劉明輝，張 瑋，陳 湉，王 然（中國信息通信研究院，北京100191）

0 引言

數(shù)字經(jīng)濟(jì)時代來臨，數(shù)據(jù)價值急劇攀升，促使數(shù)據(jù)安全與國家安全、經(jīng)濟(jì)運(yùn)行安全、社會公共安全、個人合法權(quán)益之間的關(guān)聯(lián)日趨緊密。同時，數(shù)據(jù)面臨的安全威脅日益嚴(yán)重，重大數(shù)據(jù)安全事件頻發(fā)。數(shù)據(jù)泄露和隱私問題已經(jīng)成為制約數(shù)字經(jīng)濟(jì)發(fā)展的關(guān)鍵因素，建立數(shù)據(jù)安全保障體系成為數(shù)字經(jīng)濟(jì)健康、穩(wěn)定發(fā)展的重要環(huán)節(jié)。本文從分析數(shù)據(jù)安全面臨的威脅和挑戰(zhàn)入手，研究數(shù)據(jù)安全需求和解決數(shù)據(jù)安全問題的關(guān)鍵技術(shù)，分析現(xiàn)有安全技術(shù)存在的問題，提出數(shù)據(jù)安全技術(shù)的研究方向和研究建議。

1 數(shù)據(jù)安全與隱私保護(hù)面臨的威脅與挑戰(zhàn)

大數(shù)據(jù)的體量大、種類多等特點，使得大數(shù)據(jù)環(huán)境下的數(shù)據(jù)安全出現(xiàn)了有別于傳統(tǒng)數(shù)據(jù)安全的新威脅［1］。同時，數(shù)據(jù)采集、處理、分析的方式、工具和能力對傳統(tǒng)個人隱私保護(hù)框架和技術(shù)能力亦帶來了嚴(yán)峻挑戰(zhàn)。

1.1 數(shù)據(jù)泄漏問題日趨嚴(yán)重

大數(shù)據(jù)因其蘊(yùn)藏的巨大價值和集中化的存儲管理模式，成為網(wǎng)絡(luò)攻擊的重點目標(biāo)，針對大數(shù)據(jù)的勒索攻擊和數(shù)據(jù)泄露問題日趨嚴(yán)重，重大數(shù)據(jù)安全事件頻發(fā)。金雅拓（Gemalto）《2018年數(shù)據(jù)泄露水平指數(shù)（Breach Level Index）》調(diào)查報告顯示：僅2018年上半年，全球就發(fā)生了944起數(shù)據(jù)泄露事件，共計導(dǎo)致45億條數(shù)據(jù)泄露［2］；從2013年到2018年全球數(shù)據(jù)泄露的數(shù)目呈現(xiàn)逐年上漲的趨勢。

1.2 數(shù)據(jù)采集環(huán)節(jié)成為影響決策分析的新風(fēng)險點

在數(shù)據(jù)采集環(huán)節(jié)，大數(shù)據(jù)體量大、種類多、來源復(fù)雜的特點為數(shù)據(jù)的真實性和完整性校驗帶來困難，目前，尚無嚴(yán)格的數(shù)據(jù)真實性、可信度鑒別和監(jiān)測手段，無法識別并剔除虛假甚至惡意的數(shù)據(jù)。若黑客利用網(wǎng)絡(luò)攻擊向數(shù)據(jù)采集端注入臟數(shù)據(jù)，會破壞數(shù)據(jù)真實性，故意將數(shù)據(jù)分析的結(jié)果引向預(yù)設(shè)的方向，進(jìn)而實現(xiàn)操縱分析結(jié)果的攻擊目的。

1.3 數(shù)據(jù)處理過程中的機(jī)密性保障問題逐漸顯現(xiàn)

數(shù)字經(jīng)濟(jì)時代，越來越多的企業(yè)或組織需要參與產(chǎn)業(yè)鏈協(xié)同，以數(shù)據(jù)流動與合作為基礎(chǔ)進(jìn)行生產(chǎn)活動。企業(yè)或組織在開展數(shù)據(jù)合作和共享的應(yīng)用場景中，數(shù)據(jù)將突破組織和系統(tǒng)的邊界進(jìn)行流轉(zhuǎn)，產(chǎn)生跨系統(tǒng)的訪問或多方數(shù)據(jù)匯聚進(jìn)行聯(lián)合運(yùn)算。保證個人信息、商業(yè)機(jī)密或獨(dú)有數(shù)據(jù)資源在合作過程中的機(jī)密性，是企業(yè)或組織參與數(shù)據(jù)共享合作的前提，也是數(shù)據(jù)有序流動必須要解決的問題。

1.4 數(shù)據(jù)流動路徑復(fù)雜化導(dǎo)致追蹤溯源變得異常困難

大數(shù)據(jù)應(yīng)用體系龐雜，頻繁的數(shù)據(jù)共享和交換促使數(shù)據(jù)流動路徑變得交錯復(fù)雜，數(shù)據(jù)從產(chǎn)生到銷毀不再是單向、單路徑的簡單流動模式，也不再僅限于組織內(nèi)部流轉(zhuǎn)，而會從一個數(shù)據(jù)控制者流向另一個控制者。在此過程中，實現(xiàn)異構(gòu)網(wǎng)絡(luò)環(huán)境下跨越數(shù)據(jù)控制者或安全域的全路徑數(shù)據(jù)追蹤溯源變得更加困難，特別是數(shù)據(jù)溯源中數(shù)據(jù)標(biāo)記的可信性、數(shù)據(jù)標(biāo)記與數(shù)據(jù)內(nèi)容之間捆綁的安全性等問題更加突出。2018年3月的“劍橋分析”事件中，F(xiàn)acebook即是因為對第三方使用數(shù)據(jù)缺乏有效的管理和追責(zé)機(jī)制，最終導(dǎo)致8 700萬名用戶資料被濫用，造成股價暴跌、信譽(yù)度下降等嚴(yán)重后果。

1.5 傳統(tǒng)隱私保護(hù)技術(shù)因大數(shù)據(jù)超強(qiáng)的分析能力面臨失效的可能

在大數(shù)據(jù)環(huán)境下，企業(yè)對多來源多類型數(shù)據(jù)集進(jìn)行關(guān)聯(lián)分析和深度挖掘，可以復(fù)原匿名化數(shù)據(jù)，進(jìn)而能夠識別特定個人或獲取其有價值的個人信息［3］。在傳統(tǒng)的隱私保護(hù)中，數(shù)據(jù)控制者針對單個數(shù)據(jù)集孤立地選擇隱私保護(hù)技術(shù)和參數(shù)來保護(hù)個人數(shù)據(jù)，特別是利用去標(biāo)識、掩碼等技術(shù)的做法，無法應(yīng)對上述大數(shù)據(jù)場景下多源數(shù)據(jù)分析挖掘引發(fā)的隱私泄露問題。

1.6 傳統(tǒng)隱私保護(hù)技術(shù)難以適應(yīng)大數(shù)據(jù)的非關(guān)系型數(shù)據(jù)庫

在大數(shù)據(jù)技術(shù)環(huán)境下，數(shù)據(jù)呈現(xiàn)動態(tài)變化、半結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)居多的特性，對于占數(shù)據(jù)總量80%以上的非結(jié)構(gòu)化數(shù)據(jù)，通常采用非關(guān)系型數(shù)據(jù)庫（NoSQL）存儲技術(shù)完成對大數(shù)據(jù)的抓取、管理和處理。而非關(guān)系型數(shù)據(jù)庫目前尚無嚴(yán)格的訪問控制機(jī)制及相對完善的隱私保護(hù)工具，現(xiàn)有的隱私保護(hù)技術(shù)，如脫敏、匿名化技術(shù)［4］等，多適用于關(guān)系型數(shù)據(jù)庫。

2 數(shù)據(jù)安全技術(shù)

2.1 數(shù)據(jù)安全技術(shù)發(fā)展現(xiàn)狀

目前，數(shù)據(jù)安全的防護(hù)一般是從數(shù)據(jù)生命周期防護(hù)的視角出發(fā)，設(shè)置分級分類的動態(tài)防護(hù)策略，降低已知風(fēng)險的同時考慮減少對業(yè)務(wù)數(shù)據(jù)流動的干擾與傷害。

2.1.1 建立覆蓋全生命周期的防御體系是數(shù)據(jù)安全防護(hù)的首要模式

隨著大數(shù)據(jù)云計算技術(shù)的普及，業(yè)務(wù)系統(tǒng)數(shù)據(jù)融合共享成為趨勢，數(shù)據(jù)流動性已經(jīng)成為數(shù)據(jù)的基本特征，也引發(fā)了數(shù)據(jù)安全體系建設(shè)的變化［5］。從數(shù)據(jù)應(yīng)用系統(tǒng)的角度看，數(shù)據(jù)從采集、傳輸?shù)綉?yīng)用、共享直至銷毀的全生命周期的各個環(huán)節(jié)均面臨安全風(fēng)險，數(shù)據(jù)安全防御體系必須貫穿生命周期的始終。在數(shù)據(jù)采集傳輸?shù)陌踩雷o(hù)環(huán)節(jié)，主要通過采集白名單、數(shù)據(jù)源操作權(quán)限管理、事前敏感字段標(biāo)注、安全級別設(shè)置、靜態(tài)脫敏、傳輸加密等技術(shù)來實現(xiàn)采集數(shù)據(jù)源、采集流程以及傳輸通道的安全防護(hù)；在數(shù)據(jù)存儲處理環(huán)節(jié)，主要通過透明加密、數(shù)據(jù)完整性檢驗提高數(shù)據(jù)存儲安全性，通過細(xì)粒度的權(quán)限管控、動態(tài)脫敏等技術(shù)保障數(shù)據(jù)應(yīng)用的安全；在數(shù)據(jù)共享環(huán)節(jié)，針對數(shù)據(jù)流接口的方式，采用接口操作權(quán)限管理、流量管控、接口認(rèn)證等方式保障接口的安全，針對文件共享的方式，通過數(shù)字水印等方式，實現(xiàn)共享數(shù)據(jù)泄露后的追蹤（見圖1）。

2.1.2 敏感數(shù)據(jù)識別和標(biāo)注技術(shù)作為數(shù)據(jù)安全監(jiān)控的必要技術(shù)條件逐步實現(xiàn)自動化

圖1 數(shù)據(jù)全生命周期安全防護(hù)架構(gòu)圖

在敏感數(shù)據(jù)的監(jiān)控方案中，基礎(chǔ)部分就是從海量的數(shù)據(jù)中挑選出敏感數(shù)據(jù)，完成對敏感數(shù)據(jù)的識別，進(jìn)而建立系統(tǒng)的總體數(shù)據(jù)視圖，并采取分類分級的安全防護(hù)策略保護(hù)數(shù)據(jù)安全。傳統(tǒng)的數(shù)據(jù)識別方法采用關(guān)鍵字、字典和正則表達(dá)式匹配等方式，通常結(jié)合模式匹配算法，該方法簡單實用，但人工參與相對較多，自動化程度較低，隨著人工智能識別技術(shù)的引入，通過機(jī)器學(xué)習(xí)可以實現(xiàn)大量文檔的聚類分析，自動生成分類規(guī)則庫，內(nèi)容自動化識別程度正逐步提高。

2.1.3 數(shù)據(jù)防泄露技術(shù)發(fā)展相對成熟并向智能化演進(jìn)

DLP是指通過一定的技術(shù)手段，防止用戶的指定數(shù)據(jù)或信息資產(chǎn)以違反安全策略規(guī)定的形式流出企業(yè)的一類數(shù)據(jù)安全防護(hù)手段。針對數(shù)據(jù)泄露的主要途徑，DLP采用的主要技術(shù)如下：針對使用泄露和存儲泄露，通常采用身份認(rèn)證管理、進(jìn)程監(jiān)控、日志分析和安全審計等技術(shù)手段，觀察和記錄操作員對計算機(jī)、文件、軟件和數(shù)據(jù)的操作情況，發(fā)現(xiàn)、識別、監(jiān)控計算機(jī)中的敏感數(shù)據(jù)的使用和流動，對敏感數(shù)據(jù)的違規(guī)使用進(jìn)行警告、阻斷等。針對傳輸泄露，通常采取敏感數(shù)據(jù)動態(tài)識別、動態(tài)加密、訪問阻斷和數(shù)據(jù)庫防火墻等技術(shù)，監(jiān)控服務(wù)器、終端以及網(wǎng)絡(luò)中動態(tài)傳輸?shù)拿舾袛?shù)據(jù)，發(fā)現(xiàn)和阻止敏感數(shù)據(jù)通過聊天工具、網(wǎng)盤、微博、FTP、論壇等方式泄露出去。目前的DLP，普遍引入了自然語言處理、機(jī)器學(xué)習(xí)、聚類分類等新技術(shù)，將數(shù)據(jù)管理的顆粒度進(jìn)行了細(xì)化，對敏感數(shù)據(jù)和安全風(fēng)險進(jìn)行智能識別?！爸悄馨踩睂蔀镈LP技術(shù)發(fā)展的趨勢，大數(shù)據(jù)分析技術(shù)、機(jī)器學(xué)習(xí)算法的發(fā)展與演進(jìn)將推動數(shù)據(jù)泄露防護(hù)的智能化發(fā)展，DLP將實現(xiàn)用戶行為分析與數(shù)據(jù)內(nèi)容的智能識別，實現(xiàn)數(shù)據(jù)的智能化分層、分級保護(hù)，并提供終端、網(wǎng)絡(luò)、云端協(xié)同一體的敏感數(shù)據(jù)動態(tài)集中管控體系。

2.1.4 結(jié)構(gòu)化數(shù)據(jù)庫安全防護(hù)技術(shù)基本成熟，非結(jié)構(gòu)化數(shù)據(jù)庫安全防護(hù)亟需加強(qiáng)

結(jié)構(gòu)化的數(shù)據(jù)安全技術(shù)主要是指數(shù)據(jù)庫安全防護(hù)技術(shù)，可以分為事前評估加固、事中安全管控和事后分析追責(zé)3類，其中評估主要采用數(shù)據(jù)庫漏洞掃描技術(shù)，安全管控主要采用數(shù)據(jù)庫防火墻、數(shù)據(jù)加密、脫敏技術(shù)，事后分析追責(zé)主要采用數(shù)據(jù)庫審計技術(shù)。目前數(shù)據(jù)庫安全防護(hù)技術(shù)發(fā)展逐步成熟。而在針對云環(huán)境和大數(shù)據(jù)環(huán)境的安全方面，針對非結(jié)構(gòu)化數(shù)據(jù)庫的防護(hù)方案已經(jīng)由一些技術(shù)領(lǐng)先的廠商提出，但技術(shù)成熟度較低。

2.1.5 密文計算技術(shù)因多源數(shù)據(jù)計算機(jī)密性需求成為研究熱點

隨著多源數(shù)據(jù)計算場景的增多，在保證數(shù)據(jù)機(jī)密性的基礎(chǔ)上實現(xiàn)數(shù)據(jù)的流通和合作應(yīng)用一直是困擾產(chǎn)業(yè)界的難題，同態(tài)加密和安全多方計算等密文計算方法為解決這個難題提供了一種有效的解決思路［6］。

同態(tài)加密提供了一種對加密數(shù)據(jù)進(jìn)行處理的功能，對經(jīng)過同態(tài)加密的數(shù)據(jù)處理得到一個輸出，將這一輸出進(jìn)行解密，其結(jié)果與同一方法處理未加密的原始數(shù)據(jù)得到的輸出結(jié)果一致。也就是說，其他人可以對加密數(shù)據(jù)進(jìn)行處理，但是處理過程不會泄露任何原始內(nèi)容。同時，擁有密鑰的用戶對處理過的數(shù)據(jù)進(jìn)行解密后，得到的正好是處理后的結(jié)果。因為這一良好特性，同態(tài)加密特別適合在大數(shù)據(jù)環(huán)境中應(yīng)用，既能滿足數(shù)據(jù)應(yīng)用的需求，又能保護(hù)用戶隱私不被泄露，是一種理想的解決方案。2009年，Gentry提出了第1個全同態(tài)加密體制使得該方面的研究取得突破性進(jìn)展，隨后許多密碼學(xué)家在全同態(tài)加密方案研究的基礎(chǔ)上做出了有意義的工作，促進(jìn)了全同態(tài)加密向?qū)嵱没陌l(fā)展［7-8］，但是目前同態(tài)加密算法的計算開銷過高，尚未應(yīng)用到實際生產(chǎn)中。

安全多方計算（SMPC——Secure Multi-Party Computation）解決了一組互不信任的參與方之間保護(hù)隱私的協(xié)同計算問題，SMPC要確保輸入的獨(dú)立性，計算的正確性，同時不泄露各輸入值給參與計算的其他成員。安全多方計算的這一特點，對于大數(shù)據(jù)環(huán)境下的數(shù)據(jù)機(jī)密性保護(hù)有獨(dú)特的優(yōu)勢。通用的安全多方計算協(xié)議雖然可以解決一般性的安全多方計算問題，但是計算效率很低，盡管近年來研究者努力進(jìn)行實用化技術(shù)的研究，并取得一些成果，但是離真正的產(chǎn)業(yè)化應(yīng)用還有一段距離。

2.1.6 數(shù)字水印和數(shù)據(jù)溯源技術(shù)尚不滿足實際需求

以上的數(shù)據(jù)識別、密文計算、安全監(jiān)控和防護(hù)是“事前”和“事中”的安全保障技術(shù)，隨著數(shù)據(jù)泄露事件的頻繁發(fā)生，“事后”追蹤和溯源技術(shù)變得越來越重要。安全事件發(fā)生后泄露源頭的追查和責(zé)任的判定是及時發(fā)現(xiàn)問題、查缺補(bǔ)漏的關(guān)鍵，同時對安全管理制度的執(zhí)行也會起到一定的威懾作用。目前常用的追蹤溯源技術(shù)包括數(shù)字水印和數(shù)據(jù)溯源技術(shù)。

數(shù)字水印技術(shù)是為了保持對分發(fā)后的數(shù)據(jù)流向追蹤［9］，在數(shù)據(jù)泄露行為發(fā)生后，對造成數(shù)據(jù)泄露的源頭可進(jìn)行回溯。對于結(jié)構(gòu)化數(shù)據(jù)，在分發(fā)數(shù)據(jù)中摻雜不影響運(yùn)算結(jié)果的數(shù)據(jù)，采用增加偽行、增加偽列等方法，拿到泄密數(shù)據(jù)的樣本，可追溯數(shù)據(jù)泄露源。對于非結(jié)構(gòu)化數(shù)據(jù)，數(shù)字水印可以應(yīng)用于數(shù)字圖像、音頻、視頻、打印、文本、條碼等數(shù)據(jù)信息中，在數(shù)據(jù)外發(fā)的環(huán)節(jié)加上隱蔽標(biāo)識水印，可以追蹤數(shù)據(jù)擴(kuò)散路徑。但目前的數(shù)字水印方案大多還是針對靜態(tài)數(shù)據(jù)集，滿足數(shù)據(jù)量巨大、更新速度極快的水印方案尚不成熟。

數(shù)據(jù)溯源技術(shù)又稱為數(shù)據(jù)血緣、起源、譜系（Lineage，Provenance，Pedigree），是指數(shù)據(jù)產(chǎn)生的鏈路，數(shù)據(jù)溯源可以記載對數(shù)據(jù)處理的整個歷史，包括數(shù)據(jù)的起源和處理這些數(shù)據(jù)的所有后繼過程（數(shù)據(jù)產(chǎn)生并隨著時間推移而演變的整個過程）。通過數(shù)據(jù)溯源，可以獲得數(shù)據(jù)在數(shù)據(jù)流中的演化過程［10］。當(dāng)數(shù)據(jù)發(fā)生異常時，通過數(shù)據(jù)溯源分析能追蹤到異常發(fā)生的原因，把風(fēng)險控制在適當(dāng)?shù)乃?。目前?shù)據(jù)溯源分析模型和技術(shù)方案多是針對組織內(nèi)部的數(shù)據(jù)流動與溯源，無法應(yīng)用于數(shù)據(jù)跨組織流動的溯源場景［11］。

2.2 數(shù)據(jù)安全技術(shù)問題分析

目前，數(shù)據(jù)安全監(jiān)控和防泄露技術(shù)相對成熟，數(shù)據(jù)的共享安全、非結(jié)構(gòu)化數(shù)據(jù)庫的安全防護(hù)以及數(shù)據(jù)泄露溯源技術(shù)亟待改進(jìn)。目前，數(shù)據(jù)泄露問題在技術(shù)上可以得到較完備的解決，敏感數(shù)據(jù)自動化識別為防泄露提供了基礎(chǔ)技術(shù)；人工智能、機(jī)器學(xué)習(xí)等技術(shù)的引入，使得數(shù)據(jù)防泄露向智能化方向演進(jìn)；數(shù)據(jù)庫防護(hù)技術(shù)的發(fā)展也為數(shù)據(jù)防泄露提供了有力的技術(shù)保障。密文計算技術(shù)、數(shù)據(jù)泄露追蹤技術(shù)的發(fā)展仍無法滿足實際的應(yīng)用需求，難以解決數(shù)據(jù)處理過程的機(jī)密性保障問題和數(shù)據(jù)流動路徑追蹤溯源問題。具體而言，密文計算技術(shù)的研究仍處在理論階段，運(yùn)算效率遠(yuǎn)未達(dá)到實際應(yīng)用的要求；數(shù)字水印技術(shù)無法滿足大數(shù)據(jù)環(huán)境下大量、快速更新的應(yīng)用需求；數(shù)據(jù)溯源技術(shù)無法應(yīng)用于數(shù)據(jù)跨組織流動的溯源場景。

3 個人隱私保護(hù)技術(shù)

3.1 個人隱私保護(hù)技術(shù)發(fā)展現(xiàn)狀

數(shù)據(jù)安全技術(shù)提供了數(shù)據(jù)機(jī)密性、完整性和可用性的防護(hù)基礎(chǔ)，隱私保護(hù)是在此基礎(chǔ)上，保證個人隱私信息不發(fā)生泄露或不被外界知悉。目前應(yīng)用最廣泛的是數(shù)據(jù)脫敏技術(shù)，學(xué)術(shù)界也提出了同態(tài)加密、安全多方計算等可用于隱私保護(hù)的密碼算法。

3.1.1 數(shù)據(jù)脫敏技術(shù)發(fā)展成熟，是目前應(yīng)用最廣泛的隱私保護(hù)技術(shù)

數(shù)據(jù)脫敏是指對某些敏感信息通過脫敏規(guī)則進(jìn)行數(shù)據(jù)的變形，實現(xiàn)對個人數(shù)據(jù)的隱私保護(hù)，是應(yīng)用最廣泛的隱私保護(hù)技術(shù)。目前的脫敏技術(shù)主要分為3種：第1種加密方法，是指標(biāo)準(zhǔn)的加密算法，加密后完全失去業(yè)務(wù)屬性，屬于低層次脫敏，算法開銷大，適用于機(jī)密性要求高、不需要保持業(yè)務(wù)屬性的場景；第2種基于數(shù)據(jù)失真的技術(shù)，最常用的是隨機(jī)干擾、亂序等，是不可逆算法，通過這種算法可以生成“看起來很真實的假數(shù)據(jù)”，適用于群體信息統(tǒng)計或（和）需要保持業(yè)務(wù)屬性的場景；第3種可逆的置換算法，兼具可逆和保證業(yè)務(wù)屬性的特征，可以通過位置變換、表映射、算法映射等方式實現(xiàn)，表映射方法應(yīng)用起來相對簡單，也能解決業(yè)務(wù)屬性保留的問題，但是隨著數(shù)據(jù)量的增大，相應(yīng)的映射表同量增大，應(yīng)用局限性高。算法映射方法不需要做映射表，通過自行設(shè)計的算法來實現(xiàn)數(shù)據(jù)的變換，這類算法都是基于密碼學(xué)的基本概念自行設(shè)計的，通常的做法是在公開算法的基礎(chǔ)上做一定的變換，適用于需要保持業(yè)務(wù)屬性或（和）需要可逆的場景。數(shù)據(jù)應(yīng)用系統(tǒng)在選擇脫敏算法時，可用性和隱私保護(hù)的平衡是關(guān)鍵，既要考慮系統(tǒng)開銷，滿足業(yè)務(wù)系統(tǒng)的需求，又要兼顧最小可用原則，最大限度地保護(hù)用戶隱私。

3.1.2 去標(biāo)識化將成為解決隱私保護(hù)問題的有效途徑

去標(biāo)識化（de-identification）是指通過對個人信息的技術(shù)處理，在不借助額外信息的情況下，無法識別個人信息主體的過程。去標(biāo)識化是隱私保護(hù)數(shù)據(jù)發(fā)布的主要工具之一，通過去除數(shù)據(jù)集中隱私屬性和數(shù)據(jù)主體之間的關(guān)聯(lián)關(guān)系，并且具有足夠的防止重識別能力后，數(shù)據(jù)集的某些屬性就可以共享發(fā)布，供外部業(yè)務(wù)系統(tǒng)進(jìn)行處理分析。常用的去標(biāo)識化技術(shù)包括統(tǒng)計技術(shù)、密碼技術(shù)、抑制技術(shù)、假名化技術(shù)、泛化技術(shù)、隨機(jī)化技術(shù)和數(shù)據(jù)合成技術(shù)，常用的去標(biāo)識化模型包括K-匿名模型和差分隱私模型。

國際標(biāo)準(zhǔn)化組織（ISO）和國際電工委員會（IEC）2018年發(fā)布的ISO/IEC 20889規(guī)定了去標(biāo)識化有關(guān)的術(shù)語、技術(shù)以及應(yīng)用原則。NIST于2016年發(fā)布NIST SP 800-188，為政府機(jī)構(gòu)提供數(shù)據(jù)去標(biāo)識化技術(shù)指導(dǎo)，包括建立和改進(jìn)去標(biāo)識化程序、去標(biāo)識化的技術(shù)步驟、去標(biāo)識化工具的需求以及評價去標(biāo)識化工具方法等內(nèi)容。國內(nèi)方面，TC260正在編制的《個人信息去標(biāo)識化指南》，借鑒國內(nèi)外個人信息去標(biāo)識化的最新研究理論，研究個人信息去標(biāo)識化的目標(biāo)、原則、技術(shù)、模型、過程和組織措施，提出符合我國信息化發(fā)展需要的個人信息去標(biāo)識化指南。

金融行業(yè)在推進(jìn)個人信息去標(biāo)識化方面走在前列。國際芯片卡標(biāo)準(zhǔn)化組織（EMVCo）2014年發(fā)布支付令牌化技術(shù)框架，提出了在支付場景中使用一個不同的號碼串替換銀行卡主賬號的過程規(guī)范。中國銀聯(lián)于2016年發(fā)布《中國銀聯(lián)支付標(biāo)記化技術(shù)指引》，給出了使用支付令牌代替銀行卡號進(jìn)行交易驗證的框架、技術(shù)要求和應(yīng)用場景。

學(xué)術(shù)界在去標(biāo)識化算法的改進(jìn)方面取得了一些進(jìn)展。學(xué)術(shù)界的研究方向主要集中在對算法的抗攻擊、計算效率提高、降低用戶設(shè)備開銷和減少對數(shù)據(jù)特性的影響等方面。

3.2 個人隱私保護(hù)技術(shù)問題分析

在個人隱私保護(hù)方面，技術(shù)的發(fā)展明顯無法滿足當(dāng)前迫切的隱私保護(hù)需求，大數(shù)據(jù)應(yīng)用場景下的個人信息隱私保護(hù)問題需要構(gòu)建法律、技術(shù)、經(jīng)濟(jì)等多重手段相結(jié)合的保障體系。目前，應(yīng)用廣泛的數(shù)據(jù)脫敏技術(shù)受到多源數(shù)據(jù)匯聚的嚴(yán)重挑戰(zhàn)可能面臨失效，去標(biāo)識化等前沿技術(shù)目前正在不斷研究和推進(jìn)中，但普遍存在運(yùn)算效率過低、開銷過大等問題，還需要在算法的優(yōu)化方面進(jìn)行持續(xù)改進(jìn)，以滿足大數(shù)據(jù)環(huán)境下的隱私保護(hù)需求。同時，大數(shù)據(jù)應(yīng)用與個人信息隱私保護(hù)之間的突出矛盾不單是技術(shù)問題，尤其是在缺乏技術(shù)保障的當(dāng)下，更需要通過加快立法、加強(qiáng)執(zhí)法，規(guī)范大數(shù)據(jù)應(yīng)用場景下的個人信息收集、使用行為，盡快構(gòu)建政府管理、企業(yè)履責(zé)、社會監(jiān)督、網(wǎng)民自律等多主體共同參與的個人信息保護(hù)制度體系。

4 結(jié)論

數(shù)據(jù)在流動中發(fā)揮價值，大數(shù)據(jù)環(huán)境下，數(shù)據(jù)應(yīng)用生態(tài)環(huán)境日益復(fù)雜，數(shù)據(jù)生命周期各環(huán)節(jié)都面臨新的安全保障需求，數(shù)據(jù)的采集和溯源成為突出的安全風(fēng)險點，跨組織數(shù)據(jù)合作的廣泛開展觸發(fā)了多源匯聚計算的機(jī)密性保障需求。應(yīng)加強(qiáng)數(shù)據(jù)采集、運(yùn)算、溯源等關(guān)鍵環(huán)節(jié)的保障能力建設(shè)，強(qiáng)化數(shù)據(jù)安全監(jiān)測、預(yù)警、控制和應(yīng)急處置能力，以數(shù)據(jù)安全關(guān)鍵環(huán)節(jié)和關(guān)鍵技術(shù)的研究為突破點，完善大數(shù)據(jù)安全技術(shù)體系，促進(jìn)整個大數(shù)據(jù)產(chǎn)業(yè)的健康發(fā)展。

在大數(shù)據(jù)應(yīng)用場景下，數(shù)據(jù)利用和隱私保護(hù)是天然矛盾的兩端，同態(tài)加密、去標(biāo)識化等技術(shù)可以實現(xiàn)這兩者良好的平衡，是解決大數(shù)據(jù)應(yīng)用過程中隱私保護(hù)問題的理想技術(shù)，隱私保護(hù)核心技術(shù)方面的進(jìn)展必然會極大推動大數(shù)據(jù)應(yīng)用的發(fā)展。目前，隱私保護(hù)技術(shù)的核心問題是效率，應(yīng)加強(qiáng)降低計算開銷和存儲開銷的研究，提升大數(shù)據(jù)環(huán)境下隱私保護(hù)技術(shù)水平。