隱私脫敏控制、過程示例

（資料性）

脫敏控制示例概述本附錄以版式文檔為例，介紹脫敏控制流程，重點針對脫敏控制策略生成、脫敏算法選擇執(zhí)行等環(huán)節(jié)進行了介紹，供脫敏控制系統(tǒng)設(shè)計者參考。版式文檔包含不同信息模態(tài)的隱私信息。不同的隱私信息處理者，通過即時通信系統(tǒng)，進行版式文檔的流轉(zhuǎn)共享。在版式文檔流轉(zhuǎn)共享過程中，采用脫敏控制保護版式文檔中的隱私信息。該問題可以形式化描述為如下：含有隱私信息的版式文檔X，分享者S，脫敏控制策略P，其中，X={X1,X2,…,Xk,…,Xn}由n個信息分量組成，每個信息分量Xk的組成內(nèi)容是Xk=c,A,Γ,Ω,Ψ,P,其中，c面向版式文檔的跨域脫敏控制示例面向隱私版式文檔的脫敏控制的過程如下：脫敏控制策略生成，該過程包括脫敏意圖理解和脫敏控制策略生成，具體過程如下：脫敏意圖理解：隱私信息處理者執(zhí)行首次脫敏時，根據(jù)提供的脫敏意圖生成機器可識別、可執(zhí)行的脫敏要求；執(zhí)行迭代脫敏時，根據(jù)上游隱私信息處理者的脫敏控制策略解析生成相應(yīng)脫敏要求；脫敏控制生成：為了滿足脫敏要求，對分享的版式文檔生成脫敏控制策略P，劃分需脫敏的內(nèi)容。在迭代脫敏過程中，隱私信息處理者提取已有脫敏控制策略，并結(jié)合當前分享者的屬性和接收者的隱私保護能力，生成新的脫敏控制策略。針對信息分量Xk，根據(jù)已有脫敏控制策略Xk.Pexist，結(jié)合當前分享者Si的屬性和接收者Si+1的隱私保護能力，迭代生成信息分量Xk的第j條脫敏控制脫敏算法選擇執(zhí)行，該過程包括敏感數(shù)據(jù)識別、脫敏算法選擇、脫敏算法識別、脫敏效果評估，具體過程如下：敏感數(shù)據(jù)識別：使用關(guān)鍵詞匹配、支持向量機、自然語言處理等信息識別算法和人工方式，根據(jù)數(shù)據(jù)特征和使用環(huán)境，標識版式文檔中的敏感數(shù)據(jù)，包括其位置和格式。對數(shù)據(jù)進行分類分級，明確隱私數(shù)據(jù)的類別和敏感級別；脫敏算法選擇：根據(jù)脫敏控制策略、信息分量類別及敏感級別，確定脫敏效果期望。遍歷已有脫敏算法集合Ψ脫敏算法執(zhí)行：基于脫敏控制策略X.P，對版式文檔X中的每個信息分量Xk，在不同信息模態(tài)下執(zhí)行脫敏算法。針對不同的信息模態(tài)（如圖像、文字等），根據(jù)保護策略實施差異化脫敏控制。針對分享方向，確定文檔需要部分過濾、全部過濾或完全放行的交換邊界控制。針對本地設(shè)備模式，確定文檔的顯示、復制、粘貼等本地使用控制方式脫敏效果評估：完成脫敏后，進行質(zhì)量檢查以確保文檔保持可用性且不含敏感信息。利用深度學習模型檢測可能的隱私泄露，同時使用數(shù)據(jù)質(zhì)量評估工具確保數(shù)據(jù)準確性和一致性。應(yīng)用差分隱私評估保護措施，同時實時評估隱私信息接收者的防護能力，以確保個人數(shù)據(jù)得到有效保護；控制策略可控傳遞，該過程包括控制策略可控傳輸?shù)谋Ｃ苄詫崿F(xiàn)、真實性實現(xiàn)、安全性實現(xiàn)，具體過程如下：保密性：使用SM2等加密技術(shù)確?？刂撇呗栽趥鬏斶^程中的保密性，實施基于角色的訪問控制，僅授權(quán)的隱私信息接收者能解密和訪問策略；真實性：利用數(shù)字簽名確認策略的真實性，詳細記錄傳輸過程以保證透明性和追溯性；安全性：采用可信執(zhí)行環(huán)境技術(shù)保障傳輸和處理過程的安全性；控制策略迭代調(diào)整，該過程包括脫敏控制策略解析、更新、防篡改，具體過程如下：脫敏控制策略解析：利用自然語言處理技術(shù)解析前序隱私信息處理者嵌入的脫敏控制策略，生成操作性強的脫敏控制策略；脫敏控制策略更新：通過規(guī)則引擎，根據(jù)隱私信息接收者的隱私保護能力、應(yīng)用場景和數(shù)據(jù)模態(tài)等動態(tài)更新脫敏控制策略；脫敏控制策略防篡改：利用RSA數(shù)字簽名技術(shù)對更新后的脫敏控制策略進行簽名，以確保策略的真實性和防篡改性；策略執(zhí)行可信驗證，該過程包括策略執(zhí)行遠程驗證、審計日志記錄、傳播鏈驗證，具體過程如下：遠程驗證：使用遠程驗證技術(shù)，確保隱私信息接收者能驗證后序隱私信息處理者是否按預期執(zhí)行了脫敏控制策略；審計日志記錄：通過安全審計日志系統(tǒng)記錄和分析隱私信息處理過程中的所有操作，保證脫敏控制策略執(zhí)行的透明性和可追溯性；傳播鏈驗證：采用聚合簽名技術(shù)，確保隱私信息接收者能驗證傳播鏈上所有前序隱私信息處理者的脫敏控制策略執(zhí)行情況；脫敏過程存證，該過程包括脫敏過程日志存證、存證記錄防篡改，具體過程如下：脫敏過程日志存證：使用日志記錄工具建立詳細的存證日志，記錄數(shù)據(jù)脫敏的各個階段活動，包括數(shù)據(jù)采集、脫敏方法、執(zhí)行時間、執(zhí)行者身份等信息；存證記錄防篡改：采用開源或商業(yè)數(shù)字簽名工具確保存證記錄的完整性和真實性，用于簽署存證日志文件，以驗證其未被篡改。

（資料性）

按需脫敏過程示例概述在網(wǎng)約車出行服務(wù)系統(tǒng)中，會涉及大量的用戶隱私信息，例如：位置數(shù)據(jù)、行程詳情、銀行賬號和個人習慣等。出行服務(wù)系統(tǒng)在日常運營中，會針對上述敏感個人信息進行采集、脫敏、計算、共享和刪除等各種操作，若處理不當，可能會導致嚴重的隱私泄露。在脫敏控制的協(xié)同下，按需脫敏可針對業(yè)務(wù)系統(tǒng)不同階段的隱私信息跨域流轉(zhuǎn)提供按需隱私保護能力，支撐在不泄露用戶具體數(shù)據(jù)的前提下，實現(xiàn)數(shù)據(jù)的有效利用。本附錄以出行服務(wù)系統(tǒng)的數(shù)據(jù)流轉(zhuǎn)為例，介紹了按需脫敏在不同數(shù)據(jù)流轉(zhuǎn)場景的示例及使用方法，供設(shè)計開發(fā)脫敏控制以及按需脫敏功能時參考。按需脫敏操作過程示例當出行服務(wù)結(jié)束后，出行服務(wù)過程中收集的隱私信息被上傳至后臺信息服務(wù)系統(tǒng)。此階段后數(shù)據(jù)流轉(zhuǎn)過程如圖B.1所示。出行服務(wù)系統(tǒng)在符合個人信息保護要求的條件下，結(jié)合具體的業(yè)務(wù)內(nèi)容，可以在本系統(tǒng)內(nèi)合規(guī)地脫敏、存儲、使用和刪除收集的個人信息，也可以在同機構(gòu)跨系統(tǒng)、跨機構(gòu)跨系統(tǒng)等場景下進行隱私信息流轉(zhuǎn)。圖B.1出行服務(wù)數(shù)據(jù)流轉(zhuǎn)示意圖出行服務(wù)系統(tǒng)導航過程中在導航過程中出行服務(wù)數(shù)據(jù)可以不脫敏，原始出行數(shù)據(jù)示見表B.1。表B.SEQ表D-\*ARABIC1原始出行數(shù)據(jù)示例手機號碼姓名訂單號銀行卡號支付賬號當前地址目的地江3965370225659153805308594374229955880233087059918187829965廣西壯族自治區(qū)玉林市北流市塘岸收費站入口(北海方向)廣西壯族自治區(qū)玉林市北流市城西一路16號朝陽旅社(城西一路盛雨3900861899244107406055957646824955880226161579915708026968四川省攀枝花市東區(qū)新源路110攀枝花市公安局四川省攀枝花市東區(qū)新宏路與機場路交叉口西南150米學府廣銘艷2573167011495572234811314662861955880226161579915938458003重慶市城口縣復興街道太和社區(qū)銀子巖隧道龍城宏翰復興派出所(城口縣復興街道社區(qū)衛(wèi)生服務(wù)中心西北)重慶市城口縣城口縣朱家航娟2331759524028188183447860410980622200226161579818281903000廣西壯族自治區(qū)崇左市天等縣506縣道南150米天等中學農(nóng)場廣西壯族自治區(qū)崇左市天等縣天寶路西100米古鼎香·四季湖景導航結(jié)束后在導航結(jié)束后，根據(jù)隱私信息所有者設(shè)定的脫敏要求，出行服務(wù)提供商，即隱私信息處理者，針對不同模態(tài)信息采用適合的脫敏算法集合處理。例如：為了保護用戶隱私，通過匿名化處理方法對移動電話號碼、支付信息等隱私信息進行保護，達到對可標識到具體個人的信息匿名化處理。在位置信息等發(fā)送到服務(wù)器前，本地設(shè)備可通過實施差分隱私技術(shù)添加隨機噪聲。例如，對于出發(fā)地、目的地等位置數(shù)據(jù)可以添加一定范圍內(nèi)的隨機偏移。出行服務(wù)后的數(shù)據(jù)脫敏示例見表B.2。 表B.SEQ表D-\*ARABIC2出行服務(wù)后的數(shù)據(jù)脫敏示例（用于導航）手機號碼姓名訂單號銀行卡號支付賬號當前地址目的地址181****9965房**3965370225**********0859437422995588*****870599181****9965廣西壯族自治區(qū)玉林市北流市塘岸收費站入口(北海方向)廣西壯族自治區(qū)玉林市北流市城西一路16號朝陽旅社(城西一路)157****6968何***3900861899**********5595764682495588*****615799157****6968四川省攀枝花市東區(qū)新源路110攀枝花市公安局四川省攀枝花市東區(qū)新宏路與機場路交叉口西南150米學府廣場159****8003庾***2573167011**********1131466286195588*****615799159****8003重慶市城口縣復興街道太和社區(qū)銀子巖隧道龍城宏翰復興派出所(城口縣復興街道社區(qū)衛(wèi)生服務(wù)中心西北)重慶市城口縣城口縣朱家溝182****3000干***2331759524**********4786041098062220*****615798182****3000廣西壯族自治區(qū)崇左市天等縣506縣道南150米天等中學農(nóng)場廣西壯族自治區(qū)崇左市天等縣天寶路西100米古鼎香·四季湖景不同系統(tǒng)數(shù)據(jù)流轉(zhuǎn)同機構(gòu)出行服務(wù)系統(tǒng)在完成導航服務(wù)后，所收集的個人信息需要按照脫敏控制的要求進行處理，脫敏后的隱私信息可用于本機構(gòu)出行服務(wù)外其他業(yè)務(wù)功能，例如：糾正出行服務(wù)的路線、精確線路的導航、分析實時的道路狀況等功能。不應(yīng)用于與業(yè)務(wù)不相關(guān)的功能，例如：分析用戶的家庭住址、單位地址、消費水平和個人偏好等。因此，當需要在出行服務(wù)商內(nèi)部其他系統(tǒng)使用用戶數(shù)據(jù)時，應(yīng)對上述用戶隱私信息，感知隱私分量，結(jié)合信息模態(tài)等信息，對其采用合適的脫敏算法進行處理。同機構(gòu)不同系統(tǒng)數(shù)據(jù)流轉(zhuǎn)的數(shù)據(jù)脫敏示例見表B.3。表B.SEQ表D-\*ARABIC3出行服務(wù)后同機構(gòu)不同系統(tǒng)數(shù)據(jù)流轉(zhuǎn)下的按需脫敏結(jié)果（用于機構(gòu)內(nèi)區(qū)域車輛調(diào)度支持）手機號碼姓名訂單號銀行卡號支付賬號當前地址目的地址181房**396955181廣西壯族自治區(qū)玉林市北流市塘岸收費站廣西壯族自治區(qū)玉林市北流市城西一路157何***390955157四川省攀枝花市東區(qū)新源路四川省攀枝花市東區(qū)新宏路與機場路交叉口159庾***257955159重慶市城口縣復興街道太和社區(qū)重慶市城口縣城口縣朱家溝182干***233622182廣西壯族自治區(qū)崇左市天等縣506縣道廣西壯族自治區(qū)崇左市天等縣天寶路不同機構(gòu)在出行服務(wù)系統(tǒng)向不同機構(gòu)的其他系統(tǒng)進行數(shù)據(jù)流轉(zhuǎn)的場景中，出行服務(wù)機構(gòu)需要綜合考慮使用場景、隱私信息接收者的隱私保護能力等因素，生成脫敏控制策略，并將其嵌入待流轉(zhuǎn)數(shù)據(jù)中，以約束接收隱私信息的隱私信息接收者和隱私信息處理者的脫敏操作。接收隱私信息的隱私信息處理者需要按照脫敏控制要求對流轉(zhuǎn)的隱私信息執(zhí)行脫敏操作，并進行脫敏效果評估，直至完成脫敏控制策略中脫敏效果期望的要求。不同機構(gòu)不同系統(tǒng)數(shù)據(jù)流轉(zhuǎn)的數(shù)據(jù)脫敏示例見表B.4。表B.SEQ表D-\*ARABIC4出行服務(wù)系統(tǒng)向不同機構(gòu)系統(tǒng)進行數(shù)據(jù)流轉(zhuǎn)場景的按需脫敏結(jié)果示例（用于旅游機構(gòu)統(tǒng)計）手機號碼姓名訂單號銀行卡號支付賬號當前地址目的地址181****9965***0000000000000000000000000000000000000000000000000000000000廣西壯族自治區(qū)廣西壯族自治區(qū)157**