DB31-T 1524-2024 基于隱私計算技術(shù)的公共數(shù)據(jù)開發(fā)利用管理規(guī)范

基于隱私計算技術(shù)的公共數(shù)據(jù)開發(fā)利用管理規(guī)范2024-11-29發(fā)布2025-03-01實施發(fā)出發(fā)出布版上海市市場監(jiān)督管理局I Ⅲ 1 1 1 2 2 2 2 35.4開發(fā)利用流程 36參與方運營要求 4 46.2開發(fā)利用方 5 56.4數(shù)據(jù)提供方 56.5平臺運營方 5 5 6 67.1平臺能力 6 6 67.4跨平臺操作 6附錄A(資料性)基于隱私計算技術(shù)的公共數(shù)據(jù)開發(fā)利用參考案例 7參考文獻(xiàn) 8Ⅲ本文件按照GB/T1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由上海市數(shù)據(jù)局提出并組織實施。本文件由上海市數(shù)據(jù)標(biāo)準(zhǔn)化技術(shù)委員會歸口。本文件起草單位：上海市大數(shù)據(jù)中心、交通銀行股份有限公司、復(fù)旦大學(xué)、上海交通大學(xué)、上海市司法局、上海市浦東新區(qū)數(shù)據(jù)局、上海市浦東新區(qū)大數(shù)據(jù)中心、上海市臨港新片區(qū)大數(shù)據(jù)中心、上海數(shù)據(jù)集團(tuán)有限公司、國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心上海分中心、上海市信息網(wǎng)絡(luò)安全管理協(xié)會、上海市信息安全行業(yè)協(xié)會、上海計算機(jī)軟件技術(shù)開發(fā)中心、云賽智聯(lián)股份有限公司、上海觀安信息技術(shù)股份有限公司、上海安恒智慧城市安全技術(shù)有限公司、上海富數(shù)科技有限公司、上海錯崴信息科技有限公司、上海數(shù)字產(chǎn)業(yè)發(fā)展有限公司、上海數(shù)字安全科技有限公司、北京原語科技有限公司。本文件主要起草人：劉迎風(fēng)、梁滿、王光中、韓偉力、袁晨、劉辰昀、倪雄、何怡、陳沐桐、汪瑜、楊昊、靳玲、郭曉陽、陳凌霄、董繼明、黃得志、吳金松、沈王恒、丁睿、傅行曉、戴沁蕓、劉春梅、王強(qiáng)、楊琳、1本文件規(guī)定了基于隱私計算技術(shù)進(jìn)行公共數(shù)據(jù)開發(fā)利用的總體框架、參與方運營要求、技術(shù)保障。本文件適用于規(guī)范上海市基于隱私計算技術(shù)開展公共數(shù)據(jù)開發(fā)利用的管理工作。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。3術(shù)語和定義下列術(shù)語和定義適用于本文件。公共數(shù)據(jù)publicdata公共管理和服務(wù)機(jī)構(gòu)在依法履行公共管理和服務(wù)職責(zé)過程中收集和產(chǎn)生的數(shù)據(jù)。隱私計算privacy-preservingcomputation在提供隱私保護(hù)的前提下，兩個或多個數(shù)據(jù)提供方使用其私有數(shù)據(jù)共同完成計算任務(wù)的一種計算模式。參與方party參與公共數(shù)據(jù)開發(fā)利用的一個或一組法人或非法人組織。一種基于多方數(shù)據(jù)協(xié)同完成計算目標(biāo)，實現(xiàn)除計算結(jié)果及其可推導(dǎo)出的信息之外不泄露各方隱私數(shù)據(jù)的密碼技術(shù)。2由兩個或以上參與方共同參與，在保障參與方各自原始數(shù)據(jù)不出其定義的安全控制范圍的前提下，協(xié)作構(gòu)建并使用機(jī)器學(xué)習(xí)模型的技術(shù)架構(gòu)?？尚艌?zhí)行環(huán)境trustedexecutionenvironment基于硬件級隔離及安全啟動機(jī)制，為確保安全敏感應(yīng)用相關(guān)數(shù)據(jù)和代碼的機(jī)密性、完整性、真實性和不可否認(rèn)性目標(biāo)構(gòu)建的一種軟件運行環(huán)境。下列縮略語適用于本文件。API:應(yīng)用程序編程接口(ApplicationProgrammingInterface)SDK:軟件開發(fā)工具包(SoftwareDevelopmentKit)VPN:虛擬專用網(wǎng)絡(luò)(VirtualPrivateNetwork)5總體框架基于隱私計算技術(shù)的公共數(shù)據(jù)開發(fā)利用，指在符合法律法規(guī)要求的需求場景中，在授權(quán)范圍內(nèi)，以數(shù)據(jù)需求方、數(shù)據(jù)提供方、開發(fā)利用方、平臺運營方等作為參與方，依托公共數(shù)據(jù)開發(fā)利用隱私計算平臺(以下簡稱“平臺”),實現(xiàn)多方相互監(jiān)督下的多方數(shù)據(jù)融合應(yīng)用。5.2應(yīng)用框架基于隱私計算技術(shù)的公共數(shù)據(jù)開發(fā)利用應(yīng)用框架應(yīng)按圖1進(jìn)行構(gòu)建。3數(shù)據(jù)需求方數(shù)據(jù)需求方需求申請服務(wù)結(jié)果公共數(shù)據(jù)開發(fā)利用隱私計算平臺監(jiān)管接入第三方監(jiān)管機(jī)構(gòu)可信隱私計算環(huán)境聯(lián)邦學(xué)習(xí)否數(shù)據(jù)提供方資源平臺公共數(shù)據(jù)管理方全流程管理開發(fā)利用方全過程開發(fā)平臺運營方計算資源專業(yè)評估是圖1基于隱私計算技術(shù)的公共數(shù)據(jù)開發(fā)利用應(yīng)用框架5.3參與方角色在實際場景中，不同主體應(yīng)根據(jù)不同職責(zé)區(qū)分參與方角色，按需分配各參與方角色。主要參與方角色如下：a)數(shù)據(jù)需求方：對公共數(shù)據(jù)有需求的參與方；b)開發(fā)利用方：進(jìn)行公共數(shù)據(jù)開發(fā)利用并提供數(shù)據(jù)服務(wù)的參與方；c)公共數(shù)據(jù)管理方：對平臺運營過程進(jìn)行監(jiān)督管理的參與方；d)數(shù)據(jù)提供方：提供公共數(shù)據(jù)的參與方；e)平臺運營方：對平臺進(jìn)行建設(shè)、運營及運維的參與方；f)第三方監(jiān)管機(jī)構(gòu)：對基于隱私計算技術(shù)的公共數(shù)據(jù)開發(fā)利用過程進(jìn)行監(jiān)督、審查和審計等的參與方；g)第三方評估機(jī)構(gòu)：在基于隱私計算技術(shù)的公共數(shù)據(jù)開發(fā)利用過程中提供價值評估、風(fēng)險評估等服務(wù)的參與方。5.4開發(fā)利用流程基于隱私計算技術(shù)的公共數(shù)據(jù)開發(fā)利用流程應(yīng)按圖2進(jìn)行實施。4公共數(shù)據(jù)管理方公共數(shù)據(jù)管理方數(shù)據(jù)提供方場景審核融合加工隱私計算模型開發(fā)服務(wù)上線服務(wù)上線評估服務(wù)上線審核服務(wù)使用第三方評估機(jī)構(gòu)數(shù)據(jù)需求方開發(fā)利用方方案評估需求申請方案對接圖2基于隱私計算技術(shù)的公共數(shù)據(jù)開發(fā)利用流程基于隱私計算技術(shù)的公共數(shù)據(jù)開發(fā)利用的步驟如下。a)需求申請：數(shù)據(jù)需求方基于實際應(yīng)用需要，向開發(fā)利用方提出公共數(shù)據(jù)開發(fā)利用場景需求，包括c)方案評估：第三方評估機(jī)構(gòu)對場景需求、技術(shù)方案進(jìn)行評估。d)場景審核：公共數(shù)據(jù)管理方、數(shù)據(jù)e)融合加工：開發(fā)利用方在測試環(huán)境進(jìn)行數(shù)據(jù)融合加工，對數(shù)據(jù)進(jìn)行預(yù)處理。f)隱私計算模型開發(fā)：開發(fā)利用方進(jìn)行隱私計算模型開發(fā)，并將模型構(gòu)建為數(shù)據(jù)服務(wù)。g)隱私計算服務(wù)調(diào)試：開發(fā)利用方部署所需的隱私計算節(jié)點，進(jìn)行系統(tǒng)聯(lián)調(diào)。h)服務(wù)上線：開發(fā)利用方對數(shù)據(jù)服務(wù)進(jìn)行自評估并提交數(shù)據(jù)服務(wù)上線申請，第三方評估機(jī)構(gòu)、公共數(shù)據(jù)管理方分別進(jìn)行上線評估、審核，審核通過的數(shù)據(jù)服務(wù)在生產(chǎn)環(huán)境上線。i)服務(wù)使用：數(shù)據(jù)需求方使用數(shù)據(jù)服務(wù)，得到數(shù)據(jù)服務(wù)結(jié)果?；陔[私計算技術(shù)的公共數(shù)據(jù)開發(fā)利用參考案例見附錄A。6參與方運營要求6.1數(shù)據(jù)需求方數(shù)據(jù)需求方的要求包括但不限于：5a)應(yīng)制定并實施數(shù)據(jù)安全管理制度，具備對公共數(shù)據(jù)開發(fā)利用結(jié)果進(jìn)行保護(hù)的能力；b)需求申請時，應(yīng)基于應(yīng)用場景，按照最小夠用原則，提出數(shù)據(jù)應(yīng)用的場景需求，明確業(yè)務(wù)流程、技術(shù)要求和需要保護(hù)的數(shù)據(jù)對象；c)服務(wù)使用時，應(yīng)按照應(yīng)用場景對服務(wù)結(jié)果進(jìn)行使用、二次加工，落實數(shù)據(jù)安全管理制度。6.2開發(fā)利用方開發(fā)利用方的要求包括但不限于：a)應(yīng)制定并實施技術(shù)方案風(fēng)險自評估制度，制定風(fēng)險應(yīng)對措施，避免數(shù)據(jù)計算中間值、數(shù)據(jù)服務(wù)結(jié)果等信息泄露，保障多個數(shù)據(jù)提供行為關(guān)聯(lián)后暴露約定范圍外信息的風(fēng)險可控；b)方案對接時，應(yīng)評估數(shù)據(jù)需求方的數(shù)據(jù)安全防護(hù)水平，制定合理合規(guī)的技術(shù)方案；c)服務(wù)上線前，應(yīng)對算法邏輯、數(shù)據(jù)服務(wù)進(jìn)行自評估，并由第三方機(jī)構(gòu)評審、評估，確保符合場景需求及隱私保護(hù)、數(shù)據(jù)安全等要求，并根據(jù)要求進(jìn)行審核、備案，接受第三方監(jiān)管機(jī)構(gòu)的全過程監(jiān)管；d)服務(wù)上線后，應(yīng)對提供的數(shù)據(jù)服務(wù)進(jìn)行數(shù)據(jù)使用管控和風(fēng)險管控。6.3公共數(shù)據(jù)管理方公共數(shù)據(jù)管理方的要求包括但不限于：a)應(yīng)制定并實施公共數(shù)據(jù)開發(fā)利用隱私計算技術(shù)應(yīng)用的管理制度；b)應(yīng)對數(shù)據(jù)開發(fā)利用過程中的各參與方進(jìn)行監(jiān)督、指導(dǎo)、管理；c)應(yīng)組織開發(fā)利用過程中場景需求、技術(shù)方案、服務(wù)上線的評審。6.4數(shù)據(jù)提供方數(shù)據(jù)提供方的要求包括但不限于：a)應(yīng)保證數(shù)據(jù)來源合法合規(guī)，可追溯；b)應(yīng)明確數(shù)據(jù)服務(wù)任務(wù)提供的數(shù)據(jù)范圍，并按照GB/T43697對數(shù)據(jù)進(jìn)行分類分級管理；c)應(yīng)按照GB/T43709的要求加強(qiáng)數(shù)據(jù)質(zhì)量管理；d)應(yīng)會同公共數(shù)據(jù)管理方對應(yīng)用場景進(jìn)行審核。6.5平臺運營方平臺運營方的要求包括但不限于：a)應(yīng)制定并實施平臺的運營管理制度、風(fēng)險管理制度及安全管理制度；b)應(yīng)負(fù)責(zé)平臺建設(shè)及運維，為平臺提供計算資源及技術(shù)支撐，提供所需功能，負(fù)責(zé)全流程運營；c)應(yīng)實現(xiàn)與目錄鏈、本市大數(shù)據(jù)資源平臺等的對接，加強(qiáng)數(shù)據(jù)管理；d)應(yīng)對平臺資源進(jìn)行管控、調(diào)度，確保平臺運行服務(wù)性能；e)應(yīng)對平臺中運行的任務(wù)進(jìn)行監(jiān)控、分析，保障平臺中的各項服務(wù)平穩(wěn)運行；f)應(yīng)保障平臺的安全性，落實平臺各項安全管控措施；g)應(yīng)配合數(shù)據(jù)管理方及第三方監(jiān)管機(jī)構(gòu)，落實監(jiān)督、管理、審計要求。6.6第三方監(jiān)管機(jī)構(gòu)第三方監(jiān)管機(jī)構(gòu)應(yīng)根據(jù)數(shù)據(jù)主管部門和行業(yè)主管部門相關(guān)要求，對應(yīng)用場景的開發(fā)過程、使用情況進(jìn)行監(jiān)督、審查和審計，保持監(jiān)管的合法、公正、66.7第三方評估機(jī)構(gòu)第三方評估機(jī)構(gòu)應(yīng)具備對場景需求、技術(shù)方案等進(jìn)行評估的能力，保持評估的合法、公正、中立、客觀。7技術(shù)保障7.1平臺能力平臺能力的要求包括但不限于：a)平臺運營方應(yīng)保證平臺的安全使用，基于訪問控制、權(quán)限管理等對平臺用戶進(jìn)行安全管控，并提供安全的數(shù)據(jù)開發(fā)環(huán)境；b)平臺運營方應(yīng)實現(xiàn)開發(fā)測試環(huán)境與生產(chǎn)環(huán)境相互分離；c)平臺運營方應(yīng)提供同場景匹配的多方安全計算、聯(lián)邦學(xué)習(xí)和可信執(zhí)行環(huán)境等隱私計算技術(shù)；d)平臺運營方應(yīng)保證平臺可用性、業(yè)務(wù)連續(xù)性和災(zāi)備能力；e)平臺運營方應(yīng)對平臺中的關(guān)鍵信息進(jìn)行記錄、存證、分析。7.2數(shù)據(jù)安全數(shù)據(jù)安全的要求包括但不限于：a)各參與方應(yīng)按照GB/T35273的相關(guān)要求，利用多方安全計算、聯(lián)邦學(xué)習(xí)和可信執(zhí)行環(huán)境等隱私計算技術(shù)，保障公共數(shù)據(jù)開發(fā)利用中的個人信息安全；b)各參與方應(yīng)對數(shù)據(jù)處理采取數(shù)據(jù)保護(hù)措施，優(yōu)先采購安全可信、經(jīng)過安全檢測認(rèn)證的隱私計算產(chǎn)品；c)平臺運營方應(yīng)支持算力資源隔離，以實現(xiàn)不同參與方獨立使用算力資源。7.3系統(tǒng)安全系統(tǒng)安全的要求包括但不限于：a)平臺運營方應(yīng)保證平臺不低于GB/T22239中網(wǎng)絡(luò)安全等級保護(hù)(三級)的相關(guān)要求；b)平臺運營方應(yīng)保證平臺的密碼應(yīng)用滿足GB/T39786的相關(guān)要求；c)平臺運營方應(yīng)保證所提供技術(shù)的安全性，采用安全的隱私計算算法協(xié)議，保障隱私計算過程的d)平臺運營方應(yīng)對設(shè)備運行狀態(tài)、資源使用情況等進(jìn)行監(jiān)控，并支持計算資源的靈活擴(kuò)展，如數(shù)據(jù)e)平臺運營方應(yīng)保證平臺部署在中國境內(nèi)。7.4跨平臺操作跨平臺操作的要求包括但不限于：a)各參與方應(yīng)使用安全通道、VPN等對跨平臺通信進(jìn)行保護(hù)；b)平臺運營方應(yīng)提供基于數(shù)字證書等方式的跨平臺身份互認(rèn)技術(shù)；c)平臺運營方應(yīng)按需提供便于跨平臺接入的工具，如API、SDK或程序包7A.2開發(fā)利用流程下流程。1)開發(fā)利用方在測試環(huán)境進(jìn)行數(shù)據(jù)探查；2)開發(fā)利用方基于目錄鏈提供的數(shù)據(jù)目錄選擇所需數(shù)據(jù)；3)開發(fā)利用方基于場景需求提出數(shù)據(jù)加工邏輯；5)開發(fā)利用方基于場景需求及適用的隱私計算技術(shù)，e)融合加工：2)開發(fā)利用方對數(shù)據(jù)融