隱私脫敏控制、過程示例

（資料性）

脫敏控制示例概述本附錄以版式文檔為例，介紹脫敏控制流程，重點(diǎn)針對(duì)脫敏控制策略生成、脫敏算法選擇執(zhí)行等環(huán)節(jié)進(jìn)行了介紹，供脫敏控制系統(tǒng)設(shè)計(jì)者參考。版式文檔包含不同信息模態(tài)的隱私信息。不同的隱私信息處理者，通過即時(shí)通信系統(tǒng)，進(jìn)行版式文檔的流轉(zhuǎn)共享。在版式文檔流轉(zhuǎn)共享過程中，采用脫敏控制保護(hù)版式文檔中的隱私信息。該問題可以形式化描述為如下：含有隱私信息的版式文檔X，分享者S，脫敏控制策略P，其中，X={X1,X2,…,Xk,…,Xn}由n個(gè)信息分量組成，每個(gè)信息分量Xk的組成內(nèi)容是Xk=c,A,Γ,Ω,Ψ,P,其中，c面向版式文檔的跨域脫敏控制示例面向隱私版式文檔的脫敏控制的過程如下：脫敏控制策略生成，該過程包括脫敏意圖理解和脫敏控制策略生成，具體過程如下：脫敏意圖理解：隱私信息處理者執(zhí)行首次脫敏時(shí)，根據(jù)提供的脫敏意圖生成機(jī)器可識(shí)別、可執(zhí)行的脫敏要求；執(zhí)行迭代脫敏時(shí)，根據(jù)上游隱私信息處理者的脫敏控制策略解析生成相應(yīng)脫敏要求；脫敏控制生成：為了滿足脫敏要求，對(duì)分享的版式文檔生成脫敏控制策略P，劃分需脫敏的內(nèi)容。在迭代脫敏過程中，隱私信息處理者提取已有脫敏控制策略，并結(jié)合當(dāng)前分享者的屬性和接收者的隱私保護(hù)能力，生成新的脫敏控制策略。針對(duì)信息分量Xk，根據(jù)已有脫敏控制策略Xk.Pexist，結(jié)合當(dāng)前分享者Si的屬性和接收者Si+1的隱私保護(hù)能力，迭代生成信息分量Xk的第j條脫敏控制脫敏算法選擇執(zhí)行，該過程包括敏感數(shù)據(jù)識(shí)別、脫敏算法選擇、脫敏算法識(shí)別、脫敏效果評(píng)估，具體過程如下：敏感數(shù)據(jù)識(shí)別：使用關(guān)鍵詞匹配、支持向量機(jī)、自然語言處理等信息識(shí)別算法和人工方式，根據(jù)數(shù)據(jù)特征和使用環(huán)境，標(biāo)識(shí)版式文檔中的敏感數(shù)據(jù)，包括其位置和格式。對(duì)數(shù)據(jù)進(jìn)行分類分級(jí)，明確隱私數(shù)據(jù)的類別和敏感級(jí)別；脫敏算法選擇：根據(jù)脫敏控制策略、信息分量類別及敏感級(jí)別，確定脫敏效果期望。遍歷已有脫敏算法集合Ψ脫敏算法執(zhí)行：基于脫敏控制策略X.P，對(duì)版式文檔X中的每個(gè)信息分量Xk，在不同信息模態(tài)下執(zhí)行脫敏算法。針對(duì)不同的信息模態(tài)（如圖像、文字等），根據(jù)保護(hù)策略實(shí)施差異化脫敏控制。針對(duì)分享方向，確定文檔需要部分過濾、全部過濾或完全放行的交換邊界控制。針對(duì)本地設(shè)備模式，確定文檔的顯示、復(fù)制、粘貼等本地使用控制方式脫敏效果評(píng)估：完成脫敏后，進(jìn)行質(zhì)量檢查以確保文檔保持可用性且不含敏感信息。利用深度學(xué)習(xí)模型檢測可能的隱私泄露，同時(shí)使用數(shù)據(jù)質(zhì)量評(píng)估工具確保數(shù)據(jù)準(zhǔn)確性和一致性。應(yīng)用差分隱私評(píng)估保護(hù)措施，同時(shí)實(shí)時(shí)評(píng)估隱私信息接收者的防護(hù)能力，以確保個(gè)人數(shù)據(jù)得到有效保護(hù)；控制策略可控傳遞，該過程包括控制策略可控傳輸?shù)谋Ｃ苄詫?shí)現(xiàn)、真實(shí)性實(shí)現(xiàn)、安全性實(shí)現(xiàn)，具體過程如下：保密性：使用SM2等加密技術(shù)確?？刂撇呗栽趥鬏斶^程中的保密性，實(shí)施基于角色的訪問控制，僅授權(quán)的隱私信息接收者能解密和訪問策略；真實(shí)性：利用數(shù)字簽名確認(rèn)策略的真實(shí)性，詳細(xì)記錄傳輸過程以保證透明性和追溯性；安全性：采用可信執(zhí)行環(huán)境技術(shù)保障傳輸和處理過程的安全性；控制策略迭代調(diào)整，該過程包括脫敏控制策略解析、更新、防篡改，具體過程如下：脫敏控制策略解析：利用自然語言處理技術(shù)解析前序隱私信息處理者嵌入的脫敏控制策略，生成操作性強(qiáng)的脫敏控制策略；脫敏控制策略更新：通過規(guī)則引擎，根據(jù)隱私信息接收者的隱私保護(hù)能力、應(yīng)用場景和數(shù)據(jù)模態(tài)等動(dòng)態(tài)更新脫敏控制策略；脫敏控制策略防篡改：利用RSA數(shù)字簽名技術(shù)對(duì)更新后的脫敏控制策略進(jìn)行簽名，以確保策略的真實(shí)性和防篡改性；策略執(zhí)行可信驗(yàn)證，該過程包括策略執(zhí)行遠(yuǎn)程驗(yàn)證、審計(jì)日志記錄、傳播鏈驗(yàn)證，具體過程如下：遠(yuǎn)程驗(yàn)證：使用遠(yuǎn)程驗(yàn)證技術(shù)，確保隱私信息接收者能驗(yàn)證后序隱私信息處理者是否按預(yù)期執(zhí)行了脫敏控制策略；審計(jì)日志記錄：通過安全審計(jì)日志系統(tǒng)記錄和分析隱私信息處理過程中的所有操作，保證脫敏控制策略執(zhí)行的透明性和可追溯性；傳播鏈驗(yàn)證：采用聚合簽名技術(shù)，確保隱私信息接收者能驗(yàn)證傳播鏈上所有前序隱私信息處理者的脫敏控制策略執(zhí)行情況；脫敏過程存證，該過程包括脫敏過程日志存證、存證記錄防篡改，具體過程如下：脫敏過程日志存證：使用日志記錄工具建立詳細(xì)的存證日志，記錄數(shù)據(jù)脫敏的各個(gè)階段活動(dòng)，包括數(shù)據(jù)采集、脫敏方法、執(zhí)行時(shí)間、執(zhí)行者身份等信息；存證記錄防篡改：采用開源或商業(yè)數(shù)字簽名工具確保存證記錄的完整性和真實(shí)性，用于簽署存證日志文件，以驗(yàn)證其未被篡改。

（資料性）

按需脫敏過程示例概述在網(wǎng)約車出行服務(wù)系統(tǒng)中，會(huì)涉及大量的用戶隱私信息，例如：位置數(shù)據(jù)、行程詳情、銀行賬號(hào)和個(gè)人習(xí)慣等。出行服務(wù)系統(tǒng)在日常運(yùn)營中，會(huì)針對(duì)上述敏感個(gè)人信息進(jìn)行采集、脫敏、計(jì)算、共享和刪除等各種操作，若處理不當(dāng)，可能會(huì)導(dǎo)致嚴(yán)重的隱私泄露。在脫敏控制的協(xié)同下，按需脫敏可針對(duì)業(yè)務(wù)系統(tǒng)不同階段的隱私信息跨域流轉(zhuǎn)提供按需隱私保護(hù)能力，支撐在不泄露用戶具體數(shù)據(jù)的前提下，實(shí)現(xiàn)數(shù)據(jù)的有效利用。本附錄以出行服務(wù)系統(tǒng)的數(shù)據(jù)流轉(zhuǎn)為例，介紹了按需脫敏在不同數(shù)據(jù)流轉(zhuǎn)場景的示例及使用方法，供設(shè)計(jì)開發(fā)脫敏控制以及按需脫敏功能時(shí)參考。按需脫敏操作過程示例當(dāng)出行服務(wù)結(jié)束后，出行服務(wù)過程中收集的隱私信息被上傳至后臺(tái)信息服務(wù)系統(tǒng)。此階段后數(shù)據(jù)流轉(zhuǎn)過程如圖B.1所示。出行服務(wù)系統(tǒng)在符合個(gè)人信息保護(hù)要求的條件下，結(jié)合具體的業(yè)務(wù)內(nèi)容，可以在本系統(tǒng)內(nèi)合規(guī)地脫敏、存儲(chǔ)、使用和刪除收集的個(gè)人信息，也可以在同機(jī)構(gòu)跨系統(tǒng)、跨機(jī)構(gòu)跨系統(tǒng)等場景下進(jìn)行隱私信息流轉(zhuǎn)。圖B.1出行服務(wù)數(shù)據(jù)流轉(zhuǎn)示意圖出行服務(wù)系統(tǒng)導(dǎo)航過程中在導(dǎo)航過程中出行服務(wù)數(shù)據(jù)可以不脫敏，原始出行數(shù)據(jù)示見表B.1。表B.SEQ表D-\*ARABIC1原始出行數(shù)據(jù)示例手機(jī)號(hào)碼姓名訂單號(hào)銀行卡號(hào)支付賬號(hào)當(dāng)前地址目的地江3965370225659153805308594374229955880233087059918187829965廣西壯族自治區(qū)玉林市北流市塘岸收費(fèi)站入口(北海方向)廣西壯族自治區(qū)玉林市北流市城西一路16號(hào)朝陽旅社(城西一路盛雨3900861899244107406055957646824955880226161579915708026968四川省攀枝花市東區(qū)新源路110攀枝花市公安局四川省攀枝花市東區(qū)新宏路與機(jī)場路交叉口西南150米學(xué)府廣銘艷2573167011495572234811314662861955880226161579915938458003重慶市城口縣復(fù)興街道太和社區(qū)銀子巖隧道龍城宏翰復(fù)興派出所(城口縣復(fù)興街道社區(qū)衛(wèi)生服務(wù)中心西北)重慶市城口縣城口縣朱家航娟2331759524028188183447860410980622200226161579818281903000廣西壯族自治區(qū)崇左市天等縣506縣道南150米天等中學(xué)農(nóng)場廣西壯族自治區(qū)崇左市天等縣天寶路西100米古鼎香·四季湖景導(dǎo)航結(jié)束后在導(dǎo)航結(jié)束后，根據(jù)隱私信息所有者設(shè)定的脫敏要求，出行服務(wù)提供商，即隱私信息處理者，針對(duì)不同模態(tài)信息采用適合的脫敏算法集合處理。例如：為了保護(hù)用戶隱私，通過匿名化處理方法對(duì)移動(dòng)電話號(hào)碼、支付信息等隱私信息進(jìn)行保護(hù)，達(dá)到對(duì)可標(biāo)識(shí)到具體個(gè)人的信息匿名化處理。在位置信息等發(fā)送到服務(wù)器前，本地設(shè)備可通過實(shí)施差分隱私技術(shù)添加隨機(jī)噪聲。例如，對(duì)于出發(fā)地、目的地等位置數(shù)據(jù)可以添加一定范圍內(nèi)的隨機(jī)偏移。出行服務(wù)后的數(shù)據(jù)脫敏示例見表B.2。 表B.SEQ表D-\*ARABIC2出行服務(wù)后的數(shù)據(jù)脫敏示例（用于導(dǎo)航）手機(jī)號(hào)碼姓名訂單號(hào)銀行卡號(hào)支付賬號(hào)當(dāng)前地址目的地址181****9965房**3965370225**********0859437422995588*****870599181****9965廣西壯族自治區(qū)玉林市北流市塘岸收費(fèi)站入口(北海方向)廣西壯族自治區(qū)玉林市北流市城西一路16號(hào)朝陽旅社(城西一路)157****6968何***3900861899**********5595764682495588*****615799157****6968四川省攀枝花市東區(qū)新源路110攀枝花市公安局四川省攀枝花市東區(qū)新宏路與機(jī)場路交叉口西南150米學(xué)府廣場159****8003庾***2573167011**********1131466286195588*****615799159****8003重慶市城口縣復(fù)興街道太和社區(qū)銀子巖隧道龍城宏翰復(fù)興派出所(城口縣復(fù)興街道社區(qū)衛(wèi)生服務(wù)中心西北)重慶市城口縣城口縣朱家溝182****3000干***2331759524**********4786041098062220*****615798182****3000廣西壯族自治區(qū)崇左市天等縣506縣道南150米天等中學(xué)農(nóng)場廣西壯族自治區(qū)崇左市天等縣天寶路西100米古鼎香·四季湖景不同系統(tǒng)數(shù)據(jù)流轉(zhuǎn)同機(jī)構(gòu)出行服務(wù)系統(tǒng)在完成導(dǎo)航服務(wù)后，所收集的個(gè)人信息需要按照脫敏控制的要求進(jìn)行處理，脫敏后的隱私信息可用于本機(jī)構(gòu)出行服務(wù)外其他業(yè)務(wù)功能，例如：糾正出行服務(wù)的路線、精確線路的導(dǎo)航、分析實(shí)時(shí)的道路狀況等功能。不應(yīng)用于與業(yè)務(wù)不相關(guān)的功能，例如：分析用戶的家庭住址、單位地址、消費(fèi)水平和個(gè)人偏好等。因此，當(dāng)需要在出行服務(wù)商內(nèi)部其他系統(tǒng)使用用戶數(shù)據(jù)時(shí)，應(yīng)對(duì)上述用戶隱私信息，感知隱私分量，結(jié)合信息模態(tài)等信息，對(duì)其采用合適的脫敏算法進(jìn)行處理。同機(jī)構(gòu)不同系統(tǒng)數(shù)據(jù)流轉(zhuǎn)的數(shù)據(jù)脫敏示例見表B.3。表B.SEQ表D-\*ARABIC3出行服務(wù)后同機(jī)構(gòu)不同系統(tǒng)數(shù)據(jù)流轉(zhuǎn)下的按需脫敏結(jié)果（用于機(jī)構(gòu)內(nèi)區(qū)域車輛調(diào)度支持）手機(jī)號(hào)碼姓名訂單號(hào)銀行卡號(hào)支付賬號(hào)當(dāng)前地址目的地址181房**396955181廣西壯族自治區(qū)玉林市北流市塘岸收費(fèi)站廣西壯族自治區(qū)玉林市北流市城西一路157何***390955157四川省攀枝花市東區(qū)新源路四川省攀枝花市東區(qū)新宏路與機(jī)場路交叉口159庾***257955159重慶市城口縣復(fù)興街道太和社區(qū)重慶市城口縣城口縣朱家溝182干***233622182廣西壯族自治區(qū)崇左市天等縣506縣道廣西壯族自治區(qū)崇左市天等縣天寶路不同機(jī)構(gòu)在出行服務(wù)系統(tǒng)向不同機(jī)構(gòu)的其他系統(tǒng)進(jìn)行數(shù)據(jù)流轉(zhuǎn)的場景中，出行服務(wù)機(jī)構(gòu)需要綜合考慮使用場景、隱私信息接收者的隱私保護(hù)能力等因素，生成脫敏控制策略，并將其嵌入待流轉(zhuǎn)數(shù)據(jù)中，以約束接收隱私信息的隱私信息接收者和隱私信息處理者的脫敏操作。接收隱私信息的隱私信息處理者需要按照脫敏控制要求對(duì)流轉(zhuǎn)的隱私信息執(zhí)行脫敏操作，并進(jìn)行脫敏效果評(píng)估，直至完成脫敏控制策略中脫敏效果期望的要求。不同機(jī)構(gòu)不同系統(tǒng)數(shù)據(jù)流轉(zhuǎn)的數(shù)據(jù)脫敏示例見表B.4。表B.SEQ表D-\*ARABIC4出行服務(wù)系統(tǒng)向不同機(jī)構(gòu)系統(tǒng)進(jìn)行數(shù)據(jù)流轉(zhuǎn)場景的按需脫敏結(jié)果示例（用于旅游機(jī)構(gòu)統(tǒng)計(jì)）手機(jī)號(hào)碼姓名訂單號(hào)銀行卡號(hào)支付賬號(hào)當(dāng)前地址目的地址181****9965***0000000000000000000000000000000000000000000000000000000000廣西壯族自治區(qū)廣西壯族自治區(qū)157**