響程度。3.35信息可用性informationusability在隱私信息進(jìn)行脫敏操作后,其在具體應(yīng)用場景中的可用程度。3.36復(fù)雜性complexity執(zhí)行脫敏算法所需要的資源開銷。注:復(fù)雜性通常用時間開銷和空間開銷表示。5T/CSACXXXX—XXXX3.37脫敏效果評估desensitizationperformanceevaluation隱私信息脫敏后,在可逆性、信息偏差性、信息損失性等方面進(jìn)行量化評估。3.38刪除delete采用訪問控制、消磁、物理破壞等技術(shù)或措施,使得信息不能被訪問或被檢索,或者從物理上去除了信息并保障其難以恢復(fù)的操作。注:刪除包括不能被訪問或被檢索、全部物理刪除或部分物理刪除。[來源:GB/T35273—2020,3.10,有修改]3.39刪除對象deletedobject刪除操作的客體。注:刪除對象包括個人信息的正本信息、副本信息、正本信息的一部3.40刪除等級deletelevel刪除對象可恢復(fù)程度和難度的量化分級。3.41數(shù)據(jù)恢復(fù)datarecovery通過專門的計算機(jī)軟件、硬件等技術(shù),從刪除對象曾經(jīng)留存過的存儲系統(tǒng)或介質(zhì)中,重建被刪除對象的過程。4縮略語下列縮略語適用于本文件。JSON:JavaScript對象標(biāo)記(JavaScriptObjectNotation)RAID:獨立磁盤冗余陣列(RedundantArrayofIndependentDisks)XML:可擴(kuò)展標(biāo)記語言(ExtensibleMarkupLanguage)5概述5.1隱私計算概述5.1.1隱私保護(hù)的目標(biāo)針對隱私信息在多個信息系統(tǒng)中跨系統(tǒng)泛在傳播,隱私保護(hù)需要達(dá)到如下主要目標(biāo):a)支持一致性保護(hù),隱私信息在多個信息系統(tǒng)保存時,如果由于某個信息系統(tǒng)保護(hù)能力偏弱而導(dǎo)致隱私泄露,其他信息系統(tǒng)隱私保護(hù)能力再強(qiáng)也失去意義,即存在短板效應(yīng)和一損俱損的風(fēng)險,需要解決多信息系統(tǒng)對隱私信息的一致性保護(hù)問題;b)支持多次傳播的延伸控制,由于缺乏隱私信息傳播的延伸控制,隱私信息接收者對隱私信息不受控的后續(xù)傳播將導(dǎo)致隱私泄露,需要通過延伸控制機(jī)制解決多次傳播場景下的受控利用;6T/CSACXXXX—XXXXc)支持隱私按需保護(hù),數(shù)據(jù)流通利用時需要對同一隱私信息在同一應(yīng)用場景的不同階段、或者同一隱私信息在不同應(yīng)用場景下實現(xiàn)脫敏粒度差異的按需脫敏或按需刪除,解決隱私信息利用與隱私保護(hù)的平衡問題;d)提供基于保護(hù)效果評估反饋的保護(hù)自適應(yīng)改進(jìn)機(jī)制,隱私脫敏和隱私挖掘博弈相長,信息系統(tǒng)通過保護(hù)效果評估可以動態(tài)調(diào)整脫敏算法及其參數(shù)選擇、刪除方法選擇,在滿足隱私信息利用的前提下提高隱私保護(hù)強(qiáng)度,減少因隱私延伸控制策略長期不變而導(dǎo)致的隱私泄露。5.1.2隱私計算的參與者隱私計算的參與者包括:隱私信息所有者、隱私信息提供者、隱私信息發(fā)布者、隱私信息接收者、隱私信息轉(zhuǎn)發(fā)者、隱私信息使用者、隱私信息收集者、隱私信息刪除者、隱私信息處理者。隱私信息的參與者在隱私計算的過程中對隱私信息進(jìn)行相應(yīng)的隱私信息處理。5.1.3隱私計算與特性數(shù)據(jù)安全是指在數(shù)據(jù)泛在流通與共享過程的各個環(huán)節(jié)中防止用戶對數(shù)據(jù)進(jìn)行非授權(quán)獲取或篡改,數(shù)據(jù)接收方獲得的內(nèi)容與數(shù)據(jù)提供方提供的內(nèi)容完全相同,具體的技術(shù)包括機(jī)密計算、密文計算、安全多方計算等。隱私保護(hù)是指隱私信息在泛在流通與共享過程中進(jìn)行脫敏,使信息產(chǎn)生偏差或去標(biāo)識化,接收方獲得的隱私信息少于提供方的原始隱私信息,具體的技術(shù)包括隱私計算和傳統(tǒng)的隱私保護(hù)技術(shù)(如差分隱私、k-匿名等)。隱私計算是面向隱私信息全生命周期保護(hù)的計算理論、方法和技術(shù),涵蓋了收集、脫敏、存儲、使用、交換、刪除、存證與取證等全生命周期過程的所有計算操作,包含處理視頻、音頻、圖像、圖形、文字、數(shù)值、泛在網(wǎng)絡(luò)行為信息流等信息時,對所涉及的隱私信息進(jìn)行描述、度量、控制、脫敏、使用、評價、刪除等處理。隱私計算是對隱私信息跨系統(tǒng)的全生命周期保護(hù)、全生命周期的延伸控制和按需保護(hù),如差分隱私、k-匿名等傳統(tǒng)的隱私保護(hù)技術(shù)屬于隱私計算范疇,在隱私計算全生命周期的使用環(huán)節(jié)可以采用數(shù)據(jù)安全技術(shù)防止隱私信息的非法獲取或篡改,如實現(xiàn)隱私集合求交、隱匿信息查詢、聯(lián)合統(tǒng)計分析、聯(lián)合建模等部分功能。隱私計算的主要特性包括:a)延伸控制性,是指數(shù)據(jù)泛在流通與共享過程中全生命周期各環(huán)節(jié)隱私操作的迭代控制、控制策略的動態(tài)調(diào)整、控制策略的可控傳遞、控制策略執(zhí)行的可信審計??刂撇呗杂呻[私信息所有者的控制意圖、當(dāng)前隱私信息使用者的控制約束和隱私信息接收者的防護(hù)能力生成,同一隱私信息的控制策略在全生命周期中是差異化的,且隨流轉(zhuǎn)過程同步傳遞不可分割。迭代控制通過泛在流轉(zhuǎn)過程中的差異化控制策略生成與傳遞機(jī)制實現(xiàn),貫穿于隱私信息從收集到刪除的不同流通與共享過程中;b)原子性,在對隱私信息的描述過程中,隱私信息分量是隱私信息的最小度量單位,具有原子性;在此基礎(chǔ)上,多個隱私信息分量可以組合構(gòu)成新的隱私屬性,對這些組合屬性的敏感性也可進(jìn)行度量;c)一致性,對相同的隱私信息,不同算法的隱私保護(hù)效果都使隱私信息分量的敏感度趨近于零,即不同算法在不同系統(tǒng)中隱私保護(hù)的趨勢保持一致性。例如算法A和B在系統(tǒng)1中的保護(hù)能力評估是A>B,在映射到系統(tǒng)2中的評估體系時應(yīng)仍然保持A>B;d)順序性,隱私保護(hù)算法中所有操作必須按照設(shè)計的順序執(zhí)行,部分操作的順序不同可能導(dǎo)致隱私保護(hù)的效果不同;7T/CSACXXXX—XXXXe)不可逆性,隱私計算中使用的脫敏算法對隱私信息的處理應(yīng)是不可逆的,接收方獲得的隱私信息少于提供方的原始隱私信息,且無法通過技術(shù)手段從脫敏信息中復(fù)原原始隱私信息中缺失的部分。5.2隱私信息全生命期過程的計算操作隱私信息全生命周期過程的計算操作如圖1所示,包括收集、脫敏、存儲、使用、交換、刪除、存證與取證等,這些操作在多個信息系統(tǒng)之間不同的業(yè)務(wù)流程組合可以涵蓋大多數(shù)隱私信息全生命周期的操作過程。典型的流程示例如下:a)脫敏后發(fā)布,隱私信息收集后進(jìn)行存儲,隨后對隱私信息進(jìn)行脫敏,通過交換操作進(jìn)行發(fā)布(流程為③-④-⑩);b)出行場景,對出行服務(wù)過程中收集的隱私信息先存儲和使用,服務(wù)結(jié)束后,應(yīng)對隱私信息進(jìn)行脫敏后存儲,再進(jìn)行后續(xù)使用(流程為③-⑥-⑦-④-⑤),具體示例見附錄C;c)數(shù)據(jù)流通交易,收集的隱私信息先通過去標(biāo)識化等脫敏操作,然后通過交換操作進(jìn)行交易,此后根據(jù)購買方的出價再進(jìn)行脫敏,進(jìn)行二次或者部分交易(流程為①或④-⑤-?-?-?-?);d)差分統(tǒng)計,對收集的敏感屬性值等隱私信息先利用泛化、本地化差分隱私等機(jī)制脫敏后再進(jìn)行存儲(流程為①-②-③);e)信用計算,隱私信息所有者存儲的隱私信息先交換到隱私信息接收者,隱私信息接收者對其進(jìn)行脫敏后進(jìn)行使用,并發(fā)布計算結(jié)果(流程為?-?-?-?-?),具體示例見附錄D。圖1隱私信息全生命周期過程的計算操作5.2.1收集收集操作從隱私信息所有者或者隱私信息提供者采集包含隱私信息的原始信息,收集涉及的功能包括:a)針對標(biāo)識符、準(zhǔn)標(biāo)識符、其他敏感屬性值采用關(guān)鍵詞匹配、自然語言理解、圖像理解等技術(shù)措施在多模態(tài)數(shù)據(jù)中感知識別隱私信息,提取不同信息模態(tài)敏感屬性;b)識別出的隱私信息采用多元組形式表示,可包含:隱私信息向量、約束條件集合、隱私屬性向量、廣義定位信息集合、審計控制信息集合、傳播控制操作集合等;c)部分場景的收集操作會直接對隱私信息采用泛化、差分隱私等處理后作為收集操作的輸出。5.2.2存儲存儲操作對收集到的隱私信息進(jìn)行安全高效存儲,或?qū)κ占碾[私信息進(jìn)行脫敏后存儲,存儲涉及的功能包括:8T/CSACXXXX—XXXXa)機(jī)密性,采用加密技術(shù)和訪問控制技術(shù),防止存儲的隱私信息不被非法獲??;b)可靠性,采用數(shù)據(jù)冗余存儲技術(shù)保證存儲隱私信息的可用性;c)完整性,采用密碼校驗或數(shù)據(jù)簽名技術(shù)保證存儲隱私信息不可篡改。5.2.3使用使用操作包括《個人信息保護(hù)法》規(guī)定的個人信息處理中的使用和加工,采用的技術(shù)包括但不限于數(shù)據(jù)挖掘與分析、安全計算、模型訓(xùn)練等,使用涉及的功能包括:a)可以對未脫敏的隱私信息進(jìn)行使用操作,也可以對存儲的隱私信息經(jīng)過脫敏后再進(jìn)行使用操作;b)在使用環(huán)節(jié)中也可以使用機(jī)密計算、安全多方計算、同態(tài)加密等數(shù)據(jù)安全技術(shù)保護(hù)隱私信息不被泄露。5.2.4交換交換操作包括《個人信息保護(hù)法》規(guī)定的個人信息處理中的傳輸、提供和公開,是隱私信息在不同隱私信息處理者之間受控流通與共享的過程。交換操作可以具有以下安全機(jī)制:a)認(rèn)證性,隱私信息交換時進(jìn)行單向或雙向身份認(rèn)證;b)機(jī)密性,采用加密技術(shù)保障交換的信息不被非法獲?。籧)完整性,采用密碼校驗技術(shù)保障交換的信息不被篡改;d)來源真實性,采用數(shù)據(jù)簽名等技術(shù)保障信息來源的不可否認(rèn)性;e)延伸控制性,將延伸控制策略與隱私信息綁定傳輸,控制隱私信息接收者對隱私信息的后續(xù)處5.2.5刪除刪除操作是隱私信息使用者當(dāng)隱私信息在業(yè)務(wù)不需要繼續(xù)使用時,遵循及時、透明的原則,安全可信且完備地刪除存儲的隱私信息。刪除涉及的功能包括:a)按需刪除,根據(jù)隱私信息所有者或前序的隱私信息提供者的刪除要求,執(zhí)行刪除操作,履行刪除義務(wù);b)自動刪除,根據(jù)隱私信息所有者或前序的隱私信息提供者對隱私信息保留時限的要求,實現(xiàn)到期后,隱私信息使用者自動執(zhí)行刪除操作,履行刪除義務(wù);c)刪除操作,根據(jù)延伸控制策略的約束,選擇刪除方法,保證刪除后信息不能通過技術(shù)手段恢復(fù)數(shù)據(jù),或使刪除后的信息不能被訪問和不能被檢索。5.2.6脫敏脫敏操作依據(jù)脫敏延伸控制策略對隱私信息選擇適當(dāng)?shù)拿撁羲惴捌鋮?shù)進(jìn)行按需脫敏,脫敏涉及的功能包括:a)脫敏操作包括脫敏算法能力評估、脫敏算法選擇、脫敏效果評估;b)對脫敏后的信息如果沒有達(dá)到預(yù)期脫敏效果,則調(diào)整算法及其參數(shù)進(jìn)行迭代脫敏,直至達(dá)到預(yù)期脫敏效果。5.2.7存證與取證存證與取證操作對隱私信息全生命周期各種操作進(jìn)行定制化的操作記錄生成和存儲,并響應(yīng)用戶的證據(jù)查詢請求,返回生成的證據(jù),支撐隱私保護(hù)合規(guī)審計、隱私侵權(quán)行為溯源與追責(zé),存證與取證涉及的功能包括:9T/CSACXXXX—XXXXa)客觀完整地記錄隱私信息全生命周期的各種操作行為;b)采用密碼技術(shù)保障操作日志記錄的安全性;c)采用訪問控制技術(shù)保障操作日志記錄受控使用和響應(yīng)證據(jù)服務(wù)請求。5.3隱私計算技術(shù)5.3.1功能層次框架在隱私信息全生命周期過程的計算操作中,隱私計算包含隱私信息抽取與度量、隱私度量動態(tài)調(diào)整、隱私延伸控制、隱私按需保護(hù)、保護(hù)效果評估等技術(shù)。隱私計算技術(shù)用于支撐和實現(xiàn)隱私計算服務(wù)的功能,隱私計算的功能組件通過層次框架進(jìn)行組織,隱私計算功能層次框架如圖2所示,包括:a)用戶層,用于隱私計算的各參與者執(zhí)行與用戶相關(guān)的管理功能,訪問、使用和維護(hù)隱私計算系b)服務(wù)接口層,通過調(diào)用隱私計算核心功能層的功能組件,為隱私信息應(yīng)用系統(tǒng)提供隱私計算服務(wù)支撐;c)核心功能層,基于基礎(chǔ)設(shè)施層實現(xiàn)隱私計算相應(yīng)功能,為服務(wù)接口層提供相關(guān)功能支持服務(wù),主要包括隱私動態(tài)度量、迭代延伸控制、隱私按需保護(hù)、保護(hù)效果評估、保護(hù)量化映射、操作全程存證等;d)基礎(chǔ)設(shè)施層,提供隱私計算系統(tǒng)正常運行所需要的硬件設(shè)備之上的運行環(huán)境和基礎(chǔ)組件,包括網(wǎng)絡(luò)、計算和存儲等;e)跨層功能,提供跨越多個層次的功能組件,包括監(jiān)管、操作全程存證、審計等。圖2隱私計算功能層次框架5.3.2技術(shù)功能隱私計算技術(shù)為隱私計算功能提供支撐,具體如下:a)隱私動態(tài)度量,根據(jù)應(yīng)用場景的不同,對隱私信息分量的敏感度進(jìn)行動態(tài)度量;b)迭代延伸控制,根據(jù)前序隱私信息處理者的控制策略、后續(xù)隱私信息處理者的保護(hù)能力等因素動態(tài)調(diào)整控制策略,并隨隱私信息一起向后傳遞,還驗證前序隱私信息處理者的策略執(zhí)行情況;c)隱私按需保護(hù),根據(jù)延伸控制策略,對隱私信息進(jìn)行按需脫敏、按需刪除、數(shù)據(jù)聯(lián)合利用等處d)脫敏效果評估,對脫敏算法所達(dá)到的效果按照效果評估指標(biāo)體系進(jìn)行評估;e)保護(hù)量化映射,隱私信息跨系統(tǒng)交換或數(shù)據(jù)聯(lián)合利用時,對隱私信息提供者和隱私信息接收者的算法保護(hù)能力和保護(hù)效果進(jìn)行關(guān)聯(lián)的保護(hù)量化映射,以支持跨系統(tǒng)交換的隱私信息一致性保護(hù);T/CSACXXXX—XXXXf)操作全程存證,對隱私信息全生命周期過程的計算操作進(jìn)行日志保存。6隱私計算框架6.1隱私計算框架組件隱私計算框架如圖3所示,包括隱私信息抽取與度量、隱私度量動態(tài)調(diào)整、隱私延伸控制、隱私按需保護(hù)、保護(hù)效果評估、存證與取證等功能組件,具體如下:圖3隱私計算框架a)隱私信息抽取與度量,通過對采集或接收的信息進(jìn)行分析,提取不同模態(tài)信息中的隱私信息分量,并對隱私信息分量進(jìn)行分類以及量化隱私信息分量的敏感度或保護(hù)程度;當(dāng)評估未達(dá)到預(yù)期效果時,還需要重新調(diào)整原始度量值。包括隱私信息抽取、隱私信息分類、隱私信息度量;b)隱私度量動態(tài)調(diào)整,通過識別判斷隱私信息所屬的應(yīng)用場景,對隱私信息分量的敏感度或保護(hù)程度進(jìn)行針對性的度量調(diào)整;當(dāng)評估未達(dá)到預(yù)期效果時,還需要重新更換場景描述。包括場景識別、度量調(diào)整;c)隱私延伸控制,在數(shù)據(jù)泛在流通與共享過程中,對全生命周期各環(huán)節(jié)的隱私操作進(jìn)行迭代控制;當(dāng)評估未達(dá)到預(yù)期效果時,還需要重新調(diào)整控制策略。包括延伸控制策略生成、控制策略可控傳遞、控制策略迭代調(diào)整、策略執(zhí)行可信驗證;d)隱私按需保護(hù),約束隱私信息處理者根據(jù)延伸控制策略,對接收到的隱私信息進(jìn)行按需脫敏、按需刪除等處理,提供場景自適應(yīng)的隱私保護(hù)能力;當(dāng)評估未達(dá)到預(yù)期效果時,還需要重新定義隱私保護(hù)操作;e)保護(hù)效果評估,根據(jù)制定的脫敏效果評估指標(biāo)體系,對待評估的已脫敏隱私信息的脫敏效果進(jìn)行量化分析,如未能達(dá)到預(yù)期效果,則分別視情況從隱私信息抽取與度量、隱私度量動態(tài)調(diào)整、隱私延伸控制、隱私按需保護(hù)等環(huán)節(jié)進(jìn)行反饋迭代,直至達(dá)到期望的保護(hù)效果。包括脫敏效果評估指標(biāo)體系、單次脫敏效果評估、基于數(shù)據(jù)挖掘的脫敏效果評估、脫敏系統(tǒng)效果評估、刪除效果評估;f)存證與取證,對隱私信息抽取與度量、隱私度量動態(tài)調(diào)整、隱私延伸控制、隱私按需保護(hù)、保護(hù)效果評估等功能組件的操作行為進(jìn)行日志記錄,并根據(jù)證據(jù)獲取請求生成證據(jù)。包括存證收集、存證存儲、證據(jù)生成。6.2隱私計算系統(tǒng)的組件風(fēng)險T/CSACXXXX—XXXX基于隱私計算框架所研制的隱私計算系統(tǒng)的各組件面臨著與其他信息系統(tǒng)相似的安全風(fēng)險,在隱私信息抽取與度量、隱私度量動態(tài)調(diào)整、隱私延伸控制、隱私按需保護(hù)、保護(hù)效果評估、存證與取證等方面面臨的風(fēng)險包括但不限于:a)隱私信息抽取與度量的風(fēng)險主要指隱私信息抽取不準(zhǔn)或不全、隱私信息分量分類不正確、隱私信息分量敏感度的度量不準(zhǔn)確等,會導(dǎo)致隱私延伸控制策略生成、脫敏算法及其參數(shù)選擇、刪除方法選擇的不恰當(dāng),從而引起隱私信息泄露;b)隱私度量動態(tài)調(diào)整的風(fēng)險主要指場景識別不準(zhǔn)確、隱私信息分量敏感度調(diào)整不當(dāng)?shù)?,會?dǎo)致隱私延伸控制策略生成、脫敏算法及其參數(shù)選擇、刪除方法選擇的不恰當(dāng),從而引起隱私信息泄露;c)隱私延伸控制的風(fēng)險主要指延伸控制策略生成不準(zhǔn)或不全、控制策略傳遞過程中被篡改或與隱私信息剝離、控制策略迭代調(diào)整時出現(xiàn)偏差、控制策略未被正確執(zhí)行等,會導(dǎo)致數(shù)據(jù)泛在流通與共享過程中脫敏、刪除和使用等操作失控,從而引起隱私信息泄露;d)隱私按需保護(hù)的風(fēng)險主要指未能正確選擇脫敏算法及其參數(shù)、未能正確選擇刪除方法等,脫敏時隱私信息被過度脫敏影響服務(wù)效果,或脫敏不足導(dǎo)致隱私信息泄露,或未能正確刪除導(dǎo)致違規(guī)甚至隱私信息泄露,多方聯(lián)合數(shù)據(jù)利用時未能正確選擇所采用的數(shù)據(jù)使用安全技術(shù)、未能正確選擇算法協(xié)議及配置其安全參數(shù)等問題;e)保護(hù)效果評估的風(fēng)險主要指保護(hù)效果評估指標(biāo)體系不完備、評估方法不準(zhǔn)確等,使得保護(hù)效果評估出現(xiàn)偏差,從而會引起隱私信息泄露;f)存證與取證的風(fēng)險主要指存證信息收集不全、存證存儲過程中被非法訪問或非法篡改、備份措施不足導(dǎo)致的存證信息丟失、證據(jù)生成時信息不全、證據(jù)生成錯誤等,會導(dǎo)致不能對隱私侵權(quán)行為進(jìn)行正確追溯;g)跨系統(tǒng)一致性的風(fēng)險主要指隱私信息在多個隱私計算系統(tǒng)保存時,如果由于某個系統(tǒng)保護(hù)能力偏弱,其他系統(tǒng)隱私保護(hù)能力再強(qiáng)也失去意義,即存在短板效應(yīng)和一損俱損的風(fēng)險,會導(dǎo)致隱私泄露。6.3隱私計算的互聯(lián)互通隱私計算是對隱私信息全生命周期過程的計算操作進(jìn)行控制。相應(yīng)地,隱私計算互聯(lián)互通是體現(xiàn)在隱私信息抽取與度量、隱私度量動態(tài)調(diào)整、隱私延伸控制、隱私按需保護(hù)、保護(hù)效果評估、存證與取證等組件的隱私信息描述、隱私信息分類、隱私信息度量、場景識別、度量調(diào)整、延伸控制策略生成、控制策略迭代調(diào)整、控制策略可控傳遞、策略執(zhí)行可信驗證、脫敏算法能力評估、按需脫敏、按需刪除、脫敏效果評估指標(biāo)體系、保護(hù)效果評估結(jié)論等方面的具體方法、算法或量化指標(biāo)等定義和格式規(guī)范上。本文件僅規(guī)范這些方面的原則要求。7隱私信息抽取與度量7.1概述隱私信息抽取與度量通過對采集或接收的信息進(jìn)行隱私信息分量識別和抽取,然后對隱私信息分量進(jìn)行分類和度量。若保護(hù)效果評估未達(dá)到預(yù)期效果,則可能重新執(zhí)行隱私信息抽取與度量。隱私信息抽取與度量具體包括:a)隱私信息抽取,負(fù)責(zé)對采集或接收到的信息中的隱私信息分量進(jìn)行識別,根據(jù)隱私信息分量的模態(tài)進(jìn)行信息處理,生成初始的隱私信息描述;T/CSACXXXX—XXXXb)隱私信息分類,負(fù)責(zé)對識別和抽取的隱私信息分量進(jìn)行分類;c)隱私信息度量,負(fù)責(zé)對抽取的隱私信息分量進(jìn)行敏感度或保護(hù)程度量化。7.2隱私信息抽取隱私信息抽取,對采集或接收到的信息中的隱私信息分量進(jìn)行定位,確定隱私信息分量模態(tài),然后對多模態(tài)隱私信息分量進(jìn)行處理,生成隱私信息描述,具體如下:a)對文本、音頻、視頻、圖像等模態(tài)數(shù)據(jù),使用合適的技術(shù)和方法從信息中識別隱私信息,如關(guān)鍵詞匹配、自然語言處理、圖像語義理解、模式匹配等;b)針對識別的隱私信息生成初始的隱私信息描述,其內(nèi)容包括隱私信息向量、約束條件集合、隱私屬性向量、廣義定位信息集合、審計控制信息集合、傳播控制操作集合等。具體隱私信息識別示例見附錄A。7.3隱私信息分類隱私信息分類,通過對識別和抽取的隱私信息分量進(jìn)行分類,具體如下:a)針對法律法規(guī)和應(yīng)用場景,建立分類分級模板庫,以滿足不同應(yīng)用場景的隱私信息分類需求;b)可采用知識圖譜等技術(shù),結(jié)合分類分級模板庫,對隱私信息分量進(jìn)行分類,再結(jié)合應(yīng)用場景對隱私信息分量進(jìn)行分級;c)隱私信息分類分級的結(jié)果記錄在隱私信息描述的隱私屬性向量中。7.4隱私信息度量隱私信息度量,負(fù)責(zé)對抽取的隱私信息分量的敏感度或保護(hù)程度進(jìn)行量化,具體如下:a)可根據(jù)隱私信息分類分級,構(gòu)建粗粒度隱私信息量化模型;b)可選擇基于信息論、差分隱私、人工智能等多種不同技術(shù),構(gòu)建細(xì)粒度隱私信息量化模型;c)選用適合的隱私信息量化模型,對隱私信息向量中不同信息模態(tài)的隱私信息分量進(jìn)行量化;d)可對隱私屬性向量中的各屬性分量進(jìn)行聯(lián)合度量,對不同隱私屬性向量進(jìn)行自定義權(quán)重的加權(quán)平均,獲取隱私信息的整體度量;e)隱私信息度量結(jié)果記錄在隱私信息描述中的隱私屬性向量中;f)可選地,完成隱私信息度量之后,對隱私度量過程開展合規(guī)性驗證,確保其實施過程符合隱私保護(hù)要求。8隱私度量動態(tài)調(diào)整8.1概述隱私度量動態(tài)調(diào)整,在隱私信息抽取與度量的基礎(chǔ)上,識別隱私信息所屬的應(yīng)用場景,并針對性地動態(tài)調(diào)整隱私信息分量的敏感度或保護(hù)程度。若保護(hù)效果評估未達(dá)到預(yù)期效果,則可能重新執(zhí)行隱私信息動態(tài)調(diào)整。隱私度量動態(tài)調(diào)整具體包括:a)場景識別,根據(jù)提取的隱私信息分量,識別其所屬應(yīng)用場景;b)度量調(diào)整,結(jié)合識別的應(yīng)用場景,動態(tài)調(diào)整隱私信息分量的量化結(jié)果。8.2場景識別為支持隱私信息分量量化結(jié)果的動態(tài)調(diào)整,場景識別包括但不限于:T/CSACXXXX—XXXXa)采用人工標(biāo)注或機(jī)器學(xué)習(xí)等技術(shù),對采集的信息進(jìn)行應(yīng)用場景分類分級和標(biāo)注,如:社交網(wǎng)絡(luò)服務(wù)、出行服務(wù)、醫(yī)療服務(wù)等;b)采用元數(shù)據(jù)(例如:信息來源、時間戳、地理位置等)輔助識別隱私信息所屬的應(yīng)用場景;c)針對文本類信息,可采用自然語言處理技術(shù),進(jìn)行分詞和詞性標(biāo)注、實體識別等操作,使用主題模型識別主要主題,輔助推斷應(yīng)用場景;d)針對視頻類信息,可通過內(nèi)容分析技術(shù),如:物體檢測識別、動作識別等,輔助推斷應(yīng)用場景;e)針對音頻類信息,可通過語音識別、情感分析、背景音分類等技術(shù),輔助推斷應(yīng)用場景;f)針對圖像類信息,可通過圖像語義理解等技術(shù),輔助推斷應(yīng)用場景。8.3度量調(diào)整在識別應(yīng)用場景的基礎(chǔ)上,針對不同場景動態(tài)調(diào)整隱私信息分量的敏感度或保護(hù)程度的量化結(jié)果,度量調(diào)整包含但不限于:a)根據(jù)不同應(yīng)用場景及該場景下隱私信息接收者的隱私保護(hù)能力,動態(tài)調(diào)整隱私屬性分量的量化值;b)根據(jù)保護(hù)效果評估結(jié)論,動態(tài)調(diào)整隱私屬性分量的量化值,并指導(dǎo)隱私信息中隱私屬性向量的動態(tài)調(diào)整;c)可綜合運用信息論、差分隱私,并交叉融合心理學(xué)等主觀評價理論,對保護(hù)效果評估指標(biāo)體系進(jìn)行動態(tài)調(diào)整。9隱私延伸控制9.1概述隱私延伸控制對數(shù)據(jù)泛在流通與共享過程中脫敏、存儲、使用、交換、發(fā)布、刪除等進(jìn)行操作約束。隱私延伸控制的核心功能迭代延伸控制詳見附錄B。若保護(hù)效果評估未達(dá)到預(yù)期效果,則可能重新執(zhí)行隱私延伸控制。隱私延伸控制具體包括:a)延伸控制策略生成,用于根據(jù)前序隱私信息提供者和當(dāng)前隱私信息處理者的意圖,準(zhǔn)確無誤地生成并描述控制策略;b)控制策略可控傳遞,用于保證隱私延伸控制策略在不同隱私信息處理者之間安全可靠地傳輸?shù)竭_(dá);c)控制策略迭代調(diào)整,延伸控制策略在不同隱私信息處理者之間傳遞時,用于保證控制策略內(nèi)容根據(jù)應(yīng)用場景、保護(hù)效果評估結(jié)果自適應(yīng)地進(jìn)行調(diào)整;d)策略執(zhí)行可信驗證,用于保證隱私信息提供者或隱私信息轉(zhuǎn)發(fā)者驗證延伸控制策略是否被隱私信息接收者完整正確地執(zhí)行。9.2延伸控制策略生成使用自然語言處理、形式化分析等技術(shù),準(zhǔn)確地按照前序隱私信息提供者和當(dāng)前隱私信息處理者的意圖,產(chǎn)生計算機(jī)程序可處理的控制策略,具體如下:a)針對隱私信息被首次流轉(zhuǎn)的應(yīng)用場景,支持隱私信息所有者導(dǎo)入延伸控制意圖;b)針對隱私信息非首次流轉(zhuǎn)的應(yīng)用場景,支持通過前序的隱私信息所有者、隱私信息提供者或隱私信息處理者的延伸控制策略,獲得延伸控制意圖;T/CSACXXXX—XXXXc)通過自然語言處理等技術(shù),對獲取的延伸控制意圖進(jìn)行解析,并結(jié)合隱私信息接收者的隱私保護(hù)能力、應(yīng)用場景等因素,生成延伸控制策略;d)采用數(shù)字簽名等技術(shù),保證延伸控制策略的真實性以及不可篡改;e)采用機(jī)器可處理的語言形式,例如:JSON、XML等,描述生成的延伸控制策略;f)采用形式化分析技術(shù),驗證生成的延伸控制策略符合延伸控制意圖的要求,且延伸控制策略各項內(nèi)容彼此沒有沖突;g)延伸控制策略采用底層系統(tǒng)無關(guān)的標(biāo)準(zhǔn)化描述,支持延伸控制策略的跨系統(tǒng)傳遞。9.3控制策略可控傳遞采用密碼學(xué)技術(shù)保障延伸控制策略在隱私信息提供者和隱私信息接收者之間傳遞過程中的完整性、機(jī)密性、不可剝離性、不可抵賴性和保護(hù)一致性,具體如下:a)完整性,利用消息驗證碼等技術(shù),保證延伸控制策略在傳遞過程中不可被非授權(quán)方式更改或破壞;b)機(jī)密性,可采用密碼技術(shù)對延伸控制策略進(jìn)行加密保護(hù),保證延伸控制策略不可被未授權(quán)的第三方解析,避免延伸控制策略被非法獲取而導(dǎo)致的隱私泄露;c)不可剝離性,采用可信執(zhí)行環(huán)境、密碼學(xué)等技術(shù)將延伸控制策略嵌入被交換隱私信息中,并保證控制策略和隱私信息的關(guān)聯(lián)關(guān)系不能被破壞;d)不可抵賴性,采用數(shù)字簽名技術(shù)對延伸控制策略進(jìn)行處理,保證延伸控制策略來源的真實性,避免隱私信息處理者否認(rèn)其前序隱私信息提供者所生成的延伸控制策略;e)保護(hù)一致性,隱私信息跨系統(tǒng)交換或采用數(shù)據(jù)使用安全技術(shù)進(jìn)行數(shù)據(jù)聯(lián)合利用時,對隱私信息提供者和隱私信息接收者的算法保護(hù)能力和保護(hù)效果進(jìn)行關(guān)聯(lián)的保護(hù)量化映射,量化映射關(guān)系存于延伸控制策略中。9.4控制策略迭代調(diào)整為了支持延伸控制策略在隱私信息提供者和隱私信息接收者之間流轉(zhuǎn)時的動態(tài)更新,避免因短板效應(yīng)導(dǎo)致的隱私泄露,控制策略迭代動態(tài)調(diào)整包括但不限于:a)從接收到的信息中,解析前序隱私信息處理者嵌入的延伸控制策略,生成延伸控制策略集合;b)根據(jù)后序隱私信息接收者的隱私保護(hù)能力、應(yīng)用場景、數(shù)據(jù)模態(tài)等信息,更新延伸控制策略集合;c)更新后的控制集合,連同本級根據(jù)控制策略處理過的隱私信息,安全地傳遞給后序隱私信息接收者;d)支持在延伸控制策略集合中,嵌入部分或全部前序隱私處理者信息,應(yīng)至少包含前一級隱私信息處理者的信息;e)可采用可信環(huán)境等技術(shù)措施,保證延伸控制策略更新調(diào)整的安全性。9.5策略執(zhí)行可信驗證為了驗證延伸控制策略是否被隱私信息接收者完整正確地執(zhí)行,策略執(zhí)行可信驗證包括但不限于:a)支持隱私信息接收者,驗證隱私信息傳播鏈上任一后序隱私信息接收者和隱私信息處理者是否按預(yù)期執(zhí)行其延伸控制策略;b)采用日志采集及分析、密碼學(xué)等技術(shù),保證隱私信息提供者或隱私信息轉(zhuǎn)發(fā)者,可驗證隱私信息接收者按照預(yù)期完整正確地執(zhí)行了延伸控制策略;T/CSACXXXX—XXXXc)可采用聚合簽名、可信環(huán)境等技術(shù),保證當(dāng)前隱私信息接收者可驗證隱私信息傳播鏈上所有前序隱私信息處理者是否按要求執(zhí)行了控制策略。10隱私按需保護(hù)10.1概述隱私按需保護(hù)用于隱私信息處理者根據(jù)隱私信息所有者或隱私信息提供者的脫敏要求、隱私信息模態(tài)以及隱私信息接收者的隱私保護(hù)能力等因素,如圖4所示,對隱私信息分量進(jìn)行場景自適應(yīng)的脫敏和刪除操作。若保護(hù)效果評估未到預(yù)期效果,則可能重新執(zhí)行隱私按需保護(hù)。隱私按需保護(hù)包括:a)脫敏算法能力評估,對脫敏算法能力從可逆性、信息偏差性、信息損失性、復(fù)雜性等方面進(jìn)行評估;b)按需脫敏,隱私信息處理者結(jié)合信息模態(tài)、業(yè)務(wù)需求等因素,解析并根據(jù)脫敏控制策略,選擇脫敏算法集合,進(jìn)行脫敏處理;c)按需刪除,隱私信息處理者解析刪除控制策略并根據(jù)刪除控制策略選定刪除對象和刪除方法,進(jìn)行刪除處理;d)按需采用數(shù)據(jù)使用安全技術(shù),隱私信息處理者根據(jù)延伸控制策略,在多方聯(lián)合數(shù)據(jù)利用時,隱私信息處理者結(jié)合信息模態(tài)、業(yè)務(wù)需求等因素,選擇所采用的數(shù)據(jù)使用安全技術(shù)、算法協(xié)議以及安全參數(shù),進(jìn)行多方聯(lián)合計算。圖4隱私按需保護(hù)處理流程10.2脫敏算法能力評估10.2.1脫敏算法能力評估的指標(biāo)體系脫敏算法能力評估的指標(biāo)體系包括可逆性、信息偏差性、信息損失性和復(fù)雜性等四類指標(biāo),且基于測評樣本基準(zhǔn)數(shù)據(jù)集,對各類脫敏算法進(jìn)行能力評估。10.2.1.1可逆性評估指標(biāo)T/CSACXXXX—XXXX可逆性評估是衡量從脫敏算法處理后信息中復(fù)原隱私信息的可能性。由于脫敏旨在保護(hù)敏感個人信息,通常情況下脫敏是不可逆的??赡嫘远攘糠椒ㄈ缦拢篴)脫敏算法可逆性,評估隱私信息脫敏使用的是否是不可逆脫敏算法;b)脫敏算法參數(shù)強(qiáng)度,評估脫敏算法使用的參數(shù)強(qiáng)度;c)信息還原性,評估通過脫敏后的隱私信息還原出原始隱私信息的程度,例如:恢復(fù)信息的準(zhǔn)確度、恢復(fù)信息的偏差度。10.2.1.2信息偏差性評估指標(biāo)信息偏差性評估是衡量脫敏算法處理后的信息失真和偏移程度。信息偏差性度量方法如下:a)統(tǒng)計偏差性,比較原始數(shù)據(jù)和脫敏后數(shù)據(jù)的統(tǒng)計指標(biāo),例如:均方差、平均絕對值、KL散度、歐氏距離、余弦距離、峰值信噪比、結(jié)構(gòu)相似性指數(shù)、均值、中位數(shù)、方差、標(biāo)準(zhǔn)差、最大值、最小值等;b)數(shù)據(jù)分布偏差性,比較原始數(shù)據(jù)和脫敏后數(shù)據(jù)的分布差異,例如:分布形狀、分位數(shù)和累積分布函數(shù)等;c)模型應(yīng)用準(zhǔn)確性,使用原始數(shù)據(jù)和脫敏后數(shù)據(jù)分別構(gòu)建訓(xùn)練模型,比較模型在驗證集或測試集上的效果;d)數(shù)據(jù)隨機(jī)性分析,評估脫敏算法對隱私信息的隨機(jī)性影響程度。10.2.1.3信息損失性評估指標(biāo)信息損失性評估是衡量脫敏算法處理后隱私信息損失部分對可用性的影響程度。信息損失性度量方法如下:a)信息熵,信息熵是衡量數(shù)據(jù)集中信息量的度量指標(biāo),通過計算原始數(shù)據(jù)和脫敏后數(shù)據(jù)的信息熵,并比較差異;b)互信息,互信息是衡量兩個隨機(jī)變量之間相互依賴程度的度量指標(biāo),通過計算原始數(shù)據(jù)和脫敏后數(shù)據(jù)之間的互信息進(jìn)行量化評估;c)數(shù)據(jù)分布特征,比較原始數(shù)據(jù)和脫敏后數(shù)據(jù)的分布特征的統(tǒng)計指標(biāo),例如:均值、方差、分位數(shù)等;d)數(shù)據(jù)關(guān)聯(lián)性,計算原始數(shù)據(jù)和脫敏后數(shù)據(jù)之間的關(guān)聯(lián)性的度量指標(biāo),例如:相關(guān)系數(shù)、協(xié)方差e)數(shù)據(jù)可用性,評估脫敏數(shù)據(jù)在特定應(yīng)用場景下的可用程度指標(biāo),例如:數(shù)據(jù)分析、模型訓(xùn)練等應(yīng)用場景。10.2.1.4復(fù)雜性評估指標(biāo)復(fù)雜性評估是衡量脫敏算法處理隱私信息所需的資源開銷。復(fù)雜性度量方法如下:a)時間復(fù)雜度,用于衡量算法執(zhí)行所需時間的度量指標(biāo),可以通過分析算法中的操作、迭代次數(shù)和數(shù)據(jù)規(guī)模等來確定,例如:常數(shù)時間O1、線性時間On、對數(shù)時間O(logn)、平方時間On2等;b)空間復(fù)雜度,用于衡量算法執(zhí)行所需內(nèi)存空間的度量指標(biāo),可以通過分析算法中使用的額外數(shù)據(jù)結(jié)構(gòu)、變量和遞歸調(diào)用的深度等來確定,例如:常數(shù)空間O1、線性空間On、指數(shù)空等;c)計算資源需求,評估算法執(zhí)行所需的計算資源,包括CPU執(zhí)行時間、占用內(nèi)存等。T/CSACXXXX—XXXX10.2.1.5算法能力綜合評估在脫敏算法能力評估的過程中,需要根據(jù)所采用脫敏算法的類別,為每個評估維度設(shè)置相應(yīng)的權(quán)重,進(jìn)行加權(quán)計算,得出算法能力的綜合評估結(jié)果。10.2.2脫敏算法可逆性評估脫敏算法可逆性評估的具體內(nèi)容如下:a)判斷脫敏算法支持的數(shù)據(jù)模態(tài)與應(yīng)用場景,確定算法可逆性對應(yīng)的權(quán)重值;b)結(jié)合隱私信息數(shù)據(jù)模態(tài)及應(yīng)用場景,選擇10.2.1.1節(jié)中的評估指標(biāo),衡量脫敏信息的被還原能力,評估內(nèi)容包括但不限于:恢復(fù)信息的準(zhǔn)確度、恢復(fù)信息偏差度等;c)綜合考慮算法類別、算法參數(shù)、數(shù)據(jù)模態(tài)等因素,設(shè)計合理的可逆性評估方案,保證評估結(jié)果的準(zhǔn)確性和可信性。10.2.3脫敏算法信息偏差性評估脫敏算法信息偏差性評估的具體內(nèi)容如下:a)判斷脫敏算法支持的數(shù)據(jù)模態(tài)與應(yīng)用場景,確定信息偏差性對應(yīng)的權(quán)重值;b)結(jié)合隱私信息數(shù)據(jù)模態(tài)及應(yīng)用場景,選擇10.2.1.2節(jié)中的評估指標(biāo),衡量脫敏算法執(zhí)行前的原始隱私信息與脫敏后的隱私信息之間的偏差程度,評估內(nèi)容包括但不限于:數(shù)據(jù)統(tǒng)計、數(shù)據(jù)應(yīng)用測試、隨機(jī)性分析等;c)綜合考慮數(shù)據(jù)規(guī)模、數(shù)據(jù)分布、數(shù)據(jù)模態(tài)等因素,設(shè)計合理的信息偏差性評估方案,保證評估結(jié)果的準(zhǔn)確性和可用性。10.2.4脫敏算法信息損失性評估脫敏算法信息損失性評估的具體內(nèi)容如下:a)判斷脫敏算法支持的數(shù)據(jù)模態(tài)與應(yīng)用場景,確定信息損失性對應(yīng)的權(quán)重值;b)結(jié)合隱私信息數(shù)據(jù)模態(tài)及應(yīng)用場景,選擇10.2.1.3節(jié)中的評估指標(biāo),衡量脫敏算法執(zhí)行前的原始隱私信息與脫敏后的隱私信息之間的信息損失程度,評估內(nèi)容包括但不限于:信息熵、互信息、數(shù)據(jù)分布特征、數(shù)據(jù)關(guān)聯(lián)性、信息可用性等;c)綜合考慮數(shù)據(jù)可用、數(shù)據(jù)關(guān)聯(lián)、應(yīng)用場景等因素,設(shè)計合理的信息損失性評估方案,保證評估結(jié)果的準(zhǔn)確性和有效性。10.2.5脫敏算法復(fù)雜性評估脫敏算法復(fù)雜性評估的具體內(nèi)容如下:a)判斷脫敏算法支持的數(shù)據(jù)模態(tài)與應(yīng)用場景,確定算法復(fù)雜性對應(yīng)的權(quán)重值;b)結(jié)合隱私信息數(shù)據(jù)模態(tài)及應(yīng)用場景,選擇10.2.1.4節(jié)中的評估指標(biāo),衡量脫敏算法的執(zhí)行效率和資源消耗情況,評估內(nèi)容包括但不限于:時間復(fù)雜度、空間復(fù)雜度、資源消耗等;c)綜合考慮平臺資源、數(shù)據(jù)模態(tài)、數(shù)據(jù)規(guī)模、數(shù)據(jù)結(jié)構(gòu)等因素,設(shè)計合理的復(fù)雜性評估方案,保證評估結(jié)果的準(zhǔn)確性和有效性。10.3按需脫敏按需脫敏根據(jù)數(shù)據(jù)模態(tài)、應(yīng)用場景、業(yè)務(wù)需求等要素的不同,進(jìn)行脫敏控制策略生成、脫敏控制策略解析和脫敏算法選擇。T/CSACXXXX—XXXX10.3.1脫敏控制策略生成脫敏控制策略生成是指,從隱私信息所有者或前序隱私信息提供者處,獲取關(guān)于相關(guān)隱私信息的脫敏要求,并結(jié)合應(yīng)用場景、隱私信息接收者的隱私保護(hù)能力等因素,生成適應(yīng)當(dāng)前應(yīng)用場景的脫敏控制策略。脫敏控制策略包括脫敏對象、脫敏等級等,具體如下:a)首次脫敏,隱私信息處理者根據(jù)隱私信息所有者的脫敏要求,生成脫敏控制策略;b)迭代脫敏,隱私信息處理者通過前序隱私信息提供者的脫敏控制策略,并結(jié)合當(dāng)前應(yīng)用場景要求,生成新的脫敏控制策略;c)脫敏控制策略應(yīng)與脫敏后的隱私信息一起流轉(zhuǎn)。10.3.2脫敏控制策略解析脫敏控制策略解析是指,隱私信息處理者收到脫敏控制策略后,結(jié)合隱私信息處理者所處的應(yīng)用場景,提取當(dāng)前應(yīng)用場景所對應(yīng)的脫敏控制策略,具體如下:a)隱私信息處理者解析前驗證脫敏控制策略的完整性;b)隱私信息處理者依據(jù)應(yīng)用場景識別結(jié)果,解析脫敏控制策略后提取當(dāng)前應(yīng)用場景所對應(yīng)的脫敏控制策略。10.3.3脫敏算法選擇脫敏算法選擇是指,隱私信息處理者根據(jù)解析出的脫敏控制策略,對備選脫敏算法集合及其參數(shù)進(jìn)行篩選,具體如下:a)隱私信息處理者根據(jù)當(dāng)前應(yīng)用場景所對應(yīng)的脫敏控制策略,確定脫敏對象所對應(yīng)的脫敏等級、脫敏方式等;b)根據(jù)脫敏等級、脫敏方式,選擇脫敏算法及其參數(shù)。10.4按需刪除10.4.1刪除控制策略生成刪除控制策略生成是指,從隱私信息所有者或隱私信息提供者處,獲取關(guān)于相關(guān)隱私信息的刪除要求,并結(jié)合數(shù)據(jù)模態(tài)和數(shù)據(jù)存儲方式等因素,生成刪除控制策略,包括刪除對象、刪除方法、刪除范圍等,具體如下:a)刪除對象確定,刪除對象包括各個隱私信息處理者留存的隱私信息正本或隱私信息副本,根據(jù)隱私信息所有者或隱私信息提供者的刪除要求,生成由刪除對象組成的集合、刪除范圍的集合;b)刪除方法確定,根據(jù)隱私信息所有者或隱私信息提供者的刪除要求,確定刪除方法集合;c)生成由刪除對象集合、刪除方法集合、刪除范圍集合等組成的刪除控制策略。10.4.2刪除控制策略解析刪除控制策略解析是指,隱私信息處理者收到刪除控制策略后,提取刪除控制策略,具體如下:a)隱私信息處理者解析前驗證刪除控制策略的完整性;b)隱私信息處理者解析刪除控制策略后提取刪除對象集合、刪除方法集合、刪除范圍集合等信息。10.4.3按需刪除操作隱私信息處理者根據(jù)解析出的刪除對象集合、刪除方法集合、刪除范圍集合等內(nèi)容,執(zhí)行刪除操作,具體如下:T/CSACXXXX—XXXXa)從刪除方法集合中選擇刪除方法,再根據(jù)刪除方法、刪除等級等,構(gòu)造刪除指令;b)根據(jù)刪除對象集合,確定本地刪除對象的正本信息、多副本信息、分散存儲信息、多備份信息等所處的設(shè)備,然后將刪除指令發(fā)送到對應(yīng)的設(shè)備;c)根據(jù)刪除范圍集合,確定其他存放刪除對象的正本信息、多副本信息、分散存儲信息、多備份信息等所處的設(shè)備,然后將刪除指令發(fā)送到對應(yīng)的設(shè)備。11保護(hù)效果評估11.1概述保護(hù)效果評估是對從脫敏后的隱私信息中恢復(fù)損失信息的難度,或者恢復(fù)已刪除隱私信息的可能性進(jìn)行評價。如圖5所示,若保護(hù)效果評估未達(dá)到預(yù)期效果,則可能重新執(zhí)行隱私信息抽取與度量、隱私度量動態(tài)調(diào)整、隱私延伸控制、隱私按需保護(hù)。保護(hù)效果評估包括:a)脫敏效果評估的指標(biāo)體系,采用可逆性、信息偏差性和信息損失性等評估指標(biāo)。具體見章節(jié)10.2.1.1,10.2.1.2及10.2.1.3;b)單次脫敏效果評估,通過分析脫敏算法執(zhí)行前后的信息,衡量已脫敏的隱私信息分量的可恢復(fù)程度;c)基于數(shù)據(jù)挖掘的脫敏效果評估,通過收集特定個人一定時間內(nèi)的脫敏信息,采用數(shù)據(jù)挖掘技術(shù)試圖推算出已脫敏的隱私信息分量;d)脫敏系統(tǒng)效果評估,通過收集若干特定個人或所有個人的一定時間內(nèi)的脫敏信息,采用數(shù)據(jù)挖掘技術(shù)試圖推算特定個人的已脫敏的隱私信息分量;e)刪除效果評估,采用數(shù)據(jù)恢復(fù)技術(shù)試圖還原被刪除的隱私信息分量。圖5保護(hù)效果評估執(zhí)行策略思路11.2單次脫敏效果評估單次脫敏效果評估,將執(zhí)行脫敏算法前的隱私信息與脫敏后的隱私信息進(jìn)行可逆性、信息偏差性和信息損失性的評估,具體如下:a)依據(jù)執(zhí)行脫敏算法后的數(shù)據(jù)模態(tài)、數(shù)據(jù)規(guī)模和應(yīng)用場景,確定可逆性、信息偏差性和信息損失性對應(yīng)的權(quán)重值;20T/CSACXXXX—XXXXb)依據(jù)數(shù)據(jù)模態(tài)和應(yīng)用場景,選擇10.2.1.1節(jié)中的評估指標(biāo),評估已脫敏的隱私信息分量的被還原能力;c)依據(jù)數(shù)據(jù)規(guī)模及統(tǒng)計特性,選擇10.2.1.2節(jié)中的評估指標(biāo),評估脫敏算法執(zhí)行前的原始隱私信息與脫敏后的隱私信息之間的偏差程度;d)依據(jù)數(shù)據(jù)信息量和關(guān)聯(lián)性,選擇10.2.1.3節(jié)中的評估指標(biāo),評估脫敏算法執(zhí)行前的原始隱私信息與脫敏后的隱私信息之間的信息損失程度;e)考慮數(shù)據(jù)規(guī)模、數(shù)據(jù)分布、數(shù)據(jù)模態(tài)、應(yīng)用場景等因素,設(shè)計合理的單次脫敏效果評估方案,保證評估結(jié)果的準(zhǔn)確性和可信性;f)當(dāng)單次脫敏效果評估結(jié)論的可逆性指標(biāo)未達(dá)到脫敏效果期望閾值,需反饋到隱私按需保護(hù)組件,根據(jù)10.3.3節(jié)要求,重新選擇脫敏算法,并設(shè)置該脫敏算法的參數(shù);當(dāng)單次脫敏效果評估結(jié)論的可逆性指標(biāo)符合脫敏效果期望閾值,但其信息偏差性或信息損失性指標(biāo)未達(dá)到脫敏效果期望閾值,需反饋到隱私按需保護(hù)組件,根據(jù)10.3.3節(jié)要求,修改脫敏算法的參數(shù);若多次反饋后,仍未達(dá)到脫敏效果期望閾值,需反饋到隱私延伸控制組件,根據(jù)9.2節(jié)要求,生成調(diào)整后的延伸控制策略。11.3基于數(shù)據(jù)挖掘的脫敏效果評估基于數(shù)據(jù)挖掘的脫敏效果評估,是指對采用數(shù)據(jù)挖掘技術(shù)分析特定個人一定時間內(nèi)的已通過單次脫敏效果評估的脫敏信息,以推算出已脫敏的隱私信息分量程度的評估,具體如下:a)選取數(shù)據(jù)挖掘算法,對特定個人一定時間內(nèi)的脫敏信息進(jìn)行挖掘分析,推斷出特定個人的被脫敏的隱私信息;b)評估推斷出的特定個人的隱私信息,與其對應(yīng)的真實隱私信息進(jìn)行偏差性、損失性的對比分析;c)當(dāng)基于數(shù)據(jù)挖掘的脫敏效果評估結(jié)論的信息偏差性未達(dá)到脫敏效果期望閾值,需反饋到隱私延伸控制組件,根據(jù)9.2節(jié)要求,生成調(diào)整后的延伸控制策略;當(dāng)基于數(shù)據(jù)挖掘的脫敏效果評估結(jié)論的信息偏差性達(dá)到脫敏需求閾值,而信息損失性未達(dá)到脫敏效果期望閾值,需反饋到隱私度量動態(tài)調(diào)整組件,根據(jù)8.2節(jié)和8.3節(jié)要求,分別修正場景識別、度量調(diào)整機(jī)制。11.4脫敏系統(tǒng)效果評估脫敏系統(tǒng)效果評估,是指對采用數(shù)據(jù)挖掘技術(shù)分析若干特定個人或所有個人一定時間內(nèi)的已通過基于數(shù)據(jù)挖掘的脫敏效果評估的脫敏信息,以推算出特定個人已脫敏的隱私信息分量程度的評估,具體如a)選取數(shù)據(jù)挖掘算法,對若干特定個人或所有個人一定時間內(nèi)的脫敏信息進(jìn)行挖掘分析,推斷出特定個人的被脫敏的隱私信息;b)評估推斷出的特定個人的隱私信息,與其對應(yīng)的真實隱私信息進(jìn)行偏差性、損失性的對比分析;c)當(dāng)脫敏系統(tǒng)效果評估結(jié)論的信息偏差性未達(dá)到脫敏效果期望閾值,需反饋到隱私延伸控制組件,根據(jù)9.2節(jié)要求,生成調(diào)整后的延伸控制策略;當(dāng)脫敏系統(tǒng)效果評估結(jié)論的信息偏差性達(dá)到脫敏效果期望閾值,而信息損失性未達(dá)到脫敏效果期望閾值,需反饋到隱私度量動態(tài)調(diào)整組件,根據(jù)8.2節(jié)和8.3節(jié)要求,分別修正場景識別、度量調(diào)整機(jī)制;若多次反饋后,仍未達(dá)到脫敏效果期望閾值,需反饋到隱私信息抽取與度量組件,根據(jù)7.2、7.3和7.4節(jié)要求,分別修正隱私信息的抽取、分類和度量。11.5刪除效果評估刪除效果評估,是指對被隱私信息處理者刪除的隱私信息的可恢復(fù)程度的評價,具體如下:21T/CSACXXXX—XXXXa)刪除控制策略完備性,用于評估隱私信息所有者、隱私信息提供者和隱私信息發(fā)布者生成與發(fā)送的刪除控制策略是否涵蓋被刪除對象所有副本;b)刪除操作合規(guī)性,用于評估隱私信息處理者的刪除方法是否符合刪除控制策略的要求;c)刪除不可恢復(fù)性,用于評估隱私信息處理者執(zhí)行刪除操作后被刪除對象的不可恢復(fù)程度。12存證與取證12.1概述存證與取證主要是對隱私計算其他功能組件的運行、隱私信息的處理等情況進(jìn)行可信記錄,以便于開展內(nèi)部監(jiān)測、或者按照法律法規(guī)接受外部監(jiān)管者的合規(guī)審查、侵權(quán)行為追蹤溯源的服務(wù)請求提供必要的證據(jù)和技術(shù)接口,包括:a)存證收集,用于從各個隱私計算框架的核心組件中收集執(zhí)行過程和執(zhí)行效果的事項記錄;b)存證存儲,用于對從各個隱私計算框架的核心組件中收集到的存證信息進(jìn)行存儲;c)證據(jù)生成,根據(jù)證據(jù)服務(wù)請求,對隱私計算系統(tǒng)的各類存證信息進(jìn)行多源檢索,形成證據(jù)鏈,并將證據(jù)返回證據(jù)服務(wù)請求方。12.2存證收集存證收集主要用于收集隱私計算框架的各核心組件的操作記錄,包括但不限于:a)存證收集范圍,覆蓋隱私信息抽取與度量、隱私度量動態(tài)調(diào)整、隱私延伸控制、隱私按需保護(hù)、保護(hù)效果評估等組件的執(zhí)行過程和執(zhí)行效果;b)隱私信息抽取與度量組件的相關(guān)存證信息收集,具體如下:1)收集隱私信息抽取過程的相關(guān)日志信息,包括但不限于:識別與抽取執(zhí)行主體、執(zhí)行時間、識別與抽取結(jié)果,支撐審計隱私信息抽取功能的正確性、完備性;2)收集隱私信息分類過程的相關(guān)日志信息,包括但不限于:信息模態(tài)、所依據(jù)的分類標(biāo)準(zhǔn)、分類方法、分類時間、分類結(jié)果,支撐審計數(shù)據(jù)分類的合規(guī)性、分類異常問題溯源;3)收集隱私信息度量過程的相關(guān)日志信息,包括但不限于:量化評估模型及其參數(shù)、輸入數(shù)據(jù)和輸出量化結(jié)果的執(zhí)行主體、量化結(jié)果等,支撐隱私信息度量方法改進(jìn)、度量異常問題溯源。c)隱私度量動態(tài)調(diào)整組件的相關(guān)存證信息收集,具體如下:1)收集場景識別過程的相關(guān)日志信息,包括但不限于:場景識別執(zhí)行主體、識別模型及參數(shù)、識別執(zhí)行時間、場景識別結(jié)果,支撐審計場景識別功能的正確性;2)收集度量調(diào)整過程的相關(guān)日志信息,包括但不限于:度量調(diào)整操作執(zhí)行主體、度量調(diào)整方法及參數(shù)、度量調(diào)整結(jié)果,支撐審計度量調(diào)整功能的正確性。d)隱私延伸控制組件的相關(guān)存證信息收集,具體如下:1)收集延伸控制策略生成的相關(guān)日志信息,包括但不限于:生成該策略的隱私信息處理者身份標(biāo)識、延伸控制意圖、延伸控制策略內(nèi)容等,支撐審計延伸控制意圖和延伸控制策略之間的匹配性;2)收集控制策略可控傳遞過程的相關(guān)日志信息,包括但不限于:隱私信息提供者身份標(biāo)識、隱私信息接收者身份標(biāo)識、策略傳遞會話日志信息、數(shù)字簽名等,支撐延伸控制一致性判定、控制策略異常問題溯源;22T/CSACXXXX—XXXX3)收集控制策略迭代調(diào)整過程的相關(guān)日志信息,包括但不限于:隱私信息處理者的隱私保護(hù)能力、應(yīng)用場景、數(shù)據(jù)模態(tài)、延伸控制策略更新內(nèi)容等信息,支撐審計控制策略迭代調(diào)整功能的正確性;4)收集策略執(zhí)行可信驗證過程的相關(guān)日志信息,包括但不限于:驗證發(fā)起方和被驗證方的身份信息、驗證方法、驗證結(jié)果等。如果存在驗證結(jié)果異常,則記錄異常內(nèi)容,支撐異常行為的檢測與問題溯源。e)隱私按需保護(hù)的相關(guān)存證信息收集,具體如下:1)收集脫敏控制策略生成的相關(guān)日志信息,包括但不限于:生成該策略的隱私信息處理者身份標(biāo)識、隱私信息接收者身份標(biāo)識、脫敏對象、脫敏等級等,支撐審計脫敏意圖和脫敏控制策略之間的匹配性;2)收集脫敏操作的相關(guān)日志信息,包括但不限于:執(zhí)行該策略的隱私信息處理者身份標(biāo)識、脫敏控制策略解析結(jié)果、選擇的脫敏算法及其參數(shù)、脫敏結(jié)果等,支撐審計脫敏操作內(nèi)容和脫敏控制策略之間的匹配性;3)收集刪除控制策略生成的相關(guān)日志信息,包括但不限于:生成該策略的隱私信息處理者身份標(biāo)識、刪除對象、刪除方法、刪除范圍等,支撐審計刪除意圖和刪除控制策略之間的匹配性;4)收集刪除操作的相關(guān)日志信息,包括但不限于:執(zhí)行該策略的隱私信息處理者身份標(biāo)識、刪除控制策略解析結(jié)果、刪除方法、刪除指令、刪除結(jié)果等,支撐審計刪除操作內(nèi)容和刪除控制策略之間的匹配性。f)保護(hù)效果評估的相關(guān)存證信息收集,具體如下:1)收集單次脫敏效果評估的相關(guān)日志信息,包括但不限于:執(zhí)行該效果評估處理者身份標(biāo)識、可逆性評估方法與結(jié)果、信息偏差性評估方法與結(jié)果、信息損失性評估方法與結(jié)果等,支撐審計單次脫敏的合規(guī)性和有效性;2)收集基于數(shù)據(jù)挖掘的脫敏效果評估的相關(guān)日志信息,包括但不限于:執(zhí)行該效果評估處理者身份標(biāo)識、特定個人在一定時間內(nèi)的脫敏信息、信息偏差性評估方法與結(jié)果、信息損失性評估方法與結(jié)果等,支撐審計特定個人的隱私信息脫敏的合規(guī)性和有效性;3)收集脫敏系統(tǒng)脫敏效果評估的相關(guān)日志信息,包括但不限于:執(zhí)行該效果評估處理者身份標(biāo)識、若干特定個人或所有個人在一定時間內(nèi)的脫敏信息、信息偏差性評估方法與結(jié)果、信息損失性評估方法與結(jié)果等,支撐審計脫敏系統(tǒng)脫敏的合規(guī)性和有效性。g)存證信息采用標(biāo)準(zhǔn)描述格式,存證信息的收集采用RESTAPI、gRPC等分布式系統(tǒng)通信技術(shù),提供通用的存證接口,支撐跨系統(tǒng)互聯(lián)互通。12.3存證存儲存證存儲是對收集的存證信息進(jìn)行高效的組織管理,支撐存證信息的高效檢索和充分利用,包括:a)存儲方式,本地自存證,或第三方存證等存證類型;b)存證完整性,保證收集的存證信息齊全,確保存證信息被成功存儲,在丟失或損壞存證信息的情況下從原渠道補(bǔ)全對應(yīng)的存證信息;c)存證機(jī)密性,采用訪問控制技術(shù)控制存證信息的訪問主體、訪問路徑、訪問時間、訪問的信息數(shù)量;采用密碼技術(shù)對存證信息進(jìn)行加密防止鏡像拷貝、拖庫等非法獲取;d)存證可信性,保證存證信息不被篡改、不被隨意刪除;e)存證可靠性,采用RAID技術(shù)或雙活等機(jī)制,實現(xiàn)存證信息的冗余災(zāi)備。23T/CSACXXXX—XXXX12.4證據(jù)生成證據(jù)生成是根據(jù)證據(jù)服務(wù)請求對收集到隱私計算框架各組件的存證信息進(jìn)行檢索、數(shù)據(jù)預(yù)處理、證據(jù)要素封裝、證據(jù)鏈構(gòu)建的過程,支撐對隱私計算的操作行為進(jìn)行合規(guī)審計、監(jiān)管、異常事件分析與溯源等,包括:a)證據(jù)請求響應(yīng),接收請求方的證據(jù)獲取請求,對請求方進(jìn)行身份驗證,解析證據(jù)獲取事項的要b)證據(jù)完備性,根據(jù)證據(jù)獲取的要求,對各個存證存儲系統(tǒng)中的存證信息進(jìn)行多源證據(jù)查找,獲取所有相關(guān)證據(jù);c)多源證據(jù)生成,對查找得到的多源存證信息,按照請求事項和時序進(jìn)行整理并生成證據(jù),采用數(shù)字簽名技術(shù)實現(xiàn)生成證據(jù)的不可篡改和不可否認(rèn)性;如果有機(jī)密性要求,采用請求和響應(yīng)雙方預(yù)先約定的協(xié)議實現(xiàn)密鑰協(xié)商和傳輸加密。24T/CSACXXXX—XXXX隱私信息描述示例A.1概述隱私信息可由隱私信息六元組描述,具體如下:a)隱私信息向量,根據(jù)文件標(biāo)識符確定信息的類型,并根據(jù)語義特征將信息進(jìn)行拆分,得到n個在語義上不可分割的隱私信息分量,則隱私信息向量可以表示為I=(id,i1,…,ik,…,in),其中k為取值范圍從1到n的正整數(shù);b)約束條件集合,由隱私信息分量對應(yīng)的約束條件向量組成的集合θ={θ1,θ2?,θk,…,θn},用于描述在不同場景下實體訪問隱私信息分量ik所需的訪問權(quán)限。根據(jù)隱私信息向量中的隱私信息分量的應(yīng)用場景,可對隱私信息分量設(shè)置相應(yīng)的約束條件向量θk=(uk,tk,dk,nk),表示第k個隱私信息分量的約束條件,其中,uk表示訪問者列表,tk表示訪問時間,dk表示訪問設(shè)備,nk表示網(wǎng)絡(luò)標(biāo)識;c)隱私屬性向量,通過預(yù)先標(biāo)記或隱私保護(hù)程度量化操作函數(shù),結(jié)合約束條件集合,對隱私信息向量進(jìn)行隱私度量,度量結(jié)果存入隱私屬性向量A=(a1,a2,?,an,?,am??杉僭O(shè)初始所有隱私屬性分量為1(假設(shè)隱私屬性分量的范圍為0到1,隱私屬性分量越小,其對應(yīng)的隱私信息分量的保護(hù)程度越高);d)廣義定位信息集合,分別獲取隱私信息分量在信息中的廣義定位信息向量y1、y2、……、yn,由此生成廣義定位信息集合Γ={y1,y2,?,yk,?,yn};e)審計控制信息集合,分別獲取隱私信息分量的審計控制信息向量w1,w2,?,wn。在初始化階段,審計控制信息向量可以為空,記錄當(dāng)前持有者對隱私信息分量進(jìn)行的所有操作,由此生成審計控制信息集合Ω={w1,w2,?,wn};f)傳播控制操作集合,針對隱私屬性向量和約束條件集合,根據(jù)操作判別函數(shù)或人工標(biāo)記生成隱私信息向量及其組合的傳播控制操作集合Ψ={Ψ1,Ψ2,?,Ψn}。在初始化階段,傳播控制操作向量可以為空,根據(jù)流轉(zhuǎn)過程中對隱私信息分量的傳播要求,逐漸添加得到傳播控制操作向量Ψ2,?,Ψn共同組成傳播控制操作集合。A.2隱私信息描述六元組生成過程本附錄以文本、圖像模態(tài)數(shù)據(jù)為例,介紹隱私信息描述的生成方法和過程,供設(shè)計實現(xiàn)隱私信息描述與處理功能時參考。針對待處理的多模態(tài)數(shù)據(jù),進(jìn)行隱私抽取,確定隱私信息分量模態(tài),并進(jìn)行定位,生成隱私信息向量和廣義定位信息集合;通過隱私數(shù)據(jù)分類分級規(guī)則對識別和抽取的隱私信息分量進(jìn)行分類,根據(jù)分類結(jié)果確定隱私信息向量的約束條件集合;根據(jù)約束條件集合以及隱私數(shù)據(jù)分類分級規(guī)則對隱私信息向量進(jìn)行隱私度量,生成隱私屬性向量和傳播控制操作集合;記錄對隱私信息向量執(zhí)行的所有操作,生成審計控制信息集合。隱私信息描述六元組生成過程如圖A.1所示。25T/CSACXXXX—XXXX圖A.1隱私信息描述六元組生成過程A.3文本類隱私信息描述生成示例A.3.1隱私信息向量隱私信息向量生成過程如下:a)隱私信息處理者根據(jù)文件標(biāo)識符等信息確定信息的類型,并讀取其內(nèi)容。例如:可以通過Apachepoi等工具讀取Word文檔信息、Excel表格信息;通過Spire.PDF等工具讀取PDF文檔信息;b)通過正則文本匹配、自然語言處理識別文件中的隱私信息并進(jìn)行切割。以文本信息“張三和李四去中關(guān)村參加活動”為例,使用基于BiLSTM+CRF模型的命名實體識別算法對姓名、組織名、地名等實體進(jìn)行識別;c)生成隱私信息向量I=(id,張三,和,李四,去,中關(guān)村,參加,活動)。A.3.2約束條件集合約束條件集合生成過程如下:a)隱私信息處理者獲取文本類數(shù)據(jù)對應(yīng)的分類分級規(guī)則;b)根據(jù)當(dāng)前隱私信息處理者的意愿,生成隱私信息向量對應(yīng)的約束條件集合。例如:若當(dāng)前隱私信息處理者僅向197.224.*.*網(wǎng)段的用戶賦予文檔讀寫權(quán)限,則非該網(wǎng)段下的用戶無法讀取該文件;c)生成約束條件集合θ1=(讀寫,197.224.?.?)。A.3.3隱私屬性向量隱私屬性向量生成過程如下:a)隱私信息處理者根據(jù)文本類數(shù)據(jù)對應(yīng)的分類分級規(guī)則和隱私信息分量的約束條件集合,確定待處理文本信息對應(yīng)的分類分級規(guī)則;26T/CSACXXXX—XXXXb)根據(jù)約束條件集合、分類分級規(guī)則以及文檔創(chuàng)建者的意愿,通過預(yù)先標(biāo)記或隱私保護(hù)程度量化操作函數(shù),依次計算隱私信息向量和隱私信息分量組合對應(yīng)的隱私屬性向量,生成各個隱私信息分量的隱私屬性向量;c)如度量結(jié)果為0.4,包含X1至Xn的隱私屬性向量可表示為a1=(X1,…,Xn,0.4)。A.3.4廣義定位信息集合廣義定位信息集合生成過程如下:a)隱私信息處理者采用合適的位置標(biāo)識信息,對隱私信息在文檔中的位置進(jìn)行編碼。例如:1)Word文檔可利用頁碼、段落、行數(shù)、起始位和終止位等表示定位信息;2)Excel表格可利用表單號、行號、列號等表示定位信息。b)生成隱私信息分量對應(yīng)的廣義定位信息向量。例如:對于Word、Excel文檔,可使用Apachepoi工具對隱私信息向量進(jìn)行索引,統(tǒng)一設(shè)置字符在文檔中的范圍標(biāo)簽和批注引用,生成廣義定位信息集合;c)生成廣義定位信息集合Γ,例如:1)y1=(X1,P11,S3,R2,0,4)表示記為X1隱私信息分量“張三”,位于文本信息的第11頁、第3段中的第2行,起始位為0,終止位為4;2)y2=(X2,T1,R5,C4)表示記為X2隱私信息分量,位于表格的表單1、第5行中的第4列的單元格中。A.3.5審計控制信息集合審計控制信息集合生成過程如下:a)隱私信息處理者記錄其對文檔的隱私信息分量進(jìn)行的所有操作,并生成審計控制信息集合;b)將生成的審計控制信息集合存儲于對應(yīng)的隱私信息描述六元組。A.3.6傳播控制操作集合傳播控制操作集合生成過程如下:a)隱私信息處理者獲取文本類數(shù)據(jù)對應(yīng)的分類分級規(guī)則和隱私信息分量的約束條件集合、隱私屬性向量;b)根據(jù)當(dāng)前隱私信息處理者流轉(zhuǎn)共享意愿,生成隱私信息向量對應(yīng)的傳播控制操作集合。例如:當(dāng)前的傳播控制操作集合Ψ={Ψ1,Ψ2,Ψ3},假設(shè)當(dāng)前隱私信息處理者只希望隱私信息分量“中關(guān)村”被復(fù)制轉(zhuǎn)發(fā),則可新增一個傳播控制操作向量Ψ4=(轉(zhuǎn)發(fā),復(fù)制),生成新的傳播控制操作集合Ψ={Ψ1,Ψ2,Ψ3,Ψ4}。隱私信息六元組的生成結(jié)果如圖A.2所示。識別文檔中的隱私信息實體,例如:“北京市消防局”記為X1,X1的位置在文檔中的第2頁、第2段、第2行上,起始位置是35,終止位置是41。提取外部文本數(shù)據(jù)分類分級規(guī)則,結(jié)合使用意愿,得到其對應(yīng)的隱私屬性向量為a1=(X1,0.4),表示隱私信息分量X1的隱私屬性度量結(jié)果為0.4。約束條件集合θ1約束該文檔只能在197.224.*.*網(wǎng)段中被查看,并且Ψ1控制后續(xù)流轉(zhuǎn)過程中該隱私信息分量只能被轉(zhuǎn)發(fā)、復(fù)制。傳播控制操作集合W1=(UID1,復(fù)制,轉(zhuǎn)發(fā);UID2,轉(zhuǎn)發(fā),修改)表示隱私信息分量“北京市消防局”先后被唯一標(biāo)識為UID1和UID2的用戶訪問和操作過,其中“UID1,復(fù)制,轉(zhuǎn)發(fā)”表示隱私信息分量“北京市消防局”被用戶UID1執(zhí)行了復(fù)制、轉(zhuǎn)發(fā)的操作;當(dāng)該隱私信息分量傳播至用戶UID2,則被執(zhí)行了轉(zhuǎn)發(fā)和修改的操作。27T/CSACXXXX—XXXX圖A.2Word文檔隱私信息描述生成結(jié)果A.4圖片類隱私信息描述生成示例A.4.1隱私信息向量圖片中的隱私信息向量生成過程如下:a)在圖片分享過程中,圖片持有者使用ExifTool、exifread等開源工具/函數(shù)庫讀取圖片EXIF數(shù)據(jù)中的拍攝時間、拍攝經(jīng)緯度、焦距等敏感信息;b)通過圖像處理算法識別圖片像素區(qū)域中的敏感內(nèi)容。例如:一張圖片同時出現(xiàn)張三和李四在醫(yī)院門口下私家車,圖片拍攝者為張五。其中,張三人臉、李四人臉、私家車車牌、醫(yī)院標(biāo)識即為敏感內(nèi)容;c)將識別的敏感內(nèi)容作為隱私信息分量(張三人臉、李四人臉、私家車車牌、醫(yī)院標(biāo)識)存儲在Exif信息的IFD(ImageFileDirectory)結(jié)構(gòu)的自定義區(qū)域,命名為隱私信息分量PrivacyInfoEntry中。A.4.2約束條件集合圖片中的約束條件集合生成過程如下:a)可通過一些外在信息判定敏感信息的約束條件,例如,圖片像素的張三人臉區(qū)域、李四人臉區(qū)域、私家車車牌號區(qū)域、醫(yī)院標(biāo)識區(qū)域,訪問者-訪問客體信息V={<張五,私家車車牌號區(qū)域>,…,<趙六,醫(yī)院標(biāo)識區(qū)域>}約束條件;b)可通過ExifTool、exifread等開源工具/函數(shù)庫,將約束條件寫入Exif信息的IFD結(jié)構(gòu)自定義區(qū)域中的約束條件ConstraintEntry中。A.4.3隱私屬性向量圖片中的隱私屬性向量生成過程如下:a)通過圖片內(nèi)容隱私檢測算法、合影人員親密度檢測算法等工具識別私家車車牌號區(qū)域、張
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 二零二五年度生態(tài)園區(qū)場地租賃合同標(biāo)準(zhǔn)范本6篇
- 二零二五年新能源發(fā)電設(shè)施建設(shè)泥工勞務(wù)合同3篇
- 二零二五版海上貨物運輸合同適用范圍與船舶代理服務(wù)合同3篇
- 二零二五年度環(huán)境安全檢測技術(shù)服務(wù)合同2篇
- 二零二五年度防火門銷售、推廣及市場拓展合同3篇
- 二零二五版智慧城市基礎(chǔ)設(shè)施建設(shè)項目施工合同6篇
- 二零二五版新材料研發(fā)中心與實驗員勞務(wù)合同2篇
- 二零二五年度游戲運營合同3篇
- 二零二五版醫(yī)療器械貼牌研發(fā)及銷售合同3篇
- 二零二五版304不銹鋼建筑結(jié)構(gòu)材料采購合同2篇
- 品質(zhì)經(jīng)理工作總結(jié)
- 供電搶修述職報告
- 集成電路設(shè)計工藝節(jié)點演進(jìn)趨勢
- 新型電力系統(tǒng)簡介演示
- 特種設(shè)備行業(yè)團(tuán)隊建設(shè)工作方案
- 眼內(nèi)炎患者護(hù)理查房課件
- 肯德基經(jīng)營策略分析報告總結(jié)
- 買賣合同簽訂和履行風(fēng)險控制
- 中央空調(diào)現(xiàn)場施工技術(shù)總結(jié)(附圖)
- 水質(zhì)-濁度的測定原始記錄
- 數(shù)字美的智慧工業(yè)白皮書-2023.09
評論
0/150
提交評論