1可信數據服務多方數據融合挖掘技術要求本文件規范了數據提供方、融合挖掘方、平臺提供方和結果方等參與方在開展跨主體的數據融合和挖掘過程中的安全技術要求，包括數據流入、數據融合、數據挖掘和數據流出四大環節的安全技術要求。本文件適用于網絡運營者規范數據融合與挖掘活動。2規范性引用文件下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件。不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件信息安全技術個人信息安全規范信息安全技術個人信息去標識化指南數據中心設計規范3術語和定義下列術語和定義適用于本文件。網絡的所有者、管理者和網絡服務提供者。兩個或兩個以上的不同法律主體個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。[來源：GB/T25069-2個人信息主體personalinformationsubject個人信息所標識或者關聯的自然人。去標識化de-identification通過對個人信息的技術處理，使其在不借助額外信息的情況下，無法識別或者關聯個人信息主體的過程。數據挖掘datamining在對原始數據進行包括去標識化等處理的基礎上，對數據進行加工、分析、建模、聚合等處理。挖據數據背后隱藏的價值，以用于分析、決策、預測等應用場景。數據提供方dataprovider為數據融合挖掘提供經處理后的輸入數據的主體。融合挖掘方dataminer為數據融合挖掘提供數據融合、數據挖掘等技術工具或服務的主體。平臺提供方platformprovider為數據融合挖掘提供平臺的主體。使用融合挖掘平臺最終輸出結果數據的主體下列縮略語適用于本文件。應用編程接口(ApplicationProgramming分布式拒絕服務攻擊(DistributedDenial多方教據肆合挖掘存證3)數據提供方應對其他輸入的個人數據進行去標識化操作，去標識化應遵循GB/T37964-2019約定的原則和相關技術標準。b)數據提供方應對輸入的用戶數據進行去標識化操作，包括采用假名、加密、統計、抑制、泛化、隨機化、數據合成、哈希函數等技術手段對個人信息進行處理，去標識化應遵循GB/T37964-2019約定的原則和相關技術標準。具體的去標識化處理還需要滿足以下要求：1)應采用假名、加密、統計、抑制、泛化、隨機化、數據合成、哈希函數等技術手段對個人信息進行處理，應確保去標識化后的數據具有可用性；2)去標識化后的數據應具有有效性，確保敏感信息已被消除，無法通過脫敏后的數據推斷、重建、還原。數據提供方應確保在采用所有合理范圍內可能使用的重識別方法時，去標識化后的數據在不結合額外信息的情況下無法重標識到個人：3)去標識化后的數據應具有可重現性，即相同原始數據在配置相同脫敏算法和參數后，具有一致性。隨機類算法無需具有可重現性，但須保證算法的隨機性；4)去標識化后的數據應具有關聯性，即對于結構化和非結構化數據，在對存在數據表關聯關系的字段進行脫敏后，關聯關系不會被破壞；5)去標識化后的數據應具有可配置性，能夠針對不同的數據級別、安全性要求或業務需求提供相應的脫敏處理配置：6)去標識化后的數據應具有穩定性，確保脫敏后的數據保持頻率分布等總體統計特征不變。c)數據流入前數據提供方應確保數據的合規性。參與方應制定數據流入的安全審核流程，對數據源、使用需求等進行審核，以確保數據融合挖掘的正當性與合法性；d)平臺提供方應對可能識別到個人的敏感數據進行脫敏，包括非敏感數據中能夠用于重新生成敏感數據或者回溯到敏感數據的部分。脫敏方式的選取宜充分結合業務需要、數據共享場景和安全風險評估結果，選擇被碰撞或猜解鳳險較低的脫敏技術。脫敏技術包括但不限于泛化、干擾等數據脫敏技術；數據抽樣技術；字符子鏈屏蔽等模糊化處理技術：屏蔽、局部抑制、記錄抑制等抑制技術：噪聲添加、置換、微聚集等隨機化技術：e)平臺提供方應確保數據生產系統或裝置可以在數據流入后對數據質量進行審計，保證可審計數據的一致性和完整性；f)平臺提供方宜支持動態主動識別數據流入過程中的敏感數據，具體職責包括但不限于1)平臺提供方宜內置敏感數據識別規則，能夠對數據集的字段進行敏感屬性識別；2)平臺提供方宜支持自定義敏感數據的識別規則，通過自定義敏感數據的類型，滿足用戶個性化的數據保護需求3)平臺提供方宜具有智能數據分類分級的功能，利用語義近似度分析、規則分析、詞典分析等技術將獲取到的數據按照內容與含義分成類型模型，使用機器學習技術優化聚類與分類的準確性與識別效率，建立動態、有針對性的敏感數據規則與分類模型：4)平臺提供方宜支持按電信、工業和金融等行業數據的特性和行業需求，自定義數據的分5)平臺提供方宜建立字段級教感數據的評估和審核機制，包括但不限于創建、評估、結果審核、重評估、人工修正等；6)平臺提供方宜構建敏感數據的全景式分布視圖，展示平臺中敏感數據所在的數據庫、數據表、具體字段及數量等信息。g)平臺提供方應對數據提供方的接入進行身份認證。采用限制IP地址、端口號等技術防止第三方的惡意接入，確保僅有經過授權的主體有權限接入系統中。對于可信任的數據提供方，平5臺方可設置單獨的安全區域進行互聯；對不可信任的數據提供方，應在接入前依照行業監管部門的安全防護規范進行安全檢測，通過后才可進行數據流入；h)平臺提供方應確保去標識化后可用于恢復識別個人的相關信息與去標識化后信息分開存儲，使用權限進行分別管理；1)平臺提供方應在數據流入環節確保安全存儲，具體職責包括但不限于：1)應保證數據的邏輯隔離和權限隔離，對具有高度敏感性的數據宜采用物理隔離的方式；2)不同數據提供方的數據在融合前需要隔離存儲3)對有時限的數據需要保留數據過期元信息，并妥善隔離保存：4)不應因存儲形式和存儲時效的改變而降低安全保護強度：5)應根據數據的安全級別、重要性、量級、使用頻率等因素，將數據分級存儲，對于有明確分級要求的數據需要按照對應的數據分級要求進行存儲；6)對于備份數據其存儲期限應和數據過期期限相同；7)數據備份存放環境和物理設施應按照GB50174-2017的要求執行安全保護；宜支持數據指紋校驗防止數據泄露。j參與方應在數據流入前對數據使用的目的、方式、范圍、頻率、權限、存儲的有效期、過期數據的處理策略等進行約定，平臺提供方應根據約定對數據的流入和使用進行管控。融合挖掘方應向數據提供方告知數據的去向、用途、使用期限和銷毀策略等事項：k)參與方需要對脫敏處理后的數據集進行評價，以確保其滿足關于消除敏感性、過程可控、成本可控和業務需要的脫敏要求，防止數據流入過程中的數據泄露6.2數據融合相關要求包括：a)平臺提供方應對原始數據、過程數據及結果數據進行分層存儲，保障原始數據與結果數據之間的獨立性：宜根據流入數據的格式、頻率和方式，設計多態融合的存儲方式，并根據不同存儲方式之間的流動設置安全措施；b)平臺提供方應依照最小授權原則，在數據融合存儲中實現對人員和應用程序的訪問權限控制；c)平臺提供方宜具備對數據融合存儲非法訪問的識別與實時阻斷能力，應確保隔離區內的數據只有通過指定的訪問管控入口才可流入流出，防止繞過管控讀寫數據；d)平臺提供方應對數據融合過程的訪問和操作進行記錄，并形成審計日志，對訪問和操作進行記錄、風險監測與分析，對識別出的風險及時告警；平臺宜采用防算改技術等對審計日志進行存證，實現對過程的溯源：e)平臺提供方應采用脫敏處理后的數據進行融合。確保每個數據提供方在數據融合過程中無法獲取或推知其他數據提供方的任何敏感數據：f)平臺提供方宜具備對過程數據進行識別檢測的功能，在發現疑似敏感數據時進行風險提示；g)平臺提供方應監測融合前數據的流入路徑、原始類別及安全級別，并在發生改變且導致相同或不同級別的數據融合時，參與方應協商對融合后的數據重新進行分類、定級，匯聚后數據級別一般不低于所匯聚的原始數據的最高級別相關要求包括a)平臺提供方應確保模型的數據安全，確保每個參與方在數據挖掘過程中無法獲取或推知具體個人的隱私數據，確保攻擊者無法推導出數據提供方的信息；b)模型應具有魯棒性以抵御惡意攻擊，惡意攻擊包括但不限于對抗樣本、數據投毒和后門攻擊；c)平臺提供方應保障過程數據的隱私性，確保融合挖掘過程數據僅可被結果方獲取，且過程數據未超出約定的范圍；d)平臺提供方應具備對過程數據和模型的篡改監測和處置能力。平臺提供方宜根據數量、安全性和可用性進行監測，并對監測到的算改行為實施應急處置；e)平臺提供方應實現對數據挖掘過程中的融合挖掘算法進行鑒權，防止對過程數據的越權訪問：f)平臺提供方應對數據融合及數據挖掘過程中的輸入數據用法用量、模型參數信息以及結果輸出數據進行記錄。平臺提供方應保存任務進行時的日志信息，用于識別數據及模型投毒攻擊、排查系統錯誤和審計等用途；g)平臺提供方不宜存儲模型數據、過程數據或結果數據；h)數據挖掘過程中平臺提供方應具備能夠有效抵御數據泄露攻擊的能力，并根據泄露的數據量、差異程度和泄露影響等因素對泄露攻擊的嚴重程度進行評估；i)當數據融合挖掘產生的結果與業務決策強綁定且需實時反饋給結果方時，融合挖掘方應在線完成決策，并將決策結果返回給結果方后立即刪除決策結果：j)各參與方應遵循最小化原則存儲過程數據，在保證可追溯性的前提下，應在數據融合挖掘完成后采用覆寫法等方式刪除非必要的過程數據。相關要求包括；a)平臺提供方宜對輸出結果進行分類分級，并基于分類分級的結果在數據流出對數據安全進行風險評估，判斷是否可能包含敏感數據。平臺提供方應將鳳險判定結果告知結果方，并對結果進行權限控制，防止結果被非授權方訪問b)平臺提供方應對流出數據的摘要等數據、數據流出行為、操作主體和接收流出數據的主體等進行存證，以確保對數據流出具有追測能力。存證數據本身需要進行脫敏、加密等處理，對存證數據約定的存儲時限應符合法律法規的要求；c)平臺提供方應具備對數據的一致性、完整性、及時性和可用性等數據質量進行確認的能力，確認數據質量滿足結果方需求，并確認輸出結果符合參與方的約定；d)平臺提供方應具備對數據流出的操作進行審計和對異常操作進行告警的能力。其中操作審計的內容包括但不限于數據流出的操作流程，操作范圍、操作結果等：對數據使用范圍的審計包括用戶隱私、敏感數據、重要標識等內容。所有審計記錄應被獨立存儲，嚴禁在任何情況下對審計結果進行修改和刪除：e)平臺提供方應具備對輸出結果的評價能力，支持標準AP1定義的模型效果指標、特征相關性和重要性指標等輸出結果；1)平臺提供方應支持不同類型的數據輸出方式，包括但不限于文件、數據庫，API等；g)平臺提供方應支持在數據流出后刪除原始數據、過程數據和結果數據，平臺提供方應根據數據分類分級結果建立相應的數據銷毀機制。對數據流出后的原始數據的目錄、文件、數據庫記錄等資源所在的存儲空間進行釋放，或在重新分配給其他用戶前進行完全清除。數據刪除的操作行為應具有可追溯性h)平臺提供方宜具備結果方的流量控制機制，防止訪問過載：i)在多方數據融合的挖據結果包含群體數據或多個個體數據的情況下，在保障數據可用的情況下，宜采用差分隱私等隱私保護技術，確保流出的數據無法通過差分攻擊等方法被推斷出未經授權的個人隱私數據；0參與方應對結果數據的有效期進行約定，平臺提供方應具備根據約定設置有效期、對超期的結果數據及時刪除的功能。參與方可對結果方從平臺獲取的數據的使用期限進行約定。6.5基礎安全要求相關要求包括：a)數據提供方和平臺提供方應確保流入、流出數據的質量符合參與方協議的要求：b)平臺提供方應具備接收數據訪問權限申請、對權限進行授權和管理的功能，確保流入數據在數據提供方授權后方可被訪問，過程數據和結果數據的訪問權限須符合參與方約定；c)平臺提供方應具備對參與方的身份認證功能，具體功能包括但不限于：1)平臺提供方應對參與方的系統接入進行身份認證，確保只允許通過認證的主體接入系統；2)宜采用兩種或兩種以上組合的認證方式實現用戶的身份認證。d)平臺提供方應對參與方進行身份鑒別和權限控制，具體職責包括但不限于：2)身份鑒別信息應具有復雜度要求并定期更換：3)平臺提供方應配置登錄失敗處理功能，在多次登錄失敗后應采取必要的保護措施；4)平臺提供方應使用密碼技術對鑒別數據進行保密性和完整性保護；5)平臺應強制結果方在首次登錄時修改初始口令，當結果方身份鑒別信息丟失或失效時平臺提供方應采用技術措施確保鑒別信息重置過程的安全；6)平臺應在任務啟動前對，并在結果方每次接收結果前對其用戶權限進行校驗；7)平臺應重命名或刪除默認賬戶，修改默認賬戶的默認登錄口令。e)平臺提供方應保障數據傳輸的安全性，具體職責包括但不限于：1)各參與方之間進行網絡通信時應采用加密傳輸等方式建立安全通道，宜采用VPN或者專線等傳輸方式以確保傳輸通道的安全性：安全傳輸協議包括但不限于SSL,TLS,HTTPS等；平臺提供方應確保數據傳輸通道具有防攻擊的能力，具體方式包括但不限于入侵檢測、DDoS等安全技術：2)平臺提供方宜確保傳輸數據的不可慕改性和敏感數據的加密，具體方式包括但不限于數據加密、數字簽名、時間戳、區塊鏈等；應支持數據的可逆加密和不可逆加密，其中可逆加密支持對稱加密(常見加密算法包括DES、AES、RC系列、SM4等)和非對稱加密(常見算法包括RSA、DSA、EOC和SM2等):加密算法應具有一定的強度，確保原始數據和模型參數不能被篡改或泄露，并且確保當攻擊者捕捉到傳輸數據時不能進行推導或還原3)平臺提供方應配合參與方或第三方對數據傳輸進行必要的安全測試，測試內容包括但不限于滲透測試、庫漏洞查找等，平臺方應定期檢查評估傳輸的安全可靠性；1)平臺提供方應具備數據泄露的抵御、監測、評估與處置能力；應根據泄露的數據量、泄露比例、與原始數據的差異與敏感信息被推斷出的可能性等因素對泄露的影響進行評估。平臺提供方應確保泄露影響低于參與方的可接受水平；g)平臺提供方應確保能識別數據被慕改的情形，當識別到被算改的數據時，應對數據進行標記，暫停該數據參與相關處理和計算。平臺提供方應及時將該情況通知參與方，并對數據被算改的原因進行排查：8h)平臺提供方應支持用戶密鑰安全管理，確保密鑰的安全，對密鑰的生成、分發、驗證、更新、存儲、備份、有效期、銷毀進行管理；i)平臺提供方應支持對數據操作的全流程進行記錄和溯源，確保數據的可審計與可追溯；0平臺提供方須預置數據操作先確認再執行的功能，所有數據操作均須經由參與方確認后方可執行；k)平臺提供方應建立完善的審計機制，具體內容包括但不限于；1)平臺提供方應對平臺系統進行定期的審計，應支持參與方引入第三方對本次數據融合挖掘的過程和結果進行審計：2)平臺提供方應建立自動化審計系統，監測記錄數據融合挖掘的全流程：3)審計過程形成的記錄能應對DDoS等事件的處置，并為應急響應和事后調查提供支撐；4)平臺提供方應防止非授權訪問、篡改或刪除審計記錄；5)審計內容包括但不限于登錄、加解密、授權、操作數據、打印、內外網通信等過程；6)平臺提供方應及時通知參與方審計過程中發現的異常情況，