《隱私計(jì)算 總體框架（征求意見(jiàn)稿）》

1T/CSACXXXX—XXXX隱私計(jì)算總體框架本文件描述了隱私保護(hù)的目標(biāo)、隱私信息全生命周期過(guò)程的計(jì)算操作，給出了隱私計(jì)算總體框架和參與者，描述了隱私信息抽取與度量、隱私度量動(dòng)態(tài)調(diào)整、隱私延伸控制、隱私按需保護(hù)、保護(hù)效果評(píng)估、存證與取證等框架核心組件的功能。本文件適用于數(shù)據(jù)泛在流通與共享過(guò)程中隱私信息全生命周期保護(hù)、跨平臺(tái)/跨系統(tǒng)/跨域流通利用的隱私延伸控制、隱私按需保護(hù)、保護(hù)效果評(píng)估等，適用于互聯(lián)網(wǎng)、通信等領(lǐng)域的企業(yè)為主體的個(gè)人信息處理者、個(gè)人信息保護(hù)產(chǎn)品提供商、產(chǎn)品評(píng)測(cè)機(jī)構(gòu)、個(gè)人信息保護(hù)合規(guī)審計(jì)評(píng)估機(jī)構(gòu)、認(rèn)證監(jiān)管機(jī)構(gòu)等，為隱私信息保護(hù)、隱私計(jì)算服務(wù)安全評(píng)估提供參考。2規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069-2022信息安全技術(shù)術(shù)語(yǔ)GB/T31500-2015信息安全技術(shù)存儲(chǔ)介質(zhì)數(shù)據(jù)恢復(fù)服務(wù)要求GB/T35273-2020信息安全技術(shù)個(gè)人信息安全規(guī)范GB/T37988-2019信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型GB/T37964-2019信息安全技術(shù)個(gè)人信息去標(biāo)識(shí)化指南3術(shù)語(yǔ)和定義GB/T25069-2022界定的以及下列術(shù)語(yǔ)和定義適用于本文件。3.1個(gè)人信息personalinformation以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的各種信息，包含個(gè)人信息本身及其衍生信息,不包括匿名化處理后的信息。[來(lái)源：GB/T35273—2020,3.1,有修改]3.2標(biāo)識(shí)符identity可以明顯識(shí)別記錄主體身份的屬性集合，包括姓名、電話號(hào)碼、身份證號(hào)碼等信息。3.3組合起來(lái)可以識(shí)別記錄主體身份的屬性集合，包括年齡、性別、郵編等信息。3.4隱私信息privateinformation2T/CSACXXXX—XXXX能通過(guò)信息系統(tǒng)進(jìn)行處理的敏感個(gè)人信息，是個(gè)人信息記錄中的標(biāo)識(shí)符、準(zhǔn)標(biāo)識(shí)符和敏感屬性的集合。注：隱私信息包括個(gè)人生物特征信息、銀行賬號(hào)、通健康生理信息、交易信息、14歲以下（含）3.5隱私計(jì)算privacycomputing面向隱私信息全生命周期保護(hù)的計(jì)算理論、方法和技術(shù)，涵蓋了收集、脫敏、存儲(chǔ)、使用、交換、刪除、存證與取證等全生命周期過(guò)程的所有計(jì)算操作，包含處理視頻、音頻、圖像、圖形、文字、數(shù)值、泛在網(wǎng)絡(luò)行為信息流等信息時(shí)，對(duì)所涉及的隱私信息進(jìn)行描述、度量、控制、脫敏、使用、評(píng)價(jià)、刪除等處理。3.6敏感屬性privateattribute信息載體中含有敏感個(gè)人信息的屬性，泄露、修改或破壞該屬性值會(huì)對(duì)個(gè)人權(quán)益產(chǎn)生影響。注：在潛在的重標(biāo)識(shí)攻擊期間需要防止其值與任何一個(gè)隱私信息主體相關(guān)聯(lián)。[來(lái)源：GB/T37964-2019,3.10]3.7隱私信息向量privateinformationvector隱私信息提取的輸出結(jié)果，由一個(gè)向量標(biāo)識(shí)和若干隱私信息分量組成，隱私信息分量是指具有一定語(yǔ)義的、彼此之間互不相交的原子隱私信息。3.8約束條件集合constraintconditionset由隱私信息分量對(duì)應(yīng)的約束條件向量組成的集合，用于描述在不同場(chǎng)景下實(shí)體訪問(wèn)隱私信息分量所需的訪問(wèn)權(quán)限，或者使用隱私信息分量時(shí)的操作限制要求。3.9隱私屬性向量privateattributevector由隱私屬性分量組成，用于量化隱私信息分量及分量組合的敏感度或者期望保護(hù)程度。注：在實(shí)際應(yīng)用時(shí)針對(duì)不同場(chǎng)景，不同隱私信息分量可進(jìn)行加權(quán)動(dòng)態(tài)3.10廣義定位信息集合generalizedlocatinginformationset由廣義定位信息向量組成的集合，廣義定位信息向量是由隱私信息分量在信息中的位置信息和屬性信息組成。3.11審計(jì)控制信息集合auditcontrolinformationset由傳播過(guò)程中具體的審計(jì)控制向量組成的集合，用于記錄隱私信息分量在流轉(zhuǎn)過(guò)程中的主客體信息和被執(zhí)行的操作。3.12傳播控制操作集合circulationcontroloperationset3T/CSACXXXX—XXXX由傳播控制操作向量組成的集合，用于描述隱私信息分量及其組合的流轉(zhuǎn)限制要求、可被執(zhí)行的操作限制要求。3.13隱私信息所有者privateinformationowner隱私信息所標(biāo)識(shí)或者關(guān)聯(lián)的自然人、組織、設(shè)備或程序等實(shí)體。3.14隱私信息提供者privateinformationprovider向其他自然人、組織、設(shè)備或程序提供隱私信息的實(shí)體。3.15隱私信息發(fā)布者privateinformationpublisher基于向特定或所有公眾自由訪問(wèn)的目的，向其他自然人、組織、設(shè)備或程序提供隱私信息的實(shí)體。3.16隱私信息接收者privateinformationrecipient接收其他自然人、組織、設(shè)備或程序提供的隱私信息的實(shí)體。3.17隱私信息轉(zhuǎn)發(fā)者privateinformationforwarder接收其他自然人、組織、設(shè)備或程序提供的隱私信息的實(shí)體，該實(shí)體對(duì)接收到的隱私信息經(jīng)過(guò)使用、或迭代脫敏、或保持原樣轉(zhuǎn)發(fā)給其他隱私信息接收者。3.18隱私信息使用者privateinformationuser對(duì)接收到的隱私信息進(jìn)行統(tǒng)計(jì)、加工、模型訓(xùn)練等操作的實(shí)體。3.19隱私信息收集者privateinformationcollector從隱私信息所有者、隱私信息提供者或其他公開(kāi)渠道獲取隱私信息的實(shí)體。3.20隱私信息刪除者privateinformationremover對(duì)持有的隱私信息執(zhí)行刪除操作的實(shí)體。3.21隱私信息處理者privateinformationprocessor對(duì)隱私信息進(jìn)行收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)、刪除、脫敏、存證與取證等操作的實(shí)體。3.22延伸控制extendedcontrol在數(shù)據(jù)流通與共享過(guò)程中，收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)、刪除、脫敏、存證與取證等環(huán)節(jié)的隱私操作迭代控制、控制策略動(dòng)態(tài)調(diào)整、控制策略可控傳遞，以及控制策略執(zhí)行可信驗(yàn)證。3.23脫敏要求desensitizationrequirements待脫敏的隱私信息的脫敏等級(jí)、脫敏時(shí)機(jī)、脫敏算法及其參數(shù)選擇等約束信息。3.24脫敏算法desensitizationalgorithm通過(guò)對(duì)隱私信息的技術(shù)處理,使其在不借助額外信息的情況下,無(wú)法識(shí)別或者關(guān)聯(lián)隱私信息主體。注：脫敏算法包括k-匿名、差分隱私等算法。4T/CSACXXXX—XXXX[來(lái)源：GB/T35273—2020,3.15]3.25脫敏效果期望expectationondesensitizationperformance隱私信息執(zhí)行脫敏操作之后所達(dá)到的預(yù)期效果。3.26按需脫敏on-demanddesensitization隱私信息處理者按照隱私信息的延伸控制要求進(jìn)行脫敏的過(guò)程。3.27可逆性reversibility被脫敏掉的隱私信息被復(fù)原的可能性。3.28泛化generalization將一類(lèi)屬性中的特定值用一個(gè)更寬泛的值代替，以更概括、抽象的方式描述數(shù)據(jù)。注：泛化技術(shù)包括替換、取整、K-匿名、模糊化、概化等手段。[來(lái)源：GB/T37964—2019,A.5.1,有修改]3.29抑制suppression將某個(gè)屬性、屬性的值或者屬性值的一部分進(jìn)行刪除或者以特定的符號(hào)代替。3.30解耦和置換anatomizationandpermutation去除準(zhǔn)標(biāo)識(shí)符和敏感屬性間的關(guān)聯(lián)性，而不改變準(zhǔn)標(biāo)識(shí)符或敏感屬性的值。3.31擾動(dòng)perturbation用合成的數(shù)據(jù)值取代原始的數(shù)據(jù)值，改變后的數(shù)據(jù)與真實(shí)數(shù)據(jù)主體失去關(guān)聯(lián)性。3.32差分隱私differentialprivacy通過(guò)擾動(dòng)的方式對(duì)個(gè)人隱私信息進(jìn)行脫敏，且擾動(dòng)添加的噪聲類(lèi)型和參數(shù)滿足差分的數(shù)學(xué)定義。3.33信息偏差性informationdeviation脫敏算法執(zhí)行前后，可觀測(cè)到的脫敏信息與原始信息的偏差。3.34信息損失性informationloss信息被不可逆的脫敏算法作用后，隱私信息損失部分對(duì)可用性的影響程度。3.35信息可用性informationusability在隱私信息進(jìn)行脫敏操作后，其在具體應(yīng)用場(chǎng)景中的可用程度。3.36復(fù)雜性complexity執(zhí)行脫敏算法所需要的資源開(kāi)銷(xiāo)。注：復(fù)雜性通常用時(shí)間開(kāi)銷(xiāo)和空間開(kāi)銷(xiāo)表示。5T/CSACXXXX—XXXX3.37脫敏效果評(píng)估desensitizationperformanceevaluation隱私信息脫敏后，在可逆性、信息偏差性、信息損失性等方面進(jìn)行量化評(píng)估。3.38刪除delete采用訪問(wèn)控制、消磁、物理破壞等技術(shù)或措施，使得信息不能被訪問(wèn)或被檢索，或者從物理上去除了信息并保障其難以恢復(fù)的操作。注：刪除包括不能被訪問(wèn)或被檢索、全部物理刪除或部分物理刪除。[來(lái)源：GB/T35273—2020,3.10,有修改]3.39刪除對(duì)象deletedobject刪除操作的客體。注：刪除對(duì)象包括個(gè)人信息的正本信息、副本信息、正本信息的一部3.40刪除等級(jí)deletelevel刪除對(duì)象可恢復(fù)程度和難度的量化分級(jí)。3.41數(shù)據(jù)恢復(fù)datarecovery通過(guò)專(zhuān)門(mén)的計(jì)算機(jī)軟件、硬件等技術(shù)，從刪除對(duì)象曾經(jīng)留存過(guò)的存儲(chǔ)系統(tǒng)或介質(zhì)中，重建被刪除對(duì)象的過(guò)程。4縮略語(yǔ)下列縮略語(yǔ)適用于本文件。JSON：JavaScript對(duì)象標(biāo)記(JavaScriptObjectNotation)RAID：獨(dú)立磁盤(pán)冗余陣列(RedundantArrayofIndependentDisks)XML：可擴(kuò)展標(biāo)記語(yǔ)言(ExtensibleMarkupLanguage)5概述5.1隱私計(jì)算概述5.1.1隱私保護(hù)的目標(biāo)針對(duì)隱私信息在多個(gè)信息系統(tǒng)中跨系統(tǒng)泛在傳播，隱私保護(hù)需要達(dá)到如下主要目標(biāo):a)支持一致性保護(hù)，隱私信息在多個(gè)信息系統(tǒng)保存時(shí)，如果由于某個(gè)信息系統(tǒng)保護(hù)能力偏弱而導(dǎo)致隱私泄露，其他信息系統(tǒng)隱私保護(hù)能力再?gòu)?qiáng)也失去意義，即存在短板效應(yīng)和一損俱損的風(fēng)險(xiǎn)，需要解決多信息系統(tǒng)對(duì)隱私信息的一致性保護(hù)問(wèn)題；b)支持多次傳播的延伸控制，由于缺乏隱私信息傳播的延伸控制，隱私信息接收者對(duì)隱私信息不受控的后續(xù)傳播將導(dǎo)致隱私泄露，需要通過(guò)延伸控制機(jī)制解決多次傳播場(chǎng)景下的受控利用；6T/CSACXXXX—XXXXc)支持隱私按需保護(hù)，數(shù)據(jù)流通利用時(shí)需要對(duì)同一隱私信息在同一應(yīng)用場(chǎng)景的不同階段、或者同一隱私信息在不同應(yīng)用場(chǎng)景下實(shí)現(xiàn)脫敏粒度差異的按需脫敏或按需刪除，解決隱私信息利用與隱私保護(hù)的平衡問(wèn)題；d)提供基于保護(hù)效果評(píng)估反饋的保護(hù)自適應(yīng)改進(jìn)機(jī)制，隱私脫敏和隱私挖掘博弈相長(zhǎng)，信息系統(tǒng)通過(guò)保護(hù)效果評(píng)估可以動(dòng)態(tài)調(diào)整脫敏算法及其參數(shù)選擇、刪除方法選擇，在滿足隱私信息利用的前提下提高隱私保護(hù)強(qiáng)度，減少因隱私延伸控制策略長(zhǎng)期不變而導(dǎo)致的隱私泄露。5.1.2隱私計(jì)算的參與者隱私計(jì)算的參與者包括:隱私信息所有者、隱私信息提供者、隱私信息發(fā)布者、隱私信息接收者、隱私信息轉(zhuǎn)發(fā)者、隱私信息使用者、隱私信息收集者、隱私信息刪除者、隱私信息處理者。隱私信息的參與者在隱私計(jì)算的過(guò)程中對(duì)隱私信息進(jìn)行相應(yīng)的隱私信息處理。5.1.3隱私計(jì)算與特性數(shù)據(jù)安全是指在數(shù)據(jù)泛在流通與共享過(guò)程的各個(gè)環(huán)節(jié)中防止用戶對(duì)數(shù)據(jù)進(jìn)行非授權(quán)獲取或篡改，數(shù)據(jù)接收方獲得的內(nèi)容與數(shù)據(jù)提供方提供的內(nèi)容完全相同，具體的技術(shù)包括機(jī)密計(jì)算、密文計(jì)算、安全多方計(jì)算等。隱私保護(hù)是指隱私信息在泛在流通與共享過(guò)程中進(jìn)行脫敏，使信息產(chǎn)生偏差或去標(biāo)識(shí)化，接收方獲得的隱私信息少于提供方的原始隱私信息，具體的技術(shù)包括隱私計(jì)算和傳統(tǒng)的隱私保護(hù)技術(shù)（如差分隱私、k-匿名等）。隱私計(jì)算是面向隱私信息全生命周期保護(hù)的計(jì)算理論、方法和技術(shù)，涵蓋了收集、脫敏、存儲(chǔ)、使用、交換、刪除、存證與取證等全生命周期過(guò)程的所有計(jì)算操作，包含處理視頻、音頻、圖像、圖形、文字、數(shù)值、泛在網(wǎng)絡(luò)行為信息流等信息時(shí)，對(duì)所涉及的隱私信息進(jìn)行描述、度量、控制、脫敏、使用、評(píng)價(jià)、刪除等處理。隱私計(jì)算是對(duì)隱私信息跨系統(tǒng)的全生命周期保護(hù)、全生命周期的延伸控制和按需保護(hù)，如差分隱私、k-匿名等傳統(tǒng)的隱私保護(hù)技術(shù)屬于隱私計(jì)算范疇，在隱私計(jì)算全生命周期的使用環(huán)節(jié)可以采用數(shù)據(jù)安全技術(shù)防止隱私信息的非法獲取或篡改，如實(shí)現(xiàn)隱私集合求交、隱匿信息查詢、聯(lián)合統(tǒng)計(jì)分析、聯(lián)合建模等部分功能。隱私計(jì)算的主要特性包括：a)延伸控制性，是指數(shù)據(jù)泛在流通與共享過(guò)程中全生命周期各環(huán)節(jié)隱私操作的迭代控制、控制策略的動(dòng)態(tài)調(diào)整、控制策略的可控傳遞、控制策略執(zhí)行的可信審計(jì)?？刂撇呗杂呻[私信息所有者的控制意圖、當(dāng)前隱私信息使用者的控制約束和隱私信息接收者的防護(hù)能力生成，同一隱私信息的控制策略在全生命周期中是差異化的，且隨流轉(zhuǎn)過(guò)程同步傳遞不可分割。迭代控制通過(guò)泛在流轉(zhuǎn)過(guò)程中的差異化控制策略生成與傳遞機(jī)制實(shí)現(xiàn)，貫穿于隱私信息從收集到刪除的不同流通與共享過(guò)程中；b)原子性，在對(duì)隱私信息的描述過(guò)程中，隱私信息分量是隱私信息的最小度量單位，具有原子性；在此基礎(chǔ)上，多個(gè)隱私信息分量可以組合構(gòu)成新的隱私屬性，對(duì)這些組合屬性的敏感性也可進(jìn)行度量；c)一致性，對(duì)相同的隱私信息，不同算法的隱私保護(hù)效果都使隱私信息分量的敏感度趨近于零，即不同算法在不同系統(tǒng)中隱私保護(hù)的趨勢(shì)保持一致性。例如算法A和B在系統(tǒng)1中的保護(hù)能力評(píng)估是A>B，在映射到系統(tǒng)2中的評(píng)估體系時(shí)應(yīng)仍然保持A>B；d)順序性，隱私保護(hù)算法中所有操作必須按照設(shè)計(jì)的順序執(zhí)行，部分操作的順序不同可能導(dǎo)致隱私保護(hù)的效果不同；7T/CSACXXXX—XXXXe)不可逆性，隱私計(jì)算中使用的脫敏算法對(duì)隱私信息的處理應(yīng)是不可逆的，接收方獲得的隱私信息少于提供方的原始隱私信息，且無(wú)法通過(guò)技術(shù)手段從脫敏信息中復(fù)原原始隱私信息中缺失的部分。5.2隱私信息全生命期過(guò)程的計(jì)算操作隱私信息全生命周期過(guò)程的計(jì)算操作如圖1所示，包括收集、脫敏、存儲(chǔ)、使用、交換、刪除、存證與取證等，這些操作在多個(gè)信息系統(tǒng)之間不同的業(yè)務(wù)流程組合可以涵蓋大多數(shù)隱私信息全生命周期的操作過(guò)程。典型的流程示例如下：a)脫敏后發(fā)布，隱私信息收集后進(jìn)行存儲(chǔ)，隨后對(duì)隱私信息進(jìn)行脫敏，通過(guò)交換操作進(jìn)行發(fā)布（流程為③-④-⑩);b)出行場(chǎng)景，對(duì)出行服務(wù)過(guò)程中收集的隱私信息先存儲(chǔ)和使用，服務(wù)結(jié)束后，應(yīng)對(duì)隱私信息進(jìn)行脫敏后存儲(chǔ)，再進(jìn)行后續(xù)使用（流程為③-⑥-⑦-④-⑤),具體示例見(jiàn)附錄C；c)數(shù)據(jù)流通交易，收集的隱私信息先通過(guò)去標(biāo)識(shí)化等脫敏操作，然后通過(guò)交換操作進(jìn)行交易，此后根據(jù)購(gòu)買(mǎi)方的出價(jià)再進(jìn)行脫敏，進(jìn)行二次或者部分交易（流程為①或④-⑤-?-?-?-?);d)差分統(tǒng)計(jì)，對(duì)收集的敏感屬性值等隱私信息先利用泛化、本地化差分隱私等機(jī)制脫敏后再進(jìn)行存儲(chǔ)（流程為①-②-③);e)信用計(jì)算，隱私信息所有者存儲(chǔ)的隱私信息先交換到隱私信息接收者，隱私信息接收者對(duì)其進(jìn)行脫敏后進(jìn)行使用，并發(fā)布計(jì)算結(jié)果（流程為?-?-?-?-?),具體示例見(jiàn)附錄D。圖1隱私信息全生命周期過(guò)程的計(jì)算操作5.2.1收集收集操作從隱私信息所有者或者隱私信息提供者采集包含隱私信息的原始信息，收集涉及的功能包括：a)針對(duì)標(biāo)識(shí)符、準(zhǔn)標(biāo)識(shí)符、其他敏感屬性值采用關(guān)鍵詞匹配、自然語(yǔ)言理解、圖像理解等技術(shù)措施在多模態(tài)數(shù)據(jù)中感知識(shí)別隱私信息，提取不同信息模態(tài)敏感屬性；b)識(shí)別出的隱私信息采用多元組形式表示,可包含：隱私信息向量、約束條件集合、隱私屬性向量、廣義定位信息集合、審計(jì)控制信息集合、傳播控制操作集合等；c)部分場(chǎng)景的收集操作會(huì)直接對(duì)隱私信息采用泛化、差分隱私等處理后作為收集操作的輸出。5.2.2存儲(chǔ)存儲(chǔ)操作對(duì)收集到的隱私信息進(jìn)行安全高效存儲(chǔ)，或?qū)κ占碾[私信息進(jìn)行脫敏后存儲(chǔ)，存儲(chǔ)涉及的功能包括：8T/CSACXXXX—XXXXa)機(jī)密性，采用加密技術(shù)和訪問(wèn)控制技術(shù)，防止存儲(chǔ)的隱私信息不被非法獲??；b)可靠性，采用數(shù)據(jù)冗余存儲(chǔ)技術(shù)保證存儲(chǔ)隱私信息的可用性；c)完整性，采用密碼校驗(yàn)或數(shù)據(jù)簽名技術(shù)保證存儲(chǔ)隱私信息不可篡改。5.2.3使用使用操作包括《個(gè)人信息保護(hù)法》規(guī)定的個(gè)人信息處理中的使用和加工，采用的技術(shù)包括但不限于數(shù)據(jù)挖掘與分析、安全計(jì)算、模型訓(xùn)練等，使用涉及的功能包括：a)可以對(duì)未脫敏的隱私信息進(jìn)行使用操作，也可以對(duì)存儲(chǔ)的隱私信息經(jīng)過(guò)脫敏后再進(jìn)行使用操作；b)在使用環(huán)節(jié)中也可以使用機(jī)密計(jì)算、安全多方計(jì)算、同態(tài)加密等數(shù)據(jù)安全技術(shù)保護(hù)隱私信息不被泄露。5.2.4交換交換操作包括《個(gè)人信息保護(hù)法》規(guī)定的個(gè)人信息處理中的傳輸、提供和公開(kāi)，是隱私信息在不同隱私信息處理者之間受控流通與共享的過(guò)程。交換操作可以具有以下安全機(jī)制：a)認(rèn)證性，隱私信息交換時(shí)進(jìn)行單向或雙向身份認(rèn)證；b)機(jī)密性，采用加密技術(shù)保障交換的信息不被非法獲??；c)完整性，采用密碼校驗(yàn)技術(shù)保障交換的信息不被篡改；d)來(lái)源真實(shí)性，采用數(shù)據(jù)簽名等技術(shù)保障信息來(lái)源的不可否認(rèn)性；e)延伸控制性，將延伸控制策略與隱私信息綁定傳輸，控制隱私信息接收者對(duì)隱私信息的后續(xù)處5.2.5刪除刪除操作是隱私信息使用者當(dāng)隱私信息在業(yè)務(wù)不需要繼續(xù)使用時(shí)，遵循及時(shí)、透明的原則，安全可信且完備地刪除存儲(chǔ)的隱私信息。刪除涉及的功能包括：a)按需刪除，根據(jù)隱私信息所有者或前序的隱私信息提供者的刪除要求，執(zhí)行刪除操作，履行刪除義務(wù)；b)自動(dòng)刪除，根據(jù)隱私信息所有者或前序的隱私信息提供者對(duì)隱私信息保留時(shí)限的要求，實(shí)現(xiàn)到期后，隱私信息使用者自動(dòng)執(zhí)行刪除操作，履行刪除義務(wù)；c)刪除操作，根據(jù)延伸控制策略的約束，選擇刪除方法，保證刪除后信息不能通過(guò)技術(shù)手段恢復(fù)數(shù)據(jù)，或使刪除后的信息不能被訪問(wèn)和不能被檢索。5.2.6脫敏脫敏操作依據(jù)脫敏延伸控制策略對(duì)隱私信息選擇適當(dāng)?shù)拿撁羲惴捌鋮?shù)進(jìn)行按需脫敏，脫敏涉及的功能包括：a)脫敏操作包括脫敏算法能力評(píng)估、脫敏算法選擇、脫敏效果評(píng)估；b)對(duì)脫敏后的信息如果沒(méi)有達(dá)到預(yù)期脫敏效果，則調(diào)整算法及其參數(shù)進(jìn)行迭代脫敏，直至達(dá)到預(yù)期脫敏效果。5.2.7存證與取證存證與取證操作對(duì)隱私信息全生命周期各種操作進(jìn)行定制化的操作記錄生成和存儲(chǔ)，并響應(yīng)用戶的證據(jù)查詢請(qǐng)求，返回生成的證據(jù)，支撐隱私保護(hù)合規(guī)審計(jì)、隱私侵權(quán)行為溯源與追責(zé)，存證與取證涉及的功能包括：9T/CSACXXXX—XXXXa)客觀完整地記錄隱私信息全生命周期的各種操作行為；b)采用密碼技術(shù)保障操作日志記錄的安全性；c)采用訪問(wèn)控制技術(shù)保障操作日志記錄受控使用和響應(yīng)證據(jù)服務(wù)請(qǐng)求。5.3隱私計(jì)算技術(shù)5.3.1功能層次框架在隱私信息全生命周期過(guò)程的計(jì)算操作中，隱私計(jì)算包含隱私信息抽取與度量、隱私度量動(dòng)態(tài)調(diào)整、隱私延伸控制、隱私按需保護(hù)、保護(hù)效果評(píng)估等技術(shù)。隱私計(jì)算技術(shù)用于支撐和實(shí)現(xiàn)隱私計(jì)算服務(wù)的功能，隱私計(jì)算的功能組件通過(guò)層次框架進(jìn)行組織，隱私計(jì)算功能層次框架如圖2所示，包括：a)用戶層，用于隱私計(jì)算的各參與者執(zhí)行與用戶相關(guān)的管理功能,訪問(wèn)、使用和維護(hù)隱私計(jì)算系b)服務(wù)接口層，通過(guò)調(diào)用隱私計(jì)算核心功能層的功能組件,為隱私信息應(yīng)用系統(tǒng)提供隱私計(jì)算服務(wù)支撐；c)核心功能層，基于基礎(chǔ)設(shè)施層實(shí)現(xiàn)隱私計(jì)算相應(yīng)功能，為服務(wù)接口層提供相關(guān)功能支持服務(wù)，主要包括隱私動(dòng)態(tài)度量、迭代延伸控制、隱私按需保護(hù)、保護(hù)效果評(píng)估、保護(hù)量化映射、操作全程存證等；d)基礎(chǔ)設(shè)施層，提供隱私計(jì)算系統(tǒng)正常運(yùn)行所需要的硬件設(shè)備之上的運(yùn)行環(huán)境和基礎(chǔ)組件，包括網(wǎng)絡(luò)、計(jì)算和存儲(chǔ)等；e)跨層功能，提供跨越多個(gè)層次的功能組件,包括監(jiān)管、操作全程存證、審計(jì)等。圖2隱私計(jì)算功能層次框架5.3.2技術(shù)功能隱私計(jì)算技術(shù)為隱私計(jì)算功能提供支撐，具體如下：a)隱私動(dòng)態(tài)度量，根據(jù)應(yīng)用場(chǎng)景的不同，對(duì)隱私信息分量的敏感度進(jìn)行動(dòng)態(tài)度量；b)迭代延伸控制，根據(jù)前序隱私信息處理者的控制策略、后續(xù)隱私信息處理者的保護(hù)能力等因素動(dòng)態(tài)調(diào)整控制策略，并隨隱私信息一起向后傳遞，還驗(yàn)證前序隱私信息處理者的策略執(zhí)行情況；c)隱私按需保護(hù)，根據(jù)延伸控制策略，對(duì)隱私信息進(jìn)行按需脫敏、按需刪除、數(shù)據(jù)聯(lián)合利用等處d)脫敏效果評(píng)估，對(duì)脫敏算法所達(dá)到的效果按照效果評(píng)估指標(biāo)體系進(jìn)行評(píng)估；e)保護(hù)量化映射，隱私信息跨系統(tǒng)交換或數(shù)據(jù)聯(lián)合利用時(shí)，對(duì)隱私信息提供者和隱私信息接收者的算法保護(hù)能力和保護(hù)效果進(jìn)行關(guān)聯(lián)的保護(hù)量化映射，以支持跨系統(tǒng)交換的隱私信息一致性保護(hù)；T/CSACXXXX—XXXXf)操作全程存證，對(duì)隱私信息全生命周期過(guò)程的計(jì)算操作進(jìn)行日志保存。6隱私計(jì)算框架6.1隱私計(jì)算框架組件隱私計(jì)算框架如圖3所示，包括隱私信息抽取與度量、隱私度量動(dòng)態(tài)調(diào)整、隱私延伸控制、隱私按需保護(hù)、保護(hù)效果評(píng)估、存證與取證等功能組件，具體如下：圖3隱私計(jì)算框架a)隱私信息抽取與度量，通過(guò)對(duì)采集或接收的信息進(jìn)行分析，提取不同模態(tài)信息中的隱私信息分量，并對(duì)隱私信息分量進(jìn)行分類(lèi)以及量化隱私信息分量的敏感度或保護(hù)程度；當(dāng)評(píng)估未達(dá)到預(yù)期效果時(shí)，還需要重新調(diào)整原始度量值。包括隱私信息抽取、隱私信息分類(lèi)、隱私信息度量；b)隱私度量動(dòng)態(tài)調(diào)整，通過(guò)識(shí)別判斷隱私信息所屬的應(yīng)用場(chǎng)景，對(duì)隱私信息分量的敏感度或保護(hù)程度進(jìn)行針對(duì)性的度量調(diào)整；當(dāng)評(píng)估未達(dá)到預(yù)期效果時(shí)，還需要重新更換場(chǎng)景描述。包括場(chǎng)景識(shí)別、度量調(diào)整；c)隱私延伸控制,在數(shù)據(jù)泛在流通與共享過(guò)程中，對(duì)全生命周期各環(huán)節(jié)的隱私操作進(jìn)行迭代控制；當(dāng)評(píng)估未達(dá)到預(yù)期效果時(shí)，還需要重新調(diào)整控制策略。包括延伸控制策略生成、控制策略可控傳遞、控制策略迭代調(diào)整、策略執(zhí)行可信驗(yàn)證；d)隱私按需保護(hù)，約束隱私信息處理者根據(jù)延伸控制策略，對(duì)接收到的隱私信息進(jìn)行按需脫敏、按需刪除等處理，提供場(chǎng)景自適應(yīng)的隱私保護(hù)能力；當(dāng)評(píng)估未達(dá)到預(yù)期效果時(shí)，還需要重新定義隱私保護(hù)操作；e)保護(hù)效果評(píng)估，根據(jù)制定的脫敏效果評(píng)估指標(biāo)體系，對(duì)待評(píng)估的已脫敏隱私信息的脫敏效果進(jìn)行量化分析，如未能達(dá)到預(yù)期效果，則分別視情況從隱私信息抽取與度量、隱私度量動(dòng)態(tài)調(diào)整、隱私延伸控制、隱私按需保護(hù)等環(huán)節(jié)進(jìn)行反饋迭代，直至達(dá)到期望的保護(hù)效果。包括脫敏效果評(píng)估指標(biāo)體系、單次脫敏效果評(píng)估、基于數(shù)據(jù)挖掘的脫敏效果評(píng)估、脫敏系統(tǒng)效果評(píng)估、刪除效果評(píng)估；f)存證與取證，對(duì)隱私信息抽取與度量、隱私度量動(dòng)態(tài)調(diào)整、隱私延伸控制、隱私按需保護(hù)、保護(hù)效果評(píng)估等功能組件的操作行為進(jìn)行日志記錄，并根據(jù)證據(jù)獲取請(qǐng)求生成證據(jù)。包括存證收集、存證存儲(chǔ)、證據(jù)生成。6.2隱私計(jì)算系統(tǒng)的組件風(fēng)險(xiǎn)T/CSACXXXX—XXXX基于隱私計(jì)算框架所研制的隱私計(jì)算系統(tǒng)的各組件面臨著與其他信息系統(tǒng)相似的安全風(fēng)險(xiǎn),在隱私信息抽取與度量、隱私度量動(dòng)態(tài)調(diào)整、隱私延伸控制、隱私按需保護(hù)、保護(hù)效果評(píng)估、存證與取證等方面面臨的風(fēng)險(xiǎn)包括但不限于：a)隱私信息抽取與度量的風(fēng)險(xiǎn)主要指隱私信息抽取不準(zhǔn)或不全、隱私信息分量分類(lèi)不正確、隱私信息分量敏感度的度量不準(zhǔn)確等，會(huì)導(dǎo)致隱私延伸控制策略生成、脫敏算法及其參數(shù)選擇、刪除方法選擇的不恰當(dāng)，從而引起隱私信息泄露；b)隱私度量動(dòng)態(tài)調(diào)整的風(fēng)險(xiǎn)主要指場(chǎng)景識(shí)別不準(zhǔn)確、隱私信息分量敏感度調(diào)整不當(dāng)?shù)?，?huì)導(dǎo)致隱私延伸控制策略生成、脫敏算法及其參數(shù)選擇、刪除方法選擇的不恰當(dāng)，從而引起隱私信息泄露；c)隱私延伸控制的風(fēng)險(xiǎn)主要指延伸控制策略生成不準(zhǔn)或不全、控制策略傳遞過(guò)程中被篡改或與隱私信息剝離、控制策略迭代調(diào)整時(shí)出現(xiàn)偏差、控制策略未被正確執(zhí)行等，會(huì)導(dǎo)致數(shù)據(jù)泛在流通與共享過(guò)程中脫敏、刪除和使用等操作失控，從而引起隱私信息泄露；d)隱私按需保護(hù)的風(fēng)險(xiǎn)主要指未能正確選擇脫敏算法及其參數(shù)、未能正確選擇刪除方法等，脫敏時(shí)隱私信息被過(guò)度脫敏影響服務(wù)效果，或脫敏不足導(dǎo)致隱私信息泄露，或未能正確刪除導(dǎo)致違規(guī)甚至隱私信息泄露，多方聯(lián)合數(shù)據(jù)利用時(shí)未能正確選擇所采用的數(shù)據(jù)使用安全技術(shù)、未能正確選擇算法協(xié)議及配置其安全參數(shù)等問(wèn)題；e)保護(hù)效果評(píng)估的風(fēng)險(xiǎn)主要指保護(hù)效果評(píng)估指標(biāo)體系不完備、評(píng)估方法不準(zhǔn)確等，使得保護(hù)效果評(píng)估出現(xiàn)偏差，從而會(huì)引起隱私信息泄露；f)存證與取證的風(fēng)險(xiǎn)主要指存證信息收集不全、存證存儲(chǔ)過(guò)程中被非法訪問(wèn)或非法篡改、備份措施不足導(dǎo)致的存證信息丟失、證據(jù)生成時(shí)信息不全、證據(jù)生成錯(cuò)誤等，會(huì)導(dǎo)致不能對(duì)隱私侵權(quán)行為進(jìn)行正確追溯；g)跨系統(tǒng)一致性的風(fēng)險(xiǎn)主要指隱私信息在多個(gè)隱私計(jì)算系統(tǒng)保存時(shí)，如果由于某個(gè)系統(tǒng)保護(hù)能力偏弱，其他系統(tǒng)隱私保護(hù)能力再?gòu)?qiáng)也失去意義，即存在短板效應(yīng)和一損俱損的風(fēng)險(xiǎn)，會(huì)導(dǎo)致隱私泄露。6.3隱私計(jì)算的互聯(lián)互通隱私計(jì)算是對(duì)隱私信息全生命周期過(guò)程的計(jì)算操作進(jìn)行控制。相應(yīng)地，隱私計(jì)算互聯(lián)互通是體現(xiàn)在隱私信息抽取與度量、隱私度量動(dòng)態(tài)調(diào)整、隱私延伸控制、隱私按需保護(hù)、保護(hù)效果評(píng)估、存證與取證等組件的隱私信息描述、隱私信息分類(lèi)、隱私信息度量、場(chǎng)景識(shí)別、度量調(diào)整、延伸控制策略生成、控制策略迭代調(diào)整、控制策略可控傳遞、策略執(zhí)行可信驗(yàn)證、脫敏算法能力評(píng)估、按需脫敏、按需刪除、脫敏效果評(píng)估指標(biāo)體系、保護(hù)效果評(píng)估結(jié)論等方面的具體方法、算法或量化指標(biāo)等定義和格式規(guī)范上。本文件僅規(guī)范這些方面的原則要求。7隱私信息抽取與度量7.1概述隱私信息抽取與度量通過(guò)對(duì)采集或接收的信息進(jìn)行隱私信息分量識(shí)別和抽取，然后對(duì)隱私信息分量進(jìn)行分類(lèi)和度量。若保護(hù)效果評(píng)估未達(dá)到預(yù)期效果，則可能重新執(zhí)行隱私信息抽取與度量。隱私信息抽取與度量具體包括：a)隱私信息抽取，負(fù)責(zé)對(duì)采集或接收到的信息中的隱私信息分量進(jìn)行識(shí)別，根據(jù)隱私信息分量的模態(tài)進(jìn)行信息處理，生成初始的隱私信息描述；T/CSACXXXX—XXXXb)隱私信息分類(lèi)，負(fù)責(zé)對(duì)識(shí)別和抽取的隱私信息分量進(jìn)行分類(lèi)；c)隱私信息度量，負(fù)責(zé)對(duì)抽取的隱私信息分量進(jìn)行敏感度或保護(hù)程度量化。7.2隱私信息抽取隱私信息抽取，對(duì)采集或接收到的信息中的隱私信息分量進(jìn)行定位，確定隱私信息分量模態(tài)，然后對(duì)多模態(tài)隱私信息分量進(jìn)行處理，生成隱私信息描述，具體如下：a)對(duì)文本、音頻、視頻、圖像等模態(tài)數(shù)據(jù)，使用合適的技術(shù)和方法從信息中識(shí)別隱私信息，如關(guān)鍵詞匹配、自然語(yǔ)言處理、圖像語(yǔ)義理解、模式匹配等；b)針對(duì)識(shí)別的隱私信息生成初始的隱私信息描述，其內(nèi)容包括隱私信息向量、約束條件集合、隱私屬性向量、廣義定位信息集合、審計(jì)控制信息集合、傳播控制操作集合等。具體隱私信息識(shí)別示例見(jiàn)附錄A。7.3隱私信息分類(lèi)隱私信息分類(lèi)，通過(guò)對(duì)識(shí)別和抽取的隱私信息分量進(jìn)行分類(lèi)，具體如下：a)針對(duì)法律法規(guī)和應(yīng)用場(chǎng)景，建立分類(lèi)分級(jí)模板庫(kù)，以滿足不同應(yīng)用場(chǎng)景的隱私信息分類(lèi)需求；b)可采用知識(shí)圖譜等技術(shù)，結(jié)合分類(lèi)分級(jí)模板庫(kù)，對(duì)隱私信息分量進(jìn)行分類(lèi)，再結(jié)合應(yīng)用場(chǎng)景對(duì)隱私信息分量進(jìn)行分級(jí)；c)隱私信息分類(lèi)分級(jí)的結(jié)果記錄在隱私信息描述的隱私屬性向量中。7.4隱私信息度量隱私信息度量，負(fù)責(zé)對(duì)抽取的隱私信息分量的敏感度或保護(hù)程度進(jìn)行量化，具體如下：a)可根據(jù)隱私信息分類(lèi)分級(jí)，構(gòu)建粗粒度隱私信息量化模型；b)可選擇基于信息論、差分隱私、人工智能等多種不同技術(shù)，構(gòu)建細(xì)粒度隱私信息量化模型；c)選用適合的隱私信息量化模型，對(duì)隱私信息向量中不同信息模態(tài)的隱私信息分量進(jìn)行量化；d)可對(duì)隱私屬性向量中的各屬性分量進(jìn)行聯(lián)合度量，對(duì)不同隱私屬性向量進(jìn)行自定義權(quán)重的加權(quán)平均，獲取隱私信息的整體度量；e)隱私信息度量結(jié)果記錄在隱私信息描述中的隱私屬性向量中；f)可選地，完成隱私信息度量之后，對(duì)隱私度量過(guò)程開(kāi)展合規(guī)性驗(yàn)證，確保其實(shí)施過(guò)程符合隱私保護(hù)要求。8隱私度量動(dòng)態(tài)調(diào)整8.1概述隱私度量動(dòng)態(tài)調(diào)整，在隱私信息抽取與度量的基礎(chǔ)上，識(shí)別隱私信息所屬的應(yīng)用場(chǎng)景，并針對(duì)性地動(dòng)態(tài)調(diào)整隱私信息分量的敏感度或保護(hù)程度。若保護(hù)效果評(píng)估未達(dá)到預(yù)期效果，則可能重新執(zhí)行隱私信息動(dòng)態(tài)調(diào)整。隱私度量動(dòng)態(tài)調(diào)整具體包括：a)場(chǎng)景識(shí)別，根據(jù)提取的隱私信息分量，識(shí)別其所屬應(yīng)用場(chǎng)景；b)度量調(diào)整，結(jié)合識(shí)別的應(yīng)用場(chǎng)景，動(dòng)態(tài)調(diào)整隱私信息分量的量化結(jié)果。8.2場(chǎng)景識(shí)別為支持隱私信息分量量化結(jié)果的動(dòng)態(tài)調(diào)整，場(chǎng)景識(shí)別包括但不限于：T/CSACXXXX—XXXXa)采用人工標(biāo)注或機(jī)器學(xué)習(xí)等技術(shù)，對(duì)采集的信息進(jìn)行應(yīng)用場(chǎng)景分類(lèi)分級(jí)和標(biāo)注，如：社交網(wǎng)絡(luò)服務(wù)、出行服務(wù)、醫(yī)療服務(wù)等；b)采用元數(shù)據(jù)（例如：信息來(lái)源、時(shí)間戳、地理位置等）輔助識(shí)別隱私信息所屬的應(yīng)用場(chǎng)景；c)針對(duì)文本類(lèi)信息，可采用自然語(yǔ)言處理技術(shù)，進(jìn)行分詞和詞性標(biāo)注、實(shí)體識(shí)別等操作，使用主題模型識(shí)別主要主題，輔助推斷應(yīng)用場(chǎng)景；d)針對(duì)視頻類(lèi)信息，可通過(guò)內(nèi)容分析技術(shù)，如：物體檢測(cè)識(shí)別、動(dòng)作識(shí)別等，輔助推斷應(yīng)用場(chǎng)景；e)針對(duì)音頻類(lèi)信息，可通過(guò)語(yǔ)音識(shí)別、情感分析、背景音分類(lèi)等技術(shù)，輔助推斷應(yīng)用場(chǎng)景；f)針對(duì)圖像類(lèi)信息，可通過(guò)圖像語(yǔ)義理解等技術(shù)，輔助推斷應(yīng)用場(chǎng)景。8.3度量調(diào)整在識(shí)別應(yīng)用場(chǎng)景的基礎(chǔ)上，針對(duì)不同場(chǎng)景動(dòng)態(tài)調(diào)整隱私信息分量的敏感度或保護(hù)程度的量化結(jié)果，度量調(diào)整包含但不限于：a)根據(jù)不同應(yīng)用場(chǎng)景及該場(chǎng)景下隱私信息接收者的隱私保護(hù)能力，動(dòng)態(tài)調(diào)整隱私屬性分量的量化值；b)根據(jù)保護(hù)效果評(píng)估結(jié)論，動(dòng)態(tài)調(diào)整隱私屬性分量的量化值，并指導(dǎo)隱私信息中隱私屬性向量的動(dòng)態(tài)調(diào)整；c)可綜合運(yùn)用信息論、差分隱私，并交叉融合心理學(xué)等主觀評(píng)價(jià)理論，對(duì)保護(hù)效果評(píng)估指標(biāo)體系進(jìn)行動(dòng)態(tài)調(diào)整。9隱私延伸控制9.1概述隱私延伸控制對(duì)數(shù)據(jù)泛在流通與共享過(guò)程中脫敏、存儲(chǔ)、使用、交換、發(fā)布、刪除等進(jìn)行操作約束。隱私延伸控制的核心功能迭代延伸控制詳見(jiàn)附錄B。若保護(hù)效果評(píng)估未達(dá)到預(yù)期效果，則可能重新執(zhí)行隱私延伸控制。隱私延伸控制具體包括：a)延伸控制策略生成，用于根據(jù)前序隱私信息提供者和當(dāng)前隱私信息處理者的意圖，準(zhǔn)確無(wú)誤地生成并描述控制策略；b)控制策略可控傳遞，用于保證隱私延伸控制策略在不同隱私信息處理者之間安全可靠地傳輸?shù)竭_(dá)；c)控制策略迭代調(diào)整，延伸控制策略在不同隱私信息處理者之間傳遞時(shí)，用于保證控制策略內(nèi)容根據(jù)應(yīng)用場(chǎng)景、保護(hù)效果評(píng)估結(jié)果自適應(yīng)地進(jìn)行調(diào)整；d)策略執(zhí)行可信驗(yàn)證，用于保證隱私信息提供者或隱私信息轉(zhuǎn)發(fā)者驗(yàn)證延伸控制策略是否被隱私信息接收者完整正確地執(zhí)行。9.2延伸控制策略生成使用自然語(yǔ)言處理、形式化分析等技術(shù)，準(zhǔn)確地按照前序隱私信息提供者和當(dāng)前隱私信息處理者的意圖，產(chǎn)生計(jì)算機(jī)程序可處理的控制策略，具體如下：a)針對(duì)隱私信息被首次流轉(zhuǎn)的應(yīng)用場(chǎng)景，支持隱私信息所有者導(dǎo)入延伸控制意圖；b)針對(duì)隱私信息非首次流轉(zhuǎn)的應(yīng)用場(chǎng)景，支持通過(guò)前序的隱私信息所有者、隱私信息提供者或隱私信息處理者的延伸控制策略，獲得延伸控制意圖；T/CSACXXXX—XXXXc)通過(guò)自然語(yǔ)言處理等技術(shù)，對(duì)獲取的延伸控制意圖進(jìn)行解析，并結(jié)合隱私信息接收者的隱私保護(hù)能力、應(yīng)用場(chǎng)景等因素，生成延伸控制策略；d)采用數(shù)字簽名等技術(shù)，保證延伸控制策略的真實(shí)性以及不可篡改；e)采用機(jī)器可處理的語(yǔ)言形式，例如：JSON、XML等，描述生成的延伸控制策略；f)采用形式化分析技術(shù)，驗(yàn)證生成的延伸控制策略符合延伸控制意圖的要求，且延伸控制策略各項(xiàng)內(nèi)容彼此沒(méi)有沖突；g)延伸控制策略采用底層系統(tǒng)無(wú)關(guān)的標(biāo)準(zhǔn)化描述，支持延伸控制策略的跨系統(tǒng)傳遞。9.3控制策略可控傳遞采用密碼學(xué)技術(shù)保障延伸控制策略在隱私信息提供者和隱私信息接收者之間傳遞過(guò)程中的完整性、機(jī)密性、不可剝離性、不可抵賴(lài)性和保護(hù)一致性，具體如下:a)完整性，利用消息驗(yàn)證碼等技術(shù)，保證延伸控制策略在傳遞過(guò)程中不可被非授權(quán)方式更改或破壞；b)機(jī)密性，可采用密碼技術(shù)對(duì)延伸控制策略進(jìn)行加密保護(hù)，保證延伸控制策略不可被未授權(quán)的第三方解析，避免延伸控制策略被非法獲取而導(dǎo)致的隱私泄露；c)不可剝離性，采用可信執(zhí)行環(huán)境、密碼學(xué)等技術(shù)將延伸控制策略嵌入被交換隱私信息中，并保證控制策略和隱私信息的關(guān)聯(lián)關(guān)系不能被破壞；d)不可抵賴(lài)性，采用數(shù)字簽名技術(shù)對(duì)延伸控制策略進(jìn)行處理，保證延伸控制策略來(lái)源的真實(shí)性，避免隱私信息處理者否認(rèn)其前序隱私信息提供者所生成的延伸控制策略；e)保護(hù)一致性，隱私信息跨系統(tǒng)交換或采用數(shù)據(jù)使用安全技術(shù)進(jìn)行數(shù)據(jù)聯(lián)合利用時(shí)，對(duì)隱私信息提供者和隱私信息接收者的算法保護(hù)能力和保護(hù)效果進(jìn)行關(guān)聯(lián)的保護(hù)量化映射，量化映射關(guān)系存于延伸控制策略中。9.4控制策略迭代調(diào)整為了支持延伸控制策略在隱私信息提供者和隱私信息接收者之間流轉(zhuǎn)時(shí)的動(dòng)態(tài)更新，避免因短板效應(yīng)導(dǎo)致的隱私泄露，控制策略迭代動(dòng)態(tài)調(diào)整包括但不限于：a)從接收到的信息中，解析前序隱私信息處理者嵌入的延伸控制策略，生成延伸控制策略集合；b)根據(jù)后序隱私信息接收者的隱私保護(hù)能力、應(yīng)用場(chǎng)景、數(shù)據(jù)模態(tài)等信息，更新延伸控制策略集合；c)更新后的控制集合，連同本級(jí)根據(jù)控制策略處理過(guò)的隱私信息，安全地傳遞給后序隱私信息接收者；d)支持在延伸控制策略集合中，嵌入部分或全部前序隱私處理者信息，應(yīng)至少包含前一級(jí)隱私信息處理者的信息；e)可采用可信環(huán)境等技術(shù)措施，保證延伸控制策略更新調(diào)整的安全性。9.5策略執(zhí)行可信驗(yàn)證為了驗(yàn)證延伸控制策略是否被隱私信息接收者完整正確地執(zhí)行，策略執(zhí)行可信驗(yàn)證包括但不限于：a)支持隱私信息接收者，驗(yàn)證隱私信息傳播鏈上任一后序隱私信息接收者和隱私信息處理者是否按預(yù)期執(zhí)行其延伸控制策略；b)采用日志采集及分析、密碼學(xué)等技術(shù)，保證隱私信息提供者或隱私信息轉(zhuǎn)發(fā)者，可驗(yàn)證隱私信息接收者按照預(yù)期完整正確地執(zhí)行了延伸控制策略；T/CSACXXXX—XXXXc)可采用聚合簽名、可信環(huán)境等技術(shù)，保證當(dāng)前隱私信息接收者可驗(yàn)證隱私信息傳播鏈上所有前序隱私信息處理者是否按要求執(zhí)行了控制策略。10隱私按需保護(hù)10.1概述隱私按需保護(hù)用于隱私信息處理者根據(jù)隱私信息所有者或隱私信息提供者的脫敏要求、隱私信息模態(tài)以及隱私信息接收者的隱私保護(hù)能力等因素，如圖4所示，對(duì)隱私信息分量進(jìn)行場(chǎng)景自適應(yīng)的脫敏和刪除操作。若保護(hù)效果評(píng)估未到預(yù)期效果，則可能重新執(zhí)行隱私按需保護(hù)。隱私按需保護(hù)包括：a)脫敏算法能力評(píng)估，對(duì)脫敏算法能力從可逆性、信息偏差性、信息損失性、復(fù)雜性等方面進(jìn)行評(píng)估；b)按需脫敏，隱私信息處理者結(jié)合信息模態(tài)、業(yè)務(wù)需求等因素，解析并根據(jù)脫敏控制策略，選擇脫敏算法集合，進(jìn)行脫敏處理；c)按需刪除，隱私信息處理者解析刪除控制策略并根據(jù)刪除控制策略選定刪除對(duì)象和刪除方法，進(jìn)行刪除處理；d)按需采用數(shù)據(jù)使用安全技術(shù),隱私信息處理者根據(jù)延伸控制策略，在多方聯(lián)合數(shù)據(jù)利用時(shí)，隱私信息處理者結(jié)合信息模態(tài)、業(yè)務(wù)需求等因素，選擇所采用的數(shù)據(jù)使用安全技術(shù)、算法協(xié)議以及安全參數(shù)，進(jìn)行多方聯(lián)合計(jì)算。圖4隱私按需保護(hù)處理流程10.2脫敏算法能力評(píng)估10.2.1脫敏算法能力評(píng)估的指標(biāo)體系脫敏算法能力評(píng)估的指標(biāo)體系包括可逆性、信息偏差性、信息損失性和復(fù)雜性等四類(lèi)指標(biāo)，且基于測(cè)評(píng)樣本基準(zhǔn)數(shù)據(jù)集，對(duì)各類(lèi)脫敏算法進(jìn)行能力評(píng)估。10.2.1.1可逆性評(píng)估指標(biāo)T/CSACXXXX—XXXX可逆性評(píng)估是衡量從脫敏算法處理后信息中復(fù)原隱私信息的可能性。由于脫敏旨在保護(hù)敏感個(gè)人信息，通常情況下脫敏是不可逆的。可逆性度量方法如下：a)脫敏算法可逆性，評(píng)估隱私信息脫敏使用的是否是不可逆脫敏算法；b)脫敏算法參數(shù)強(qiáng)度，評(píng)估脫敏算法使用的參數(shù)強(qiáng)度；c)信息還原性，評(píng)估通過(guò)脫敏后的隱私信息還原出原始隱私信息的程度，例如：恢復(fù)信息的準(zhǔn)確度、恢復(fù)信息的偏差度。10.2.1.2信息偏差性評(píng)估指標(biāo)信息偏差性評(píng)估是衡量脫敏算法處理后的信息失真和偏移程度。信息偏差性度量方法如下：a)統(tǒng)計(jì)偏差性，比較原始數(shù)據(jù)和脫敏后數(shù)據(jù)的統(tǒng)計(jì)指標(biāo)，例如：均方差、平均絕對(duì)值、KL散度、歐氏距離、余弦距離、峰值信噪比、結(jié)構(gòu)相似性指數(shù)、均值、中位數(shù)、方差、標(biāo)準(zhǔn)差、最大值、最小值等；b)數(shù)據(jù)分布偏差性，比較原始數(shù)據(jù)和脫敏后數(shù)據(jù)的分布差異，例如：分布形狀、分位數(shù)和累積分布函數(shù)等；c)模型應(yīng)用準(zhǔn)確性，使用原始數(shù)據(jù)和脫敏后數(shù)據(jù)分別構(gòu)建訓(xùn)練模型，比較模型在驗(yàn)證集或測(cè)試集上的效果；d)數(shù)據(jù)隨機(jī)性分析，評(píng)估脫敏算法對(duì)隱私信息的隨機(jī)性影響程度。10.2.1.3信息損失性評(píng)估指標(biāo)信息損失性評(píng)估是衡量脫敏算法處理后隱私信息損失部分對(duì)可用性的影響程度。信息損失性度量方法如下：a)信息熵，信息熵是衡量數(shù)據(jù)集中信息量的度量指標(biāo)，通過(guò)計(jì)算原始數(shù)據(jù)和脫敏后數(shù)據(jù)的信息熵，并比較差異；b)互信息，互信息是衡量?jī)蓚€(gè)隨機(jī)變量之間相互依賴(lài)程度的度量指標(biāo)，通過(guò)計(jì)算原始數(shù)據(jù)和脫敏后數(shù)據(jù)之間的互信息進(jìn)行量化評(píng)估；c)數(shù)據(jù)分布特征，比較原始數(shù)據(jù)和脫敏后數(shù)據(jù)的分布特征的統(tǒng)計(jì)指標(biāo)，例如：均值、方差、分位數(shù)等；d)數(shù)據(jù)關(guān)聯(lián)性，計(jì)算原始數(shù)據(jù)和脫敏后數(shù)據(jù)之間的關(guān)聯(lián)性的度量指標(biāo)，例如：相關(guān)系數(shù)、協(xié)方差e)數(shù)據(jù)可用性，評(píng)估脫敏數(shù)據(jù)在特定應(yīng)用場(chǎng)景下的可用程度指標(biāo)，例如：數(shù)據(jù)分析、模型訓(xùn)練等應(yīng)用場(chǎng)景。10.2.1.4復(fù)雜性評(píng)估指標(biāo)復(fù)雜性評(píng)估是衡量脫敏算法處理隱私信息所需的資源開(kāi)銷(xiāo)。復(fù)雜性度量方法如下：a)時(shí)間復(fù)雜度，用于衡量算法執(zhí)行所需時(shí)間的度量指標(biāo)，可以通過(guò)分析算法中的操作、迭代次數(shù)和數(shù)據(jù)規(guī)模等來(lái)確定，例如：常數(shù)時(shí)間O1、線性時(shí)間On、對(duì)數(shù)時(shí)間O(logn)、平方時(shí)間On2等；b)空間復(fù)雜度，用于衡量算法執(zhí)行所需內(nèi)存空間的度量指標(biāo)，可以通過(guò)分析算法中使用的額外數(shù)據(jù)結(jié)構(gòu)、變量和遞歸調(diào)用的深度等來(lái)確定，例如：常數(shù)空間O1、線性空間On、指數(shù)空等；c)計(jì)算資源需求，評(píng)估算法執(zhí)行所需的計(jì)算資源，包括CPU執(zhí)行時(shí)間、占用內(nèi)存等。T/CSACXXXX—XXXX10.2.1.5算法能力綜合評(píng)估在脫敏算法能力評(píng)估的過(guò)程中，需要根據(jù)所采用脫敏算法的類(lèi)別，為每個(gè)評(píng)估維度設(shè)置相應(yīng)的權(quán)重，進(jìn)行加權(quán)計(jì)算，得出算法能力的綜合評(píng)估結(jié)果。10.2.2脫敏算法可逆性評(píng)估脫敏算法可逆性評(píng)估的具體內(nèi)容如下：a)判斷脫敏算法支持的數(shù)據(jù)模態(tài)與應(yīng)用場(chǎng)景，確定算法可逆性對(duì)應(yīng)的權(quán)重值；b)結(jié)合隱私信息數(shù)據(jù)模態(tài)及應(yīng)用場(chǎng)景，選擇10.2.1.1節(jié)中的評(píng)估指標(biāo)，衡量脫敏信息的被還原能力，評(píng)估內(nèi)容包括但不限于：恢復(fù)信息的準(zhǔn)確度、恢復(fù)信息偏差度等；c)綜合考慮算法類(lèi)別、算法參數(shù)、數(shù)據(jù)模態(tài)等因素，設(shè)計(jì)合理的可逆性評(píng)估方案，保證評(píng)估結(jié)果的準(zhǔn)確性和可信性。10.2.3脫敏算法信息偏差性評(píng)估脫敏算法信息偏差性評(píng)估的具體內(nèi)容如下：a)判斷脫敏算法支持的數(shù)據(jù)模態(tài)與應(yīng)用場(chǎng)景，確定信息偏差性對(duì)應(yīng)的權(quán)重值；b)結(jié)合隱私信息數(shù)據(jù)模態(tài)及應(yīng)用場(chǎng)景，選擇10.2.1.2節(jié)中的評(píng)估指標(biāo)，衡量脫敏算法執(zhí)行前的原始隱私信息與脫敏后的隱私信息之間的偏差程度，評(píng)估內(nèi)容包括但不限于：數(shù)據(jù)統(tǒng)計(jì)、數(shù)據(jù)應(yīng)用測(cè)試、隨機(jī)性分析等；c)綜合考慮數(shù)據(jù)規(guī)模、數(shù)據(jù)分布、數(shù)據(jù)模態(tài)等因素，設(shè)計(jì)合理的信息偏差性評(píng)估方案，保證評(píng)估結(jié)果的準(zhǔn)確性和可用性。10.2.4脫敏算法信息損失性評(píng)估脫敏算法信息損失性評(píng)估的具體內(nèi)容如下：a)判斷脫敏算法支持的數(shù)據(jù)模態(tài)與應(yīng)用場(chǎng)景，確定信息損失性對(duì)應(yīng)的權(quán)重值；b)結(jié)合隱私信息數(shù)據(jù)模態(tài)及應(yīng)用場(chǎng)景，選擇10.2.1.3節(jié)中的評(píng)估指標(biāo)，衡量脫敏算法執(zhí)行前的原始隱私信息與脫敏后的隱私信息之間的信息損失程度，評(píng)估內(nèi)容包括但不限于：信息熵、互信息、數(shù)據(jù)分布特征、數(shù)據(jù)關(guān)聯(lián)性、信息可用性等；c)綜合考慮數(shù)據(jù)可用、數(shù)據(jù)關(guān)聯(lián)、應(yīng)用場(chǎng)景等因素，設(shè)計(jì)合理的信息損失性評(píng)估方案，保證評(píng)估結(jié)果的準(zhǔn)確性和有效性。10.2.5脫敏算法復(fù)雜性評(píng)估脫敏算法復(fù)雜性評(píng)估的具體內(nèi)容如下：a)判斷脫敏算法支持的數(shù)據(jù)模態(tài)與應(yīng)用場(chǎng)景，確定算法復(fù)雜性對(duì)應(yīng)的權(quán)重值；b)結(jié)合隱私信息數(shù)據(jù)模態(tài)及應(yīng)用場(chǎng)景，選擇10.2.1.4節(jié)中的評(píng)估指標(biāo)，衡量脫敏算法的執(zhí)行效率和資源消耗情況，評(píng)估內(nèi)容包括但不限于：時(shí)間復(fù)雜度、空間復(fù)雜度、資源消耗等；c)綜合考慮平臺(tái)資源、數(shù)據(jù)模態(tài)、數(shù)據(jù)規(guī)模、數(shù)據(jù)結(jié)構(gòu)等因素，設(shè)計(jì)合理的復(fù)雜性評(píng)估方案，保證評(píng)估結(jié)果的準(zhǔn)確性和有效性。10.3按需脫敏按需脫敏根據(jù)數(shù)據(jù)模態(tài)、應(yīng)用場(chǎng)景、業(yè)務(wù)需求等要素的不同，進(jìn)行脫敏控制策略生成、脫敏控制策略解析和脫敏算法選擇。T/CSACXXXX—XXXX10.3.1脫敏控制策略生成脫敏控制策略生成是指，從隱私信息所有者或前序隱私信息提供者處，獲取關(guān)于相關(guān)隱私信息的脫敏要求，并結(jié)合應(yīng)用場(chǎng)景、隱私信息接收者的隱私保護(hù)能力等因素，生成適應(yīng)當(dāng)前應(yīng)用場(chǎng)景的脫敏控制策略。脫敏控制策略包括脫敏對(duì)象、脫敏等級(jí)等，具體如下：a)首次脫敏，隱私信息處理者根據(jù)隱私信息所有者的脫敏要求，生成脫敏控制策略；b)迭代脫敏，隱私信息處理者通過(guò)前序隱私信息提供者的脫敏控制策略，并結(jié)合當(dāng)前應(yīng)用場(chǎng)景要求，生成新的脫敏控制策略；c)脫敏控制策略應(yīng)與脫敏后的隱私信息一起流轉(zhuǎn)。10.3.2脫敏控制策略解析脫敏控制策略解析是指，隱私信息處理者收到脫敏控制策略后，結(jié)合隱私信息處理者所處的應(yīng)用場(chǎng)景，提取當(dāng)前應(yīng)用場(chǎng)景所對(duì)應(yīng)的脫敏控制策略，具體如下：a)隱私信息處理者解析前驗(yàn)證脫敏控制策略的完整性；b)隱私信息處理者依據(jù)應(yīng)用場(chǎng)景識(shí)別結(jié)果，解析脫敏控制策略后提取當(dāng)前應(yīng)用場(chǎng)景所對(duì)應(yīng)的脫敏控制策略。10.3.3脫敏算法選擇脫敏算法選擇是指，隱私信息處理者根據(jù)解析出的脫敏控制策略，對(duì)備選脫敏算法集合及其參數(shù)進(jìn)行篩選，具體如下：a)隱私信息處理者根據(jù)當(dāng)前應(yīng)用場(chǎng)景所對(duì)應(yīng)的脫敏控制策略，確定脫敏對(duì)象所對(duì)應(yīng)的脫敏等級(jí)、脫敏方式等；b)根據(jù)脫敏等級(jí)、脫敏方式，選擇脫敏算法及其參數(shù)。10.4按需刪除10.4.1刪除控制策略生成刪除控制策略生成是指，從隱私信息所有者或隱私信息提供者處，獲取關(guān)于相關(guān)隱私信息的刪除要求，并結(jié)合數(shù)據(jù)模態(tài)和數(shù)據(jù)存儲(chǔ)方式等因素，生成刪除控制策略，包括刪除對(duì)象、刪除方法、刪除范圍等，具體如下：a)刪除對(duì)象確定，刪除對(duì)象包括各個(gè)隱私信息處理者留存的隱私信息正本或隱私信息副本，根據(jù)隱私信息所有者或隱私信息提供者的刪除要求，生成由刪除對(duì)象組成的集合、刪除范圍的集合；b)刪除方法確定，根據(jù)隱私信息所有者或隱私信息提供者的刪除要求，確定刪除方法集合；c)生成由刪除對(duì)象集合、刪除方法集合、刪除范圍集合等組成的刪除控制策略。10.4.2刪除控制策略解析刪除控制策略解析是指，隱私信息處理者收到刪除控制策略后，提取刪除控制策略，具體如下：a)隱私信息處理者解析前驗(yàn)證刪除控制策略的完整性；b)隱私信息處理者解析刪除控制策略后提取刪除對(duì)象集合、刪除方法集合、刪除范圍集合等信息。10.4.3按需刪除操作隱私信息處理者根據(jù)解析出的刪除對(duì)象集合、刪除方法集合、刪除范圍集合等內(nèi)容，執(zhí)行刪除操作，具體如下：T/CSACXXXX—XXXXa)從刪除方法集合中選擇刪除方法，再根據(jù)刪除方法、刪除等級(jí)等，構(gòu)造刪除指令；b)根據(jù)刪除對(duì)象集合，確定本地刪除對(duì)象的正本信息、多副本信息、分散存儲(chǔ)信息、多備份信息等所處的設(shè)備，然后將刪除指令發(fā)送到對(duì)應(yīng)的設(shè)備；c)根據(jù)刪除范圍集合，確定其他存放刪除對(duì)象的正本信息、多副本信息、分散存儲(chǔ)信息、多備份信息等所處的設(shè)備，然后將刪除指令發(fā)送到對(duì)應(yīng)的設(shè)備。11保護(hù)效果評(píng)估11.1概述保護(hù)效果評(píng)估是對(duì)從脫敏后的隱私信息中恢復(fù)損失信息的難度，或者恢復(fù)已刪除隱私信息的可能性進(jìn)行評(píng)價(jià)。如圖5所示，若保護(hù)效果評(píng)估未達(dá)到預(yù)期效果，則可能重新執(zhí)行隱私信息抽取與度量、隱私度量動(dòng)態(tài)調(diào)整、隱私延伸控制、隱私按需保護(hù)。保護(hù)效果評(píng)估包括：a)脫敏效果評(píng)估的指標(biāo)體系，采用可逆性、信息偏差性和信息損失性等評(píng)估指標(biāo)。具體見(jiàn)章節(jié)10.2.1.1,10.2.1.2及10.2.1.3；b)單次脫敏效果評(píng)估，通過(guò)分析脫敏算法執(zhí)行前后的信息，衡量已脫敏的隱私信息分量的可恢復(fù)程度；c)基于數(shù)據(jù)挖掘的脫敏效果評(píng)估，通過(guò)收集特定個(gè)人一定時(shí)間內(nèi)的脫敏信息，采用數(shù)據(jù)挖掘技術(shù)試圖推算出已脫敏的隱私信息分量；d)脫敏系統(tǒng)效果評(píng)估，通過(guò)收集若干特定個(gè)人或所有個(gè)人的一定時(shí)間內(nèi)的脫敏信息，采用數(shù)據(jù)挖掘技術(shù)試圖推算特定個(gè)人的已脫敏的隱私信息分量；e)刪除效果評(píng)估,采用數(shù)據(jù)恢復(fù)技術(shù)試圖還原被刪除的隱私信息分量。圖5保護(hù)效果評(píng)估執(zhí)行策略思路11.2單次脫敏效果評(píng)估單次脫敏效果評(píng)估，將執(zhí)行脫敏算法前的隱私信息與脫敏后的隱私信息進(jìn)行可逆性、信息偏差性和信息損失性的評(píng)估，具體如下：a)依據(jù)執(zhí)行脫敏算法后的數(shù)據(jù)模態(tài)、數(shù)據(jù)規(guī)模和應(yīng)用場(chǎng)景，確定可逆性、信息偏差性和信息損失性對(duì)應(yīng)的權(quán)重值；20T/CSACXXXX—XXXXb)依據(jù)數(shù)據(jù)模態(tài)和應(yīng)用場(chǎng)景，選擇10.2.1.1節(jié)中的評(píng)估指標(biāo)，評(píng)估已脫敏的隱私信息分量的被還原能力；c)依據(jù)數(shù)據(jù)規(guī)模及統(tǒng)計(jì)特性，選擇10.2.1.2節(jié)中的評(píng)估指標(biāo)，評(píng)估脫敏算法執(zhí)行前的原始隱私信息與脫敏后的隱私信息之間的偏差程度；d)依據(jù)數(shù)據(jù)信息量和關(guān)聯(lián)性，選擇10.2.1.3節(jié)中的評(píng)估指標(biāo)，評(píng)估脫敏算法執(zhí)行前的原始隱私信息與脫敏后的隱私信息之間的信息損失程度；e)考慮數(shù)據(jù)規(guī)模、數(shù)據(jù)分布、數(shù)據(jù)模態(tài)、應(yīng)用場(chǎng)景等因素，設(shè)計(jì)合理的單次脫敏效果評(píng)估方案，保證評(píng)估結(jié)果的準(zhǔn)確性和可信性；f)當(dāng)單次脫敏效果評(píng)估結(jié)論的可逆性指標(biāo)未達(dá)到脫敏效果期望閾值，需反饋到隱私按需保護(hù)組件，根據(jù)10.3.3節(jié)要求，重新選擇脫敏算法，并設(shè)置該脫敏算法的參數(shù)；當(dāng)單次脫敏效果評(píng)估結(jié)論的可逆性指標(biāo)符合脫敏效果期望閾值，但其信息偏差性或信息損失性指標(biāo)未達(dá)到脫敏效果期望閾值，需反饋到隱私按需保護(hù)組件，根據(jù)10.3.3節(jié)要求，修改脫敏算法的參數(shù)；若多次反饋后，仍未達(dá)到脫敏效果期望閾值，需反饋到隱私延伸控制組件，根據(jù)9.2節(jié)要求，生成調(diào)整后的延伸控制策略。11.3基于數(shù)據(jù)挖掘的脫敏效果評(píng)估基于數(shù)據(jù)挖掘的脫敏效果評(píng)估，是指對(duì)采用數(shù)據(jù)挖掘技術(shù)分析特定個(gè)人一定時(shí)間內(nèi)的已通過(guò)單次脫敏效果評(píng)估的脫敏信息，以推算出已脫敏的隱私信息分量程度的評(píng)估，具體如下：a)選取數(shù)據(jù)挖掘算法，對(duì)特定個(gè)人一定時(shí)間內(nèi)的脫敏信息進(jìn)行挖掘分析，推斷出特定個(gè)人的被脫敏的隱私信息；b)評(píng)估推斷出的特定個(gè)人的隱私信息，與其對(duì)應(yīng)的真實(shí)隱私信息進(jìn)行偏差性、損失性的對(duì)比分析；c)當(dāng)基于數(shù)據(jù)挖掘的脫敏效果評(píng)估結(jié)論的信息偏差性未達(dá)到脫敏效果期望閾值，需反饋到隱私延伸控制組件，根據(jù)9.2節(jié)要求，生成調(diào)整后的延伸控制策略；當(dāng)基于數(shù)據(jù)挖掘的脫敏效果評(píng)估結(jié)論的信息偏差性達(dá)到脫敏需求閾值，而信息損失性未達(dá)到脫敏效果期望閾值，需反饋到隱私度量動(dòng)態(tài)調(diào)整組件，根據(jù)8.2節(jié)和8.3節(jié)要求，分別修正場(chǎng)景識(shí)別、度量調(diào)整機(jī)制。11.4脫敏系統(tǒng)效果評(píng)估脫敏系統(tǒng)效果評(píng)估，是指對(duì)采用數(shù)據(jù)挖掘技術(shù)分析若干特定個(gè)人或所有個(gè)人一定時(shí)間內(nèi)的已通過(guò)基于數(shù)據(jù)挖掘的脫敏效果評(píng)估的脫敏信息，以推算出特定個(gè)人已脫敏的隱私信息分量程度的評(píng)估，具體如a)選取數(shù)據(jù)挖掘算法，對(duì)若干特定個(gè)人或所有個(gè)人一定時(shí)間內(nèi)的脫敏信息進(jìn)行挖掘分析，推斷出特定個(gè)人的被脫敏的隱私信息；b)評(píng)估推斷出的特定個(gè)人的隱私信息，與其對(duì)應(yīng)的真實(shí)隱私信息進(jìn)行偏差性、損失性的對(duì)比分析；c)當(dāng)脫敏系統(tǒng)效果評(píng)估結(jié)論的信息偏差性未達(dá)到脫敏效果期望閾值，需反饋到隱私延伸控制組件，根據(jù)9.2節(jié)要求，生成調(diào)整后的延伸控制策略；當(dāng)脫敏系統(tǒng)效果評(píng)估結(jié)論的信息偏差性達(dá)到脫敏效果期望閾值，而信息損失性未達(dá)到脫敏效果期望閾值，需反饋到隱私度量動(dòng)態(tài)調(diào)整組件，根據(jù)8.2節(jié)和8.3節(jié)要求，分別修正場(chǎng)景識(shí)別、度量調(diào)整機(jī)制；若多次反饋后，仍未達(dá)到脫敏效果期望閾值，需反饋到隱私信息抽取與度量組件，根據(jù)7.2、7.3和7.4節(jié)要求，分別修正隱私信息的抽取、分類(lèi)和度量。11.5刪除效果評(píng)估刪除效果評(píng)估，是指對(duì)被隱私信息處理者刪除的隱私信息的可恢復(fù)程度的評(píng)價(jià)，具體如下：21T/CSACXXXX—XXXXa)刪除控制策略完備性，用于評(píng)估隱私信息所有者、隱私信息提供者和隱私信息發(fā)布者生成與發(fā)送的刪除控制策略是否涵蓋被刪除對(duì)象所有副本；b)刪除操作合規(guī)性，用于評(píng)估隱私信息處理者的刪除方法是否符合刪除控制策略的要求；c)刪除不可恢復(fù)性，用于評(píng)估隱私信息處理者執(zhí)行刪除操作后被刪除對(duì)象的不可恢復(fù)程度。12存證與取證12.1概述存證與取證主要是對(duì)隱私計(jì)算其他功能組件的運(yùn)行、隱私信息的處理等情況進(jìn)行可信記錄，以便于開(kāi)展內(nèi)部監(jiān)測(cè)、或者按照法律法規(guī)接受外部監(jiān)管者的合規(guī)審查、侵權(quán)行為追蹤溯源的服務(wù)請(qǐng)求提供必要的證據(jù)和技術(shù)接口，包括：a)存證收集，用于從各個(gè)隱私計(jì)算框架的核心組件中收集執(zhí)行過(guò)程和執(zhí)行效果的事項(xiàng)記錄；b)存證存儲(chǔ)，用于對(duì)從各個(gè)隱私計(jì)算框架的核心組件中收集到的存證信息進(jìn)行存儲(chǔ)；c)證據(jù)生成，根據(jù)證據(jù)服務(wù)請(qǐng)求，對(duì)隱私計(jì)算系統(tǒng)的各類(lèi)存證信息進(jìn)行多源檢索，形成證據(jù)鏈，并將證據(jù)返回證據(jù)服務(wù)請(qǐng)求方。12.2存證收集存證收集主要用于收集隱私計(jì)算框架的各核心組件的操作記錄，包括但不限于：a)存證收集范圍，覆蓋隱私信息抽取與度量、隱私度量動(dòng)態(tài)調(diào)整、隱私延伸控制、隱私按需保護(hù)、保護(hù)效果評(píng)估等組件的執(zhí)行過(guò)程和執(zhí)行效果；b)隱私信息抽取與度量組件的相關(guān)存證信息收集，具體如下：1)收集隱私信息抽取過(guò)程的相關(guān)日志信息，包括但不限于：識(shí)別與抽取執(zhí)行主體、執(zhí)行時(shí)間、識(shí)別與抽取結(jié)果，支撐審計(jì)隱私信息抽取功能的正確性、完備性；2)收集隱私信息分類(lèi)過(guò)程的相關(guān)日志信息，包括但不限于：信息模態(tài)、所依據(jù)的分類(lèi)標(biāo)準(zhǔn)、分類(lèi)方法、分類(lèi)時(shí)間、分類(lèi)結(jié)果，支撐審計(jì)數(shù)據(jù)分類(lèi)的合規(guī)性、分類(lèi)異常問(wèn)題溯源；3)收集隱私信息度量過(guò)程的相關(guān)日志信息，包括但不限于：量化評(píng)估模型及其參數(shù)、輸入數(shù)據(jù)和輸出量化結(jié)果的執(zhí)行主體、量化結(jié)果等，支撐隱私信息度量方法改進(jìn)、度量異常問(wèn)題溯源。c)隱私度量動(dòng)態(tài)調(diào)整組件的相關(guān)存證信息收集，具體如下：1)收集場(chǎng)景識(shí)別過(guò)程的相關(guān)日志信息，包括但不限于：場(chǎng)景識(shí)別執(zhí)行主體、識(shí)別模型及參數(shù)、識(shí)別執(zhí)行時(shí)間、場(chǎng)景識(shí)別結(jié)果，支撐審計(jì)場(chǎng)景識(shí)別功能的正確性；2)收集度量調(diào)整過(guò)程的相關(guān)日志信息，包括但不限于：度量調(diào)整操作執(zhí)行主體、度量調(diào)整方法及參數(shù)、度量調(diào)整結(jié)果，支撐審計(jì)度量調(diào)整功能的正確性。d)隱私延伸控制組件的相關(guān)存證信息收集，具體如下：1)收集延伸控制策略生成的相關(guān)日志信息，包括但不限于：生成該策略的隱私信息處理者身份標(biāo)識(shí)、延伸控制意圖、延伸控制策略內(nèi)容等，支撐審計(jì)延伸控制意圖和延伸控制策略之間的匹配性；2)收集控制策略可控傳遞過(guò)程的相關(guān)日志信息，包括但不限于：隱私信息提供者身份標(biāo)識(shí)、隱私信息接收者身份標(biāo)識(shí)、策略傳遞會(huì)話日志信息、數(shù)字簽名等，支撐延伸控制一致性判定、控制策略異常問(wèn)題溯源；22T/CSACXXXX—XXXX3)收集控制策略迭代調(diào)整過(guò)程的相關(guān)日志信息，包括但不限于：隱私信息處理者的隱私保護(hù)能力、應(yīng)用場(chǎng)景、數(shù)據(jù)模態(tài)、延伸控制策略更新內(nèi)容等信息，支撐審計(jì)控制策略迭代調(diào)整功能的正確性；4)收集策略執(zhí)行可信驗(yàn)證過(guò)程的相關(guān)日志信息，包括但不限于：驗(yàn)證發(fā)起方和被驗(yàn)證方的身份信息、驗(yàn)證方法、驗(yàn)證結(jié)果等。如果存在驗(yàn)證結(jié)果異常，則記錄異常內(nèi)容，支撐異常行為的檢測(cè)與問(wèn)題溯源。e)隱私按需保護(hù)的相關(guān)存證信息收集，具體如下：1)收集脫敏控制策略生成的相關(guān)日志信息，包括但不限于：生成該策略的隱私信息處理者身份標(biāo)識(shí)、隱私信息接收者身份標(biāo)識(shí)、脫敏對(duì)象、脫敏等級(jí)等，支撐審計(jì)脫敏意圖和脫敏控制策略之間的匹配性；2)收集脫敏操作的相關(guān)日志信息，包括但不限于：執(zhí)行該策略的隱私信息處理者身份標(biāo)識(shí)、脫敏控制策略解析結(jié)果、選擇的脫敏算法及其參數(shù)、脫敏結(jié)果等，支撐審計(jì)脫敏操作內(nèi)容和脫敏控制策略之間的匹配性；3)收集刪除控制策略生成的相關(guān)日志信息，包括但不限于：生成該策略的隱私信息處理者身份標(biāo)識(shí)、刪除對(duì)象、刪除方法、刪除范圍等，支撐審計(jì)刪除意圖和刪除控制策略之間的匹配性；4)收集刪除操作的相關(guān)日志信息，包括但不限于：執(zhí)行該策略的隱私信息處理者身份標(biāo)識(shí)、刪除控制策略解析結(jié)果、刪除方法、刪除指令、刪除結(jié)果等，支撐審計(jì)刪除操作內(nèi)容和刪除控制策略之間的匹配性。f)保護(hù)效果評(píng)估的相關(guān)存證信息收集，具體如下：1)收集單次脫敏效果評(píng)估的相關(guān)日志信息，包括但不限于：執(zhí)行該效果評(píng)估處理者身份標(biāo)識(shí)、可逆性評(píng)估方法與結(jié)果、信息偏差性評(píng)估方法與結(jié)果、信息損失性評(píng)估方法與結(jié)果等，支撐審計(jì)單次脫敏的合規(guī)性和有效性；2)收集基于數(shù)據(jù)挖掘的脫敏效果評(píng)估的相關(guān)日志信息，包括但不限于：執(zhí)行該效果評(píng)估處理者身份標(biāo)識(shí)、特定個(gè)人在一定時(shí)間內(nèi)的脫敏信息、信息偏差性評(píng)估方法與結(jié)果、信息損失性評(píng)估方法與結(jié)果等，支撐審計(jì)特定個(gè)人的隱私信息脫敏的合規(guī)性和有效性；3)收集脫敏系統(tǒng)脫敏效果評(píng)估的相關(guān)日志信息，包括但不限于：執(zhí)行該效果評(píng)估處理者身份標(biāo)識(shí)、若干特定個(gè)人或所有個(gè)人在一定時(shí)間內(nèi)的脫敏信息、信息偏差性評(píng)估方法與結(jié)果、信息損失性評(píng)估方法與結(jié)果等，支撐審計(jì)脫敏系統(tǒng)脫敏的合規(guī)性和有效性。g)存證信息采用標(biāo)準(zhǔn)描述格式，存證信息的收集采用RESTAPI、gRPC等分布式系統(tǒng)通信技術(shù)，提供通用的存證接口，支撐跨系統(tǒng)互聯(lián)互通。12.3存證存儲(chǔ)存證存儲(chǔ)是對(duì)收集的存證信息進(jìn)行高效的組織管理，支撐存證信息的高效檢索和充分利用，包括：a)存儲(chǔ)方式，本地自存證，或第三方存證等存證類(lèi)型；b)存證完整性，保證收集的存證信息齊全，確保存證信息被成功存儲(chǔ)，在丟失或損壞存證信息的情況下從原渠道補(bǔ)全對(duì)應(yīng)的存證信息；c)存證機(jī)密性，采用訪問(wèn)控制技術(shù)控制存證信息的訪問(wèn)主體、訪問(wèn)路徑、訪問(wèn)時(shí)間、訪問(wèn)的信息數(shù)量；采用密碼技術(shù)對(duì)存證信息進(jìn)行加密防止鏡像拷貝、拖庫(kù)等非法獲?。籨)存證可信性，保證存證信息不被篡改、不被隨意刪除；e)存證可靠性，采用RAID技術(shù)或雙活等機(jī)制，實(shí)現(xiàn)存證信息的冗余災(zāi)備。23T/CSACXXXX—XXXX12.4證據(jù)生成證據(jù)生成是根據(jù)證據(jù)服務(wù)請(qǐng)求對(duì)收集到隱私計(jì)算框架各組件的存證信息進(jìn)行檢索、數(shù)據(jù)預(yù)處理、證據(jù)要素封裝、證據(jù)鏈構(gòu)建的過(guò)程，支撐對(duì)隱私計(jì)算的操作行為進(jìn)行合規(guī)審計(jì)、監(jiān)管、異常事件分析與溯源等，包括：a)證據(jù)請(qǐng)求響應(yīng)，接收請(qǐng)求方的證據(jù)獲取請(qǐng)求，對(duì)請(qǐng)求方進(jìn)行身份驗(yàn)證，解析證據(jù)獲取事項(xiàng)的要b)證據(jù)完備性，根據(jù)證據(jù)獲取的要求，對(duì)各個(gè)存證存儲(chǔ)系統(tǒng)中的存證信息進(jìn)行多源證據(jù)查找，獲取所有相關(guān)證據(jù)；c)多源證據(jù)生成，對(duì)查找得到的多源存證信息，按照請(qǐng)求事項(xiàng)和時(shí)序進(jìn)行整理并生成證據(jù)，采用數(shù)字簽名技術(shù)實(shí)現(xiàn)生成證據(jù)的不可篡改和不可否認(rèn)性；如果有機(jī)密性要求，采用請(qǐng)求和響應(yīng)雙方預(yù)先約定的協(xié)議實(shí)現(xiàn)密鑰協(xié)商和傳輸加密。24T/CSACXXXX—XXXX隱私信息描述示例A.1概述隱私信息可由隱私信息六元組描述，具體如下：a)隱私信息向量，根據(jù)文件標(biāo)識(shí)符確定信息的類(lèi)型，并根據(jù)語(yǔ)義特征將信息進(jìn)行拆分，得到n個(gè)在語(yǔ)義上不可分割的隱私信息分量，則隱私信息向量可以表示為I=(id,i1,…,ik,…,in),其中k為取值范圍從1到n的正整數(shù)；b)約束條件集合，由隱私信息分量對(duì)應(yīng)的約束條件向量組成的集合θ={θ1,θ2?,θk,…,θn}，用于描述在不同場(chǎng)景下實(shí)體訪問(wèn)隱私信息分量ik所需的訪問(wèn)權(quán)限。根據(jù)隱私信息向量中的隱私信息分量的應(yīng)用場(chǎng)景，可對(duì)隱私信息分量設(shè)置相應(yīng)的約束條件向量θk=(uk,tk,dk,nk)，表示第k個(gè)隱私信息分量的約束條件，其中，uk表示訪問(wèn)者列表，tk表示訪問(wèn)時(shí)間，dk表示訪問(wèn)設(shè)備，nk表示網(wǎng)絡(luò)標(biāo)識(shí)；c)隱私屬性向量，通過(guò)預(yù)先標(biāo)記或隱私保護(hù)程度量化操作函數(shù)，結(jié)合約束條件集合，對(duì)隱私信息向量進(jìn)行隱私度量，度量結(jié)果存入隱私屬性向量A=(a1,a2,?,an,?,am?？杉僭O(shè)初始所有隱私屬性分量為1（假設(shè)隱私屬性分量的范圍為0到1，隱私屬性分量越小，其對(duì)應(yīng)的隱私信息分量的保護(hù)程度越高）；d)廣義定位信息集合，分別獲取隱私信息分量在信息中的廣義定位信息向量y1、y2、……、yn，由此生成廣義定位信息集合Γ={y1,y2,?,yk,?,yn}；e)審計(jì)控制信息集合，分別獲取隱私信息分量的審計(jì)控制信息向量w1,w2,?,wn。在初始化階段，審計(jì)控制信息向量可以為空，記錄當(dāng)前持有者對(duì)隱私信息分量進(jìn)行的所有操作，由此生成審計(jì)控制信息集合Ω={w1,w2,?,wn}；f)傳播控制操作集合，針對(duì)隱私屬性向量和約束條件集合，根據(jù)操作判別函數(shù)或人工標(biāo)記生成隱私信息向量及其組合的傳播控制操作集合Ψ={Ψ1,Ψ2,?,Ψn}。在初始化階段，傳播控制操作向量可以為空，根據(jù)流轉(zhuǎn)過(guò)程中對(duì)隱私信息分量的傳播要求，逐漸添加得到傳播控制操作向量Ψ2,?,Ψn共同組成傳播控制操作集合。A.2隱私信息描述六元組生成過(guò)程本附錄以文本、圖像模態(tài)數(shù)據(jù)為例，介紹隱私信息描述的生成方法和過(guò)程，供設(shè)計(jì)實(shí)現(xiàn)隱私信息描述與處理功能時(shí)參考。針對(duì)待處理的多模態(tài)數(shù)據(jù)，進(jìn)行隱私抽取，確定隱私信息分量模態(tài)，并進(jìn)行定位，生成隱私信息向量和廣義定位信息集合；通過(guò)隱私數(shù)據(jù)分類(lèi)分級(jí)規(guī)則對(duì)識(shí)別和抽取的隱私信息分量進(jìn)行分類(lèi)，根據(jù)分類(lèi)結(jié)果確定隱私信息向量的約束條件集合；根據(jù)約束條件集合以及隱私數(shù)據(jù)分類(lèi)分級(jí)規(guī)則對(duì)隱私信息向量進(jìn)行隱私度量，生成隱私屬性向量和傳播控制操作集合；記錄對(duì)隱私信息向量執(zhí)行的所有操作，生成審計(jì)控制信息集合。隱私信息描述六元組生成過(guò)程如圖A.1所示。25T/CSACXXXX—XXXX圖A.1隱私信息描述六元組生成過(guò)程A.3文本類(lèi)隱私信息描述生成示例A.3.1隱私信息向量隱私信息向量生成過(guò)程如下：a)隱私信息處理者根據(jù)文件標(biāo)識(shí)符等信息確定信息的類(lèi)型，并讀取其內(nèi)容。例如：可以通過(guò)Apachepoi等工具讀取Word文檔信息、Excel表格信息；通過(guò)Spire.PDF等工具讀取PDF文檔信息；b)通過(guò)正則文本匹配、自然語(yǔ)言處理識(shí)別文件中的隱私信息并進(jìn)行切割。以文本信息“張三和李四去中關(guān)村參加活動(dòng)”為例，使用基于BiLSTM+CRF模型的命名實(shí)體識(shí)別算法對(duì)姓名、組織名、地名等實(shí)體進(jìn)行識(shí)別；c)生成隱私信息向量I=(id,張三,和,李四,去,中關(guān)村,參加,活動(dòng))。A.3.2約束條件集合約束條件集合生成過(guò)程如下：a)隱私信息處理者獲取文本類(lèi)數(shù)據(jù)對(duì)應(yīng)的分類(lèi)分級(jí)規(guī)則；b)根據(jù)當(dāng)前隱私信息處理者的意愿，生成隱私信息向量對(duì)應(yīng)的約束條件集合。例如：若當(dāng)前隱私信息處理者僅向197.224.*.*網(wǎng)段的用戶賦予文檔讀寫(xiě)權(quán)限，則非該網(wǎng)段下的用戶無(wú)法讀取該文件；c)生成約束條件集合θ1=(讀寫(xiě),197.224.?.?)。A.3.3隱私屬性向量隱私屬性向量生成過(guò)程如下：a)隱私信息處理者根據(jù)文本類(lèi)數(shù)據(jù)對(duì)應(yīng)的分類(lèi)分級(jí)規(guī)則和隱私信息分量的約束條件集合，確定待處理文本信息對(duì)應(yīng)的分類(lèi)分級(jí)規(guī)則；26T/CSACXXXX—XXXXb)根據(jù)約束條件集合、分類(lèi)分級(jí)規(guī)則以及文檔創(chuàng)建者的意愿，通過(guò)預(yù)先標(biāo)記或隱私保護(hù)程度量化操作函數(shù)，依次計(jì)算隱私信息向量和隱私信息分量組合對(duì)應(yīng)的隱私屬性向量，生成各個(gè)隱私信息分量的隱私屬性向量；c)如度量結(jié)果為0.4，包含X1至Xn的隱私屬性向量可表示為a1=(X1,…,Xn,0.4)。A.3.4廣義定位信息集合廣義定位信息集合生成過(guò)程如下：a)隱私信息處理者采用合適的位置標(biāo)識(shí)信息，對(duì)隱私信息在文檔中的位置進(jìn)行編碼。例如：1)Word文檔可利用頁(yè)碼、段落、行數(shù)、起始位和終止位等表示定位信息；2)Excel表格可利用表單號(hào)、行號(hào)、列號(hào)等表示定位信息。b)生成隱私信息分量對(duì)應(yīng)的廣義定位信息向量。例如：對(duì)于Word、Excel文檔，可使用Apachepoi工具對(duì)隱私信息向量進(jìn)行索引，統(tǒng)一設(shè)置字符在文檔中的范圍標(biāo)簽和批注引用，生成廣義定位信息集合；c)生成廣義定位信息集合Γ,例如：1)y1=(X1,P11,S3,R2,0,4)表示記為X1隱私信息分量“張三”，位于文本信息的第11頁(yè)、第3段中的第2行，起始位為0，終止位為4；2)y2=(X2,T1,R5,C4)表示記為X2隱私信息分量，位于表格的表單1、第5行中的第4列的單元格中。A.3.5審計(jì)控制信息集合審計(jì)控制信息集合生成過(guò)程如下：a)隱私信息處理者記錄其對(duì)文檔的隱私信息分量進(jìn)行的所有操作，并生成審計(jì)控制信息集合；b)將生成的審計(jì)控制信息集合存儲(chǔ)于對(duì)應(yīng)的隱私信息描述六元組。A.3.6傳播控制操作集合傳播控制操作集合生成過(guò)程如下：a)隱私信息處理者獲取文本類(lèi)數(shù)據(jù)對(duì)應(yīng)的分類(lèi)分級(jí)規(guī)則和隱私信息分量的約束條件集合、隱私屬性向量；b)根據(jù)當(dāng)前隱私信息處理者流轉(zhuǎn)共享意愿，生成隱私信息向量對(duì)應(yīng)的傳播控制操作集合。例如：當(dāng)前的傳播控制操作集合Ψ={Ψ1,Ψ2,Ψ3}，假設(shè)當(dāng)前隱私信息處理者只希望隱私信息分量“中關(guān)村”被復(fù)制轉(zhuǎn)發(fā)，則可新增一個(gè)傳播控制操作向量Ψ4=(轉(zhuǎn)發(fā),復(fù)制)，生成新的傳播控制操作集合Ψ={Ψ1,Ψ2,Ψ3,Ψ4}。隱私信息六元組的生成結(jié)果如圖A.2所示。識(shí)別文檔中的隱私信息實(shí)體，例如：“北京市消防局”記為X1，X1的位置在文檔中的第2頁(yè)、第2段、第2行上，起始位置是35，終止位置是41。提取外部文本數(shù)據(jù)分類(lèi)分級(jí)規(guī)則，結(jié)合使用意愿，得到其對(duì)應(yīng)的隱私屬性向量為a1=(X1,0.4)，表示隱私信息分量X1的隱私屬性度量結(jié)果為0.4。約束條件集合θ1約束該文檔只能在197.224.*.*網(wǎng)段中被查看，并且Ψ1控制后續(xù)流轉(zhuǎn)過(guò)程中該隱私信息分量只能被轉(zhuǎn)發(fā)、復(fù)制。傳播控制操作集合W1=(UID1,復(fù)制,轉(zhuǎn)發(fā);UID2,轉(zhuǎn)發(fā),修改)表示隱私信息分量“北京市消防局”先后被唯一標(biāo)識(shí)為UID1和UID2的用戶訪問(wèn)和操作過(guò)，其中“UID1，復(fù)制，轉(zhuǎn)發(fā)”表示隱私信息分量“北京市消防局”被用戶UID1執(zhí)行了復(fù)制、轉(zhuǎn)發(fā)的操作；當(dāng)該隱私信息分量傳播至用戶UID2，則被執(zhí)行了轉(zhuǎn)發(fā)和修改的操作。27T/CSACXXXX—XXXX圖A.2Word文檔隱私信息描述生成結(jié)果A.4圖片類(lèi)隱私信息描述生成示例A.4.1隱私信息向量圖片中的隱私信息向量生成過(guò)程如下：a)在圖片分享過(guò)程中，圖片持有者使用ExifTool、exifread等開(kāi)源工具/函數(shù)庫(kù)讀取圖片EXIF數(shù)據(jù)中的拍攝時(shí)間、拍攝經(jīng)緯度、焦距等敏感信息；b)通過(guò)圖像處理算法識(shí)別圖片像素區(qū)域中的敏感內(nèi)容。例如：一張圖片同時(shí)出現(xiàn)張三和李四在醫(yī)院門(mén)口下私家車(chē)，圖片拍攝者為張五。其中，張三人臉、李四人臉、私家車(chē)車(chē)牌、醫(yī)院標(biāo)識(shí)即為敏感內(nèi)容；c)將識(shí)別的敏感內(nèi)容作為隱私信息分量（張三人臉、李四人臉、私家車(chē)車(chē)牌、醫(yī)院標(biāo)識(shí)）存儲(chǔ)在Exif信息的IFD（ImageFileDirectory）結(jié)構(gòu)的自定義區(qū)域，命名為隱私信息分量PrivacyInfoEntry中。A.4.2約束條件集合圖片中的約束條件集合生成過(guò)程如下：a)可通過(guò)一些外在信息判定敏感信息的約束條件，例如，圖片像素的張三人臉區(qū)域、李四人臉區(qū)域、私家車(chē)車(chē)牌號(hào)區(qū)域、醫(yī)院標(biāo)識(shí)區(qū)域，訪問(wèn)者-訪問(wèn)客體信息V={<張五,私家車(chē)車(chē)牌號(hào)區(qū)域>,…,<趙六,醫(yī)院標(biāo)識(shí)區(qū)域>}約束條件；b)可通過(guò)ExifTool、exifread等開(kāi)源工具/函數(shù)庫(kù)，將約束條件寫(xiě)入Exif信息的IFD結(jié)構(gòu)自定義區(qū)域中的約束條件ConstraintEntry中。A.4.3隱私屬性向量圖片中的隱私屬性向量生成過(guò)程如下：a)通過(guò)圖片內(nèi)容隱私檢測(cè)算法、合影人員親密度檢測(cè)算法等工具識(shí)別私家車(chē)車(chē)牌號(hào)區(qū)域、張