基于隱私計(jì)算技術(shù)的公共數(shù)據(jù)開(kāi)發(fā)利用管理規(guī)范Specificationsformanagementofpublicd2024-11-29發(fā)布2025-03-01實(shí)施上海市市場(chǎng)監(jiān)督管理局發(fā)發(fā)出布版I前言 Ⅲ 12規(guī)范性引用文件 1 14縮略語(yǔ) 25總體框架 2 25.2應(yīng)用框架 25.3參與方角色 35.4開(kāi)發(fā)利用流程 36參與方運(yùn)營(yíng)要求 46.1數(shù)據(jù)需求方 46.2開(kāi)發(fā)利用方 56.3公共數(shù)據(jù)管理方 56.4數(shù)據(jù)提供方 56.5平臺(tái)運(yùn)營(yíng)方 56.6第三方監(jiān)管機(jī)構(gòu) 56.7第三方評(píng)估機(jī)構(gòu) 67技術(shù)保障 67.1平臺(tái)能力 67.2數(shù)據(jù)安全 7.3系統(tǒng)安全 7.4跨平臺(tái)操作 6附錄A(資料性)基于隱私計(jì)算技術(shù)的公共數(shù)據(jù)開(kāi)發(fā)利用參考案例 7參考文獻(xiàn) 8Ⅲ本文件按照GB/T1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專(zhuān)利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專(zhuān)利的責(zé)任。本文件由上海市數(shù)據(jù)局提出并組織實(shí)施。本文件由上海市數(shù)據(jù)標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口。本文件起草單位：上海市大數(shù)據(jù)中心、交通銀行股份有限公司、復(fù)旦大學(xué)、上海交通大學(xué)、上海市司法局、上海市浦東新區(qū)數(shù)據(jù)局、上海市浦東新區(qū)大數(shù)據(jù)中心、上海市臨港新片區(qū)大數(shù)據(jù)中心、上海數(shù)據(jù)集團(tuán)有限公司、國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心上海分中心、上海市信息網(wǎng)絡(luò)安全管理協(xié)會(huì)、上海市信息安全行業(yè)協(xié)會(huì)、上海計(jì)算機(jī)軟件技術(shù)開(kāi)發(fā)中心、云賽智聯(lián)股份有限公司、上海觀安信息技術(shù)股份有限公司、上海安恒智慧城市安全技術(shù)有限公司、上海富數(shù)科技有限公司、上海錯(cuò)崴信息科技有限公司、上海數(shù)字產(chǎn)業(yè)發(fā)展有限公司、上海數(shù)字安全科技有限公司、北京原語(yǔ)科技有限公司。本文件主要起草人：劉迎風(fēng)、梁滿(mǎn)、王光中、韓偉力、袁晨、劉辰昀、倪雄、何怡、陳沐桐、汪瑜、楊昊、靳玲、郭曉陽(yáng)、陳凌霄、董繼明、黃得志、吳金松、沈王恒、丁睿、傅行曉、戴沁蕓、劉春梅、王強(qiáng)、楊琳、1本文件規(guī)定了基于隱私計(jì)算技術(shù)進(jìn)行公共數(shù)據(jù)開(kāi)發(fā)利用的總體框架、參與方運(yùn)營(yíng)要求、技術(shù)保障。本文件適用于規(guī)范上海市基于隱私計(jì)算技術(shù)開(kāi)展公共數(shù)據(jù)開(kāi)發(fā)利用的管理工作。2規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T22239信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求GB/T35273信息安全技術(shù)個(gè)人信息安全規(guī)范GB/T39786信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求GB/T43697數(shù)據(jù)安全技術(shù)數(shù)據(jù)分類(lèi)分級(jí)規(guī)則GB/T43709資產(chǎn)管理信息化數(shù)據(jù)質(zhì)量管理要求3術(shù)語(yǔ)和定義下列術(shù)語(yǔ)和定義適用于本文件。公共數(shù)據(jù)publicdata公共管理和服務(wù)機(jī)構(gòu)在依法履行公共管理和服務(wù)職責(zé)過(guò)程中收集和產(chǎn)生的數(shù)據(jù)。隱私計(jì)算privacy-preservingcomputation在提供隱私保護(hù)的前提下，兩個(gè)或多個(gè)數(shù)據(jù)提供方使用其私有數(shù)據(jù)共同完成計(jì)算任務(wù)的一種計(jì)算模式。參與方party參與公共數(shù)據(jù)開(kāi)發(fā)利用的一個(gè)或一組法人或非法人組織。多方安全計(jì)算securemulti-partycomputation一種基于多方數(shù)據(jù)協(xié)同完成計(jì)算目標(biāo)，實(shí)現(xiàn)除計(jì)算結(jié)果及其可推導(dǎo)出的信息之外不泄露各方隱私數(shù)據(jù)的密碼技術(shù)。2聯(lián)邦學(xué)習(xí)federatedlearning由兩個(gè)或以上參與方共同參與，在保障參與方各自原始數(shù)據(jù)不出其定義的安全控制范圍的前提下，協(xié)作構(gòu)建并使用機(jī)器學(xué)習(xí)模型的技術(shù)架構(gòu)。可信執(zhí)行環(huán)境trustedexecutionenvironment基于硬件級(jí)隔離及安全啟動(dòng)機(jī)制，為確保安全敏感應(yīng)用相關(guān)數(shù)據(jù)和代碼的機(jī)密性、完整性、真實(shí)性和不可否認(rèn)性目標(biāo)構(gòu)建的一種軟件運(yùn)行環(huán)境。4縮略語(yǔ)下列縮略語(yǔ)適用于本文件。API:應(yīng)用程序編程接口(ApplicationProgrammingInterface)SDK:軟件開(kāi)發(fā)工具包(SoftwareDevelopmentKit)VPN:虛擬專(zhuān)用網(wǎng)絡(luò)(VirtualPrivateNetwork)5總體框架基于隱私計(jì)算技術(shù)的公共數(shù)據(jù)開(kāi)發(fā)利用，指在符合法律法規(guī)要求的需求場(chǎng)景中，在授權(quán)范圍內(nèi)，以數(shù)據(jù)需求方、數(shù)據(jù)提供方、開(kāi)發(fā)利用方、平臺(tái)運(yùn)營(yíng)方等作為參與方，依托公共數(shù)據(jù)開(kāi)發(fā)利用隱私計(jì)算平臺(tái)(以下簡(jiǎn)稱(chēng)“平臺(tái)”),實(shí)現(xiàn)多方相互監(jiān)督下的多方數(shù)據(jù)融合應(yīng)用?；陔[私計(jì)算技術(shù)的公共數(shù)據(jù)開(kāi)發(fā)利用應(yīng)用框架應(yīng)按圖1進(jìn)行構(gòu)建。3數(shù)據(jù)需求方數(shù)據(jù)需求方需求申請(qǐng)服務(wù)結(jié)果公共數(shù)據(jù)開(kāi)發(fā)利用隱私計(jì)算平臺(tái)全過(guò)程開(kāi)發(fā)平臺(tái)運(yùn)營(yíng)方可信隱私計(jì)算環(huán)境全流程管理數(shù)據(jù)接入否資源平臺(tái)數(shù)據(jù)提供方公共數(shù)據(jù)管理方第三方評(píng)估機(jī)構(gòu)開(kāi)發(fā)利用方專(zhuān)業(yè)評(píng)估計(jì)算資源監(jiān)管接入是圖1基于隱私計(jì)算技術(shù)的公共數(shù)據(jù)開(kāi)發(fā)利用應(yīng)用框架在實(shí)際場(chǎng)景中，不同主體應(yīng)根據(jù)不同職責(zé)區(qū)分參與方角色，按需分配各參與方角色。主要參與方角色如下：a)數(shù)據(jù)需求方：對(duì)公共數(shù)據(jù)有需求的參與方；b)開(kāi)發(fā)利用方：進(jìn)行公共數(shù)據(jù)開(kāi)發(fā)利用并提供數(shù)據(jù)服務(wù)的參與方；c)公共數(shù)據(jù)管理方：對(duì)平臺(tái)運(yùn)營(yíng)過(guò)程進(jìn)行監(jiān)督管理的參與方；d)數(shù)據(jù)提供方：提供公共數(shù)據(jù)的參與方；e)平臺(tái)運(yùn)營(yíng)方：對(duì)平臺(tái)進(jìn)行建設(shè)、運(yùn)營(yíng)及運(yùn)維的參與方；f)第三方監(jiān)管機(jī)構(gòu)：對(duì)基于隱私計(jì)算技術(shù)的公共數(shù)據(jù)開(kāi)發(fā)利用過(guò)程進(jìn)行監(jiān)督、審查和審計(jì)等的參g)第三方評(píng)估機(jī)構(gòu)：在基于隱私計(jì)算技術(shù)的公共數(shù)據(jù)開(kāi)發(fā)利用過(guò)程中提供價(jià)值評(píng)估、風(fēng)險(xiǎn)評(píng)估等服務(wù)的參與方。基于隱私計(jì)算技術(shù)的公共數(shù)據(jù)開(kāi)發(fā)利用流程應(yīng)按圖2進(jìn)行實(shí)施。4公共數(shù)據(jù)管理方公共數(shù)據(jù)管理方數(shù)據(jù)提供方開(kāi)始場(chǎng)景審核服務(wù)上線服務(wù)上線審核服務(wù)使用結(jié)束第三方評(píng)估機(jī)構(gòu)數(shù)據(jù)需求方需求申請(qǐng)方案評(píng)估圖2基于隱私計(jì)算技術(shù)的公共數(shù)據(jù)開(kāi)發(fā)利用流程基于隱私計(jì)算技術(shù)的公共數(shù)據(jù)開(kāi)發(fā)利用的步驟如下。a)需求申請(qǐng)：數(shù)據(jù)需求方基于實(shí)際應(yīng)用需要，向開(kāi)發(fā)利用方提出公共數(shù)據(jù)開(kāi)發(fā)利用場(chǎng)景需求，包括c)方案評(píng)估：第三方評(píng)估機(jī)構(gòu)對(duì)場(chǎng)景需求、技術(shù)方案進(jìn)行評(píng)估。e)融合加工：開(kāi)發(fā)利用方在測(cè)試環(huán)境進(jìn)行數(shù)據(jù)融合加工，對(duì)數(shù)據(jù)進(jìn)行預(yù)處理。f)隱私計(jì)算模型開(kāi)發(fā)：開(kāi)發(fā)利用方進(jìn)行隱私計(jì)算模型開(kāi)發(fā)，并將模型構(gòu)建為數(shù)據(jù)服務(wù)。g)隱私計(jì)算服務(wù)調(diào)試：開(kāi)發(fā)利用方部署所需的隱私計(jì)算節(jié)點(diǎn)，進(jìn)行系統(tǒng)聯(lián)調(diào)。h)服務(wù)上線：開(kāi)發(fā)利用方對(duì)數(shù)據(jù)服務(wù)進(jìn)行自評(píng)估并提交數(shù)據(jù)服務(wù)上線申請(qǐng)，第三方評(píng)估機(jī)構(gòu)、公共數(shù)據(jù)管理方分別進(jìn)行上線評(píng)估、審核，審核通過(guò)的數(shù)據(jù)服務(wù)在生產(chǎn)環(huán)境上線。i)服務(wù)使用：數(shù)據(jù)需求方使用數(shù)基于隱私計(jì)算技術(shù)的公共數(shù)據(jù)開(kāi)發(fā)利用參考案例見(jiàn)附錄A。6參與方運(yùn)營(yíng)要求數(shù)據(jù)需求方的要求包括但不限于：5a)應(yīng)制定并實(shí)施數(shù)據(jù)安全管理制度，具備對(duì)公共數(shù)據(jù)開(kāi)發(fā)利用結(jié)果進(jìn)行保護(hù)的能力；b)需求申請(qǐng)時(shí)，應(yīng)基于應(yīng)用場(chǎng)景，按照最小夠用原則，提出數(shù)據(jù)應(yīng)用的場(chǎng)景需求，明確業(yè)務(wù)流程、技術(shù)要求和需要保護(hù)的數(shù)據(jù)對(duì)象；c)服務(wù)使用時(shí)，應(yīng)按照應(yīng)用場(chǎng)景對(duì)服務(wù)結(jié)果進(jìn)行使用、二次加工，落實(shí)數(shù)據(jù)安全管理制度。6.2開(kāi)發(fā)利用方開(kāi)發(fā)利用方的要求包括但不限于：a)應(yīng)制定并實(shí)施技術(shù)方案風(fēng)險(xiǎn)自評(píng)估制度，制定風(fēng)險(xiǎn)應(yīng)對(duì)措施，避免數(shù)據(jù)計(jì)算中間值、數(shù)據(jù)服務(wù)結(jié)果等信息泄露，保障多個(gè)數(shù)據(jù)提供行為關(guān)聯(lián)后暴露約定范圍外信息的風(fēng)險(xiǎn)可控；b)方案對(duì)接時(shí)，應(yīng)評(píng)估數(shù)據(jù)需求方的數(shù)據(jù)安全防護(hù)水平，制定合理合規(guī)的技術(shù)方案；c)服務(wù)上線前，應(yīng)對(duì)算法邏輯、數(shù)據(jù)服務(wù)進(jìn)行自評(píng)估，并由第三方機(jī)構(gòu)評(píng)審、評(píng)估，確保符合場(chǎng)景需求及隱私保護(hù)、數(shù)據(jù)安全等要求，并根據(jù)要求進(jìn)行審核、備案，接受第三方監(jiān)管機(jī)構(gòu)的全過(guò)程監(jiān)管；d)服務(wù)上線后，應(yīng)對(duì)提供的數(shù)據(jù)服務(wù)進(jìn)行數(shù)據(jù)使用管控和風(fēng)險(xiǎn)管控。6.3公共數(shù)據(jù)管理方公共數(shù)據(jù)管理方的要求包括但不限于：a)應(yīng)制定并實(shí)施公共數(shù)據(jù)開(kāi)發(fā)利用隱私計(jì)算技術(shù)應(yīng)用的管理制度；b)應(yīng)對(duì)數(shù)據(jù)開(kāi)發(fā)利用過(guò)程中的各參與方進(jìn)行監(jiān)督、指導(dǎo)、管理；c)應(yīng)組織開(kāi)發(fā)利用過(guò)程中場(chǎng)景需求、技術(shù)方案、服務(wù)上線的評(píng)審。6.4數(shù)據(jù)提供方數(shù)據(jù)提供方的要求包括但不限于：a)應(yīng)保證數(shù)據(jù)來(lái)源合法合規(guī)，可追溯；b)應(yīng)明確數(shù)據(jù)服務(wù)任務(wù)提供的數(shù)據(jù)范圍，并按照GB/T43697對(duì)數(shù)據(jù)進(jìn)行分類(lèi)分級(jí)管理；c)應(yīng)按照GB/T43709的要求加強(qiáng)數(shù)據(jù)質(zhì)量管理；d)應(yīng)會(huì)同公共數(shù)據(jù)管理方對(duì)應(yīng)用場(chǎng)景進(jìn)行審核。6.5平臺(tái)運(yùn)營(yíng)方平臺(tái)運(yùn)營(yíng)方的要求包括但不限于：a)應(yīng)制定并實(shí)施平臺(tái)的運(yùn)營(yíng)管理制度、風(fēng)險(xiǎn)管理制度及安全管理制度；b)應(yīng)負(fù)責(zé)平臺(tái)建設(shè)及運(yùn)維，為平臺(tái)提供計(jì)算資源及技術(shù)支撐，提供所需功能，負(fù)責(zé)全流程運(yùn)營(yíng)；c)應(yīng)實(shí)現(xiàn)與目錄鏈、本市大數(shù)據(jù)資源平臺(tái)等的對(duì)接，加強(qiáng)數(shù)據(jù)管理；d)應(yīng)對(duì)平臺(tái)資源進(jìn)行管控、調(diào)度，確保平臺(tái)運(yùn)行服務(wù)性能；e)應(yīng)對(duì)平臺(tái)中運(yùn)行的任務(wù)進(jìn)行監(jiān)控、分析，保障平臺(tái)中的各項(xiàng)服務(wù)平穩(wěn)運(yùn)行；f)應(yīng)保障平臺(tái)的安全性，落實(shí)平臺(tái)各項(xiàng)安全管控措施；g)應(yīng)配合數(shù)據(jù)管理方及第三方監(jiān)管機(jī)構(gòu)，落實(shí)監(jiān)督、管理、審計(jì)要求。6.6第三方監(jiān)管機(jī)構(gòu)第三方監(jiān)管機(jī)構(gòu)應(yīng)根據(jù)數(shù)據(jù)主管部門(mén)和行業(yè)主管部門(mén)相關(guān)要求，對(duì)應(yīng)用場(chǎng)景的開(kāi)發(fā)過(guò)程、使用情況進(jìn)行監(jiān)督、審查和審計(jì)，保持監(jiān)管的合法、公正、66.7第三方評(píng)估機(jī)構(gòu)第三方評(píng)估機(jī)構(gòu)應(yīng)具備對(duì)場(chǎng)景需求、技術(shù)方案等進(jìn)行評(píng)估的能力，保持評(píng)估的合法、公正、中立、客觀。7技術(shù)保障平臺(tái)能力的要求包括但不限于：a)平臺(tái)運(yùn)營(yíng)方應(yīng)保證平臺(tái)的安全使用，基于訪問(wèn)控制、權(quán)限管理等對(duì)平臺(tái)用戶(hù)進(jìn)行安全管控，并提供安全的數(shù)據(jù)開(kāi)發(fā)環(huán)境；b)平臺(tái)運(yùn)營(yíng)方應(yīng)實(shí)現(xiàn)開(kāi)發(fā)測(cè)試環(huán)境與生產(chǎn)環(huán)境相互分離；c)平臺(tái)運(yùn)營(yíng)方應(yīng)提供同場(chǎng)景匹配的多方安全計(jì)算、聯(lián)邦學(xué)習(xí)和可信執(zhí)行環(huán)境等隱私計(jì)算技術(shù)；d)平臺(tái)運(yùn)營(yíng)方應(yīng)保證平臺(tái)可用性、業(yè)務(wù)連續(xù)性和災(zāi)備能力；e)平臺(tái)運(yùn)營(yíng)方應(yīng)對(duì)平臺(tái)中的關(guān)鍵信息進(jìn)行記錄、存證、分析。數(shù)據(jù)安全的要求包括但不限于：a)各參與方應(yīng)按照GB/T35273的相關(guān)要求，利用多方安全計(jì)算、聯(lián)邦學(xué)習(xí)和可信執(zhí)行環(huán)境等隱私計(jì)算技術(shù)，保障公共數(shù)據(jù)開(kāi)發(fā)利用中的個(gè)人信息安全；b)各參與方應(yīng)對(duì)數(shù)據(jù)處理采取數(shù)據(jù)保護(hù)措施，優(yōu)先采購(gòu)安全可信、經(jīng)過(guò)安全檢測(cè)認(rèn)證的隱私計(jì)算產(chǎn)品；c)平臺(tái)運(yùn)營(yíng)方應(yīng)支持算力資源隔離，以實(shí)現(xiàn)不同參與方獨(dú)立使用算力資源。系統(tǒng)安全的要求包括但不限于：a)平臺(tái)運(yùn)營(yíng)方應(yīng)保證平臺(tái)不低于GB/T22239中網(wǎng)絡(luò)安全等級(jí)保護(hù)(三級(jí))的相關(guān)要求；b)平臺(tái)運(yùn)營(yíng)方應(yīng)保證平臺(tái)的密碼應(yīng)用滿(mǎn)足GB/T39786的相關(guān)要求；c)平臺(tái)運(yùn)營(yíng)方應(yīng)保證所提供技術(shù)的安全性，采用安全的隱私計(jì)算算法協(xié)議，保障隱私計(jì)算過(guò)程的d)平臺(tái)運(yùn)營(yíng)方應(yīng)對(duì)設(shè)備運(yùn)行狀態(tài)、資源使用情況等進(jìn)行監(jiān)控，并支持計(jì)算資源的靈活擴(kuò)展，如數(shù)據(jù)e)平臺(tái)運(yùn)營(yíng)方應(yīng)保證平臺(tái)部署在中國(guó)境內(nèi)。7.4跨平臺(tái)操作跨平臺(tái)操作的要求包括但不限于：a)各參與方應(yīng)使用安全通道、VPN等對(duì)跨平臺(tái)通信進(jìn)行保護(hù)；b)平臺(tái)運(yùn)營(yíng)方應(yīng)提供基于數(shù)字證書(shū)等方式的跨平臺(tái)身份互認(rèn)技術(shù)；c)平臺(tái)運(yùn)營(yíng)方應(yīng)按需提供便于跨平臺(tái)接入的工具，如API、SDK或程序包7(資料性)基于隱私計(jì)算技術(shù)的公共數(shù)據(jù)開(kāi)發(fā)利用參考案例A.1案例背景某銀行為服務(wù)科技自立自強(qiáng)戰(zhàn)略，在開(kāi)展科技金融服務(wù)時(shí)，需對(duì)科創(chuàng)企業(yè)運(yùn)營(yíng)情況進(jìn)行評(píng)估并定期分析，以提高線上自動(dòng)審批通過(guò)率、線上授信額度，降低金融產(chǎn)品違約率?；诠矓?shù)據(jù)開(kāi)發(fā)利用隱私計(jì)獲取企業(yè)運(yùn)營(yíng)情況分析結(jié)果。A.2開(kāi)發(fā)利用流程某銀行開(kāi)展科技金融服務(wù)，基于隱私計(jì)算技術(shù)進(jìn)行科創(chuàng)企業(yè)運(yùn)營(yíng)情況分析的開(kāi)發(fā)利用流程可參考以下流程。a)需求申請(qǐng)：某銀行作為數(shù)據(jù)需求方，基于科技金融服務(wù)需對(duì)企業(yè)運(yùn)營(yíng)情況進(jìn)行分析的實(shí)際需要，提出場(chǎng)景需求。b)方案對(duì)接：1)開(kāi)發(fā)利用方在測(cè)試環(huán)境進(jìn)行數(shù)據(jù)探查；2)開(kāi)發(fā)利用方基于目錄鏈提供的數(shù)據(jù)目錄選擇所需數(shù)據(jù)；3)開(kāi)發(fā)利用方基于場(chǎng)景需求提出數(shù)據(jù)加工邏輯；4)開(kāi)發(fā)利用方基于所需數(shù)據(jù)分類(lèi)分級(jí)、數(shù)據(jù)量、數(shù)據(jù)服務(wù)響應(yīng)時(shí)間、結(jié)果使用范圍等需求選擇適用的隱私計(jì)算技術(shù)；5)開(kāi)發(fā)利用方基于場(chǎng)景需求及適用的隱私計(jì)算技術(shù)，匹配所需計(jì)算資源，形成技術(shù)方案。c)方案評(píng)估：第三方評(píng)估機(jī)構(gòu)對(duì)科創(chuàng)企業(yè)運(yùn)營(yíng)情況分析場(chǎng)景需求、技術(shù)方案進(jìn)行評(píng)估。d)場(chǎng)景審核：公共數(shù)據(jù)管理方、數(shù)據(jù)提供方對(duì)場(chǎng)景需求、技術(shù)方案進(jìn)行審核。e)融合加工：1)數(shù)據(jù)提供方將數(shù)據(jù)接入本市大數(shù)據(jù)資源平臺(tái)，按照公共數(shù)據(jù)使用