近20年来,隐私保护得到了广泛的关注,然而已有的研究都是针对具体场景的、零散的隐私保护方法,没有从计算(Computing)的角度对隐私保护进行体系化研究。
隐私计算需要对隐私信息有明确的形式化定义和度量方法,建立完备的公理化体系、推理规则和定理证明系统。
隐私计算的核心思想是支撑隐私信息的感知和量化,建立隐私信息操作过程中的可计算模型,刻画隐私操作(含运算操作、控制操作等)组合时隐私分量的量化演变规则、隐私保护算法能力评估、保护效果量化之间的映射关系,确定不同约束下能达到的最优隐私保护效果以及实现最优效果的隐私保护算法及其组合。
隐私计算的最终目标是隐私保护的自动化执行,构建支持海量用户、高并发、高效能隐私保护的系统设计理论与架构,实现不同算法之间的有效组合。
隐私计算是面向隐私信息全生命周期保护的计算理论和方法,是隐私信息的所有权、管理权和使用权分离时隐私度量、隐私泄露代价、隐私保护与隐私分析复杂性的可计算模型与公理化系统。
具体是指在处理视频、音频、图像、图形、文字、数值、泛在网络行为信息流等信息时,对所涉及的隐私信息进行描述、度量、评价和融合等操作,形成一套符号化、公式化且具有量化评价标准的隐私计算理论、算法及应用技术,支持多系统融合的隐私信息保护。
隐私计算涵盖了信息搜集者、发布者和使用者在信息产生、感知、发布、传播、存储、处理、使用、销毁等全生命周期过程的所有计算操作,并包含支持海量用户、高并发、高效能隐私保护的系统设计理论与架构。
隐私计算是泛在网络空间隐私信息保护的重要理论基础。
隐私计算指导隐私信息保护系统的实现,能够自动地对不同场景、不同类型的隐私信息进行差异化保护,需要构建出清晰的、软硬件高效实现的隐私计算框架,包括隐私信息的感知、隐私化(在环节中称为“隐私化”,在算法中称为“脱敏”)、存储、融合、交换和销毁等关键技术环节。
隐私计算理论体系及关键技术所涵盖的6个环节(感知、隐私化、存储、融合、交换、销毁):
1.感知环节
感知环节主要关注隐私描述与规约机制、隐私分量判定与量化、互信息计算等问题。
在隐私描述与规约机制方面,需要解决隐私元数据提取、隐私标记和编码、隐私的描述(包括隐私信息主体属性、接收者属性及其映射关系)、隐私信息变化过程、推理规则等。
在隐私分量判定与量化方面,在给定一个或多个数据文档的情况下,判定是否存在隐私,以及隐私分量的量化度量。
在互信息计算方面,重点关注数据中含有隐私分量以及所含隐私分量间互信息的量化度量,数据主体、控制者、处理者和接收者对隐私分量的主观理解和背景知识的互信息度量等。
所设计的隐私计算模型需要具备对主体、时间、空间三维演化的刻画能力。
2.隐私化环节
隐私化环节主要关注脱敏机制、算法保护能力的评价理论和方法等问题。
在脱敏机制方面,研究如何构造适用于隐私保护、与传统数据加解密不同的脱敏操作,k-匿名、混淆、泛化、抑制、解耦、加扰等都可作为大规模隐私保护信息系统的局部组件。
在算法评价理论和方法方面,需综合判定和评价算法输出数据是否需要全标记、标记是否合理、所选用的隐私保护算法是否满足相应的保护需求、是否具备对抗关联分析能力等方面要素,并给出相应的评价标准理论和方法。
3.存储环节
存储环节主要关注同质隐私信息去冗、隐私感知的混合数据分割存储、单副本的多用户完整性校验等问题,支持远程访问和细粒度访问的新型访问控制机制、局部数据修改和群修改的新型访问控制机制,以支撑隐私保护删除权、被遗忘权的落地实现。
4.融合环节
融合环节主要关注隐私信息匹配、隐私信息变换和隐私属性衍生、约束条件映射、隐私操作和隐私保护方案的自适应选择等问题。
5.交换环节
交换环节主要关注延伸访问控制机制、隐私动态调整、隐私侵权行为的判定和溯源取证等问题,通过延伸授权解决二次分发问题。
6.销毁环节
销毁环节主要关注确定性删除、通知消息机制等问题。
确定性删除需保证隐私化后的信息不能去隐私化,且在接收到用户要求删除指令或者与用户约定信息存储到期后自动删除。
建立通知消息机制和一套通知关联系统,通知其他隐私信息控制者和处理者删除隐私信息,释放存储空间。
欧盟和美国已立法分别赋予用户“删除权、被遗忘权”和“橡皮”法律。
从技术角度实现这一权力也需要研究确定性删除技术。
