1T/CSACXXXX—XXXX隱私計算總體框架本文件描述了隱私保護的目標、隱私信息全生命周期過程的計算操作，給出了隱私計算總體框架和參與者，描述了隱私信息抽取與度量、隱私度量動態調整、隱私延伸控制、隱私按需保護、保護效果評估、存證與取證等框架核心組件的功能。本文件適用于數據泛在流通與共享過程中隱私信息全生命周期保護、跨平臺/跨系統/跨域流通利用的隱私延伸控制、隱私按需保護、保護效果評估等，適用于互聯網、通信等領域的企業為主體的個人信息處理者、個人信息保護產品提供商、產品評測機構、個人信息保護合規審計評估機構、認證監管機構等，為隱私信息保護、隱私計算服務安全評估提供參考。2規范性引用文件下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069-2022信息安全技術術語GB/T31500-2015信息安全技術存儲介質數據恢復服務要求GB/T35273-2020信息安全技術個人信息安全規范GB/T37988-2019信息安全技術數據安全能力成熟度模型GB/T37964-2019信息安全技術個人信息去標識化指南3術語和定義GB/T25069-2022界定的以及下列術語和定義適用于本文件。3.1個人信息personalinformation以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包含個人信息本身及其衍生信息,不包括匿名化處理后的信息。[來源：GB/T35273—2020,3.1,有修改]3.2標識符identity可以明顯識別記錄主體身份的屬性集合，包括姓名、電話號碼、身份證號碼等信息。3.3組合起來可以識別記錄主體身份的屬性集合，包括年齡、性別、郵編等信息。3.4隱私信息privateinformation2T/CSACXXXX—XXXX能通過信息系統進行處理的敏感個人信息，是個人信息記錄中的標識符、準標識符和敏感屬性的集合。注：隱私信息包括個人生物特征信息、銀行賬號、通健康生理信息、交易信息、14歲以下（含）3.5隱私計算privacycomputing面向隱私信息全生命周期保護的計算理論、方法和技術，涵蓋了收集、脫敏、存儲、使用、交換、刪除、存證與取證等全生命周期過程的所有計算操作，包含處理視頻、音頻、圖像、圖形、文字、數值、泛在網絡行為信息流等信息時，對所涉及的隱私信息進行描述、度量、控制、脫敏、使用、評價、刪除等處理。3.6敏感屬性privateattribute信息載體中含有敏感個人信息的屬性，泄露、修改或破壞該屬性值會對個人權益產生影響。注：在潛在的重標識攻擊期間需要防止其值與任何一個隱私信息主體相關聯。[來源：GB/T37964-2019,3.10]3.7隱私信息向量privateinformationvector隱私信息提取的輸出結果，由一個向量標識和若干隱私信息分量組成，隱私信息分量是指具有一定語義的、彼此之間互不相交的原子隱私信息。3.8約束條件集合constraintconditionset由隱私信息分量對應的約束條件向量組成的集合，用于描述在不同場景下實體訪問隱私信息分量所需的訪問權限，或者使用隱私信息分量時的操作限制要求。3.9隱私屬性向量privateattributevector由隱私屬性分量組成，用于量化隱私信息分量及分量組合的敏感度或者期望保護程度。注：在實際應用時針對不同場景，不同隱私信息分量可進行加權動態3.10廣義定位信息集合generalizedlocatinginformationset由廣義定位信息向量組成的集合，廣義定位信息向量是由隱私信息分量在信息中的位置信息和屬性信息組成。3.11審計控制信息集合auditcontrolinformationset由傳播過程中具體的審計控制向量組成的集合，用于記錄隱私信息分量在流轉過程中的主客體信息和被執行的操作。3.12傳播控制操作集合circulationcontroloperationset3T/CSACXXXX—XXXX由傳播控制操作向量組成的集合，用于描述隱私信息分量及其組合的流轉限制要求、可被執行的操作限制要求。3.13隱私信息所有者privateinformationowner隱私信息所標識或者關聯的自然人、組織、設備或程序等實體。3.14隱私信息提供者privateinformationprovider向其他自然人、組織、設備或程序提供隱私信息的實體。3.15隱私信息發布者privateinformationpublisher基于向特定或所有公眾自由訪問的目的，向其他自然人、組織、設備或程序提供隱私信息的實體。3.16隱私信息接收者privateinformationrecipient接收其他自然人、組織、設備或程序提供的隱私信息的實體。3.17隱私信息轉發者privateinformationforwarder接收其他自然人、組織、設備或程序提供的隱私信息的實體，該實體對接收到的隱私信息經過使用、或迭代脫敏、或保持原樣轉發給其他隱私信息接收者。3.18隱私信息使用者privateinformationuser對接收到的隱私信息進行統計、加工、模型訓練等操作的實體。3.19隱私信息收集者privateinformationcollector從隱私信息所有者、隱私信息提供者或其他公開渠道獲取隱私信息的實體。3.20隱私信息刪除者privateinformationremover對持有的隱私信息執行刪除操作的實體。3.21隱私信息處理者privateinformationprocessor對隱私信息進行收集、存儲、使用、加工、傳輸、提供、公開、刪除、脫敏、存證與取證等操作的實體。3.22延伸控制extendedcontrol在數據流通與共享過程中，收集、存儲、使用、加工、傳輸、提供、公開、刪除、脫敏、存證與取證等環節的隱私操作迭代控制、控制策略動態調整、控制策略可控傳遞，以及控制策略執行可信驗證。3.23脫敏要求desensitizationrequirements待脫敏的隱私信息的脫敏等級、脫敏時機、脫敏算法及其參數選擇等約束信息。3.24脫敏算法desensitizationalgorithm通過對隱私信息的技術處理,使其在不借助額外信息的情況下,無法識別或者關聯隱私信息主體。注：脫敏算法包括k-匿名、差分隱私等算法。4T/CSACXXXX—XXXX[來源：GB/T35273—2020,3.15]3.25脫敏效果期望expectationondesensitizationperformance隱私信息執行脫敏操作之后所達到的預期效果。3.26按需脫敏on-demanddesensitization隱私信息處理者按照隱私信息的延伸控制要求進行脫敏的過程。3.27可逆性reversibility被脫敏掉的隱私信息被復原的可能性。3.28泛化generalization將一類屬性中的特定值用一個更寬泛的值代替，以更概括、抽象的方式描述數據。注：泛化技術包括替換、取整、K-匿名、模糊化、概化等手段。[來源：GB/T37964—2019,A.5.1,有修改]3.29抑制suppression將某個屬性、屬性的值或者屬性值的一部分進行刪除或者以特定的符號代替。3.30解耦和置換anatomizationandpermutation去除準標識符和敏感屬性間的關聯性，而不改變準標識符或敏感屬性的值。3.31擾動perturbation用合成的數據值取代原始的數據值，改變后的數據與真實數據主體失去關聯性。3.32差分隱私differentialprivacy通過擾動的方式對個人隱私信息進行脫敏，且擾動添加的噪聲類型和參數滿足差分的數學定義。3.33信息偏差性informationdeviation脫敏算法執行前后，可觀測到的脫敏信息與原始信息的偏差。3.34信息損失性informationloss信息被不可逆的脫敏算法作用后，隱私信息損失部分對可用性的影響程度。3.35信息可用性informationusability在隱私信息進行脫敏操作后，其在具體應用場景中的可用程度。3.36復雜性complexity執行脫敏算法所需要的資源開銷。注：復雜性通常用時間開銷和空間開銷表示。5T/CSACXXXX—XXXX3.37脫敏效果評估desensitizationperformanceevaluation隱私信息脫敏后，在可逆性、信息偏差性、信息損失性等方面進行量化評估。3.38刪除delete采用訪問控制、消磁、物理破壞等技術或措施，使得信息不能被訪問或被檢索，或者從物理上去除了信息并保障其難以恢復的操作。注：刪除包括不能被訪問或被檢索、全部物理刪除或部分物理刪除。[來源：GB/T35273—2020,3.10,有修改]3.39刪除對象deletedobject刪除操作的客體。注：刪除對象包括個人信息的正本信息、副本信息、正本信息的一部3.40刪除等級deletelevel刪除對象可恢復程度和難度的量化分級。3.41數據恢復datarecovery通過專門的計算機軟件、硬件等技術，從刪除對象曾經留存過的存儲系統或介質中，重建被刪除對象的過程。4縮略語下列縮略語適用于本文件。JSON：JavaScript對象標記(JavaScriptObjectNotation)RAID：獨立磁盤冗余陣列(RedundantArrayofIndependentDisks)XML：可擴展標記語言(ExtensibleMarkupLanguage)5概述5.1隱私計算概述5.1.1隱私保護的目標針對隱私信息在多個信息系統中跨系統泛在傳播，隱私保護需要達到如下主要目標:a)支持一致性保護，隱私信息在多個信息系統保存時，如果由于某個信息系統保護能力偏弱而導致隱私泄露，其他信息系統隱私保護能力再強也失去意義，即存在短板效應和一損俱損的風險，需要解決多信息系統對隱私信息的一致性保護問題；b)支持多次傳播的延伸控制，由于缺乏隱私信息傳播的延伸控制，隱私信息接收者對隱私信息不受控的后續傳播將導致隱私泄露，需要通過延伸控制機制解決多次傳播場景下的受控利用；6T/CSACXXXX—XXXXc)支持隱私按需保護，數據流通利用時需要對同一隱私信息在同一應用場景的不同階段、或者同一隱私信息在不同應用場景下實現脫敏粒度差異的按需脫敏或按需刪除，解決隱私信息利用與隱私保護的平衡問題；d)提供基于保護效果評估反饋的保護自適應改進機制，隱私脫敏和隱私挖掘博弈相長，信息系統通過保護效果評估可以動態調整脫敏算法及其參數選擇、刪除方法選擇，在滿足隱私信息利用的前提下提高隱私保護強度，減少因隱私延伸控制策略長期不變而導致的隱私泄露。5.1.2隱私計算的參與者隱私計算的參與者包括:隱私信息所有者、隱私信息提供者、隱私信息發布者、隱私信息接收者、隱私信息轉發者、隱私信息使用者、隱私信息收集者、隱私信息刪除者、隱私信息處理者。隱私信息的參與者在隱私計算的過程中對隱私信息進行相應的隱私信息處理。5.1.3隱私計算與特性數據安全是指在數據泛在流通與共享過程的各個環節中防止用戶對數據進行非授權獲取或篡改，數據接收方獲得的內容與數據提供方提供的內容完全相同，具體的技術包括機密計算、密文計算、安全多方計算等。隱私保護是指隱私信息在泛在流通與共享過程中進行脫敏，使信息產生偏差或去標識化，接收方獲得的隱私信息少于提供方的原始隱私信息，具體的技術包括隱私計算和傳統的隱私保護技術（如差分隱私、k-匿名等）。隱私計算是面向隱私信息全生命周期保護的計算理論、方法和技術，涵蓋了收集、脫敏、存儲、使用、交換、刪除、存證與取證等全生命周期過程的所有計算操作，包含處理視頻、音頻、圖像、圖形、文字、數值、泛在網絡行為信息流等信息時，對所涉及的隱私信息進行描述、度量、控制、脫敏、使用、評價、刪除等處理。隱私計算是對隱私信息跨系統的全生命周期保護、全生命周期的延伸控制和按需保護，如差分隱私、k-匿名等傳統的隱私保護技術屬于隱私計算范疇，在隱私計算全生命周期的使用環節可以采用數據安全技術防止隱私信息的非法獲取或篡改，如實現隱私集合求交、隱匿信息查詢、聯合統計分析、聯合建模等部分功能。隱私計算的主要特性包括：a)延伸控制性，是指數據泛在流通與共享過程中全生命周期各環節隱私操作的迭代控制、控制策略的動態調整、控制策略的可控傳遞、控制策略執行的可信審計?？刂撇呗杂呻[私信息所有者的控制意圖、當前隱私信息使用者的控制約束和隱私信息接收者的防護能力生成，同一隱私信息的控制策略在全生命周期中是差異化的，且隨流轉過程同步傳遞不可分割。迭代控制通過泛在流轉過程中的差異化控制策略生成與傳遞機制實現，貫穿于隱私信息從收集到刪除的不同流通與共享過程中；b)原子性，在對隱私信息的描述過程中，隱私信息分量是隱私信息的最小度量單位，具有原子性；在此基礎上，多個隱私信息分量可以組合構成新的隱私屬性，對這些組合屬性的敏感性也可進行度量；c)一致性，對相同的隱私信息，不同算法的隱私保護效果都使隱私信息分量的敏感度趨近于零，即不同算法在不同系統中隱私保護的趨勢保持一致性。例如算法A和B在系統1中的保護能力評估是A>B，在映射到系統2中的評估體系時應仍然保持A>B；d)順序性，隱私保護算法中所有操作必須按照設計的順序執行，部分操作的順序不同可能導致隱私保護的效果不同；7T/CSACXXXX—XXXXe)不可逆性，隱私計算中使用的脫敏算法對隱私信息的處理應是不可逆的，接收方獲得的隱私信息少于提供方的原始隱私信息，且無法通過技術手段從脫敏信息中復原原始隱私信息中缺失的部分。5.2隱私信息全生命期過程的計算操作隱私信息全生命周期過程的計算操作如圖1所示，包括收集、脫敏、存儲、使用、交換、刪除、存證與取證等，這些操作在多個信息系統之間不同的業務流程組合可以涵蓋大多數隱私信息全生命周期的操作過程。典型的流程示例如下：a)脫敏后發布，隱私信息收集后進行存儲，隨后對隱私信息進行脫敏，通過交換操作進行發布（流程為③-④-⑩);b)出行場景，對出行服務過程中收集的隱私信息先存儲和使用，服務結束后，應對隱私信息進行脫敏后存儲，再進行后續使用（流程為③-⑥-⑦-④-⑤),具體示例見附錄C；c)數據流通交易，收集的隱私信息先通過去標識化等脫敏操作，然后通過交換操作進行交易，此后根據購買方的出價再進行脫敏，進行二次或者部分交易（流程為①或④-⑤-?-?-?-?);d)差分統計，對收集的敏感屬性值等隱私信息先利用泛化、本地化差分隱私等機制脫敏后再進行存儲（流程為①-②-③);e)信用計算，隱私信息所有者存儲的隱私信息先交換到隱私信息接收者，隱私信息接收者對其進行脫敏后進行使用，并發布計算結果（流程為?-?-?-?-?),具體示例見附錄D。圖1隱私信息全生命周期過程的計算操作5.2.1收集收集操作從隱私信息所有者或者隱私信息提供者采集包含隱私信息的原始信息，收集涉及的功能包括：a)針對標識符、準標識符、其他敏感屬性值采用關鍵詞匹配、自然語言理解、圖像理解等技術措施在多模態數據中感知識別隱私信息，提取不同信息模態敏感屬性；b)識別出的隱私信息采用多元組形式表示,可包含：隱私信息向量、約束條件集合、隱私屬性向量、廣義定位信息集合、審計控制信息集合、傳播控制操作集合等；c)部分場景的收集操作會直接對隱私信息采用泛化、差分隱私等處理后作為收集操作的輸出。5.2.2存儲存儲操作對收集到的隱私信息進行安全高效存儲，或對收集的隱私信息進行脫敏后存儲，存儲涉及的功能包括：8T/CSACXXXX—XXXXa)機密性，采用加密技術和訪問控制技術，防止存儲的隱私信息不被非法獲取；b)可靠性，采用數據冗余存儲技術保證存儲隱私信息的可用性；c)完整性，采用密碼校驗或數據簽名技術保證存儲隱私信息不可篡改。5.2.3使用使用操作包括《個人信息保護法》規定的個人信息處理中的使用和加工，采用的技術包括但不限于數據挖掘與分析、安全計算、模型訓練等，使用涉及的功能包括：a)可以對未脫敏的隱私信息進行使用操作，也可以對存儲的隱私信息經過脫敏后再進行使用操作；b)在使用環節中也可以使用機密計算、安全多方計算、同態加密等數據安全技術保護隱私信息不被泄露。5.2.4交換交換操作包括《個人信息保護法》規定的個人信息處理中的傳輸、提供和公開，是隱私信息在不同隱私信息處理者之間受控流通與共享的過程。交換操作可以具有以下安全機制：a)認證性，隱私信息交換時進行單向或雙向身份認證；b)機密性，采用加密技術保障交換的信息不被非法獲取；c)完整性，采用密碼校驗技術保障交換的信息不被篡改；d)來源真實性，采用數據簽名等技術保障信息來源的不可否認性；e)延伸控制性，將延伸控制策略與隱私信息綁定傳輸，控制隱私信息接收者對隱私信息的后續處5.2.5刪除刪除操作是隱私信息使用者當隱私信息在業務不需要繼續使用時，遵循及時、透明的原則，安全可信且完備地刪除存儲的隱私信息。刪除涉及的功能包括：a)按需刪除，根據隱私信息所有者或前序的隱私信息提供者的刪除要求，執行刪除操作，履行刪除義務；b)自動刪除，根據隱私信息所有者或前序的隱私信息提供者對隱私信息保留時限的要求，實現到期后，隱私信息使用者自動執行刪除操作，履行刪除義務；c)刪除操作，根據延伸控制策略的約束，選擇刪除方法，保證刪除后信息不能通過技術手段恢復數據，或使刪除后的信息不能被訪問和不能被檢索。5.2.6脫敏脫敏操作依據脫敏延伸控制策略對隱私信息選擇適當的脫敏算法及其參數進行按需脫敏，脫敏涉及的功能包括：a)脫敏操作包括脫敏算法能力評估、脫敏算法選擇、脫敏效果評估；b)對脫敏后的信息如果沒有達到預期脫敏效果，則調整算法及其參數進行迭代脫敏，直至達到預期脫敏效果。5.2.7存證與取證存證與取證操作對隱私信息全生命周期各種操作進行定制化的操作記錄生成和存儲，并響應用戶的證據查詢請求，返回生成的證據，支撐隱私保護合規審計、隱私侵權行為溯源與追責，存證與取證涉及的功能包括：9T/CSACXXXX—XXXXa)客觀完整地記錄隱私信息全生命周期的各種操作行為；b)采用密碼技術保障操作日志記錄的安全性；c)采用訪問控制技術保障操作日志記錄受控使用和響應證據服務請求。5.3隱私計算技術5.3.1功能層次框架在隱私信息全生命周期過程的計算操作中，隱私計算包含隱私信息抽取與度量、隱私度量動態調整、隱私延伸控制、隱私按需保護、保護效果評估等技術。隱私計算技術用于支撐和實現隱私計算服務的功能，隱私計算的功能組件通過層次框架進行組織，隱私計算功能層次框架如圖2所示，包括：a)用戶層，用于隱私計算的各參與者執行與用戶相關的管理功能,訪問、使用和維護隱私計算系b)服務接口層，通過調用隱私計算核心功能層的功能組件,為隱私信息應用系統提供隱私計算服務支撐；c)核心功能層，基于基礎設施層實現隱私計算相應功能，為服務接口層提供相關功能支持服務，主要包括隱私動態度量、迭代延伸控制、隱私按需保護、保護效果評估、保護量化映射、操作全程存證等；d)基礎設施層，提供隱私計算系統正常運行所需要的硬件設備之上的運行環境和基礎組件，包括網絡、計算和存儲等；e)跨層功能，提供跨越多個層次的功能組件,包括監管、操作全程存證、審計等。圖2隱私計算功能層次框架5.3.2技術功能隱私計算技術為隱私計算功能提供支撐，具體如下：a)隱私動態度量，根據應用場景的不同，對隱私信息分量的敏感度進行動態度量；b)迭代延伸控制，根據前序隱私信息處理者的控制策略、后續隱私信息處理者的保護能力等因素動態調整控制策略，并隨隱私信息一起向后傳遞，還驗證前序隱私信息處理者的策略執行情況；c)隱私按需保護，根據延伸控制策略，對隱私信息進行按需脫敏、按需刪除、數據聯合利用等處d)脫敏效果評估，對脫敏算法所達到的效果按照效果評估指標體系進行評估；e)保護量化映射，隱私信息跨系統交換或數據聯合利用時，對隱私信息提供者和隱私信息接收者的算法保護能力和保護效果進行關聯的保護量化映射，以支持跨系統交換的隱私信息一致性保護；T/CSACXXXX—XXXXf)操作全程存證，對隱私信息全生命周期過程的計算操作進行日志保存。6隱私計算框架6.1隱私計算框架組件隱私計算框架如圖3所示，包括隱私信息抽取與度量、隱私度量動態調整、隱私延伸控制、隱私按需保護、保護效果評估、存證與取證等功能組件，具體如下：圖3隱私計算框架a)隱私信息抽取與度量，通過對采集或接收的信息進行分析，提取不同模態信息中的隱私信息分量，并對隱私信息分量進行分類以及量化隱私信息分量的敏感度或保護程度；當評估未達到預期效果時，還需要重新調整原始度量值。包括隱私信息抽取、隱私信息分類、隱私信息度量；b)隱私度量動態調整，通過識別判斷隱私信息所屬的應用場景，對隱私信息分量的敏感度或保護程度進行針對性的度量調整；當評估未達到預期效果時，還需要重新更換場景描述。包括場景識別、度量調整；c)隱私延伸控制,在數據泛在流通與共享過程中，對全生命周期各環節的隱私操作進行迭代控制；當評估未達到預期效果時，還需要重新調整控制策略。包括延伸控制策略生成、控制策略可控傳遞、控制策略迭代調整、策略執行可信驗證；d)隱私按需保護，約束隱私信息處理者根據延伸控制策略，對接收到的隱私信息進行按需脫敏、按需刪除等處理，提供場景自適應的隱私保護能力；當評估未達到預期效果時，還需要重新定義隱私保護操作；e)保護效果評估，根據制定的脫敏效果評估指標體系，對待評估的已脫敏隱私信息的脫敏效果進行量化分析，如未能達到預期效果，則分別視情況從隱私信息抽取與度量、隱私度量動態調整、隱私延伸控制、隱私按需保護等環節進行反饋迭代，直至達到期望的保護效果。包括脫敏效果評估指標體系、單次脫敏效果評估、基于數據挖掘的脫敏效果評估、脫敏系統效果評估、刪除效果評估；f)存證與取證，對隱私信息抽取與度量、隱私度量動態調整、隱私延伸控制、隱私按需保護、保護效果評估等功能組件的操作行為進行日志記錄，并根據證據獲取請求生成證據。包括存證收集、存證存儲、證據生成。6.2隱私計算系統的組件風險T/CSACXXXX—XXXX基于隱私計算框架所研制的隱私計算系統的各組件面臨著與其他信息系統相似的安全風險,在隱私信息抽取與度量、隱私度量動態調整、隱私延伸控制、隱私按需保護、保護效果評估、存證與取證等方面面臨的風險包括但不限于：a)隱私信息抽取與度量的風險主要指隱私信息抽取不準或不全、隱私信息分量分類不正確、隱私信息分量敏感度的度量不準確等，會導致隱私延伸控制策略生成、脫敏算法及其參數選擇、刪除方法選擇的不恰當，從而引起隱私信息泄露；b)隱私度量動態調整的風險主要指場景識別不準確、隱私信息分量敏感度調整不當等，會導致隱私延伸控制策略生成、脫敏算法及其參數選擇、刪除方法選擇的不恰當，從而引起隱私信息泄露；c)隱私延伸控制的風險主要指延伸控制策略生成不準或不全、控制策略傳遞過程中被篡改或與隱私信息剝離、控制策略迭代調整時出現偏差、控制策略未被正確執行等，會導致數據泛在流通與共享過程中脫敏、刪除和使用等操作失控，從而引起隱私信息泄露；d)隱私按需保護的風險主要指未能正確選擇脫敏算法及其參數、未能正確選擇刪除方法等，脫敏時隱私信息被過度脫敏影響服務效果，或脫敏不足導致隱私信息泄露，或未能正確刪除導致違規甚至隱私信息泄露，多方聯合數據利用時未能正確選擇所采用的數據使用安全技術、未能正確選擇算法協議及配置其安全參數等問題；e)保護效果評估的風險主要指保護效果評估指標體系不完備、評估方法不準確等，使得保護效果評估出現偏差，從而會引起隱私信息泄露；f)存證與取證的風險主要指存證信息收集不全、存證存儲過程中被非法訪問或非法篡改、備份措施不足導致的存證信息丟失、證據生成時信息不全、證據生成錯誤等，會導致不能對隱私侵權行為進行正確追溯；g)跨系統一致性的風險主要指隱私信息在多個隱私計算系統保存時，如果由于某個系統保護能力偏弱，其他系統隱私保護能力再強也失去意義，即存在短板效應和一損俱損的風險，會導致隱私泄露。6.3隱私計算的互聯互通隱私計算是對隱私信息全生命周期過程的計算操作進行控制。相應地，隱私計算互聯互通是體現在隱私信息抽取與度量、隱私度量動態調整、隱私延伸控制、隱私按需保護、保護效果評估、存證與取證等組件的隱私信息描述、隱私信息分類、隱私信息度量、場景識別、度量調整、延伸控制策略生成、控制策略迭代調整、控制策略可控傳遞、策略執行可信驗證、脫敏算法能力評估、按需脫敏、按需刪除、脫敏效果評估指標體系、保護效果評估結論等方面的具體方法、算法或量化指標等定義和格式規范上。本文件僅規范這些方面的原則要求。7隱私信息抽取與度量7.1概述隱私信息抽取與度量通過對采集或接收的信息進行隱私信息分量識別和抽取，然后對隱私信息分量進行分類和度量。若保護效果評估未達到預期效果，則可能重新執行隱私信息抽取與度量。隱私信息抽取與度量具體包括：a)隱私信息抽取，負責對采集或接收到的信息中的隱私信息分量進行識別，根據隱私信息分量的模態進行信息處理，生成初始的隱私信息描述；T/CSACXXXX—XXXXb)隱私信息分類，負責對識別和抽取的隱私信息分量進行分類；c)隱私信息度量，負責對抽取的隱私信息分量進行敏感度或保護程度量化。7.2隱私信息抽取隱私信息抽取，對采集或接收到的信息中的隱私信息分量進行定位，確定隱私信息分量模態，然后對多模態隱私信息分量進行處理，生成隱私信息描述，具體如下：a)對文本、音頻、視頻、圖像等模態數據，使用合適的技術和方法從信息中識別隱私信息，如關鍵詞匹配、自然語言處理、圖像語義理解、模式匹配等；b)針對識別的隱私信息生成初始的隱私信息描述，其內容包括隱私信息向量、約束條件集合、隱私屬性向量、廣義定位信息集合、審計控制信息集合、傳播控制操作集合等。具體隱私信息識別示例見附錄A。7.3隱私信息分類隱私信息分類，通過對識別和抽取的隱私信息分量進行分類，具體如下：a)針對法律法規和應用場景，建立分類分級模板庫，以滿足不同應用場景的隱私信息分類需求；b)可采用知識圖譜等技術，結合分類分級模板庫，對隱私信息分量進行分類，再結合應用場景對隱私信息分量進行分級；c)隱私信息分類分級的結果記錄在隱私信息描述的隱私屬性向量中。7.4隱私信息度量隱私信息度量，負責對抽取的隱私信息分量的敏感度或保護程度進行量化，具體如下：a)可根據隱私信息分類分級，構建粗粒度隱私信息量化模型；b)可選擇基于信息論、差分隱私、人工智能等多種不同技術，構建細粒度隱私信息量化模型；c)選用適合的隱私信息量化模型，對隱私信息向量中不同信息模態的隱私信息分量進行量化；d)可對隱私屬性向量中的各屬性分量進行聯合度量，對不同隱私屬性向量進行自定義權重的加權平均，獲取隱私信息的整體度量；e)隱私信息度量結果記錄在隱私信息描述中的隱私屬性向量中；f)可選地，完成隱私信息度量之后，對隱私度量過程開展合規性驗證，確保其實施過程符合隱私保護要求。8隱私度量動態調整8.1概述隱私度量動態調整，在隱私信息抽取與度量的基礎上，識別隱私信息所屬的應用場景，并針對性地動態調整隱私信息分量的敏感度或保護程度。若保護效果評估未達到預期效果，則可能重新執行隱私信息動態調整。隱私度量動態調整具體包括：a)場景識別，根據提取的隱私信息分量，識別其所屬應用場景；b)度量調整，結合識別的應用場景，動態調整隱私信息分量的量化結果。8.2場景識別為支持隱私信息分量量化結果的動態調整，場景識別包括但不限于：T/CSACXXXX—XXXXa)采用人工標注或機器學習等技術，對采集的信息進行應用場景分類分級和標注，如：社交網絡服務、出行服務、醫療服務等；b)采用元數據（例如：信息來源、時間戳、地理位置等）輔助識別隱私信息所屬的應用場景；c)針對文本類信息，可采用自然語言處理技術，進行分詞和詞性標注、實體識別等操作，使用主題模型識別主要主題，輔助推斷應用場景；d)針對視頻類信息，可通過內容分析技術，如：物體檢測識別、動作識別等，輔助推斷應用場景；e)針對音頻類信息，可通過語音識別、情感分析、背景音分類等技術，輔助推斷應用場景；f)針對圖像類信息，可通過圖像語義理解等技術，輔助推斷應用場景。8.3度量調整在識別應用場景的基礎上，針對不同場景動態調整隱私信息分量的敏感度或保護程度的量化結果，度量調整包含但不限于：a)根據不同應用場景及該場景下隱私信息接收者的隱私保護能力，動態調整隱私屬性分量的量化值；b)根據保護效果評估結論，動態調整隱私屬性分量的量化值，并指導隱私信息中隱私屬性向量的動態調整；c)可綜合運用信息論、差分隱私，并交叉融合心理學等主觀評價理論，對保護效果評估指標體系進行動態調整。9隱私延伸控制9.1概述隱私延伸控制對數據泛在流通與共享過程中脫敏、存儲、使用、交換、發布、刪除等進行操作約束。隱私延伸控制的核心功能迭代延伸控制詳見附錄B。若保護效果評估未達到預期效果，則可能重新執行隱私延伸控制。隱私延伸控制具體包括：a)延伸控制策略生成，用于根據前序隱私信息提供者和當前隱私信息處理者的意圖，準確無誤地生成并描述控制策略；b)控制策略可控傳遞，用于保證隱私延伸控制策略在不同隱私信息處理者之間安全可靠地傳輸到達；c)控制策略迭代調整，延伸控制策略在不同隱私信息處理者之間傳遞時，用于保證控制策略內容根據應用場景、保護效果評估結果自適應地進行調整；d)策略執行可信驗證，用于保證隱私信息提供者或隱私信息轉發者驗證延伸控制策略是否被隱私信息接收者完整正確地執行。9.2延伸控制策略生成使用自然語言處理、形式化分析等技術，準確地按照前序隱私信息提供者和當前隱私信息處理者的意圖，產生計算機程序可處理的控制策略，具體如下：a)針對隱私信息被首次流轉的應用場景，支持隱私信息所有者導入延伸控制意圖；b)針對隱私信息非首次流轉的應用場景，支持通過前序的隱私信息所有者、隱私信息提供者或隱私信息處理者的延伸控制策略，獲得延伸控制意圖；T/CSACXXXX—XXXXc)通過自然語言處理等技術，對獲取的延伸控制意圖進行解析，并結合隱私信息接收者的隱私保護能力、應用場景等因素，生成延伸控制策略；d)采用數字簽名等技術，保證延伸控制策略的真實性以及不可篡改；e)采用機器可處理的語言形式，例如：JSON、XML等，描述生成的延伸控制策略；f)采用形式化分析技術，驗證生成的延伸控制策略符合延伸控制意圖的要求，且延伸控制策略各項內容彼此沒有沖突；g)延伸控制策略采用底層系統無關的標準化描述，支持延伸控制策略的跨系統傳遞。9.3控制策略可控傳遞采用密碼學技術保障延伸控制策略在隱私信息提供者和隱私信息接收者之間傳遞過程中的完整性、機密性、不可剝離性、不可抵賴性和保護一致性，具體如下:a)完整性，利用消息驗證碼等技術，保證延伸控制策略在傳遞過程中不可被非授權方式更改或破壞；b)機密性，可采用密碼技術對延伸控制策略進行加密保護，保證延伸控制策略不可被未授權的第三方解析，避免延伸控制策略被非法獲取而導致的隱私泄露；c)不可剝離性，采用可信執行環境、密碼學等技術將延伸控制策略嵌入被交換隱私信息中，并保證控制策略和隱私信息的關聯關系不能被破壞；d)不可抵賴性，采用數字簽名技術對延伸控制策略進行處理，保證延伸控制策略來源的真實性，避免隱私信息處理者否認其前序隱私信息提供者所生成的延伸控制策略；e)保護一致性，隱私信息跨系統交換或采用數據使用安全技術進行數據聯合利用時，對隱私信息提供者和隱私信息接收者的算法保護能力和保護效果進行關聯的保護量化映射，量化映射關系存于延伸控制策略中。9.4控制策略迭代調整為了支持延伸控制策略在隱私信息提供者和隱私信息接收者之間流轉時的動態更新，避免因短板效應導致的隱私泄露，控制策略迭代動態調整包括但不限于：a)從接收到的信息中，解析前序隱私信息處理者嵌入的延伸控制策略，生成延伸控制策略集合；b)根據后序隱私信息接收者的隱私保護能力、應用場景、數據模態等信息，更新延伸控制策略集合；c)更新后的控制集合，連同本級根據控制策略處理過的隱私信息，安全地傳遞給后序隱私信息接收者；d)支持在延伸控制策略集合中，嵌入部分或全部前序隱私處理者信息，應至少包含前一級隱私信息處理者的信息；e)可采用可信環境等技術措施，保證延伸控制策略更新調整的安全性。9.5策略執行可信驗證為了驗證延伸控制策略是否被隱私信息接收者完整正確地執行，策略執行可信驗證包括但不限于：a)支持隱私信息接收者，驗證隱私信息傳播鏈上任一后序隱私信息接收者和隱私信息處理者是否按預期執行其延伸控制策略；b)采用日志采集及分析、密碼學等技術，保證隱私信息提供者或隱私信息轉發者，可驗證隱私信息接收者按照預期完整正確地執行了延伸控制策略；T/CSACXXXX—XXXXc)可采用聚合簽名、可信環境等技術，保證當前隱私信息接收者可驗證隱私信息傳播鏈上所有前序隱私信息處理者是否按要求執行了控制策略。10隱私按需保護10.1概述隱私按需保護用于隱私信息處理者根據隱私信息所有者或隱私信息提供者的脫敏要求、隱私信息模態以及隱私信息接收者的隱私保護能力等因素，如圖4所示，對隱私信息分量進行場景自適應的脫敏和刪除操作。若保護效果評估未到預期效果，則可能重新執行隱私按需保護。隱私按需保護包括：a)脫敏算法能力評估，對脫敏算法能力從可逆性、信息偏差性、信息損失性、復雜性等方面進行評估；b)按需脫敏，隱私信息處理者結合信息模態、業務需求等因素，解析并根據脫敏控制策略，選擇脫敏算法集合，進行脫敏處理；c)按需刪除，隱私信息處理者解析刪除控制策略并根據刪除控制策略選定刪除對象和刪除方法，進行刪除處理；d)按需采用數據使用安全技術,隱私信息處理者根據延伸控制策略，在多方聯合數據利用時，隱私信息處理者結合信息模態、業務需求等因素，選擇所采用的數據使用安全技術、算法協議以及安全參數，進行多方聯合計算。圖4隱私按需保護處理流程10.2脫敏算法能力評估10.2.1脫敏算法能力評估的指標體系脫敏算法能力評估的指標體系包括可逆性、信息偏差性、信息損失性和復雜性等四類指標，且基于測評樣本基準數據集，對各類脫敏算法進行能力評估。10.2.1.1可逆性評估指標T/CSACXXXX—XXXX可逆性評估是衡量從脫敏算法處理后信息中復原隱私信息的可能性。由于脫敏旨在保護敏感個人信息，通常情況下脫敏是不可逆的。可逆性度量方法如下：a)脫敏算法可逆性，評估隱私信息脫敏使用的是否是不可逆脫敏算法；b)脫敏算法參數強度，評估脫敏算法使用的參數強度；c)信息還原性，評估通過脫敏后的隱私信息還原出原始隱私信息的程度，例如：恢復信息的準確度、恢復信息的偏差度。10.2.1.2信息偏差性評估指標信息偏差性評估是衡量脫敏算法處理后的信息失真和偏移程度。信息偏差性度量方法如下：a)統計偏差性，比較原始數據和脫敏后數據的統計指標，例如：均方差、平均絕對值、KL散度、歐氏距離、余弦距離、峰值信噪比、結構相似性指數、均值、中位數、方差、標準差、最大值、最小值等；b)數據分布偏差性，比較原始數據和脫敏后數據的分布差異，例如：分布形狀、分位數和累積分布函數等；c)模型應用準確性，使用原始數據和脫敏后數據分別構建訓練模型，比較模型在驗證集或測試集上的效果；d)數據隨機性分析，評估脫敏算法對隱私信息的隨機性影響程度。10.2.1.3信息損失性評估指標信息損失性評估是衡量脫敏算法處理后隱私信息損失部分對可用性的影響程度。信息損失性度量方法如下：a)信息熵，信息熵是衡量數據集中信息量的度量指標，通過計算原始數據和脫敏后數據的信息熵，并比較差異；b)互信息，互信息是衡量兩個隨機變量之間相互依賴程度的度量指標，通過計算原始數據和脫敏后數據之間的互信息進行量化評估；c)數據分布特征，比較原始數據和脫敏后數據的分布特征的統計指標，例如：均值、方差、分位數等；d)數據關聯性，計算原始數據和脫敏后數據之間的關聯性的度量指標，例如：相關系數、協方差e)數據可用性，評估脫敏數據在特定應用場景下的可用程度指標，例如：數據分析、模型訓練等應用場景。10.2.1.4復雜性評估指標復雜性評估是衡量脫敏算法處理隱私信息所需的資源開銷。復雜性度量方法如下：a)時間復雜度，用于衡量算法執行所需時間的度量指標，可以通過分析算法中的操作、迭代次數和數據規模等來確定，例如：常數時間O1、線性時間On、對數時間O(logn)、平方時間On2等；b)空間復雜度，用于衡量算法執行所需內存空間的度量指標，可以通過分析算法中使用的額外數據結構、變量和遞歸調用的深度等來確定，例如：常數空間O1、線性空間On、指數空等；c)計算資源需求，評估算法執行所需的計算資源，包括CPU執行時間、占用內存等。T/CSACXXXX—XXXX10.2.1.5算法能力綜合評估在脫敏算法能力評估的過程中，需要根據所采用脫敏算法的類別，為每個評估維度設置相應的權重，進行加權計算，得出算法能力的綜合評估結果。10.2.2脫敏算法可逆性評估脫敏算法可逆性評估的具體內容如下：a)判斷脫敏算法支持的數據模態與應用場景，確定算法可逆性對應的權重值；b)結合隱私信息數據模態及應用場景，選擇10.2.1.1節中的評估指標，衡量脫敏信息的被還原能力，評估內容包括但不限于：恢復信息的準確度、恢復信息偏差度等；c)綜合考慮算法類別、算法參數、數據模態等因素，設計合理的可逆性評估方案，保證評估結果的準確性和可信性。10.2.3脫敏算法信息偏差性評估脫敏算法信息偏差性評估的具體內容如下：a)判斷脫敏算法支持的數據模態與應用場景，確定信息偏差性對應的權重值；b)結合隱私信息數據模態及應用場景，選擇10.2.1.2節中的評估指標，衡量脫敏算法執行前的原始隱私信息與脫敏后的隱私信息之間的偏差程度，評估內容包括但不限于：數據統計、數據應用測試、隨機性分析等；c)綜合考慮數據規模、數據分布、數據模態等因素，設計合理的信息偏差性評估方案，保證評估結果的準確性和可用性。10.2.4脫敏算法信息損失性評估脫敏算法信息損失性評估的具體內容如下：a)判斷脫敏算法支持的數據模態與應用場景，確定信息損失性對應的權重值；b)結合隱私信息數據模態及應用場景，選擇10.2.1.3節中的評估指標，衡量脫敏算法執行前的原始隱私信息與脫敏后的隱私信息之間的信息損失程度，評估內容包括但不限于：信息熵、互信息、數據分布特征、數據關聯性、信息可用性等；c)綜合考慮數據可用、數據關聯、應用場景等因素，設計合理的信息損失性評估方案，保證評估結果的準確性和有效性。10.2.5脫敏算法復雜性評估脫敏算法復雜性評估的具體內容如下：a)判斷脫敏算法支持的數據模態與應用場景，確定算法復雜性對應的權重值；b)結合隱私信息數據模態及應用場景，選擇10.2.1.4節中的評估指標，衡量脫敏算法的執行效率和資源消耗情況，評估內容包括但不限于：時間復雜度、空間復雜度、資源消耗等；c)綜合考慮平臺資源、數據模態、數據規模、數據結構等因素，設計合理的復雜性評估方案，保證評估結果的準確性和有效性。10.3按需脫敏按需脫敏根據數據模態、應用場景、業務需求等要素的不同，進行脫敏控制策略生成、脫敏控制策略解析和脫敏算法選擇。T/CSACXXXX—XXXX10.3.1脫敏控制策略生成脫敏控制策略生成是指，從隱私信息所有者或前序隱私信息提供者處，獲取關于相關隱私信息的脫敏要求，并結合應用場景、隱私信息接收者的隱私保護能力等因素，生成適應當前應用場景的脫敏控制策略。脫敏控制策略包括脫敏對象、脫敏等級等，具體如下：a)首次脫敏，隱私信息處理者根據隱私信息所有者的脫敏要求，生成脫敏控制策略；b)迭代脫敏，隱私信息處理者通過前序隱私信息提供者的脫敏控制策略，并結合當前應用場景要求，生成新的脫敏控制策略；c)脫敏控制策略應與脫敏后的隱私信息一起流轉。10.3.2脫敏控制策略解析脫敏控制策略解析是指，隱私信息處理者收到脫敏控制策略后，結合隱私信息處理者所處的應用場景，提取當前應用場景所對應的脫敏控制策略，具體如下：a)隱私信息處理者解析前驗證脫敏控制策略的完整性；b)隱私信息處理者依據應用場景識別結果，解析脫敏控制策略后提取當前應用場景所對應的脫敏控制策略。10.3.3脫敏算法選擇脫敏算法選擇是指，隱私信息處理者根據解析出的脫敏控制策略，對備選脫敏算法集合及其參數進行篩選，具體如下：a)隱私信息處理者根據當前應用場景所對應的脫敏控制策略，確定脫敏對象所對應的脫敏等級、脫敏方式等；b)根據脫敏等級、脫敏方式，選擇脫敏算法及其參數。10.4按需刪除10.4.1刪除控制策略生成刪除控制策略生成是指，從隱私信息所有者或隱私信息提供者處，獲取關于相關隱私信息的刪除要求，并結合數據模態和數據存儲方式等因素，生成刪除控制策略，包括刪除對象、刪除方法、刪除范圍等，具體如下：a)刪除對象確定，刪除對象包括各個隱私信息處理者留存的隱私信息正本或隱私信息副本，根據隱私信息所有者或隱私信息提供者的刪除要求，生成由刪除對象組成的集合、刪除范圍的集合；b)刪除方法確定，根據隱私信息所有者或隱私信息提供者的刪除要求，確定刪除方法集合；c)生成由刪除對象集合、刪除方法集合、刪除范圍集合等組成的刪除控制策略。10.4.2刪除控制策略解析刪除控制策略解析是指，隱私信息處理者收到刪除控制策略后，提取刪除控制策略，具體如下：a)隱私信息處理者解析前驗證刪除控制策略的完整性；b)隱私信息處理者解析刪除控制策略后提取刪除對象集合、刪除方法集合、刪除范圍集合等信息。10.4.3按需刪除操作隱私信息處理者根據解析出的刪除對象集合、刪除方法集合、刪除范圍集合等內容，執行刪除操作，具體如下：T/CSACXXXX—XXXXa)從刪除方法集合中選擇刪除方法，再根據刪除方法、刪除等級等，構造刪除指令；b)根據刪除對象集合，確定本地刪除對象的正本信息、多副本信息、分散存儲信息、多備份信息等所處的設備，然后將刪除指令發送到對應的設備；c)根據刪除范圍集合，確定其他存放刪除對象的正本信息、多副本信息、分散存儲信息、多備份信息等所處的設備，然后將刪除指令發送到對應的設備。11保護效果評估11.1概述保護效果評估是對從脫敏后的隱私信息中恢復損失信息的難度，或者恢復已刪除隱私信息的可能性進行評價。如圖5所示，若保護效果評估未達到預期效果，則可能重新執行隱私信息抽取與度量、隱私度量動態調整、隱私延伸控制、隱私按需保護。保護效果評估包括：a)脫敏效果評估的指標體系，采用可逆性、信息偏差性和信息損失性等評估指標。具體見章節10.2.1.1,10.2.1.2及10.2.1.3；b)單次脫敏效果評估，通過分析脫敏算法執行前后的信息，衡量已脫敏的隱私信息分量的可恢復程度；c)基于數據挖掘的脫敏效果評估，通過收集特定個人一定時間內的脫敏信息，采用數據挖掘技術試圖推算出已脫敏的隱私信息分量；d)脫敏系統效果評估，通過收集若干特定個人或所有個人的一定時間內的脫敏信息，采用數據挖掘技術試圖推算特定個人的已脫敏的隱私信息分量；e)刪除效果評估,采用數據恢復技術試圖還原被刪除的隱私信息分量。圖5保護效果評估執行策略思路11.2單次脫敏效果評估單次脫敏效果評估，將執行脫敏算法前的隱私信息與脫敏后的隱私信息進行可逆性、信息偏差性和信息損失性的評估，具體如下：a)依據執行脫敏算法后的數據模態、數據規模和應用場景，確定可逆性、信息偏差性和信息損失性對應的權重值；20T/CSACXXXX—XXXXb)依據數據模態和應用場景，選擇10.2.1.1節中的評估指標，評估已脫敏的隱私信息分量的被還原能力；c)依據數據規模及統計特性，選擇10.2.1.2節中的評估指標，評估脫敏算法執行前的原始隱私信息與脫敏后的隱私信息之間的偏差程度；d)依據數據信息量和關聯性，選擇10.2.1.3節中的評估指標，評估脫敏算法執行前的原始隱私信息與脫敏后的隱私信息之間的信息損失程度；e)考慮數據規模、數據分布、數據模態、應用場景等因素，設計合理的單次脫敏效果評估方案，保證評估結果的準確性和可信性；f)當單次脫敏效果評估結論的可逆性指標未達到脫敏效果期望閾值，需反饋到隱私按需保護組件，根據10.3.3節要求，重新選擇脫敏算法，并設置該脫敏算法的參數；當單次脫敏效果評估結論的可逆性指標符合脫敏效果期望閾值，但其信息偏差性或信息損失性指標未達到脫敏效果期望閾值，需反饋到隱私按需保護組件，根據10.3.3節要求，修改脫敏算法的參數；若多次反饋后，仍未達到脫敏效果期望閾值，需反饋到隱私延伸控制組件，根據9.2節要求，生成調整后的延伸控制策略。11.3基于數據挖掘的脫敏效果評估基于數據挖掘的脫敏效果評估，是指對采用數據挖掘技術分析特定個人一定時間內的已通過單次脫敏效果評估的脫敏信息，以推算出已脫敏的隱私信息分量程度的評估，具體如下：a)選取數據挖掘算法，對特定個人一定時間內的脫敏信息進行挖掘分析，推斷出特定個人的被脫敏的隱私信息；b)評估推斷出的特定個人的隱私信息，與其對應的真實隱私信息進行偏差性、損失性的對比分析；c)當基于數據挖掘的脫敏效果評估結論的信息偏差性未達到脫敏效果期望閾值，需反饋到隱私延伸控制組件，根據9.2節要求，生成調整后的延伸控制策略；當基于數據挖掘的脫敏效果評估結論的信息偏差性達到脫敏需求閾值，而信息損失性未達到脫敏效果期望閾值，需反饋到隱私度量動態調整組件，根據8.2節和8.3節要求，分別修正場景識別、度量調整機制。11.4脫敏系統效果評估脫敏系統效果評估，是指對采用數據挖掘技術分析若干特定個人或所有個人一定時間內的已通過基于數據挖掘的脫敏效果評估的脫敏信息，以推算出特定個人已脫敏的隱私信息分量程度的評估，具體如a)選取數據挖掘算法，對若干特定個人或所有個人一定時間內的脫敏信息進行挖掘分析，推斷出特定個人的被脫敏的隱私信息；b)評估推斷出的特定個人的隱私信息，與其對應的真實隱私信息進行偏差性、損失性的對比分析；c)當脫敏系統效果評估結論的信息偏差性未達到脫敏效果期望閾值，需反饋到隱私延伸控制組件，根據9.2節要求，生成調整后的延伸控制策略；當脫敏系統效果評估結論的信息偏差性達到脫敏效果期望閾值，而信息損失性未達到脫敏效果期望閾值，需反饋到隱私度量動態調整組件，根據8.2節和8.3節要求，分別修正場景識別、度量調整機制；若多次反饋后，仍未達到脫敏效果期望閾值，需反饋到隱私信息抽取與度量組件，根據7.2、7.3和7.4節要求，分別修正隱私信息的抽取、分類和度量。11.5刪除效果評估刪除效果評估，是指對被隱私信息處理者刪除的隱私信息的可恢復程度的評價，具體如下：21T/CSACXXXX—XXXXa)刪除控制策略完備性，用于評估隱私信息所有者、隱私信息提供者和隱私信息發布者生成與發送的刪除控制策略是否涵蓋被刪除對象所有副本；b)刪除操作合規性，用于評估隱私信息處理者的刪除方法是否符合刪除控制策略的要求；c)刪除不可恢復性，用于評估隱私信息處理者執行刪除操作后被刪除對象的不可恢復程度。12存證與取證12.1概述存證與取證主要是對隱私計算其他功能組件的運行、隱私信息的處理等情況進行可信記錄，以便于開展內部監測、或者按照法律法規接受外部監管者的合規審查、侵權行為追蹤溯源的服務請求提供必要的證據和技術接口，包括：a)存證收集，用于從各個隱私計算框架的核心組件中收集執行過程和執行效果的事項記錄；b)存證存儲，用于對從各個隱私計算框架的核心組件中收集到的存證信息進行存儲；c)證據生成，根據證據服務請求，對隱私計算系統的各類存證信息進行多源檢索，形成證據鏈，并將證據返回證據服務請求方。12.2存證收集存證收集主要用于收集隱私計算框架的各核心組件的操作記錄，包括但不限于：a)存證收集范圍，覆蓋隱私信息抽取與度量、隱私度量動態調整、隱私延伸控制、隱私按需保護、保護效果評估等組件的執行過程和執行效果；b)隱私信息抽取與度量組件的相關存證信息收集，具體如下：1)收集隱私信息抽取過程的相關日志信息，包括但不限于：識別與抽取執行主體、執行時間、識別與抽取結果，支撐審計隱私信息抽取功能的正確性、完備性；2)收集隱私信息分類過程的相關日志信息，包括但不限于：信息模態、所依據的分類標準、分類方法、分類時間、分類結果，支撐審計數據分類的合規性、分類異常問題溯源；3)收集隱私信息度量過程的相關日志信息，包括但不限于：量化評估模型及其參數、輸入數據和輸出量化結果的執行主體、量化結果等，支撐隱私信息度量方法改進、度量異常問題溯源。c)隱私度量動態調整組件的相關存證信息收集，具體如下：1)收集場景識別過程的相關日志信息，包括但不限于：場景識別執行主體、識別模型及參數、識別執行時間、場景識別結果，支撐審計場景識別功能的正確性；2)收集度量調整過程的相關日志信息，包括但不限于：度量調整操作執行主體、度量調整方法及參數、度量調整結果，支撐審計度量調整功能的正確性。d)隱私延伸控制組件的相關存證信息收集，具體如下：1)收集延伸控制策略生成的相關日志信息，包括但不限于：生成該策略的隱私信息處理者身份標識、延伸控制意圖、延伸控制策略內容等，支撐審計延伸控制意圖和延伸控制策略之間的匹配性；2)收集控制策略可控傳遞過程的相關日志信息，包括但不限于：隱私信息提供者身份標識、隱私信息接收者身份標識、策略傳遞會話日志信息、數字簽名等，支撐延伸控制一致性判定、控制策略異常問題溯源；22T/CSACXXXX—XXXX3)收集控制策略迭代調整過程的相關日志信息，包括但不限于：隱私信息處理者的隱私保護能力、應用場景、數據模態、延伸控制策略更新內容等信息，支撐審計控制策略迭代調整功能的正確性；4)收集策略執行可信驗證過程的相關日志信息，包括但不限于：驗證發起方和被驗證方的身份信息、驗證方法、驗證結果等。如果存在驗證結果異常，則記錄異常內容，支撐異常行為的檢測與問題溯源。e)隱私按需保護的相關存證信息收集，具體如下：1)收集脫敏控制策略生成的相關日志信息，包括但不限于：生成該策略的隱私信息處理者身份標識、隱私信息接收者身份標識、脫敏對象、脫敏等級等，支撐審計脫敏意圖和脫敏控制策略之間的匹配性；2)收集脫敏操作的相關日志信息，包括但不限于：執行該策略的隱私信息處理者身份標識、脫敏控制策略解析結果、選擇的脫敏算法及其參數、脫敏結果等，支撐審計脫敏操作內容和脫敏控制策略之間的匹配性；3)收集刪除控制策略生成的相關日志信息，包括但不限于：生成該策略的隱私信息處理者身份標識、刪除對象、刪除方法、刪除范圍等，支撐審計刪除意圖和刪除控制策略之間的匹配性；4)收集刪除操作的相關日志信息，包括但不限于：執行該策略的隱私信息處理者身份標識、刪除控制策略解析結果、刪除方法、刪除指令、刪除結果等，支撐審計刪除操作內容和刪除控制策略之間的匹配性。f)保護效果評估的相關存證信息收集，具體如下：1)收集單次脫敏效果評估的相關日志信息，包括但不限于：執行該效果評估處理者身份標識、可逆性評估方法與結果、信息偏差性評估方法與結果、信息損失性評估方法與結果等，支撐審計單次脫敏的合規性和有效性；2)收集基于數據挖掘的脫敏效果評估的相關日志信息，包括但不限于：執行該效果評估處理者身份標識、特定個人在一定時間內的脫敏信息、信息偏差性評估方法與結果、信息損失性評估方法與結果等，支撐審計特定個人的隱私信息脫敏的合規性和有效性；3)收集脫敏系統脫敏效果評估的相關日志信息，包括但不限于：執行該效果評估處理者身份標識、若干特定個人或所有個人在一定時間內的脫敏信息、信息偏差性評估方法與結果、信息損失性評估方法與結果等，支撐審計脫敏系統脫敏的合規性和有效性。g)存證信息采用標準描述格式，存證信息的收集采用RESTAPI、gRPC等分布式系統通信技術，提供通用的存證接口，支撐跨系統互聯互通。12.3存證存儲存證存儲是對收集的存證信息進行高效的組織管理，支撐存證信息的高效檢索和充分利用，包括：a)存儲方式，本地自存證，或第三方存證等存證類型；b)存證完整性，保證收集的存證信息齊全，確保存證信息被成功存儲，在丟失或損壞存證信息的情況下從原渠道補全對應的存證信息；c)存證機密性，采用訪問控制技術控制存證信息的訪問主體、訪問路徑、訪問時間、訪問的信息數量；采用密碼技術對存證信息進行加密防止鏡像拷貝、拖庫等非法獲取；d)存證可信性，保證存證信息不被篡改、不被隨意刪除；e)存證可靠性，采用RAID技術或雙活等機制，實現存證信息的冗余災備。23T/CSACXXXX—XXXX12.4證據生成證據生成是根據證據服務請求對收集到隱私計算框架各組件的存證信息進行檢索、數據預處理、證據要素封裝、證據鏈構建的過程，支撐對隱私計算的操作行為進行合規審計、監管、異常事件分析與溯源等，包括：a)證據請求響應，接收請求方的證據獲取請求，對請求方進行身份驗證，解析證據獲取事項的要b)證據完備性，根據證據獲取的要求，對各個存證存儲系統中的存證信息進行多源證據查找，獲取所有相關證據；c)多源證據生成，對查找得到的多源存證信息，按照請求事項和時序進行整理并生成證據，采用數字簽名技術實現生成證據的不可篡改和不可否認性；如果有機密性要求，采用請求和響應雙方預先約定的協議實現密鑰協商和傳輸加密。24T/CSACXXXX—XXXX隱私信息描述示例A.1概述隱私信息可由隱私信息六元組描述，具體如下：a)隱私信息向量，根據文件標識符確定信息的類型，并根據語義特征將信息進行拆分，得到n個在語義上不可分割的隱私信息分量，則隱私信息向量可以表示為I=(id,i1,…,ik,…,in),其中k為取值范圍從1到n的正整數；b)約束條件集合，由隱私信息分量對應的約束條件向量組成的集合θ={θ1,θ2?,θk,…,θn}，用于描述在不同場景下實體訪問隱私信息分量ik所需的訪問權限。根據隱私信息向量中的隱私信息分量的應用場景，可對隱私信息分量設置相應的約束條件向量θk=(uk,tk,dk,nk)，表示第k個隱私信息分量的約束條件，其中，uk表示訪問者列表，tk表示訪問時間，dk表示訪問設備，nk表示網絡標識；c)隱私屬性向量，通過預先標記或隱私保護程度量化操作函數，結合約束條件集合，對隱私信息向量進行隱私度量，度量結果存入隱私屬性向量A=(a1,a2,?,an,?,am。可假設初始所有隱私屬性分量為1（假設隱私屬性分量的范圍為0到1，隱私屬性分量越小，其對應的隱私信息分量的保護程度越高）；d)廣義定位信息集合，分別獲取隱私信息分量在信息中的廣義定位信息向量y1、y2、……、yn，由此生成廣義定位信息集合Γ={y1,y2,?,yk,?,yn}；e)審計控制信息集合，分別獲取隱私信息分量的審計控制信息向量w1,w2,?,wn。在初始化階段，審計控制信息向量可以為空，記錄當前持有者對隱私信息分量進行的所有操作，由此生成審計控制信息集合Ω={w1,w2,?,wn}；f)傳播控制操作集合，針對隱私屬性向量和約束條件集合，根據操作判別函數或人工標記生成隱私信息向量及其組合的傳播控制操作集合Ψ={Ψ1,Ψ2,?,Ψn}。在初始化階段，傳播控制操作向量可以為空，根據流轉過程中對隱私信息分量的傳播要求，逐漸添加得到傳播控制操作向量Ψ2,?,Ψn共同組成傳播控制操作集合。A.2隱私信息描述六元組生成過程本附錄以文本、圖像模態數據為例，介紹隱私信息描述的生成方法和過程，供設計實現隱私信息描述與處理功能時參考。針對待處理的多模態數據，進行隱私抽取，確定隱私信息分量模態，并進行定位，生成隱私信息向量和廣義定位信息集合；通過隱私數據分類分級規則對識別和抽取的隱私信息分量進行分類，根據分類結果確定隱私信息向量的約束條件集合；根據約束條件集合以及隱私數據分類分級規則對隱私信息向量進行隱私度量，生成隱私屬性向量和傳播控制操作集合；記錄對隱私信息向量執行的所有操作，生成審計控制信息集合。隱私信息描述六元組生成過程如圖A.1所示。25T/CSACXXXX—XXXX圖A.1隱私信息描述六元組生成過程A.3文本類隱私信息描述生成示例A.3.1隱私信息向量隱私信息向量生成過程如下：a)隱私信息處理者根據文件標識符等信息確定信息的類型，并讀取其內容。例如：可以通過Apachepoi等工具讀取Word文檔信息、Excel表格信息；通過Spire.PDF等工具讀取PDF文檔信息；b)通過正則文本匹配、自然語言處理識別文件中的隱私信息并進行切割。以文本信息“張三和李四去中關村參加活動”為例，使用基于BiLSTM+CRF模型的命名實體識別算法對姓名、組織名、地名等實體進行識別；c)生成隱私信息向量I=(id,張三,和,李四,去,中關村,參加,活動)。A.3.2約束條件集合約束條件集合生成過程如下：a)隱私信息處理者獲取文本類數據對應的分類分級規則；b)根據當前隱私信息處理者的意愿，生成隱私信息向量對應的約束條件集合。例如：若當前隱私信息處理者僅向197.224.*.*網段的用戶賦予文檔讀寫權限，則非該網段下的用戶無法讀取該文件；c)生成約束條件集合θ1=(讀寫,197.224.?.?)。A.3.3隱私屬性向量隱私屬性向量生成過程如下：a)隱私信息處理者根據文本類數據對應的分類分級規則和隱私信息分量的約束條件集合，確定待處理文本信息對應的分類分級規則；26T/CSACXXXX—XXXXb)根據約束條件集合、分類分級規則以及文檔創建者的意愿，通過預先標記或隱私保護程度量化操作函數，依次計算隱私信息向量和隱私信息分量組合對應的隱私屬性向量，生成各個隱私信息分量的隱私屬性向量；c)如度量結果為0.4，包含X1至Xn的隱私屬性向量可表示為a1=(X1,…,Xn,0.4)。A.3.4廣義定位信息集合廣義定位信息集合生成過程如下：a)隱私信息處理者采用合適的位置標識信息，對隱私信息在文檔中的位置進行編碼。例如：1)Word文檔可利用頁碼、段落、行數、起始位和終止位等表示定位信息；2)Excel表格可利用表單號、行號、列號等表示定位信息。b)生成隱私信息分量對應的廣義定位信息向量。例如：對于Word、Excel文檔，可使用Apachepoi工具對隱私信息向量進行索引，統一設置字符在文檔中的范圍標簽和批注引用，生成廣義定位信息集合；c)生成廣義定位信息集合Γ,例如：1)y1=(X1,P11,S3,R2,0,4)表示記為X1隱私信息分量“張三”，位于文本信息的第11頁、第3段中的第2行，起始位為0，終止位為4；2)y2=(X2,T1,R5,C4)表示記為X2隱私信息分量，位于表格的表單1、第5行中的第4列的單元格中。A.3.5審計控制信息集合審計控制信息集合生成過程如下：a)隱私信息處理者記錄其對文檔的隱私信息分量進行的所有操作，并生成審計控制信息集合；b)將生成的審計控制信息集合存儲于對應的隱私信息描述六元組。A.3.6傳播控制操作集合傳播控制操作集合生成過程如下：a)隱私信息處理者獲取文本類數據對應的分類分級規則和隱私信息分量的約束條件集合、隱私屬性向量；b)根據當前隱私信息處理者流轉共享意愿，生成隱私信息向量對應的傳播控制操作集合。例如：當前的傳播控制操作集合Ψ={Ψ1,Ψ2,Ψ3}，假設當前隱私信息處理者只希望隱私信息分量“中關村”被復制轉發，則可新增一個傳播控制操作向量Ψ4=(轉發,復制)，生成新的傳播控制操作集合Ψ={Ψ1,Ψ2,Ψ3,Ψ4}。隱私信息六元組的生成結果如圖A.2所示。識別文檔中的隱私信息實體，例如：“北京市消防局”記為X1，X1的位置在文檔中的第2頁、第2段、第2行上，起始位置是35，終止位置是41。提取外部文本數據分類分級規則，結合使用意愿，得到其對應的隱私屬性向量為a1=(X1,0.4)，表示隱私信息分量X1的隱私屬性度量結果為0.4。約束條件集合θ1約束該文檔只能在197.224.*.*網段中被查看，并且Ψ1控制后續流轉過程中該隱私信息分量只能被轉發、復制。傳播控制操作集合W1=(UID1,復制,轉發;UID2,轉發,修改)表示隱私信息分量“北京市消防局”先后被唯一標識為UID1和UID2的用戶訪問和操作過，其中“UID1，復制，轉發”表示隱私信息分量“北京市消防局”被用戶UID1執行了復制、轉發的操作；當該隱私信息分量傳播至用戶UID2，則被執行了轉發和修改的操作。27T/CSACXXXX—XXXX圖A.2Word文檔隱私信息描述生成結果A.4圖片類隱私信息描述生成示例A.4.1隱私信息向量圖片中的隱私信息向量生成過程如下：a)在圖片分享過程中，圖片持有者使用ExifTool、exifread等開源工具/函數庫讀取圖片EXIF數據中的拍攝時間、拍攝經緯度、焦距等敏感信息；b)通過圖像處理算法識別圖片像素區域中的敏感內容。例如：一張圖片同時出現張三和李四在醫院門口下私家車，圖片拍攝者為張五。其中，張三人臉、李四人臉、私家車車牌、醫院標識即為敏感內容；c)將識別的敏感內容作為隱私信息分量（張三人臉、李四人臉、私家車車牌、醫院標識）存儲在Exif信息的IFD（ImageFileDirectory）結構的自定義區域，命名為隱私信息分量PrivacyInfoEntry中。A.4.2約束條件集合圖片中的約束條件集合生成過程如下：a)可通過一些外在信息判定敏感信息的約束條件，例如，圖片像素的張三人臉區域、李四人臉區域、私家車車牌號區域、醫院標識區域，訪問者-訪問客體信息V={<張五,私家車車牌號區域>,…,<趙六,醫院標識區域>}約束條件；b)可通過ExifTool、exifread等開源工具/函數庫，將約束條件寫入Exif信息的IFD結構自定義區域中的約束條件ConstraintEntry中。A.4.3隱私屬性向量圖片中的隱私屬性向量生成過程如下：a)通過圖片內容隱私檢測算法、合影人員親密度檢測算法等工具識別私家車車牌號區域、張