王智慧，周旭晨，朱云

1. 復(fù)旦大學(xué)計(jì)算機(jī)科學(xué)技術(shù)學(xué)院，上?！?01203；2. 上海市數(shù)據(jù)科學(xué)重點(diǎn)實(shí)驗(yàn)室，上海　201203

1　引言

隨著大數(shù)據(jù)時(shí)代的來(lái)臨，數(shù)據(jù)資源的戰(zhàn)略性和商業(yè)價(jià)值越來(lái)越被人們認(rèn)同和重視，數(shù)據(jù)資源的開放共享需求也日益緊迫。然而在現(xiàn)實(shí)中，數(shù)據(jù)資源的開放共享卻變得越來(lái)越困難。造成這種狀況的主要原因之一是數(shù)據(jù)開放共享時(shí)的隱私保護(hù)問題[1]。

以醫(yī)療數(shù)據(jù)開放為例，醫(yī)療數(shù)據(jù)開放顯然能夠?yàn)獒t(yī)療數(shù)據(jù)開發(fā)利用提供便利，為臨床診斷、藥物研發(fā)等提供數(shù)據(jù)支持，推動(dòng)醫(yī)療數(shù)據(jù)價(jià)值的實(shí)現(xiàn)。但是，醫(yī)療數(shù)據(jù)常包含較多的隱私信息，例如，患者個(gè)人信息、既往病史、就診記錄等。因此，出于對(duì)患者的隱私保護(hù)的考慮，醫(yī)療數(shù)據(jù)的開放將不可避免地受到制約。

從數(shù)據(jù)開放模式下的隱私保護(hù)需求考慮，一方面要求實(shí)現(xiàn)對(duì)個(gè)體隱私的保護(hù)，即保護(hù)數(shù)據(jù)所描述的個(gè)體對(duì)象的隱私；另一方面也要求對(duì)數(shù)據(jù)自身的稀缺性加以保護(hù)，即保護(hù)數(shù)據(jù)開放者提供的原始數(shù)據(jù)的整體隱私不被非法攫取。因此，從隱私保護(hù)的角度來(lái)說，數(shù)據(jù)開放要求必然是有監(jiān)管的開放，即數(shù)據(jù)自治開放。

本文考慮在數(shù)據(jù)自治開放模式下，以數(shù)據(jù)盒為基本數(shù)據(jù)單元向數(shù)據(jù)使用者開放。數(shù)據(jù)盒是數(shù)據(jù)自治開放的載體，它封裝了被開放的數(shù)據(jù)以及相應(yīng)的數(shù)據(jù)管理系統(tǒng)。數(shù)據(jù)使用者先向數(shù)據(jù)開放者申請(qǐng)使用數(shù)據(jù)盒，在獲得數(shù)據(jù)開放者的授權(quán)之后，再通過數(shù)據(jù)盒提供的數(shù)據(jù)訪問接口使用數(shù)據(jù)，以此實(shí)現(xiàn)數(shù)據(jù)的開放。在數(shù)據(jù)使用的過程中，數(shù)據(jù)盒內(nèi)的管理系統(tǒng)通過對(duì)數(shù)據(jù)使用者的數(shù)據(jù)訪問進(jìn)行管控，實(shí)現(xiàn)數(shù)據(jù)開放過程的自治。一個(gè)數(shù)據(jù)盒內(nèi)封裝的數(shù)據(jù)可能含有隱私信息。為了防止隱私泄露，數(shù)據(jù)使用者在申請(qǐng)使用數(shù)據(jù)盒時(shí)，需要提供相應(yīng)的數(shù)據(jù)使用說明，即說明需要使用哪些數(shù)據(jù)、以何種方式使用這些數(shù)據(jù)以及數(shù)據(jù)使用的預(yù)期結(jié)果。因此，面向數(shù)據(jù)盒的隱私保護(hù)需要通過分析數(shù)據(jù)使用者的數(shù)據(jù)使用說明，判斷相應(yīng)數(shù)據(jù)使用是否可能導(dǎo)致隱私泄露以及涉及隱私泄露的數(shù)據(jù)范圍和隱私泄露的嚴(yán)重程度。

針對(duì)數(shù)據(jù)盒的隱私保護(hù)需求，本文總結(jié)了在數(shù)據(jù)自治開放模式下面臨的隱私保護(hù)挑戰(zhàn)，基于隱私泄露風(fēng)險(xiǎn)評(píng)估，設(shè)計(jì)了面向數(shù)據(jù)盒的隱私保護(hù)系統(tǒng)框架。通過將風(fēng)險(xiǎn)評(píng)估與使用控制結(jié)合，允許數(shù)據(jù)開放者在其可接受的隱私泄露風(fēng)險(xiǎn)范圍內(nèi)開放數(shù)據(jù)，進(jìn)而為數(shù)據(jù)自治開放提供有力保障。

2　相關(guān)工作

隱私就是任何與特定個(gè)人或團(tuán)體相關(guān)、但不愿被不加選擇地暴露的信息①www.codata.org[2]。目前許多隱私保護(hù)研究基于這樣的前提假設(shè)：數(shù)據(jù)開放者持有的電子化數(shù)據(jù)一般是完整的、未經(jīng)任何處理的數(shù)據(jù)，其中涉及隱私的敏感屬性事先已知。一種簡(jiǎn)單的手段是隱藏姓名、身份證號(hào)等唯一標(biāo)識(shí)個(gè)體身份的顯式標(biāo)識(shí)符，但這種簡(jiǎn)單匿名化的效果是相對(duì)脆弱的，難以抵御常見的背景知識(shí)攻擊和鏈接攻擊等行為[3-5]。背景知識(shí)攻擊就是利用背景知識(shí)直接推知隱私信息的攻擊手段。背景知識(shí)包括攻擊者可能擁有的任何信息，前提是這些信息有助于其進(jìn)行推理，并獲知開放數(shù)據(jù)中某些記錄對(duì)應(yīng)的敏感屬性值。而鏈接攻擊則是指攻擊者在其背景知識(shí)基礎(chǔ)上和外部數(shù)據(jù)集進(jìn)行鏈接推理，進(jìn)而導(dǎo)致隱私泄露的攻擊方式。圍繞這一問題，目前已經(jīng)有k-anonymity[3,4]、l-diversity[5]、t-closeness[6]、m-invariance[7]、differential privacy[8,9]等多種隱私數(shù)據(jù)保護(hù)模型先后被提出。但是，目前的研究很多都是在數(shù)據(jù)開放前通過對(duì)數(shù)據(jù)進(jìn)行添加噪聲等相應(yīng)處理來(lái)實(shí)現(xiàn)隱私保護(hù)的，這樣一方面會(huì)降低數(shù)據(jù)在開放過程中的可用性，另一方面也沒有體現(xiàn)數(shù)據(jù)開放過程中對(duì)隱私保護(hù)的自主可控性。

在大數(shù)據(jù)環(huán)境下，攻擊者通過數(shù)據(jù)挖掘分析技術(shù)會(huì)擁有更強(qiáng)大的背景知識(shí)，而且可以結(jié)合多源數(shù)據(jù)以發(fā)動(dòng)鏈接攻擊。針對(duì)這一情況，一些隱私保護(hù)研究立足于與數(shù)據(jù)挖掘相關(guān)的隱私保護(hù)研究。特別地，一些研究針對(duì)關(guān)聯(lián)規(guī)則挖掘[10-13]、數(shù)據(jù)分類[14-18]以及數(shù)據(jù)聚類[19-21]分別提出了相應(yīng)的隱私保護(hù)挖掘技術(shù)。但是，這些研究大都針對(duì)特定的數(shù)據(jù)挖掘任務(wù)，缺乏數(shù)據(jù)自治開放實(shí)際所需的普遍適用性。

從上述關(guān)于隱私保護(hù)的現(xiàn)有技術(shù)的分析可以看到，現(xiàn)行方法雖然在一定程度上起到了隱私保護(hù)的作用，但是仍存在不足，不能滿足數(shù)據(jù)自治開放模式下隱私保護(hù)的本質(zhì)需求。

3　隱私保護(hù)挑戰(zhàn)

在數(shù)據(jù)自治開放模式下，如何實(shí)現(xiàn)有效的隱私保護(hù)是有待研究的重要問題之一，對(duì)數(shù)據(jù)開放及其流通等有著十分重要的影響。在實(shí)現(xiàn)數(shù)據(jù)自治開放的過程中，面臨的隱私保護(hù)挑戰(zhàn)主要來(lái)自以下幾個(gè)方面。

（1）隱私保護(hù)的自主可控性

隱私保護(hù)的自主可控性即數(shù)據(jù)開放者能夠根據(jù)數(shù)據(jù)自身的特性或者數(shù)據(jù)在開放過程中的使用需求，自主地決定并控制哪些數(shù)據(jù)在數(shù)據(jù)開放的過程中需要進(jìn)行隱私保護(hù)，并且對(duì)這些數(shù)據(jù)的隱私保護(hù)需要達(dá)到何種程度。如果不能保障隱私保護(hù)的自主可控性，也就無(wú)法在數(shù)據(jù)開放過程中實(shí)現(xiàn)對(duì)數(shù)據(jù)的有效監(jiān)管，從而無(wú)法滿足數(shù)據(jù)自治開放的基本要求。

（2）如何平衡數(shù)據(jù)的可用性與隱私保護(hù)之間的關(guān)系

數(shù)據(jù)的可用性反映了在數(shù)據(jù)自治開放的過程中，數(shù)據(jù)自身的實(shí)際意義得到表達(dá)的程度。數(shù)據(jù)的可用性與具體的應(yīng)用場(chǎng)景有緊密的關(guān)聯(lián)，其在表現(xiàn)形式上既可以是數(shù)據(jù)在統(tǒng)計(jì)意義上的數(shù)據(jù)分布信息，也可以是特定數(shù)據(jù)記錄的準(zhǔn)確屬性值。在數(shù)據(jù)開放的過程中，如果片面強(qiáng)調(diào)數(shù)據(jù)的可用性，那么隱私泄露的風(fēng)險(xiǎn)必然會(huì)增大；如果過分強(qiáng)調(diào)隱私保護(hù)，那么數(shù)據(jù)的可用性則會(huì)受到影響。

（3）如何兼顧對(duì)個(gè)體隱私和數(shù)據(jù)自身稀缺性的有效保護(hù)

對(duì)個(gè)體隱私的有效保護(hù)即保護(hù)數(shù)據(jù)所描述的個(gè)體對(duì)象的隱私不被泄露。這表現(xiàn)為數(shù)據(jù)使用者不能在未經(jīng)數(shù)據(jù)開放者同意的前提下，通過對(duì)數(shù)據(jù)的訪問獲取特定個(gè)體對(duì)象的隱私信息。需要注意的是，數(shù)據(jù)使用者有時(shí)雖不能通過單次訪問獲取個(gè)體的隱私信息，但是通過對(duì)數(shù)據(jù)的多次訪問，然后利用訪問結(jié)果之間的相關(guān)性可能獲取個(gè)體的隱私信息。對(duì)數(shù)據(jù)自身的稀缺性進(jìn)行有效保護(hù)是指保護(hù)數(shù)據(jù)開放者提供的原始數(shù)據(jù)的整體隱私不被非法攫取。這在數(shù)據(jù)開放的過程中，通常表現(xiàn)為需要防范數(shù)據(jù)使用者通過“數(shù)據(jù)拼圖”造成對(duì)數(shù)據(jù)整體隱私的侵犯。

數(shù)據(jù)拼圖是指數(shù)據(jù)使用者能夠通過整合數(shù)據(jù)訪問過程中多次獲取的數(shù)據(jù)片段，利用數(shù)據(jù)片段之間的關(guān)聯(lián)性，非法拼接還原出整個(gè)數(shù)據(jù)的全貌或者其中大量的涉及隱私的敏感數(shù)據(jù)。數(shù)據(jù)拼圖可以由單個(gè)使用者通過拼接在多次數(shù)據(jù)訪問中獲取的數(shù)據(jù)片段來(lái)完成，也可能由多個(gè)使用者共同合作，通過共謀來(lái)實(shí)現(xiàn)對(duì)數(shù)據(jù)片段的拼接。在數(shù)據(jù)自治開放模式下，一個(gè)或多個(gè)惡意的攻擊者可以通過數(shù)據(jù)拼圖這種攻擊手段，未經(jīng)數(shù)據(jù)開放者授權(quán)就獲取被保護(hù)的數(shù)據(jù)對(duì)象，從而構(gòu)成對(duì)數(shù)據(jù)整體隱私的侵犯。

數(shù)據(jù)拼圖會(huì)給數(shù)據(jù)開放帶來(lái)實(shí)質(zhì)危害，因?yàn)楣粽呖梢越柚@種手段實(shí)現(xiàn)對(duì)原始數(shù)據(jù)的攫取，這樣就意味著數(shù)據(jù)資源的稀缺性喪失，從而喪失其原有的價(jià)值，導(dǎo)致數(shù)據(jù)擁有者不愿意將數(shù)據(jù)開放給別人使用。此外，數(shù)據(jù)拼圖的攻擊使得數(shù)據(jù)整體的所有權(quán)屬也難以得到保護(hù)。因?yàn)閿?shù)據(jù)使用者可以將通過數(shù)據(jù)拼圖獲得的數(shù)據(jù)再次傳播給其他未被授權(quán)的數(shù)據(jù)使用者，造成對(duì)原數(shù)據(jù)權(quán)屬的二次侵犯。

針對(duì)上述數(shù)據(jù)自治開放模式下的隱私保護(hù)挑戰(zhàn)，在隱私泄露風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，本文提出了一種面向數(shù)據(jù)盒的隱私保護(hù)系統(tǒng)框架來(lái)應(yīng)對(duì)這些挑戰(zhàn)。

4　面向數(shù)據(jù)盒的隱私保護(hù)系統(tǒng)框架

數(shù)據(jù)盒作為實(shí)現(xiàn)數(shù)據(jù)自治開放的載體，將數(shù)據(jù)封裝在盒內(nèi)，其本質(zhì)是在獲得數(shù)據(jù)開放者許可的前提下，將數(shù)據(jù)使用權(quán)開放給使用者，而不是直接將數(shù)據(jù)移交給使用者。由于數(shù)據(jù)盒內(nèi)封裝的數(shù)據(jù)可能涉及隱私信息，因此在數(shù)據(jù)使用者使用數(shù)據(jù)盒內(nèi)的數(shù)據(jù)之前，評(píng)估其相應(yīng)的數(shù)據(jù)使用請(qǐng)求，判斷是否會(huì)導(dǎo)致隱私泄露，對(duì)于數(shù)據(jù)自治開放中的隱私保護(hù)至關(guān)重要。本節(jié)在隱私泄露風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，給出了一個(gè)具有層次化結(jié)構(gòu)的面向數(shù)據(jù)盒的隱私保護(hù)系統(tǒng)框架。該系統(tǒng)框架如圖1所示。

圖1　面向數(shù)據(jù)盒的隱私保護(hù)系統(tǒng)框架

在系統(tǒng)框架中，最下層的數(shù)據(jù)層存儲(chǔ)數(shù)據(jù)開放者提供的原始數(shù)據(jù)、隱私保護(hù)規(guī)則以及當(dāng)前所有數(shù)據(jù)訪問的歷史信息記錄集合，為評(píng)估隱私泄露的風(fēng)險(xiǎn)提供數(shù)據(jù)基礎(chǔ)。隱私保護(hù)規(guī)則包括個(gè)體隱私保護(hù)規(guī)則和數(shù)據(jù)拼圖防范規(guī)則，可以由數(shù)據(jù)開放者預(yù)定義，以便依據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果確定是否違背數(shù)據(jù)開放者的隱私保護(hù)需求。

數(shù)據(jù)使用者可以采用系統(tǒng)預(yù)定義的數(shù)據(jù)使用聲明規(guī)范描述語(yǔ)言或接口，表達(dá)自己對(duì)數(shù)據(jù)開放者提供數(shù)據(jù)的使用請(qǐng)求，并將其提交給系統(tǒng)框架的接口層。接口層包括使用聲明分析模塊和使用控制模塊，其中使用聲明分析模塊首先分析數(shù)據(jù)使用者的數(shù)據(jù)使用聲明，在此基礎(chǔ)上抽取數(shù)據(jù)使用者可能的數(shù)據(jù)使用行為、數(shù)據(jù)使用范圍以及數(shù)據(jù)使用的預(yù)期結(jié)果，并傳遞給風(fēng)險(xiǎn)評(píng)估層做相應(yīng)的風(fēng)險(xiǎn)評(píng)估。在獲取風(fēng)險(xiǎn)評(píng)估層的反饋結(jié)果后，如果當(dāng)前數(shù)據(jù)使用請(qǐng)求帶來(lái)的風(fēng)險(xiǎn)超出了數(shù)據(jù)開放者所能承受的限度，使用控制模塊將拒絕數(shù)據(jù)使用者的使用請(qǐng)求。

系統(tǒng)框架中的風(fēng)險(xiǎn)評(píng)估層將根據(jù)接口層傳遞下來(lái)的數(shù)據(jù)使用者可能的數(shù)據(jù)使用行為及數(shù)據(jù)使用范圍，對(duì)數(shù)據(jù)使用者的數(shù)據(jù)使用請(qǐng)求進(jìn)行風(fēng)險(xiǎn)評(píng)估。在進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)，將針對(duì)當(dāng)前數(shù)據(jù)使用請(qǐng)求涉及的數(shù)據(jù)使用行為及數(shù)據(jù)使用范圍，結(jié)合數(shù)據(jù)層中存儲(chǔ)的數(shù)據(jù)訪問歷史信息，對(duì)當(dāng)前數(shù)據(jù)使用請(qǐng)求可能導(dǎo)致的個(gè)體隱私泄露風(fēng)險(xiǎn)和數(shù)據(jù)拼圖風(fēng)險(xiǎn)分別進(jìn)行評(píng)估，給出相應(yīng)的個(gè)體隱私泄露風(fēng)險(xiǎn)系數(shù)或等級(jí)以及數(shù)據(jù)拼圖的風(fēng)險(xiǎn)系數(shù)或等級(jí)。同時(shí)，可以根據(jù)數(shù)據(jù)開放者預(yù)設(shè)的個(gè)體隱私保護(hù)規(guī)則和數(shù)據(jù)拼圖防范規(guī)則，自動(dòng)檢查相應(yīng)的風(fēng)險(xiǎn)系數(shù)或等級(jí)是否超出數(shù)據(jù)開放者的承受范圍，也可以將風(fēng)險(xiǎn)評(píng)估的結(jié)果直接展現(xiàn)給數(shù)據(jù)開放者，由數(shù)據(jù)開放者自行決定是否授權(quán)許可當(dāng)前的數(shù)據(jù)使用請(qǐng)求，并可進(jìn)一步通過接口層的使用控制將授權(quán)許可反饋給數(shù)據(jù)使用者。

在風(fēng)險(xiǎn)評(píng)估的過程中，具體的隱私信息認(rèn)定、隱私泄露的風(fēng)險(xiǎn)系數(shù)或等級(jí)的設(shè)定等可以根據(jù)應(yīng)用場(chǎng)景由數(shù)據(jù)開放者自主確定。表1中的收入屬性值為涉及隱私的敏感數(shù)據(jù)，其中單條數(shù)據(jù)記錄中的收入屬性值為個(gè)體隱私，數(shù)據(jù)集內(nèi)所有記錄的收入表1記錄了某公司的員工收入情況，每條數(shù)據(jù)記錄均與某個(gè)特定員工相對(duì)應(yīng)。假設(shè)屬性值集合構(gòu)成了整體隱私。個(gè)體隱私泄露的風(fēng)險(xiǎn)系數(shù)設(shè)定為數(shù)據(jù)使用者依據(jù)數(shù)據(jù)盒反饋的數(shù)據(jù)訪問結(jié)果，可推測(cè)出單條數(shù)據(jù)記錄中的收入屬性值的可能性。數(shù)據(jù)拼圖風(fēng)險(xiǎn)系數(shù)設(shè)定為數(shù)據(jù)使用者根據(jù)數(shù)據(jù)盒反饋的數(shù)據(jù)訪問結(jié)果，能獲知的收入屬性值在數(shù)據(jù)集內(nèi)所有記錄的收入屬性值集合中所占比例。

表1　示例數(shù)據(jù)

考慮數(shù)據(jù)使用者曾提出數(shù)據(jù)使用請(qǐng)求Q1：“統(tǒng)計(jì)年齡21～25歲之間的員工數(shù)”。該請(qǐng)求獲得了授權(quán)，數(shù)據(jù)使用者已獲知相應(yīng)的結(jié)果（即數(shù)據(jù)使用者已獲知年齡為21～25歲的員工只有1人）；同時(shí)Q1作為數(shù)據(jù)訪問歷史信息被記錄下來(lái)。現(xiàn)在數(shù)據(jù)使用者進(jìn)一步提出新的數(shù)據(jù)使用請(qǐng)求Q2：“計(jì)算年齡為21～25歲的員工平均年齡及平均收入”。如果Q2獲得授權(quán)，那么數(shù)據(jù)使用者將可以推測(cè)出“年齡22歲的員工收入為3800元”。因此，依據(jù)前述風(fēng)險(xiǎn)系數(shù)的設(shè)定，對(duì)Q2進(jìn)行評(píng)估將會(huì)得出其所對(duì)應(yīng)的個(gè)體隱私泄露風(fēng)險(xiǎn)系數(shù)為100%，數(shù)據(jù)拼圖風(fēng)險(xiǎn)系數(shù)為10%。按照風(fēng)險(xiǎn)評(píng)估的結(jié)果，如果數(shù)據(jù)開放者認(rèn)為風(fēng)險(xiǎn)系數(shù)過高，則可以拒絕對(duì)Q2進(jìn)行授權(quán)。

面向數(shù)據(jù)盒的隱私保護(hù)系統(tǒng)框架可以較好地適用于數(shù)據(jù)自治開放的應(yīng)用場(chǎng)景，即在數(shù)據(jù)開放者自主可控的情況下，將數(shù)據(jù)甚至部分隱私數(shù)據(jù)作為開放的資源。在基于隱私泄露風(fēng)險(xiǎn)評(píng)估的系統(tǒng)框架中，數(shù)據(jù)開放者可以依據(jù)系統(tǒng)提供的風(fēng)險(xiǎn)評(píng)估結(jié)果給出授權(quán)與否的直接反饋，或者通過設(shè)定合適的個(gè)體隱私保護(hù)規(guī)則和數(shù)據(jù)拼圖防范規(guī)則，決定是否許可當(dāng)前的數(shù)據(jù)使用請(qǐng)求，可以在數(shù)據(jù)使用過程中兼顧個(gè)體隱私保護(hù)與整體隱私保護(hù)，體現(xiàn)了對(duì)隱私保護(hù)的自主可控。同時(shí)在實(shí)際使用中，數(shù)據(jù)開放者針對(duì)不同的數(shù)據(jù)使用者，可以依據(jù)隱私泄露風(fēng)險(xiǎn)的評(píng)估結(jié)果，給予不同的授權(quán)反饋，從而也可以實(shí)現(xiàn)對(duì)數(shù)據(jù)可用性與隱私保護(hù)之間的動(dòng)態(tài)平衡。此外，該系統(tǒng)框架允許數(shù)據(jù)使用者在數(shù)據(jù)開放者能夠接受的隱私泄露風(fēng)險(xiǎn)范圍內(nèi)，直接使用部分原始數(shù)據(jù)，因此與傳統(tǒng)的通過引入噪聲數(shù)據(jù)來(lái)實(shí)現(xiàn)隱私保護(hù)的方式相比，該方式在一定程度上可以提高數(shù)據(jù)可用性。

該系統(tǒng)框架還存在著一些技術(shù)細(xì)節(jié)及局限性需要進(jìn)一步研究。一是數(shù)據(jù)使用者在數(shù)據(jù)使用前提出的數(shù)據(jù)使用請(qǐng)求與其在數(shù)據(jù)使用時(shí)的真實(shí)行為之間的一致性問題，即所謂的言行一致問題。數(shù)據(jù)使用者可以先提出低風(fēng)險(xiǎn)的數(shù)據(jù)使用請(qǐng)求，通過風(fēng)險(xiǎn)評(píng)估獲得使用授權(quán)，但在實(shí)際使用數(shù)據(jù)的過程中卻不遵照事先的數(shù)據(jù)使用請(qǐng)求而非法獲取隱私信息。因此，還需要在數(shù)據(jù)的實(shí)際使用過程中對(duì)數(shù)據(jù)使用者的數(shù)據(jù)訪問行為進(jìn)行必要的管控，以確保與其事先的數(shù)據(jù)使用聲明一致。二是由于數(shù)據(jù)使用者可能會(huì)通過多次精心設(shè)計(jì)的不同數(shù)據(jù)訪問，再利用數(shù)據(jù)之間內(nèi)在的相關(guān)性，逐步推導(dǎo)出數(shù)據(jù)集的全貌或者其中的個(gè)體隱私信息，因此需要維護(hù)大量的數(shù)據(jù)訪問歷史信息，防止可能的隱私泄露。但是，這樣做的后果是，隨著數(shù)據(jù)訪問歷史信息的逐漸增加，風(fēng)險(xiǎn)評(píng)估系統(tǒng)的效率會(huì)逐步降低。因此，有必要研究通過索引技術(shù)等提高系統(tǒng)的實(shí)現(xiàn)效率。三是在某些場(chǎng)景下，數(shù)據(jù)可能會(huì)發(fā)生更新的情況或者以數(shù)據(jù)流的形式出現(xiàn)，鑒于數(shù)據(jù)的變化可能會(huì)產(chǎn)生隱私泄露以及可能會(huì)影響到先前的風(fēng)險(xiǎn)評(píng)估結(jié)果，因此，需要進(jìn)一步研究由于數(shù)據(jù)更新或數(shù)據(jù)流的方式帶來(lái)的隱私泄露以及相應(yīng)的風(fēng)險(xiǎn)評(píng)估問題。

5　結(jié)束語(yǔ)

數(shù)據(jù)自治開放可以為數(shù)據(jù)的開放共享提供便利，但是在實(shí)際過程中可能產(chǎn)生個(gè)體隱私信息泄露以及數(shù)據(jù)的整體隱私受到危害（即數(shù)據(jù)自身可能被非法攫?。┑葐栴}。這些問題已經(jīng)嚴(yán)重阻礙了數(shù)據(jù)擁有者開放其自身數(shù)據(jù)。本文分析了數(shù)據(jù)自治開放模式下的隱私保護(hù)挑戰(zhàn)，并基于隱私泄露風(fēng)險(xiǎn)評(píng)估，針對(duì)這些挑戰(zhàn)提出了面向數(shù)據(jù)盒的隱私保護(hù)系統(tǒng)框架。通過將風(fēng)險(xiǎn)評(píng)估與使用控制結(jié)合，允許在數(shù)據(jù)開放者可接受的隱私泄露風(fēng)險(xiǎn)范圍內(nèi)使用數(shù)據(jù)，給數(shù)據(jù)自治開放提供有力保障，推動(dòng)數(shù)據(jù)資源的開放利用。

參考文獻(xiàn):

[1]BOY D D, CR AWFOR D K. Critical questions for big data[J]. Information,Communication & Society, 2012, 15(5):662-679.

[2]方濱興, 賈焰, 李愛平, 等. 大數(shù)據(jù)隱私保護(hù)技術(shù)綜述[J]. 大數(shù)據(jù), 2016, 2(1): 1-18.FANG B X, JIA Y, LI A P, et al. Privacy preservation in big data: a survey[J]. Big Data Research, 2016, 2(1): 1-18.

[3]SWEENEY L. k-Anonymity: a model for protecting privacy[J]. International Journal on Uncertainty, Fuzziness and Knowledge-Based Systems, 2002, 10(5):557-570.

[4]SWEENEY L. Achieving k-anonymity privacy protection using generalization and suppression[J]. International Journal of Uncertainty, Fuzziness and Knowledge-Based Systems, 2002, 10(5): 571-588.

[5]MACHANAVAJJHALA A, GEHRKE J,KIFER D. l-Diversity: privacy beyond k-anonymity[C]//The 22nd International Conference on Data Engineering, April 3-8, 2006, Atlanta, USA. New York:ACM Press, 2007, 1(1): 3.

[6]LI N H, LI T C, VENKATASUBRAMANIAN S.t-Closeness: privacy beyond k-anonymity and l-diversity[C]// The 23rd International Conference on Data Engineering, April 17-20,2007, Washington, USA. Piscataway:IEEE Press, 2007: 106-115.

[7]XIAO X K, TAO Y F. M-invariance:towards privacy preserving re-publication of dynamic datasets[C]// The ACM SIGMOD International Conference on Management of Data, June 11-14, 2007,Beijing, China. New York: ACM Press,2007: 689-700.

[8]DWORK C. Differential privacy[C]//The 33rd International Colloquium on Automata, Languages, and Programming,July 10-14, 2006, Venice, Italy.Heidelberg: Springer, 2006: 1-12.

[9]DWORK C, ROTH A. The algorithmic foundations of differential privacy[J].Foundations and Trends in Theoretical Computer Science, 2014, 9(3-4): 211-407.

[10]RIZVI S J, HARITSA J R. Maintaining data privacy in association rule mining[C]// The 28th International Conference on Very Large Data Bases,August 20-23, 2002, Hong Kong,China. [S.l.]: VLDB Endowment Inc.,2002, 34(6): 682-693.

[11]EVFIMIEVSKI A V, SRIKANT R,AGRAWAL R, et al. Privacy preserving mining of association rules[C]// The 8th ACM SIGKDD International Conference on Knowledge Discovery in Databases and Data Mining, July 23-25, 2002,Edmonton, Canada. New York: ACM Press, 2002: 217-228.

[12]KANTARCIOGLU M, NIX R, VAIDYA J.An efficient approximate protocol for privacy-preserving association rule mining[C]// The 13th Pacific-Asia Conference on Advances in Knowledge Discovery and Data Mining, April 27-30,2009, Bangkok, Thailand. Heidelberg:Springer, 2009: 515-524.

[13]BONOMI L. Mining frequent patterns with differential privacy[C]//VLDB Endowment, August 26-30, 2013,Riva del Garda, Trento. [S.l.]: VLDB Endowment Inc., 2013, 6(12): 1422-1427.

[14]AGRAWA R L, SRIKANT R. Privacypreserving data mining[C]// The ACM SIGMOD Conference on Management of Data, May 16-18, 2000, Dallas, USA.New York: ACM Press, 2000: 439-450.

[15]YU H, JIANG X Q, VAIDYA J. Privacypreserving SVM using nonlinear kernels on horizontally partitioned data[C]//ACM Symposium on Applied Computing, Data Mining Track, April 23-27, 2006, Dijon,France. New York: ACM Press, 2006,39(9): 603-610.

[16]VAIDYA J, CLIFTON C, KANTARCIOGLU M,et al. Privacy-preserving decision trees over vertically partitioned data[J]. ACM Transactions on Knowledge Discovery from Data, 2008, 2(3): 1-27.

[17]MANGASARIAN O L, WILD EW, FUNG G.Privacy-preserving classification of vertically partitioned data via random ker nels[J]. ACM Tra nsactions on Knowledge Discovery from Data, 2007,2(3): 1-16.

[18]YANG B,SATO I, NAKAGAWA H.Bayesian differential privacy on correlated data[C]//SIGMOD Conference, May 31-June 4,2015, Melbourne, Australia. New York:ACM Press, 2015: 747-762.

[19]JAGANNATHAN G, WRIGHT R N.Privacy-preserving distributed k-means clustering over arbitrarily partitioned data[C]// The 11th ACM SIGKDD International Conference on Knowledge Discovery and Data Mining, August 21-24, 2005,Chicago, USA. New York: ACM Press,2005: 593-599.

[20]CUI Y J, WONG W K, CHEUNG D W.Privacy-preserving clustering with high accuracy and low time complexity[C]//The 14th International Conference on Database Systems for Advanced Applications,April 21-23, 2009, Brisbane, Australia.Heidelberg: Springer, 2009: 456-470.

[21]D I S H A B I M R E, A Z G O M I M A.Differential privacy preserving clustering in distributed datasets using Haar wavelet transform[J]. Intelligent Data Analysis,2015, 19(6): 1323-1353.