T-CSAC 005-2024 隱私計算 總體框架

CCSL80T/CSACPrivacycomputing:Overallfra中國網(wǎng)絡空間安全協(xié)會發(fā)布T/CSAC005—2024前言 12規(guī)范性引用文件 13術語和定義 14概述 54.1隱私計算概述 54.2隱私計算操作 64.3隱私計算技術 85隱私計算框架 95.1隱私計算框架組成 95.2隱私計算風險 6隱私信息抽取與度量組件 6.1概述 6.2隱私信息抽取 6.3隱私信息分類 6.4隱私信息度量 7隱私度量動態(tài)調整組件 7.1概述 7.2場景識別 7.3度量調整 8隱私延伸控制組件 8.1概述 8.2延伸控制策略生成 8.3控制策略可控傳遞 8.4控制策略迭代調整 8.5策略執(zhí)行可信驗證 9隱私按需保護組件 9.1概述 9.2脫敏算法能力評估 9.3按需脫敏 9.4按需刪除 10保護效果評估組件 10.1概述 10.2單次脫敏效果評估 10.3基于數(shù)據(jù)挖掘的脫敏效果評估 T/CSAC005—202410.4脫敏系統(tǒng)效果評估 10.5刪除效果評估 11存證與取證組件 11.1概述 11.2存證收集 11.3存證存儲 11.4證據(jù)生成 附錄A（資料性）隱私信息全生命周期計算操作示例 23A.1概述 A.2社交網(wǎng)絡場景 A.3網(wǎng)約車出行場景 A.4數(shù)據(jù)交易流通場景 A.5差分統(tǒng)計場景 A.6信用計算場景 附錄B（資料性）隱私計算與其他相關技術的差異 25B.1概述 B.2數(shù)據(jù)安全相關技術 B.3隱私保護相關技術 附錄C（資料性）隱私信息描述示例 27C.1概述 C.2隱私信息描述六元組生成過程 C.3文本類隱私信息描述生成示例 C.4圖片類隱私信息描述生成示例 附錄D（資料性）迭代延伸控制示例 32D.1概述 D.2隱私信息全生命周期中的迭代延伸控制 D.3脫敏延伸控制 D.4刪除延伸控制 附錄E（資料性）出行服務應用場景示例 37E.1概述 E.2出行服務中的隱私信息處理 附錄F（資料性）信用計算應用場景示例 38F.1概述 F.2隱私信息所有者或隱私信息提供者的計算操作 F.3隱私信息接收者或隱私信息使用者的計算操作 參考文獻 40IIIT/CSAC005—2024本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。本文件由中國網(wǎng)絡空間安全協(xié)會提出并歸口。本文件起草單位：中國科學院信息工程研究所、西安電子科技大學、中央網(wǎng)信辦數(shù)據(jù)與技術保障中心、中國網(wǎng)絡安全審查認證和市場監(jiān)管大數(shù)據(jù)中心、航天信息股份有限公司、中訊郵電咨詢設計院有限公司、國網(wǎng)智能電網(wǎng)研究院有限公司、上海交通大學、北京理工大學、長春吉大正元信息技術股份有限公司、海光信息技術股份有限公司、普華永道商務咨詢(上海)有限公司、四川昊華銳恒科技有限公司、成都西電網(wǎng)絡安全研究院、北京市計算中心有限公司、海南大學、中移(杭州)信息技術有限公司。本文件主要起草人：李鳳華、李暉、牛犇、張玲翠、朱輝、刁毅剛、閆小良、崔琦、張平、王首媛、宋若寧、于鵬飛、楊萬祿、徐倩華、邱衛(wèi)東、張子劍、宋祁朋、陳科名、楊朋霖、馬馳、崔艷鵬、趙琉濤、曹春杰、房梁、唐鵬、董紅梁。IVT/CSAC005—2024隱私計算標準體系由《隱私計算總體框架》和《隱私計算脫敏控制技術要求》、《隱私計算脫敏算法能力評估技術要求》、《隱私計算脫敏效果評估技術要求》、《隱私計算刪除控制技術要求》以及《隱私計算刪除方法和刪除效果評估技術要求》組成?！峨[私計算總體框架》明確隱私保護目標及技術實現(xiàn)路徑，提出隱私計算的通用框架與功能模塊劃分，為隱私計算相關技術和應用提供統(tǒng)一的技術框架和指導。1T/CSAC005—2024隱私計算總體框架本文件描述了隱私保護的目標、隱私計算的參與者、隱私計算與特性、隱私信息全生命周期過程的計算操作，給出了隱私計算框架組件和隱私計算系統(tǒng)的組件風險，描述了隱私信息抽取與度量、隱私度量動態(tài)調整、隱私延伸控制、隱私按需保護、保護效果評估、存證與取證等框架核心組件的功能。本文件適用于數(shù)據(jù)泛在流通與共享過程中隱私信息保護、跨平臺/跨系統(tǒng)/跨域流通利用的隱私延伸控制、隱私按需保護、保護效果評估等，適用于機構為主體的個人信息處理者，以及個人信息保護產(chǎn)品提供商、產(chǎn)品評測機構、個人信息保護合規(guī)審計評估機構、審查認證機構等，為隱私信息保護、隱私計算服務安全評估提供參考。2規(guī)范性引用文件下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069-2022信息安全技術術語GB/T35273-2020信息安全技術個人信息安全規(guī)范GB/T37988-2019信息安全技術數(shù)據(jù)安全能力成熟度模型GB/T37964-2019信息安全技術個人信息去標識化指南3術語和定義GB/T25069-2022和GB/T35273-2020界定的以及下列術語和定義適用于本文件。3.1個人信息personalinformation以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包含個人信息本身及其衍生信息,不包括匿名化處理后的信息。[來源：GB/T44588—2024,3.3,有修改]3.2標識符identity可以明顯識別記錄主體身份的屬性集合，包括姓名、電話號碼、身份證號碼等信息。3.3組合起來可以識別記錄主體身份的屬性集合，包括年齡、性別、郵編等信息。3.4隱私信息privateinformation能通過信息系統(tǒng)進行處理的敏感個人信息，是個人信息記錄中的標識符、準標識符和敏感屬性的集合。注：隱私信息包括個人生物特征信息、銀行賬號、通信記錄和內容、財產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、2T/CSAC005—2024健康生理信息、交易信息、14歲以下（含）3.5隱私計算privacycomputing面向隱私信息全生命周期保護的計算理論、方法和技術，涵蓋了收集、脫敏、存儲、使用、交換、刪除、存證與取證等全生命周期過程的所有計算操作，包含處理視頻、音頻、圖像、圖形、文字、數(shù)值、泛在網(wǎng)絡行為信息流等信息時，對所涉及的隱私信息進行描述、度量、控制、脫敏、使用、評價、刪除等處理。3.6敏感屬性privateattribute信息載體中含有敏感個人信息的屬性，泄露、修改或破壞該屬性值會對個人權益產(chǎn)生影響。注：在潛在的重標識攻擊期間需要防止其值與任何一個隱私信息所有者相關聯(lián)。[來源：GB/T37964-2019,3.10,有修改]3.7隱私信息分量privateinformationelement具有一定語義的、不可再細分的隱私信息。3.8隱私信息向量privateinformationvector隱私信息提取的輸出結果，由一個向量標識和若干隱私信息分量組成。3.9約束條件集合constraintconditionset由隱私信息分量對應的約束條件向量組成的集合，用于描述在不同場景下實體訪問隱私信息分量所需的訪問權限，或者使用隱私信息分量時的操作限制要求。3.10隱私屬性向量privateattributevector由隱私屬性分量組成，用于量化隱私信息分量及分量組合的敏感度或者期望保護程度。注：在實際應用時針對不同場景，不同隱私信息分量可進行加權動態(tài)3.11廣義定位信息集合generalizedlocatinginformationset由廣義定位信息向量組成的集合，廣義定位信息向量是由隱私信息分量在信息中的位置信息和屬性信息組成。3.12審計控制信息集合auditcontrolinformationset由傳播過程中具體的審計控制向量組成的集合，用于記錄隱私信息分量在流轉過程中的主客體信息和被執(zhí)行的操作。3.13傳播控制操作集合circulationcontroloperationset由傳播控制操作向量組成的集合，用于描述隱私信息分量及其組合的流轉限制要求、可被執(zhí)行的操作限制要求。3T/CSAC005—20243.14隱私信息所有者privateinformationowner隱私信息所標識或者關聯(lián)的自然人、組織、設備或程序等實體。3.15隱私信息提供者privateinformationprovider向其他自然人、組織、設備或程序提供隱私信息的實體。3.16隱私信息發(fā)布者privateinformationpublisher基于向特定或所有公眾自由訪問的目的，向其他自然人、組織、設備或程序提供隱私信息的實體。3.17隱私信息接收者privateinformationrecipient接收其他自然人、組織、設備或程序提供的隱私信息的實體。3.18隱私信息轉發(fā)者privateinformationforwarder接收其他自然人、組織、設備或程序提供的隱私信息的實體，該實體對接收到的隱私信息經(jīng)過使用、或迭代脫敏、或保持原樣轉發(fā)給其他隱私信息接收者。3.19隱私信息使用者privateinformationuser對接收到的隱私信息進行統(tǒng)計、加工、模型訓練等操作的實體。3.20隱私信息收集者privateinformationcollector從隱私信息所有者、隱私信息提供者或其他公開渠道獲取隱私信息的實體。3.21隱私信息刪除者privateinformationremover對持有的隱私信息執(zhí)行刪除操作的實體。3.22隱私信息處理者privateinformationprocessor對隱私信息進行收集、存儲、使用、加工、傳輸、提供、公開、刪除、脫敏、存證與取證等操作的實體。3.23延伸控制extendedcontrol在數(shù)據(jù)流通與共享過程中，收集、存儲、使用、加工、傳輸、提供、公開、刪除、脫敏、存證與取證等環(huán)節(jié)的隱私操作迭代控制、控制策略動態(tài)調整、控制策略可控傳遞，以及控制策略執(zhí)行可信驗證。3.24脫敏要求desensitizationrequirements待脫敏的隱私信息的脫敏等級、脫敏時機、脫敏算法及其參數(shù)選擇等約束信息。3.25脫敏算法desensitizationalgorithm通過對隱私信息的技術處理,使其在不借助額外信息的情況下,無法識別或者關聯(lián)隱私信息所有者。注：脫敏算法包括k-匿名、差分隱私等算法。[來源：GB/T35273—2020,3.15]4T/CSAC005—20243.26脫敏效果期望expectationondesensitizationperformance隱私信息執(zhí)行脫敏操作之后所達到的預期效果。3.27按需脫敏on-demanddesensitization隱私信息處理者按照隱私信息的脫敏控制要求進行脫敏的過程。3.28可逆性reversibility被脫敏掉的隱私信息被復原的可能性。3.29泛化generalization將一類屬性中的特定值用一個更寬泛的值代替，以更概括、抽象的方式描述數(shù)據(jù)。注：泛化技術包括替換、取整、k-匿名、模糊化、概化等手段。[來源：GB/T37964—2019,A.5.1,有修改]3.30抑制suppression將某個屬性、屬性的值或者屬性值的一部分進行刪除或者以特定的符號代替。3.31解耦和置換anatomizationandpermutation去除準標識符和敏感屬性間的關聯(lián)性，而不改變準標識符或敏感屬性的值。3.32擾動perturbation用合成的數(shù)據(jù)值取代原始的數(shù)據(jù)值，改變后的數(shù)據(jù)與真實數(shù)據(jù)主體失去關聯(lián)性。3.33差分隱私differentialprivacy通過擾動的方式對個人隱私信息進行脫敏，且擾動添加的噪聲類型和參數(shù)滿足差分的數(shù)學定義。3.34信息偏差性informationdeviation脫敏算法執(zhí)行前后，可觀測到的脫敏信息與原始信息的偏差。3.35信息損失性informationloss信息被不可逆的脫敏算法作用后，隱私信息損失部分對可用性的影響程度。3.36信息可用性informationusability在隱私信息進行脫敏操作后，其在具體應用場景中的可用程度。3.37復雜性complexity執(zhí)行脫敏算法所需要的資源開銷。3.38脫敏效果評估desensitizationperformanceevaluationT/CSAC005—2024隱私信息脫敏后，在可逆性、信息偏差性、信息損失性等方面進行量化評估。3.39刪除delete采用訪問控制、消磁、物理破壞等技術或措施，使得信息不能被訪問或被檢索，或者從物理上去除了信息并保障其難以恢復的操作。注：刪除包括不能被訪問或被檢索、全部物理刪除或部分物理刪除。[來源：GB/T35273—2020,3.10,有修改]3.40刪除對象deletedobject刪除操作的客體。注：刪除對象包括個人信息的正本信息、副本信息、正本信息的一部3.41刪除等級deletelevel刪除對象可恢復程度和難度的量化分級。4概述4.1隱私計算概述4.1.1隱私保護的目標針對隱私信息跨系統(tǒng)泛在傳播，隱私保護需要達到如下主要目標:a)支持隱私信息一致性保護，隱私信息在多個信息系統(tǒng)保存時，如果由于某個信息系統(tǒng)保護能力偏弱而導致隱私泄露，其他信息系統(tǒng)隱私保護能力再強也失去意義，即存在短板效應和一損俱損的風險。因此，需要確保各個信息系統(tǒng)之間的一致性保護，消除由于個別系統(tǒng)保護薄弱而導致的隱私保護失效現(xiàn)象；b)支持隱私信息傳播延伸控制，由于缺乏隱私信息傳播的延伸控制，隱私信息接收者對隱私信息不受控的后續(xù)傳播將導致隱私泄露。因此，需要通過延伸控制機制，確保隱私信息在不同接收者之間的多次傳播過程中依然受到有效控制，防止未經(jīng)授權的傳播和使用；c)支持隱私信息按需保護，在數(shù)據(jù)流通利用過程中，需要對同一隱私信息在同一應用場景的不同階段，或者同一隱私信息在不同應用場景下進行差異化的脫敏處理或刪除。這種按需脫敏或按需刪除的機制，能夠實現(xiàn)隱私信息利用與隱私保護之間的平衡；d)支持隱私信息動態(tài)保護：提供基于保護效果評估反饋的保護自適應改進機制，隱私保護與隱私信息挖掘之間存在持續(xù)對抗。在這種動態(tài)環(huán)境中，通過保護效果評估反饋，信息系統(tǒng)可以自適應地調整脫敏算法和參數(shù)選擇、刪除方法選擇等。在滿足隱私信息利用需求的前提下，提高隱私保護強度，減少因長期不變的隱私延伸控制策略導致的隱私泄露風險。4.1.2隱私計算的參與者隱私信息的參與者在隱私計算的過程中對隱私信息進行相應的隱私信息處理，其參與者主要包括:隱私信息所有者、隱私信息提供者、隱私信息發(fā)布者、隱私信息接收者、隱私信息轉發(fā)者、隱私信息使用者、隱私信息收集者、隱私信息刪除者和隱私信息處理者。4.1.3隱私計算的特性6T/CSAC005—2024數(shù)據(jù)安全是指在數(shù)據(jù)泛在流通與共享過程的各個環(huán)節(jié)中防止用戶對數(shù)據(jù)進行非授權獲取或篡改，數(shù)據(jù)接收方獲得的內容與數(shù)據(jù)提供方提供的內容完全相同，具體的技術包括機密計算、密文計算、安全多方計算等。隱私保護是指隱私信息在泛在流通與共享過程中進行脫敏，使信息產(chǎn)生偏差或去標識化，接收方獲得的隱私信息少于提供方的原始隱私信息，具體的技術包括隱私計算和傳統(tǒng)的隱私保護技術（如差分隱私、k-匿名等）。隱私計算是面向隱私信息全生命周期保護的計算理論、方法和技術，涵蓋了收集、脫敏、存儲、使用、交換、刪除、存證與取證等數(shù)據(jù)處理過程的所有計算操作，包含處理視頻、音頻、圖像、圖形、文字、數(shù)值、泛在網(wǎng)絡行為信息流等信息時，對所涉及的隱私信息進行描述、度量、控制、脫敏、使用、評價、刪除等處理。隱私計算在適用個人信息全生命周期保護之外，隱私計算的全生命周期框架、延伸控制、按需保護、保護效果評估等技術也適用于數(shù)據(jù)流通利用場景中的重要數(shù)據(jù)和敏感數(shù)據(jù)保護。隱私計算和相關技術的差異見附錄B。隱私計算是對隱私信息跨系統(tǒng)的全生命周期保護、全生命周期的延伸控制和按需保護，如差分隱私、k-匿名等傳統(tǒng)的隱私保護技術屬于隱私計算范疇，在隱私計算全生命周期的使用環(huán)節(jié)可以采用數(shù)據(jù)安全技術防止隱私信息的非法獲取或篡改，如實現(xiàn)隱私集合求交、隱匿信息查詢、聯(lián)合統(tǒng)計分析、聯(lián)合建模等部分功能。隱私計算的主要特性包括：a)延伸控制性，是指數(shù)據(jù)泛在流通與共享過程中全生命周期各環(huán)節(jié)隱私操作的迭代控制、控制策略的動態(tài)調整、控制策略的可控傳遞、控制策略執(zhí)行的可信審計。控制策略由隱私信息所有者的控制意圖、當前隱私信息使用者的控制約束和隱私信息接收者的防護能力生成，同一隱私信息的控制策略在全生命周期中是差異化的，且隨流轉過程同步傳遞不可分割。迭代控制通過泛在流轉過程中的差異化控制策略生成與傳遞機制實現(xiàn)，貫穿于隱私信息從收集到刪除的不同流通與共享過程中；b)原子性，在對隱私信息的描述過程中，隱私信息分量是隱私信息的最小度量單位，具有原子性；在此基礎上，多個隱私信息分量可以組合構成新的隱私屬性，對這些組合屬性的敏感性也可進行度量；c)保護一致性，對相同的隱私信息，不同算法的隱私保護效果都使隱私信息分量的敏感度趨近于零，即不同算法在不同系統(tǒng)中隱私保護的趨勢保持一致性。例如算法A和B在系統(tǒng)1中的保護能力評估是A>B，在映射到系統(tǒng)2中的評估體系時應仍然保持A>B；d)計算保序性，隱私保護算法中所有操作必須按照設計的順序執(zhí)行，部分操作的順序不同可能導致隱私保護的效果不同；e)不可逆性，隱私計算中使用的脫敏算法對隱私信息的處理應是不可逆的，接收方獲得的隱私信息少于提供方的原始隱私信息，且無法通過技術手段從脫敏信息中復原原始隱私信息中缺失的部分。4.2隱私計算操作隱私信息全生命周期過程的計算操作如圖1所示，包括收集、脫敏、存儲、使用、交換、刪除、存證與取證等，這些操作在多個信息系統(tǒng)之間不同的業(yè)務流程組合可以涵蓋大多數(shù)隱私信息全生命周期的操作過程。典型的流程示例如下：a)脫敏后發(fā)布，隱私信息收集后進行存儲，隨后對隱私信息進行脫敏，通過交換操作進行發(fā)布，具體示例見附A；b)出行場景，對出行服務過程中收集的隱私信息先存儲和使用，服務結束后，應對隱私信息進行脫敏后存儲，再進行后續(xù)使用，具體示例見附錄A和附錄E；c)數(shù)據(jù)流通交易，收集的隱私信息先通過去標識化等脫敏操作，然后通過交換操作進行交易，此后根據(jù)購買方的出價再進行脫敏，進行二次或者部分交易，具體示例見附錄A；7T/CSAC005—2024d)差分統(tǒng)計，對收集的敏感屬性值等隱私信息先利用泛化、本地化差分隱私等機制脫敏后再進行存儲，具體示例見附錄A；e)信用計算，隱私信息所有者存儲的隱私信息先交換到隱私信息接收者，隱私信息接收者對其進行脫敏后進行使用，并發(fā)布計算結果，具體示例見附錄A和附錄F。圖1隱私信息全生命周期過程的計算操作4.2.1收集收集操作從隱私信息所有者或者隱私信息提供者采集包含隱私信息的原始信息，收集涉及的功能包括：a)針對標識符、準標識符、其他敏感屬性值采用關鍵詞匹配、自然語言理解、圖像理解等技術措施在多模態(tài)數(shù)據(jù)中感知識別隱私信息，提取不同數(shù)據(jù)模態(tài)敏感屬性；b)識別出的隱私信息采用多元組形式表示,可包含：隱私信息向量、約束條件集合、隱私屬性向量、廣義定位信息集合、審計控制信息集合、傳播控制操作集合等；c)部分場景的收集操作會直接對隱私信息采用泛化、差分隱私等處理后作為收集操作的輸出。4.2.2存儲存儲操作對收集到的隱私信息進行安全高效存儲，或對收集的隱私信息進行脫敏后存儲，存儲涉及的功能包括：a)機密性，采用加密技術和訪問控制技術，防止存儲的隱私信息不被非法獲?。籦)可靠性，采用數(shù)據(jù)冗余存儲技術保證存儲隱私信息的可用性；c)完整性，采用密碼校驗或數(shù)據(jù)簽名技術保證存儲隱私信息不可篡改。4.2.3使用使用操作包括《個人信息保護法》規(guī)定的個人信息處理中的使用和加工，采用的技術包括但不限于數(shù)據(jù)挖掘與分析、安全計算、模型訓練等，使用涉及的功能包括：a)可以對未脫敏的隱私信息進行使用操作，也可以對存儲的隱私信息經(jīng)過脫敏后再進行使用操作；b)在使用環(huán)節(jié)中也可以使用機密計算、安全多方計算、同態(tài)加密等數(shù)據(jù)安全技術保護隱私信息不被泄露。4.2.4交換交換操作包括《個人信息保護法》規(guī)定的個人信息處理中的傳輸、提供和公開，是隱私信息在不同隱私信息處理者之間受控流通與共享的過程。交換操作可以具有以下安全機制：8T/CSAC005—2024a)認證性，隱私信息交換時進行單向或雙向身份認證；b)機密性，采用加密技術保障交換的信息不被非法獲取；c)完整性，采用密碼校驗技術保障交換的信息不被篡改；d)來源真實性，采用數(shù)據(jù)簽名等技術保障信息來源的不可否認性；e)延伸控制性，將延伸控制策略與隱私信息綁定傳輸，控制隱私信息接收者對隱私信息的后續(xù)處4.2.5刪除刪除操作是隱私信息使用者當隱私信息在業(yè)務不需要繼續(xù)使用時，遵循及時、透明的原則，安全可信且完備地刪除存儲的隱私信息。刪除涉及的功能包括：a)按需刪除，根據(jù)隱私信息所有者或前序的隱私信息提供者的刪除要求，執(zhí)行刪除操作，履行刪除義務；b)自動刪除，根據(jù)隱私信息所有者或前序的隱私信息提供者對隱私信息保留時限的要求，實現(xiàn)到期后，隱私信息使用者自動執(zhí)行刪除操作，履行刪除義務；c)刪除操作，根據(jù)延伸控制策略的約束，選擇刪除方法，保證刪除后信息不能通過技術手段恢復數(shù)據(jù)，或使刪除后的信息不能被訪問和不能被檢索。4.2.6脫敏脫敏操作依據(jù)脫敏延伸控制策略對隱私信息選擇適當?shù)拿撁羲惴捌鋮?shù)進行按需脫敏，脫敏涉及的功能包括：a)脫敏操作包括脫敏算法能力評估、脫敏算法選擇、脫敏效果評估；b)對脫敏后的信息如果沒有達到預期脫敏效果，則調整算法及其參數(shù)進行迭代脫敏，直至達到預期脫敏效果。4.2.7存證與取證存證與取證操作對隱私信息全生命周期各種操作進行定制化的操作記錄生成和存儲，并響應用戶的證據(jù)查詢請求，返回生成的證據(jù)，支撐隱私保護合規(guī)審計、隱私侵權行為溯源與追責，存證與取證涉及的功能包括：a)客觀完整地記錄隱私信息全生命周期的各種操作行為；b)采用密碼技術保障操作日志記錄的安全性；c)采用訪問控制技術保障操作日志記錄受控使用和響應證據(jù)服務請求。4.3隱私計算技術4.3.1功能層次框架在隱私信息全生命周期過程的計算操作中，隱私計算包含隱私信息抽取與度量、隱私度量動態(tài)調整、隱私延伸控制、隱私按需保護、保護效果評估等技術。隱私計算技術用于支撐和實現(xiàn)隱私計算服務的功能，隱私計算的功能組件通過層次框架進行組織，隱私計算功能層次框架如圖2所示，包括：a)用戶層，用于隱私計算的各參與者執(zhí)行與用戶相關的管理功能,訪問、使用和維護隱私計算系b)服務接口層，通過調用隱私計算核心功能層的功能組件,為隱私信息應用系統(tǒng)提供隱私計算服務支撐；9T/CSAC005—2024c)核心功能層，基于基礎設施層實現(xiàn)隱私計算相應功能，為服務接口層提供相關功能支持服務，主要包括隱私動態(tài)度量、迭代延伸控制、隱私按需保護、保護效果評估、保護量化映射、操作全程存證等；d)基礎設施層，提供隱私計算系統(tǒng)正常運行所需要的硬件設備之上的運行環(huán)境和基礎組件，包括網(wǎng)絡、計算和存儲等；e)跨層功能，提供跨越多個層次的功能組件,包括監(jiān)管、操作全程存證、審計等。圖2隱私計算功能層次框架4.3.2技術功能隱私計算技術為隱私計算功能提供支撐，具體如下：a)隱私動態(tài)度量，根據(jù)應用場景的不同，對隱私信息分量的敏感度進行動態(tài)度量；b)迭代延伸控制，根據(jù)前序隱私信息處理者的控制策略、后續(xù)隱私信息處理者的保護能力等因素動態(tài)調整控制策略，并隨隱私信息一起向后傳遞；c)隱私按需保護，根據(jù)延伸控制策略，對隱私信息進行按需脫敏、按需刪除、數(shù)據(jù)聯(lián)合利用等處d)脫敏效果評估，對脫敏算法所達到的效果按照效果評估指標體系進行評估；e)保護量化映射，隱私信息跨系統(tǒng)交換或數(shù)據(jù)聯(lián)合利用時，對隱私信息提供者和隱私信息接收者的算法保護能力和保護效果進行關聯(lián)的保護量化映射，以支持跨系統(tǒng)交換的隱私信息一致性保護；f)操作全程存證，對隱私信息全生命周期過程的計算操作進行日志保存。5隱私計算框架5.1隱私計算框架組成隱私計算框架組成如圖3所示，包括隱私信息抽取與度量、隱私度量動態(tài)調整、隱私延伸控制、隱私按需保護、保護效果評估、存證與取證等功能組件。T/CSAC005—2024圖3隱私計算框架a)隱私信息抽取與度量，通過對采集或接收的信息進行分析，提取不同模態(tài)信息中的隱私信息分量，并對隱私信息分量進行分類以及量化隱私信息分量的敏感度或保護程度；當評估未達到預期效果時，還需要重新調整原始度量值。包括隱私信息抽取、隱私信息分類、隱私信息度量；b)隱私度量動態(tài)調整，通過識別判斷隱私信息所屬的應用場景，對隱私信息分量的敏感度或保護程度進行針對性的度量調整；當評估未達到預期效果時，還需要重新更換場景描述。包括場景識別、度量調整；c)隱私延伸控制,在數(shù)據(jù)泛在流通與共享過程中，對全生命周期各環(huán)節(jié)的隱私操作進行迭代控制；當評估未達到預期效果時，還需要重新調整控制策略。包括延伸控制策略生成、控制策略可控傳遞、控制策略迭代調整、策略執(zhí)行可信驗證；d)隱私按需保護，約束隱私信息處理者根據(jù)延伸控制策略，對接收到的隱私信息進行按需脫敏、按需刪除等處理，提供場景自適應的隱私保護能力；當評估未達到預期效果時，還需要重新定義隱私保護操作；e)保護效果評估，根據(jù)制定的脫敏效果評估指標體系，對待評估的已脫敏隱私信息的脫敏效果進行量化分析，如未能達到預期效果，則分別視情況從隱私信息抽取與度量、隱私度量動態(tài)調整、隱私延伸控制、隱私按需保護等環(huán)節(jié)進行反饋迭代，直至達到期望的保護效果。包括脫敏效果評估指標體系、單次脫敏效果評估、基于數(shù)據(jù)挖掘的脫敏效果評估、脫敏系統(tǒng)效果評估、刪除效果評估；f)存證與取證，對隱私信息抽取與度量、隱私度量動態(tài)調整、隱私延伸控制、隱私按需保護、保護效果評估等功能組件的操作行為進行日志記錄，并根據(jù)證據(jù)獲取請求生成證據(jù)。包括存證收集、存證存儲、證據(jù)生成。5.2隱私計算風險基于隱私計算框架所研制的隱私計算系統(tǒng)的各組件面臨著與其他信息系統(tǒng)相似的安全風險,在隱私信息抽取與度量、隱私度量動態(tài)調整、隱私延伸控制、隱私按需保護、保護效果評估、存證與取證等方面面臨的風險包括但不限于：a)隱私信息抽取與度量的風險主要指隱私信息抽取不準或不全、隱私信息分量分類不正確、隱私信息分量敏感度的度量不準確等，會導致隱私延伸控制策略生成、脫敏算法及其參數(shù)選擇、刪除方法選擇的不恰當，從而引起隱私信息泄露；T/CSAC005—2024b)隱私度量動態(tài)調整的風險主要指場景識別不準確、隱私信息分量敏感度調整不當?shù)?，會導致隱私延伸控制策略生成、脫敏算法及其參數(shù)選擇、刪除方法選擇的不恰當，從而引起隱私信息泄露；c)隱私延伸控制的風險主要指延伸控制策略生成不準或不全、控制策略傳遞過程中被篡改或與隱私信息剝離、控制策略迭代調整時出現(xiàn)偏差、控制策略未被正確執(zhí)行等，會導致數(shù)據(jù)泛在流通與共享過程中脫敏、刪除和使用等操作失控，從而引起隱私信息泄露；d)隱私按需保護的風險主要指未能正確選擇脫敏算法及其參數(shù)、未能正確選擇刪除方法等，脫敏時隱私信息被過度脫敏影響服務效果，或脫敏不足導致隱私信息泄露，或未能正確刪除導致違規(guī)甚至隱私信息泄露，多方聯(lián)合數(shù)據(jù)利用時未能正確選擇所采用的數(shù)據(jù)使用安全技術、未能正確選擇算法協(xié)議及配置其安全參數(shù)等問題；e)保護效果評估的風險主要指保護效果評估指標體系不完備、評估方法不準確等，使得保護效果評估出現(xiàn)偏差，從而會引起隱私信息泄露；f)存證與取證的風險主要指存證信息收集不全、存證存儲過程中被非法訪問或非法篡改、備份措施不足導致的存證信息丟失、證據(jù)生成時信息不全、證據(jù)生成錯誤等，會導致不能對隱私侵權行為進行正確追溯；g)跨系統(tǒng)一致性的風險主要指隱私信息在多個隱私計算系統(tǒng)保存時，如果由于某個系統(tǒng)保護能力偏弱，其他系統(tǒng)隱私保護能力再強也失去意義，即存在短板效應和一損俱損的風險，會導致隱私泄露。6隱私信息抽取與度量組件6.1概述隱私信息抽取與度量通過對采集或接收的信息進行隱私信息分量識別和抽取，然后對隱私信息分量進行分類和度量。若保護效果評估未達到預期效果，則可能重新執(zhí)行隱私信息抽取與度量。隱私信息抽取與度量具體包括：a)隱私信息抽取，負責對采集或接收到的信息中的隱私信息分量進行識別，根據(jù)隱私信息分量的模態(tài)進行信息處理，生成初始的隱私信息描述；b)隱私信息分類，負責對識別和抽取的隱私信息分量進行分類；c)隱私信息度量，負責對抽取的隱私信息分量進行敏感度或保護程度量化。6.2隱私信息抽取隱私信息抽取，對采集或接收到的信息中的隱私信息分量進行定位，確定隱私信息分量模態(tài)，然后對多模態(tài)隱私信息分量進行處理，生成隱私信息描述，具體如下：a)對文本、音頻、視頻、圖像等模態(tài)數(shù)據(jù)，使用合適的技術和方法從信息中識別隱私信息，如關鍵詞匹配、自然語言處理、圖像語義理解、模式匹配等；b)針對識別的隱私信息生成初始的隱私信息描述，其內容包括隱私信息向量、約束條件集合、隱私屬性向量、廣義定位信息集合、審計控制信息集合、傳播控制操作集合等。具體隱私信息識別示例見附錄A。6.3隱私信息分類隱私信息分類，通過對識別和抽取的隱私信息分量進行分類，具體如下：a)針對法律法規(guī)和應用場景，建立分類分級模板庫，以滿足不同應用場景的隱私信息分類需求；T/CSAC005—2024b)可采用知識圖譜等技術，結合分類分級模板庫，對隱私信息分量進行分類，再結合應用場景對隱私信息分量進行分級；c)隱私信息分類分級的結果記錄在隱私信息描述的隱私屬性向量中。6.4隱私信息度量隱私信息度量，負責對抽取的隱私信息分量的敏感度或保護程度進行量化，具體如下：a)可根據(jù)隱私信息分類分級，構建粗粒度隱私信息量化模型；b)可選擇基于信息論、差分隱私、人工智能等多種不同技術，構建細粒度隱私信息量化模型；c)選用適合的隱私信息量化模型，對隱私信息向量中不同數(shù)據(jù)模態(tài)的隱私信息分量進行量化；d)可對隱私屬性向量中的各屬性分量進行聯(lián)合度量，對不同隱私屬性向量進行自定義權重的加權平均，獲取隱私信息的整體度量；e)隱私信息度量結果記錄在隱私信息描述中的隱私屬性向量中；f)可選地，完成隱私信息度量之后，對隱私度量過程開展合規(guī)性驗證，確保其實施過程符合隱私保護要求。7隱私度量動態(tài)調整組件7.1概述隱私度量動態(tài)調整，在隱私信息抽取與度量的基礎上，識別隱私信息所屬的應用場景，并針對性地動態(tài)調整隱私信息分量的敏感度或保護程度。若保護效果評估未達到預期效果，則可能重新執(zhí)行隱私信息動態(tài)調整。隱私度量動態(tài)調整具體包括：a)場景識別，根據(jù)提取的隱私信息分量，識別其所屬應用場景；b)度量調整，結合識別的應用場景，動態(tài)調整隱私信息分量的量化結果。7.2場景識別為支持隱私信息分量量化結果的動態(tài)調整，場景識別包括但不限于：a)采用人工標注或機器學習等技術，對采集的信息進行應用場景分類分級和標注，如：社交網(wǎng)絡服務、出行服務、醫(yī)療服務等；b)采用元數(shù)據(jù)（例如：信息來源、時間戳、地理位置等）輔助識別隱私信息所屬的應用場景；c)針對文本類信息，可采用自然語言處理技術，進行分詞和詞性標注、實體識別等操作，使用主題模型識別主要主題，輔助推斷應用場景；d)針對視頻類信息，可通過內容分析技術，如：物體檢測識別、動作識別等，輔助推斷應用場景；e)針對音頻類信息，可通過語音識別、情感分析、背景音分類等技術，輔助推斷應用場景；f)針對圖像類信息，可通過圖像語義理解等技術，輔助推斷應用場景。7.3度量調整在識別應用場景的基礎上，針對不同場景動態(tài)調整隱私信息分量的敏感度或保護程度的量化結果，度量調整包含但不限于：a)根據(jù)不同應用場景及該場景下隱私信息接收者的隱私保護能力，動態(tài)調整隱私屬性分量的量化值；b)根據(jù)保護效果評估結論，動態(tài)調整隱私屬性分量的量化值，并指導隱私信息中隱私屬性向量的動態(tài)調整；T/CSAC005—2024c)可綜合運用信息論、差分隱私，并交叉融合心理學等主觀評價理論，對保護效果評估指標體系進行動態(tài)調整。8隱私延伸控制組件8.1概述隱私延伸控制對數(shù)據(jù)泛在流通與共享過程中脫敏、存儲、使用、交換、發(fā)布、刪除等進行操作約束。隱私延伸控制的核心功能迭代延伸控制詳見附錄B。若保護效果評估未達到預期效果，則可能重新執(zhí)行隱私延伸控制。隱私延伸控制具體包括：a)延伸控制策略生成，用于根據(jù)前序隱私信息提供者和當前隱私信息處理者的意圖，準確無誤地生成并描述控制策略；b)控制策略可控傳遞，用于保證隱私延伸控制策略在不同隱私信息處理者之間安全可靠地傳輸?shù)竭_；c)控制策略迭代調整，延伸控制策略在不同隱私信息處理者之間傳遞時，用于保證控制策略內容根據(jù)應用場景、保護效果評估結果自適應地進行調整；d)策略執(zhí)行可信驗證，用于保證隱私信息提供者或隱私信息轉發(fā)者驗證延伸控制策略是否被隱私信息接收者完整正確地執(zhí)行。8.2延伸控制策略生成使用自然語言處理、形式化分析等技術，準確地按照前序隱私信息提供者和當前隱私信息處理者的意圖，產(chǎn)生計算機程序可處理的控制策略，具體如下：a)針對隱私信息被首次流轉的應用場景，支持隱私信息所有者導入延伸控制意圖；b)針對隱私信息非首次流轉的應用場景，支持通過前序的隱私信息所有者、隱私信息提供者或隱私信息處理者的延伸控制策略，獲得延伸控制意圖；c)通過自然語言處理等技術，對獲取的延伸控制意圖進行解析，并結合隱私信息接收者的隱私保護能力、應用場景等因素，生成延伸控制策略；d)采用數(shù)字簽名等技術，保證延伸控制策略的真實性以及不可篡改；e)采用機器可處理的語言形式，例如：JSON（JavaScriptObjectNotation，對象標記）、XML（ExtensibleMarkupLanguage，可擴展標記語言）等，描述生成的延伸控制策略；f)采用形式化分析技術，驗證生成的延伸控制策略符合延伸控制意圖的要求，且延伸控制策略各項內容彼此沒有沖突；g)延伸控制策略采用底層系統(tǒng)無關的標準化描述，支持延伸控制策略的跨系統(tǒng)傳遞。8.3控制策略可控傳遞采用密碼學技術保障延伸控制策略在隱私信息提供者和隱私信息接收者之間傳遞過程中的完整性、機密性、不可剝離性、不可抵賴性和保護一致性，具體如下:a)完整性，利用消息驗證碼等技術，保證延伸控制策略在傳遞過程中不可被非授權方式更改或破壞；b)機密性，可采用密碼技術對延伸控制策略進行加密保護，保證延伸控制策略不可被未授權的第三方解析，避免延伸控制策略被非法獲取而導致的隱私泄露；c)不可剝離性，采用可信執(zhí)行環(huán)境、密碼學等技術將延伸控制策略嵌入被交換隱私信息中，并保證控制策略和隱私信息的關聯(lián)關系不能被破壞；T/CSAC005—2024d)不可抵賴性，采用數(shù)字簽名技術對延伸控制策略進行處理，保證延伸控制策略來源的真實性，避免隱私信息處理者否認其前序隱私信息提供者所生成的延伸控制策略；e)保護一致性，隱私信息跨系統(tǒng)交換或采用數(shù)據(jù)使用安全技術進行數(shù)據(jù)聯(lián)合利用時，對隱私信息提供者和隱私信息接收者的算法保護能力和保護效果進行關聯(lián)的保護量化映射，量化映射關系存于延伸控制策略中。8.4控制策略迭代調整為了支持延伸控制策略在隱私信息提供者和隱私信息接收者之間流轉時的動態(tài)更新，避免因短板效應導致的隱私泄露，控制策略迭代動態(tài)調整包括但不限于：a)從接收到的信息中，解析前序隱私信息處理者嵌入的延伸控制策略，生成延伸控制策略集合；b)根據(jù)后序隱私信息接收者的隱私保護能力、應用場景、數(shù)據(jù)模態(tài)等信息，更新延伸控制策略集合；c)更新后的控制集合，連同本級根據(jù)控制策略處理過的隱私信息，安全地傳遞給后序隱私信息接收者；d)支持在延伸控制策略集合中，嵌入部分或全部前序隱私處理者信息，應至少包含前一級隱私信息處理者的信息；e)可采用可信環(huán)境等技術措施，保證延伸控制策略更新調整的安全性。8.5策略執(zhí)行可信驗證為了驗證延伸控制策略是否被隱私信息接收者完整正確地執(zhí)行，策略執(zhí)行可信驗證包括但不限于：a)支持隱私信息接收者，驗證隱私信息傳播鏈上任一后序隱私信息接收者和隱私信息處理者是否按預期執(zhí)行其延伸控制策略；b)采用日志采集及分析、密碼學等技術，保證隱私信息提供者或隱私信息轉發(fā)者，可驗證隱私信息接收者按照預期完整正確地執(zhí)行了延伸控制策略。9隱私按需保護組件9.1概述隱私按需保護用于隱私信息處理者根據(jù)隱私信息所有者或隱私信息提供者的脫敏要求、隱私信息的數(shù)據(jù)模態(tài)以及隱私信息接收者的隱私保護能力等因素，如圖4所示，對隱私信息分量進行場景自適應的脫敏和刪除操作。若保護效果評估未到預期效果，則可能重新執(zhí)行隱私按需保護。隱私按需保護包括：a)脫敏算法能力評估，對脫敏算法能力從可逆性、信息偏差性、信息損失性、復雜性等方面進行評估；b)按需脫敏，隱私信息處理者結合數(shù)據(jù)模態(tài)、業(yè)務需求等因素，解析并根據(jù)脫敏控制策略，選擇脫敏算法集合，進行脫敏處理；c)按需刪除，隱私信息處理者解析刪除控制策略并根據(jù)刪除控制策略選定刪除對象和刪除方法，進行刪除處理；d)按需采用數(shù)據(jù)使用安全技術,隱私信息處理者根據(jù)延伸控制策略，在多方聯(lián)合數(shù)據(jù)利用時，隱私信息處理者結合數(shù)據(jù)模態(tài)、業(yè)務需求等因素，選擇所采用的數(shù)據(jù)使用安全技術、算法協(xié)議以及安全參數(shù)，進行多方聯(lián)合計算。T/CSAC005—2024圖4隱私按需保護處理流程9.2脫敏算法能力評估9.2.1脫敏算法能力評估的指標體系脫敏算法能力評估的指標體系包括可逆性、信息偏差性、信息損失性和復雜性等四類指標，且基于測評樣本基準數(shù)據(jù)集，對各類脫敏算法進行能力評估。9.2.1.1可逆性評估指標可逆性評估是衡量從脫敏算法處理后信息中復原隱私信息的可能性。由于脫敏旨在保護敏感個人信息，通常情況下脫敏是不可逆的?？赡嫘远攘糠椒ㄈ缦拢篴)脫敏算法可逆性，評估隱私信息脫敏使用的是否是不可逆脫敏算法；b)脫敏算法參數(shù)強度，評估脫敏算法使用的參數(shù)強度；c)信息還原性，評估通過脫敏后的隱私信息還原出原始隱私信息的程度，例如：恢復信息的準確度、恢復信息的偏差度。9.2.1.2信息偏差性評估指標信息偏差性評估是衡量脫敏算法處理后的信息失真和偏移程度。信息偏差性度量方法如下：a)統(tǒng)計偏差性，比較原始數(shù)據(jù)和脫敏后數(shù)據(jù)的統(tǒng)計指標，例如：均方差、平均絕對值、KL散度、歐氏距離、余弦距離、峰值信噪比、結構相似性指數(shù)、均值、中位數(shù)、方差、標準差、最大值、最小值等；b)數(shù)據(jù)分布偏差性，比較原始數(shù)據(jù)和脫敏后數(shù)據(jù)的分布差異，例如：分布形狀、分位數(shù)和累積分布函數(shù)等；c)模型應用準確性，使用原始數(shù)據(jù)和脫敏后數(shù)據(jù)分別構建訓練模型，比較模型在驗證集或測試集上的效果；d)數(shù)據(jù)隨機性分析，評估脫敏算法對隱私信息的隨機性影響程度。9.2.1.3信息損失性評估指標T/CSAC005—2024信息損失性評估是衡量脫敏算法處理后隱私信息損失部分對可用性的影響程度。信息損失性度量方法如下：a)信息熵，信息熵是衡量數(shù)據(jù)集中信息量的度量指標，通過計算原始數(shù)據(jù)和脫敏后數(shù)據(jù)的信息熵，并比較差異；b)互信息，互信息是衡量兩個隨機變量之間相互依賴程度的度量指標，通過計算原始數(shù)據(jù)和脫敏后數(shù)據(jù)之間的互信息進行量化評估；c)數(shù)據(jù)分布特征，比較原始數(shù)據(jù)和脫敏后數(shù)據(jù)的分布特征的統(tǒng)計指標，例如：均值、方差、分位數(shù)等；d)數(shù)據(jù)關聯(lián)性，計算原始數(shù)據(jù)和脫敏后數(shù)據(jù)之間的關聯(lián)性的度量指標，例如：相關系數(shù)、協(xié)方差e)數(shù)據(jù)可用性，評估脫敏數(shù)據(jù)在特定應用場景下的可用程度指標，例如：數(shù)據(jù)分析、模型訓練等應用場景。9.2.1.4復雜性評估指標復雜性評估是衡量脫敏算法處理隱私信息所需的資源開銷。復雜性度量方法如下：a)時間復雜度，用于衡量算法執(zhí)行所需時間的度量指標，可以通過分析算法中的操作、迭代次數(shù)和數(shù)據(jù)規(guī)模等來確定，例如：常數(shù)時間O1、線性時間On、對數(shù)時間O(logn)、平方時間On2等；b)空間復雜度，用于衡量算法執(zhí)行所需內存空間的度量指標，可以通過分析算法中使用的額外數(shù)據(jù)結構、變量和遞歸調用的深度等來確定，例如：常數(shù)空間O1、線性空間On、指數(shù)空等；c)計算資源需求，評估算法執(zhí)行所需的計算資源，包括CPU執(zhí)行時間、占用內存等。9.2.1.5算法能力綜合評估在脫敏算法能力評估的過程中，需要根據(jù)所采用脫敏算法的類別，為每個評估維度設置相應的權重，進行加權計算，得出算法能力的綜合評估結果。9.2.2脫敏算法可逆性評估脫敏算法可逆性評估的具體內容如下：a)判斷脫敏算法支持的數(shù)據(jù)模態(tài)與應用場景，確定算法可逆性對應的權重值；b)結合隱私信息的數(shù)據(jù)模態(tài)及應用場景，選擇9.2.1.1節(jié)中的評估指標，衡量脫敏信息的被還原能力，評估內容包括但不限于：恢復信息的準確度、恢復信息偏差度等；c)綜合考慮算法類別、算法參數(shù)、數(shù)據(jù)模態(tài)等因素，設計合理的可逆性評估方案，保證評估結果的準確性和可信性。9.2.3脫敏算法信息偏差性評估脫敏算法信息偏差性評估的具體內容如下：a)判斷脫敏算法支持的數(shù)據(jù)模態(tài)與應用場景，確定信息偏差性對應的權重值；b)結合隱私信息的數(shù)據(jù)模態(tài)及應用場景，選擇9.2.1.2節(jié)中的評估指標，衡量脫敏算法執(zhí)行前的原始隱私信息與脫敏后的隱私信息之間的偏差程度，評估內容包括但不限于：數(shù)據(jù)統(tǒng)計、數(shù)據(jù)應用測試、隨機性分析等；c)綜合考慮數(shù)據(jù)規(guī)模、數(shù)據(jù)分布、數(shù)據(jù)模態(tài)等因素，設計合理的信息偏差性評估方案，保證評估結果的準確性和可用性。T/CSAC005—20249.2.4脫敏算法信息損失性評估脫敏算法信息損失性評估的具體內容如下：a)判斷脫敏算法支持的數(shù)據(jù)模態(tài)與應用場景，確定信息損失性對應的權重值；b)結合隱私信息的數(shù)據(jù)模態(tài)及應用場景，選擇9.2.1.3節(jié)中的評估指標，衡量脫敏算法執(zhí)行前的原始隱私信息與脫敏后的隱私信息之間的信息損失程度，評估內容包括但不限于：信息熵、互信息、數(shù)據(jù)分布特征、數(shù)據(jù)關聯(lián)性、信息可用性等；c)綜合考慮數(shù)據(jù)可用、數(shù)據(jù)關聯(lián)、應用場景等因素，設計合理的信息損失性評估方案，保證評估結果的準確性和有效性。9.2.5脫敏算法復雜性評估脫敏算法復雜性評估的具體內容如下：a)判斷脫敏算法支持的數(shù)據(jù)模態(tài)與應用場景，確定算法復雜性對應的權重值；b)結合隱私信息的數(shù)據(jù)模態(tài)及應用場景，選擇9.2.1.4節(jié)中的評估指標，衡量脫敏算法的執(zhí)行效率和資源消耗情況，評估內容包括但不限于：時間復雜度、空間復雜度、資源消耗等；c)綜合考慮平臺資源、數(shù)據(jù)模態(tài)、數(shù)據(jù)規(guī)模、數(shù)據(jù)結構等因素，設計合理的復雜性評估方案，保證評估結果的準確性和有效性。9.3按需脫敏按需脫敏根據(jù)數(shù)據(jù)模態(tài)、應用場景、業(yè)務需求等要素的不同，進行脫敏控制策略生成、脫敏控制策略解析和脫敏算法選擇。9.3.1脫敏控制策略生成脫敏控制策略生成是指，從隱私信息所有者或前序隱私信息提供者處，獲取關于相關隱私信息的脫敏要求，并結合應用場景、隱私信息接收者的隱私保護能力等因素，生成適應當前應用場景的脫敏控制策略。脫敏控制策略包括脫敏對象、脫敏等級等，具體如下：a)首次脫敏，隱私信息處理者根據(jù)隱私信息所有者的脫敏要求，生成脫敏控制策略；b)迭代脫敏，隱私信息處理者通過前序隱私信息提供者的脫敏控制策略，并結合當前應用場景要求，生成新的脫敏控制策略；c)脫敏控制策略應與脫敏后的隱私信息一起流轉。9.3.2脫敏控制策略解析脫敏控制策略解析是指，隱私信息處理者收到脫敏控制策略后，結合隱私信息處理者所處的應用場景，提取當前應用場景所對應的脫敏控制策略，具體如下：a)隱私信息處理者解析前驗證脫敏控制策略的完整性；b)隱私信息處理者依據(jù)應用場景識別結果，解析脫敏控制策略后提取當前應用場景所對應的脫敏控制策略。9.3.3脫敏算法選擇脫敏算法選擇是指，隱私信息處理者根據(jù)解析出的脫敏控制策略，對備選脫敏算法集合及其參數(shù)進行篩選，具體如下：a)隱私信息處理者根據(jù)當前應用場景所對應的脫敏控制策略，確定脫敏對象所對應的脫敏等級、脫敏方式等；T/CSAC005—2024b)根據(jù)脫敏等級、脫敏方式，選擇脫敏算法及其參數(shù)。9.4按需刪除9.4.1刪除控制策略生成刪除控制策略生成是指，從隱私信息所有者或隱私信息提供者處，獲取關于相關隱私信息的刪除要求，并結合數(shù)據(jù)模態(tài)和數(shù)據(jù)存儲方式等因素，生成刪除控制策略，包括刪除對象、刪除方法、刪除范圍等，具體如下：a)刪除對象確定，刪除對象包括各個隱私信息處理者留存的隱私信息正本或隱私信息副本，根據(jù)隱私信息所有者或隱私信息提供者的刪除要求，生成由刪除對象組成的集合、刪除范圍的集合；b)刪除方法確定，根據(jù)隱私信息所有者或隱私信息提供者的刪除要求，確定刪除方法集合；c)生成由刪除對象集合、刪除方法集合、刪除范圍集合等組成的刪除控制策略。9.4.2刪除控制策略解析刪除控制策略解析是指，隱私信息處理者收到刪除控制策略后，提取刪除控制策略，具體如下：a)隱私信息處理者解析前驗證刪除控制策略的完整性；b)隱私信息處理者解析刪除控制策略后提取刪除對象集合、刪除方法集合、刪除范圍集合等信息。9.4.3按需刪除操作隱私信息處理者根據(jù)解析出的刪除對象集合、刪除方法集合、刪除范圍集合等內容，執(zhí)行刪除操作，具體如下：a)從刪除方法集合中選擇刪除方法，再根據(jù)刪除方法、刪除等級等，構造刪除指令；b)根據(jù)刪除對象集合，確定本地刪除對象的正本信息、多副本信息、分散存儲信息、多備份信息等所處的設備，然后將刪除指令發(fā)送到對應的設備；c)根據(jù)刪除范圍集合，確定其他存放刪除對象的正本信息、多副本信息、分散存儲信息、多備份信息等所處的設備，然后將刪除指令發(fā)送到對應的設備。10保護效果評估組件10.1概述保護效果評估是對從脫敏后的隱私信息中恢復損失信息的難度，或者恢復已刪除隱私信息的可能性進行評價。如圖5所示，若保護效果評估未達到預期效果，則可能重新執(zhí)行隱私信息抽取與度量、隱私度量動態(tài)調整、隱私延伸控制、隱私按需保護。保護效果評估包括：a)脫敏效果評估的指標體系，采用可逆性、信息偏差性和信息損失性等評估指標。具體見章節(jié)9.2.1.1,9.2.1.2及9.2.1.3；b)單次脫敏效果評估，通過分析脫敏算法執(zhí)行前后的信息，衡量已脫敏的隱私信息分量的可恢復程度；c)基于數(shù)據(jù)挖掘的脫敏效果評估，通過收集特定個人一定時間內的脫敏信息，采用數(shù)據(jù)挖掘技術試圖推算出已脫敏的隱私信息分量；d)脫敏系統(tǒng)效果評估，通過收集若干特定個人或所有個人的一定時間內的脫敏信息，采用數(shù)據(jù)挖掘技術試圖推算特定個人的已脫敏的隱私信息分量；e)刪除效果評估,采用數(shù)據(jù)恢復技術試圖還原被刪除的隱私信息分量。T/CSAC005—2024圖5保護效果評估執(zhí)行策略思路10.2單次脫敏效果評估單次脫敏效果評估，將執(zhí)行脫敏算法前的隱私信息與脫敏后的隱私信息進行可逆性、信息偏差性和信息損失性的評估，具體如下：a)依據(jù)執(zhí)行脫敏算法后的數(shù)據(jù)模態(tài)、數(shù)據(jù)規(guī)模和應用場景，確定可逆性、信息偏差性和信息損失性對應的權重值；b)依據(jù)數(shù)據(jù)模態(tài)和應用場景，選擇9.2.1.1節(jié)中的評估指標，評估已脫敏的隱私信息分量的被還原能力；c)依據(jù)數(shù)據(jù)規(guī)模及統(tǒng)計特性，選擇9.2.1.2節(jié)中的評估指標，評估脫敏算法執(zhí)行前的原始隱私信息與脫敏后的隱私信息之間的偏差程度；d)依據(jù)數(shù)據(jù)信息量和關聯(lián)性，選擇9.2.1.3節(jié)中的評估指標，評估脫敏算法執(zhí)行前的原始隱私信息與脫敏后的隱私信息之間的信息損失程度；e)考慮數(shù)據(jù)規(guī)模、數(shù)據(jù)分布、數(shù)據(jù)模態(tài)、應用場景等因素，設計合理的單次脫敏效果評估方案，保證評估結果的準確性和可信性；f)當單次脫敏效果評估結論的可逆性指標未達到脫敏效果期望閾值，需反饋到隱私按需保護組件，根據(jù)9.3.3節(jié)要求，重新選擇脫敏算法，并設置該脫敏算法的參數(shù)；當單次脫敏效果評估結論的可逆性指標符合脫敏效果期望閾值，但其信息偏差性或信息損失性指標未達到脫敏效果期望閾值，需反饋到隱私按需保護組件，根據(jù)9.3.3節(jié)要求，修改脫敏算法的參數(shù)；若多次反饋后，仍未達到脫敏效果期望閾值，需反饋到隱私延伸控制組件，根據(jù)8.2節(jié)要求，生成調整后的延伸控制策略。10.3基于數(shù)據(jù)挖掘的脫敏效果評估基于數(shù)據(jù)挖掘的脫敏效果評估，是指對采用數(shù)據(jù)挖掘技術分析特定個人一定時間內的已通過單次脫敏效果評估的脫敏信息，以推算出已脫敏的隱私信息分量程度的評估，具體如下：a)選取數(shù)據(jù)挖掘算法，對特定個人一定時間內的脫敏信息進行挖掘分析，推斷出特定個人的被脫敏的隱私信息；b)評估推斷出的特定個人的隱私信息，與其對應的真實隱私信息進行偏差性、損失性的對比分析；c)當基于數(shù)據(jù)挖掘的脫敏效果評估結論的信息偏差性未達到脫敏效果期望閾值，需反饋到隱私延伸控制組件，根據(jù)8.2節(jié)要求，生成調整后的延伸控制策略；當基于數(shù)據(jù)挖掘的脫敏效果評估20T/CSAC005—2024結論的信息偏差性達到脫敏需求閾值，而信息損失性未達到脫敏效果期望閾值，需反饋到隱私度量動態(tài)調整組件，根據(jù)7.2節(jié)和7.3節(jié)要求，分別修正場景識別、度量調整機制。10.4脫敏系統(tǒng)效果評估脫敏系統(tǒng)效果評估，是指對采用數(shù)據(jù)挖掘技術分析若干特定個人或所有個人一定時間內的已通過基于數(shù)據(jù)挖掘的脫敏效果評估的脫敏信息，以推算出特定個人已脫敏的隱私信息分量程度的評估，具體如a)選取數(shù)據(jù)挖掘算法，對若干特定個人或所有個人一定時間內的脫敏信息進行挖掘分析，推斷出特定個人的被脫敏的隱私信息；b)評估推斷出的特定個人的隱私信息，與其對應的真實隱私信息進行偏差性、損失性的對比分析；c)當脫敏系統(tǒng)效果評估結論的信息偏差性未達到脫敏效果期望閾值，需反饋到隱私延伸控制組件，根據(jù)8.2節(jié)要求，生成調整后的延伸控制策略；當脫敏系統(tǒng)效果評估結論的信息偏差性達到脫敏效果期望閾值，而信息損失性未達到脫敏效果期望閾值，需反饋到隱私度量動態(tài)調整組件，根據(jù)7.2節(jié)和7.3節(jié)要求，分別修正場景識別、度量調整機制；若多次反饋后，仍未達到脫敏效果期望閾值，需反饋到隱私信息抽取與度量組件，根據(jù)6.2、6.3和6.4節(jié)要求，分別修正隱私信息的抽取、分類和度量。10.5刪除效果評估刪除效果評估，是指對被刪除的個人信息的可恢復程度的評價，是判斷個人信息是否按要求實現(xiàn)刪除的重要依據(jù)。刪除效果可以從刪除控制策略完備性、刪除觸發(fā)正確性、刪除操作正確性、不可恢復性、副本刪除完備性、刪除一致性等六個方面進行評估。a)刪除控制策略完備性：用于衡量隱私信息處理者生成與發(fā)送的刪除通知是否覆蓋了刪除對象所有的個人信息源域和個人信息傳播域，且這些個人信息源域和個人信息傳播域是否確認收到了刪除通知；b)刪除觸發(fā)正確性：用于衡量隱私信息所有者或隱私信息提供者的自動與按需刪除意圖是否正確觸發(fā)了刪除操作，以及是否按照隱私信息所有者或隱私信息提供者的到期自動刪除要求執(zhí)行了對應的刪除操作等；c)刪除操作正確性：用于衡量隱私信息處理者是否按隱私信息所有者的刪除意圖執(zhí)行了指定的刪除操作；d)不可恢復性：用于衡量隱私信息處理者執(zhí)行刪除操作后刪除對象的殘留程度；e)副本刪除完備性：用于衡量隱私信息處理者執(zhí)行刪除操作是否涵蓋所有刪除對象副本；f)刪除一致性：用于衡量同一刪除對象在個人信息源域和不同個人信息傳播域留存時，不同隱私信息處理者是否執(zhí)行了相同的刪除操作。11存證與取證組件11.1概述存證與取證主要是對隱私計算其他功能組件的運行、隱私信息的處理等情況進行可信記錄，以便于開展內部監(jiān)測、或者按照法律法規(guī)接受外部監(jiān)管者的合規(guī)審查、侵權行為追蹤溯源的服務請求提供必要的證據(jù)和技術接口，包括：a)存證收集，用于從各個隱私計算框架的核心組件中收集執(zhí)行過程和執(zhí)行效果的事項記錄；b)存證存儲，用于對從各個隱私計算框架的核心組件中收集到的存證信息進行存儲；21T/CSAC005—2024c)證據(jù)生成，根據(jù)證據(jù)服務請求，對隱私計算系統(tǒng)的各類存證信息進行多源檢索，形成證據(jù)鏈，并將證據(jù)返回證據(jù)服務請求方。11.2存證收集存證收集主要用于收集隱私計算框架的各核心組件的操作記錄，包括但不限于：a)存證收集范圍，覆蓋隱私信息抽取與度量、隱私度量動態(tài)調整、隱私延伸控制、隱私按需保護、保護效果評估等組件的執(zhí)行過程和執(zhí)行效果；b)隱私信息抽取與度量組件的相關存證信息收集，具體如下：1)收集隱私信息抽取過程的相關日志信息，包括但不限于：識別與抽取執(zhí)行主體、執(zhí)行時間、識別與抽取結果，支撐審計隱私信息抽取功能的正確性、完備性；2)收集隱私信息分類過程的相關日志信息，包括但不限于：數(shù)據(jù)模態(tài)、所依據(jù)的分類標準、分類方法、分類時間、分類結果，支撐審計數(shù)據(jù)分類的合規(guī)性、分類異常問題溯源；3)收集隱私信息度量過程的相關日志信息，包括但不限于：量化評估模型及其參數(shù)、輸入數(shù)據(jù)和輸出量化結果的執(zhí)行主體、量化結果等，支撐隱私信息度量方法改進、度量異常問題溯源。c)隱私度量動態(tài)調整組件的相關存證信息收集，具體如下：1)收集場景識別過程的相關日志信息，包括但不限于：場景識別執(zhí)行主體、識別模型及參數(shù)、識別執(zhí)行時間、場景識別結果，支撐審計場景識別功能的正確性；2)收集度量調整過程的相關日志信息，包括但不限于：度量調整操作執(zhí)行主體、度量調整方法及參數(shù)、度量調整結果，支撐審計度量調整功能的正確性。d)隱私延伸控制組件的相關存證信息收集，具體如下：1)收集延伸控制策略生成的相關日志信息，包括但不限于：生成該策略的隱私信息處理者身份標識、延伸控制意圖、延伸控制策略內容等，支撐審計延伸控制意圖和延伸控制策略之間的匹配性；2)收集控制策略可控傳遞過程的相關日志信息，包括但不限于：隱私信息提供者身份標識、隱私信息接收者身份標識、策略傳遞會話日志信息、數(shù)字簽名等，支撐延伸控制一致性判定、控制策略異常問題溯源；3)收集控制策略迭代調整過程的相關日志信息，包括但不限于：隱私信息處理者的隱私保護能力、應用場景、數(shù)據(jù)模態(tài)、延伸控制策略更新內容等信息，支撐審計控制策略迭代調整功能的正確性；4)收集策略執(zhí)行可信驗證過程的相關日志信息，包括但不限于：驗證發(fā)起方和被驗證方的身份信息、驗證方法、驗證結果等。如果存在驗證結果異常，則記錄異常內容，支撐異常行為的檢測與問題溯源。e)隱私按需保護的相關存證信息收集，具體如下：1)收集脫敏控制策略生成的相關日志信息，包括但不限于：生成該策略的隱私信息處理者身份標識、隱私信息接收者身份標識、脫敏對象、脫敏等級等，支撐審計脫敏意圖和脫敏控制策略之間的匹配性；2)收集脫敏操作的相關日志信息，包括但不限于：執(zhí)行該策略的隱私信息處理者身份標識、脫敏控制策略解析結果、選擇的脫敏算法及其參數(shù)、脫敏結果等，支撐審計脫敏操作內容和脫敏控制策略之間的匹配性；22T/CSAC005—20243)收集刪除控制策略生成的相關日志信息，包括但不限于：生成該策略的隱私信息處理者身份標識、刪除對象、刪除方法、刪除范圍等，支撐審計刪除意圖和刪除控制策略之間的匹配性；4)收集刪除操作的相關日志信息，包括但不限于：執(zhí)行該策略的隱私信息處理者身份標識、刪除控制策略解析結果、刪除方法、刪除指令、刪除結果等，支撐審計刪除操作內容和刪除控制策略之間的匹配性。f)保護效果評估的相關存證信息收集，具體如下：1)收集單次脫敏效果評估的相關日志信息，包括但不限于：執(zhí)行該效果評估處理者身份標識、可逆性評估方法與結果、信息偏差性評估方法與結果、信息損失性評估方法與結果等，支撐審計單次脫敏的合規(guī)性和有效性；2)收集基于數(shù)據(jù)挖掘的脫敏效果評估的相關日志信息，包括但不限于：執(zhí)行該效果評估處理者身份標識、特定個人在一定時間內的脫敏信息、信息偏差性評估方法與結果、信息損失性評估方法與結果等，支撐審計特定個人的隱私信息脫敏的合規(guī)性和有效性；3)收集脫敏系統(tǒng)脫敏效果評估的相關日志信息，包括但不限于：執(zhí)行該效果評估處理者身份標識、若干特定個人或所有個人在一定時間內的脫敏信息、信息偏差性評估方法與結果、信息損失性評估方法與結果等，支撐審計脫敏系統(tǒng)脫敏的合規(guī)性和有效性。g)存證信息采用標準描述格式，存證信息的收集采用RESTAPI（RepresentationalStateTransferApplicationProgrammingInterface，表述性狀態(tài)轉移應用程序接口）、gRPC（googleRemoteProcedureCall，谷歌遠程過程調用）等分布式系統(tǒng)通信技術，提供通用的存證接口，支撐跨系統(tǒng)互聯(lián)互通。11.3存證存儲存證存儲是對收集的存證信息進行高效的組織管理，支撐存證信息的高效檢索和充分利用，包括：a)存儲方式，本地自存證，或第三方存證等存證類型；b)存證完整性，保證收集的存證信息齊全，確保存證信息被成功存儲，在丟失或損壞存證信息的情況下從原渠道補全對應的存證信息；c)存證機密性，采用訪問控制技術控制存證信息的訪問主體、訪問路徑、訪問時間、訪問的信息數(shù)量；采用密碼技術對存證信息進行加密防止鏡像拷貝、拖庫等非法獲??；d)存證可信性，保證存證信息不被篡改、不被隨意刪除；e)存證可靠性，采用RAID（RedundantArrayofIndependentDisks，獨立磁盤冗余陣列）技術或雙活等機制，實現(xiàn)存證信息的冗余災備。11.4證據(jù)生成證據(jù)生成是根據(jù)證據(jù)服務請求對收集到隱私計算框架各組件的存證信息進行檢索、數(shù)據(jù)預處理、證據(jù)要素封裝、證據(jù)鏈構建的過程，支撐對隱私計算的操作行為進行合規(guī)審計、監(jiān)管、異常事件分析與溯源等，包括：a)證據(jù)請求響應，接收請求方的證據(jù)獲取請求，對請求方進行身份驗證，解析證據(jù)獲取事項的要b)證據(jù)完備性，根據(jù)證據(jù)獲取的要求，對各個存證存儲系統(tǒng)中的存證信息進行多源證據(jù)查找，獲取所有相關證據(jù)；c)多源證據(jù)生成，對查找得到的多源存證信息，按照請求事項和時序進行整理并生成證據(jù)，采用數(shù)字簽名技術實現(xiàn)生成證據(jù)的不可篡改和不可否認性；如果有機密性要求，采用請求和響應雙方預先約定的協(xié)議實現(xiàn)密鑰協(xié)商和傳輸加密。23T/CSAC005—2024（資料性）隱私信息全生命周期計算操作示例A.1概述隱私信息全生命周期過程的計算操作如圖A.1所示，包括收集、脫敏、存儲、使用、交換、刪除、存證與取證等?！吨腥A人民共和國個人信息保護法》規(guī)定個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等，本標準中隱私信息全生命周期的環(huán)節(jié)是從技術角度對《中華人民共和國個人信息保護法》等法律法規(guī)中個人信息處理活動的抽象描述。其中，“使用”對應個人信息保護法中的“使用”和“加工”，“交換”對應個人信息保護法中的“傳輸”、“提供”和“公開”。任何實施本標準的技術操作，均應在現(xiàn)行法律法規(guī)的框架內進行。圖A.1隱私信息全生命周期過程的計算操作典型業(yè)務場景下，隱私信息全生命周期過程的計算操作流程示例如下：A.2社交網(wǎng)絡場景在社交網(wǎng)絡場景中（流程為③-④-⑩),個人信息脫敏后發(fā)布的流程為：首先，社交網(wǎng)絡平臺收集用戶隱私信息并存儲；接著，對存儲的隱私信息進行脫敏處理，采用如替換、取整、模糊化等方法處理隱私信息；然后，通過交換操作，如借助平臺接口或API將脫敏后的信息傳遞給其他應用程序或平臺；最后在社交網(wǎng)絡平臺上進行發(fā)布，發(fā)布過程中會采取審核、過濾等安全措施。同時，為保護用戶權益和維護平臺秩序，可能涉及證據(jù)獲取、存證與取證，可通過平臺日志記錄、用戶舉報等方式獲取證據(jù)，進行存證以備后續(xù)使用，必要時通過合法途徑取證用于法律訴訟或糾紛解決。A.3網(wǎng)約車出行場景在網(wǎng)約車出行場景中（流程為③-⑥-⑦-④-⑤),出行服務平臺在服務開始時，因業(yè)務需要會收集包括個人身份、出行位置等隱私信息并存儲。服務過程中，平臺會調用這些信息來匹配司機和路線等以確保服務順利進行。服務結束后，平臺會對使用過的隱私信息進行適當?shù)拿撁籼幚?，如：模糊位置信息、加密?lián)系方式等，然后將脫敏后的信息重新存儲，最后平臺可對這些脫敏數(shù)據(jù)進行分析和使用，用于業(yè)務優(yōu)化、服務改進、交通規(guī)劃等，但不會泄露用戶原始隱私信息。關于具體操作流程，請參考附錄E。A.4數(shù)據(jù)交易流通場景在數(shù)據(jù)交易場景中（流程為①或④-⑤-?-?-?-?),隱私信息收集者在數(shù)據(jù)流通交易前，對收集的隱私信息或存儲的數(shù)據(jù)進行替換、泛化等脫敏操作；然后通過交換操作進行初次交易；此后，根24T/CSAC005—2024據(jù)購買方的出價，再次進行脫敏，可能進行二次或者部分交易。具體來說，從收集隱私信息開始，經(jīng)過初次脫敏、交換交易，再到根據(jù)出價進行二次脫敏以及后續(xù)可能的交易環(huán)節(jié)，整個過程中確保數(shù)據(jù)的安全性和隱私保護，同時不斷調整和優(yōu)化數(shù)據(jù)交易策略以滿足市場需求。A.5差分統(tǒng)計場景在差分統(tǒng)計場景中（流程為①-②-③),對數(shù)據(jù)進行分析和統(tǒng)計的流程為：首先，隱私信息提供者從多個來源進行數(shù)據(jù)采集，包括用戶提交、設備傳感或系統(tǒng)日志等，這些數(shù)據(jù)可能包含隱私信息。隨后，對包含隱私信息的原始數(shù)據(jù)進行脫敏處理，采用如替換、模糊化或差分隱私技術等方法，有效隱藏或模糊化隱私信息，從而降低數(shù)據(jù)暴露的風險，確保即使數(shù)據(jù)被分析或共享，隱私信息也無法被還原。最后，脫敏后的數(shù)據(jù)被安全存儲在數(shù)據(jù)庫或數(shù)據(jù)倉庫中，為后續(xù)統(tǒng)計分析提供基礎支撐。A.6信用計算場景在信用計算應用場景中（流程為?-?-?-?-?),隱私信息提供者收集隱私信息所有者的原始數(shù)據(jù)（含隱私信息），例如：用戶行為數(shù)據(jù)、信貸交易數(shù)據(jù)、非信貸交易數(shù)據(jù)、公共信息數(shù)據(jù)等。隱私信息提供者對收集的用戶原始數(shù)據(jù)（含隱私信息）進行安全高效存儲。當信息跨域流轉時，隱私信息所有者存儲的隱私信息先交換到隱私信息接收者。隱私信息接收者對原始數(shù)據(jù)進行脫敏。隱私信息接收者對脫敏后的隱私信息進行密態(tài)數(shù)據(jù)的安全高效存儲。在脫敏數(shù)據(jù)檢索過程中，需考慮滿足上述標識化信息隨機置亂存儲的檢索方法，以確保檢索數(shù)據(jù)的準確性。在使用操作環(huán)節(jié)，針對信用計算模型輸入?yún)?shù)需求，隱私信息使用者對脫敏后的隱私信息進行歸一化處理，即使用歸一化標識替換隨機置亂標識，并基于信用評分模型、反欺詐模型、行為風險評分模型、預授信模型等信用計算模型完成信用評估。關于具體操作流程，請參考附錄F。25T/CSAC005—2024（資料性）隱私計算與其他相關技術的差異B.1概述本附錄解釋了隱私計算、密碼算法、機密計算、密文計算、安全多方計算等概念。其中，密碼算法、機密計算、密文計算、安全多方計算等技術屬于數(shù)據(jù)安全范疇，適用于特定知悉范圍內沒有信息損失的敏感數(shù)據(jù)保護。隱私保護是個人信息在泛在流通過程中進行脫敏，使信息產(chǎn)生偏差或去標識化，支撐個人信息的域內或出域保