周娜 劉剛

摘要：作為有效促進(jìn)個(gè)人數(shù)據(jù)有序流動(dòng)、合規(guī)共享的技術(shù)手段，匿名化在個(gè)人信息保護(hù)和個(gè)人數(shù)據(jù)共享方面發(fā)揮著至關(guān)重要的作用。本文介紹了匿名化技術(shù)領(lǐng)域的最新發(fā)展，對(duì)常見(jiàn)的匿名化隱私保護(hù)方法進(jìn)行了對(duì)比與分析，并總結(jié)了匿名化技術(shù)的度量方法和存在的問(wèn)題。最后，提出了關(guān)于個(gè)人數(shù)據(jù)共享中匿名化技術(shù)進(jìn)一步發(fā)展的建議。

關(guān)鍵詞：匿名化；個(gè)人信息保護(hù)；個(gè)人數(shù)據(jù)共享

隨著移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、5G、大數(shù)據(jù)等技術(shù)的普及應(yīng)用，新一代信息技術(shù)正在促進(jìn)和深化電子商務(wù)、醫(yī)療保險(xiǎn)、交通出行、智能家居和在線教育等各行業(yè)的融合、創(chuàng)新和發(fā)展。各行各業(yè)都在收集和共享大量的個(gè)人數(shù)據(jù)[1]，數(shù)據(jù)共享不僅可以打破信息壁壘，促進(jìn)產(chǎn)業(yè)的創(chuàng)新與發(fā)展。同時(shí)，行業(yè)間的數(shù)據(jù)共享也可以使用戶獲得更加個(gè)性化、便利化、高品質(zhì)的服務(wù)。很多數(shù)據(jù)中存在著用戶的敏感信息，可能危及用戶的隱私。個(gè)人信息處理者在向其他組織、機(jī)構(gòu)共享個(gè)人數(shù)據(jù)或發(fā)布用戶數(shù)據(jù)之前應(yīng)確保用戶的敏感信息和隱私數(shù)據(jù)受到保護(hù)。這些可以通過(guò)數(shù)據(jù)匿名化技術(shù)實(shí)現(xiàn)。匿名化是隱私保護(hù)領(lǐng)域的重要技術(shù)手段之一。在法律規(guī)制層面上，我國(guó)也逐步確立了匿名化處理的法律標(biāo)準(zhǔn)。例如，新實(shí)施的《個(gè)人信息保護(hù)法》第七十二條中規(guī)定了匿名化的定義：“個(gè)人信息經(jīng)過(guò)處理無(wú)法識(shí)別特定自然人且不能復(fù)原的過(guò)程”。從法律及現(xiàn)行標(biāo)準(zhǔn)來(lái)看，我國(guó)已確立的匿名化處理的法律標(biāo)準(zhǔn)是數(shù)據(jù)處理后“無(wú)法識(shí)別特定自然人且不能復(fù)原”。

一、常見(jiàn)的匿名化技術(shù)

為實(shí)現(xiàn)匿名化，專家學(xué)者提出了很多匿名化模型和實(shí)現(xiàn)匿名化的技術(shù)手段。1998年，Sweeney等人[2]首次提出了K-匿名模型。此后，學(xué)者們?cè)诖嘶A(chǔ)上相繼提出了更有效的匿名化模型，如L-多樣性[3]、T-接近[4]和差分隱私[5]等匿名化模型。還有學(xué)者在這些模型基礎(chǔ)上提出了很多改進(jìn)的匿名化模型，這些模型通過(guò)引入更多的約束條件以達(dá)到更高的隱私保護(hù)強(qiáng)度，例如（α，k）-匿名模型[6]、（C，l）-多樣性[7]等。接下來(lái)我們將介紹一些常用的匿名化模型和實(shí)現(xiàn)匿名化的技術(shù)手段等。

（一）匿名化模型

1.K-匿名化。K-匿名化算法最初由Sweeney提出。該算法的主要目的是通過(guò)將至少K個(gè)用戶置于具有相同準(zhǔn)標(biāo)識(shí)符的等價(jià)類中來(lái)保護(hù)用戶隱私。在K-匿名模型中，如果發(fā)布的數(shù)據(jù)集中的每個(gè)信息都不能與發(fā)布數(shù)據(jù)集中至少出現(xiàn)K-1次的元組區(qū)分開(kāi)，則該數(shù)據(jù)集為K-匿名的。該算法的缺點(diǎn)是易受鏈路攻擊，無(wú)法抵御屬性泄漏的風(fēng)險(xiǎn)。攻擊者可以通過(guò)背景知識(shí)和同質(zhì)屬性等攻擊方法攻擊K-匿名數(shù)據(jù)集中的用戶屬性信息。

2. L-多樣性。L-多樣性模型是為了解決K-匿名模型的局限性而提出的。L-多樣性要求任意一個(gè)匿名后的等價(jià)類至少包含L個(gè)不同的敏感屬性值。通過(guò)對(duì)敏感屬性進(jìn)行約束，保證每個(gè)等價(jià)類中敏感值的多元化，可以有效抵御同質(zhì)性攻擊的威脅。與K-匿名算法相比，符合L-多樣性算法的數(shù)據(jù)集顯著降低了數(shù)據(jù)泄露的風(fēng)險(xiǎn)，但會(huì)受到傾斜攻擊和相似攻擊的影響。此外，L-多樣性隱私模型由于在匿名化過(guò)程中不考慮準(zhǔn)標(biāo)識(shí)符的分布和相似性，降低了匿名數(shù)據(jù)的可用性。

3. T-接近。T-接近的提出解決了K-匿名和L-多樣性模型在隱私保護(hù)方面的局限性。T-接近要求每個(gè)等價(jià)類中敏感屬性取值分布與該屬性在整個(gè)數(shù)據(jù)集中的總體分布之間的距離不超過(guò)閾值T。T-接近度通過(guò)將所有敏感屬性保持在一個(gè)特定的范圍內(nèi)，解決了針對(duì)敏感屬性值的偏斜性攻擊和相似性攻擊。入侵者重新識(shí)別信息的概率降低了，但數(shù)據(jù)的可用性也更低。

4.差分隱私。差分隱私由Dwork提出，通過(guò)向數(shù)據(jù)集添加噪聲使用戶數(shù)據(jù)匿名化，從而使攻擊者無(wú)法確定是否包含特定的用戶數(shù)據(jù)。數(shù)據(jù)處理者在向第三方提供子數(shù)據(jù)集時(shí)使用差分隱私的方法生成匿名化視圖。差分隱私算法的優(yōu)勢(shì)在于直接將特定查詢的結(jié)果提供給第三方，而不需要將整個(gè)數(shù)據(jù)集轉(zhuǎn)交給第三方。然而，攻擊者可以通過(guò)多次查詢來(lái)不斷縮小樣本范圍，從而可能獲取到個(gè)別或一組數(shù)據(jù)主體的特征。差分隱私被認(rèn)為是一種非常有效的隱私保護(hù)技術(shù)，因?yàn)槠涠x的隱私不依賴于攻擊者的背景知識(shí)，并廣泛應(yīng)用于數(shù)據(jù)挖掘、機(jī)器學(xué)習(xí)等領(lǐng)域[8]。

（二）實(shí)現(xiàn)匿名化的技術(shù)

1.泛化。對(duì)數(shù)據(jù)進(jìn)行歸納總結(jié)，將具體的值替換為更一般化的值。對(duì)于類別屬性，可以使用通用的類別值替換特定的值；對(duì)于數(shù)值屬性，可以用區(qū)間代替精確值，以減少個(gè)體被識(shí)別的可能性。泛化技術(shù)簡(jiǎn)單易行，但過(guò)度泛化會(huì)損失數(shù)據(jù)的可用性。

2.抑制。隱藏或刪除直接標(biāo)識(shí)符，以防止數(shù)據(jù)與個(gè)人信息直接關(guān)聯(lián)。抑制技術(shù)包括屏蔽、局部抑制和記錄抑制等方法。抑制技術(shù)可以與泛化技術(shù)結(jié)合使用，特別是用于去除異常值，避免過(guò)度泛化。

3.擾動(dòng)。使用合成的數(shù)據(jù)值替換原始數(shù)據(jù)，使得從擾動(dòng)數(shù)據(jù)計(jì)算的統(tǒng)計(jì)信息與從原始數(shù)據(jù)計(jì)算的統(tǒng)計(jì)信息沒(méi)有顯著差異。擾動(dòng)數(shù)據(jù)與真實(shí)數(shù)據(jù)不對(duì)應(yīng)，因此攻擊者無(wú)法從已發(fā)布的數(shù)據(jù)中推斷出敏感信息。擾動(dòng)技術(shù)的局限性在于數(shù)據(jù)是合成的，只能保留發(fā)布者選擇的統(tǒng)計(jì)屬性。

4.置換。根據(jù)特定規(guī)則重新排列原始數(shù)據(jù)。通過(guò)對(duì)敏感屬性值的重排置換，解除準(zhǔn)標(biāo)識(shí)符和敏感屬性之間的關(guān)聯(lián)，從而達(dá)到數(shù)據(jù)去標(biāo)識(shí)化的目的。對(duì)稱密鑰的數(shù)據(jù)重排置換算法具有加解密速度快、軟硬件標(biāo)準(zhǔn)化等優(yōu)點(diǎn)，但密鑰生成和操作對(duì)算法的安全性有重要影響。

5.微聚集。根據(jù)相似程度將數(shù)據(jù)分組，每個(gè)組至少包含k個(gè)記錄，然后使用質(zhì)心替代該組內(nèi)所有記錄的值。微聚集可以減少敏感屬性的泄露風(fēng)險(xiǎn)，并保持?jǐn)?shù)據(jù)的可用性。

二、匿名化技術(shù)度量方法

第一節(jié)介紹了一些匿名化隱私模型，但總體而言，匿名化的主要目標(biāo)是保護(hù)數(shù)據(jù)的隱私性和可用性。本節(jié)分別從這兩個(gè)方面介紹匿名化算法的度量方法。

（一）數(shù)據(jù)隱私性度量方法

在基于泛化的匿名化技術(shù)中，K-匿名，L-多樣性和T-接近等算法被用作衡量匿名數(shù)據(jù)隱私程度的指標(biāo)。

在基于隨機(jī)化的匿名化技術(shù)中，貝葉斯后驗(yàn)置信概率被廣泛應(yīng)用于量化匿名級(jí)別。該方法基于攻擊者的背景知識(shí)和匿名數(shù)據(jù)構(gòu)造了一個(gè)二叉樹(shù)，并利用貝葉斯推斷的信息關(guān)聯(lián)構(gòu)造了另一個(gè)二叉樹(shù)。它主要考慮了局部變化的影響?；陟氐亩攘糠椒梢杂脕?lái)量化隨機(jī)擾動(dòng)機(jī)制可能達(dá)到的匿名級(jí)別[9]。Díaz等人[10]是最早提出使用信息熵來(lái)測(cè)量匿名通信系統(tǒng)的匿名性的研究者之一。Ma等人[11]通過(guò)量化位置信息和特定個(gè)人聯(lián)系人的不確定性，利用信息論量化每個(gè)用戶的位置隱私水平。在基于差分隱私匿名化技術(shù)中，還有一些度量方法，如基于多數(shù)據(jù)集關(guān)聯(lián)的差分隱私測(cè)量度量[12]和基于互信息的差分隱私測(cè)量度量[13]。

（二）數(shù)據(jù)可用性度量方法

有多種方法可以量化匿名化算法對(duì)數(shù)據(jù)保護(hù)的可用性。本文根據(jù)數(shù)據(jù)發(fā)布時(shí)是否已知數(shù)據(jù)處理的目的將衡量匿名數(shù)據(jù)可用性的指標(biāo)分為兩類：專用指標(biāo)和通用指標(biāo)。專用指標(biāo)是指在數(shù)據(jù)發(fā)布時(shí)已知數(shù)據(jù)的處理的目的。通用指標(biāo)是指數(shù)據(jù)發(fā)布者不知道接收者將如何分析處理發(fā)布的數(shù)據(jù)。專用指標(biāo)使用機(jī)器學(xué)習(xí)方法來(lái)衡量匿名數(shù)據(jù)質(zhì)量。最廣泛使用的專用指標(biāo)是準(zhǔn)確率或錯(cuò)誤率、F值、精度和召回率。通用指標(biāo)衡量的是修改原始數(shù)據(jù)造成的信息損失。目前比較流行的通用效用評(píng)估方法是加權(quán)確定性懲罰、廣義信息損失（GenILoss）、可辨別性度量、最小失真、平均等價(jià)類大?。–AVG）、Kullback-Leible散度、粒度、查詢準(zhǔn)確度、全局損失懲罰（GLP）、歸一化互信息（NMI）、相對(duì)誤差（RE）和信息神權(quán)度量（ITM）。一些研究對(duì)這些可用性指標(biāo)進(jìn)行了詳細(xì)分析介紹。

三、目前存在的問(wèn)題

匿名化技術(shù)在數(shù)據(jù)共享的過(guò)程中要發(fā)揮著重要作用，但仍存在一些問(wèn)題。在法律和監(jiān)管方面，我國(guó)目前對(duì)匿名化的法律標(biāo)準(zhǔn)“無(wú)法識(shí)別特定自然人且不能復(fù)原的過(guò)程”并沒(méi)有明確的判定標(biāo)準(zhǔn)；行業(yè)監(jiān)管也沒(méi)有制定明確的匿名化處理效果的監(jiān)管方案。在技術(shù)方面存在以下問(wèn)題。

（一）匿名化再識(shí)別風(fēng)險(xiǎn)

個(gè)人信息匿名化處理再識(shí)別風(fēng)險(xiǎn)是指在使用技術(shù)手段對(duì)個(gè)人信息進(jìn)行匿名化處理后，仍然存在通過(guò)技術(shù)手段重新識(shí)別出被隱匿的個(gè)人身份的風(fēng)險(xiǎn)。Narayanan 等人[14]在研究中發(fā)現(xiàn)，利用外部數(shù)據(jù)源的輔助信息可以成功對(duì)被匿名化的數(shù)據(jù)進(jìn)行去匿名化處理[15]。在大數(shù)據(jù)時(shí)代，隨著數(shù)據(jù)發(fā)布規(guī)模的增加以及數(shù)據(jù)挖掘和分析技術(shù)的提升，通過(guò)組合多個(gè)數(shù)據(jù)來(lái)源的數(shù)據(jù)集，重新識(shí)別匿名化后的個(gè)人信息的可能性會(huì)大大增加。因此，如何最大程度地避免匿名化數(shù)據(jù)再識(shí)別問(wèn)題，把握匿名化再識(shí)別風(fēng)險(xiǎn)成為匿名化技術(shù)進(jìn)一步發(fā)展的重要研究?jī)?nèi)容。

（二）匿名化數(shù)據(jù)隱私性和可用性的平衡問(wèn)題

目前在數(shù)據(jù)匿名化中，現(xiàn)有技術(shù)的主要問(wèn)題是要么泛化數(shù)據(jù)超過(guò)所需，降低了數(shù)據(jù)的可用性，要么沒(méi)有充分保護(hù)個(gè)人隱私數(shù)據(jù)。個(gè)人信息的價(jià)值主要在于其識(shí)別性的特征，若匿名化后的個(gè)人信息毫不具備識(shí)別性，那么其利用價(jià)值也大打折扣。這是匿名化技術(shù)領(lǐng)域長(zhǎng)期面臨的挑戰(zhàn)。

（三）匿名化技術(shù)暫無(wú)統(tǒng)一度量標(biāo)準(zhǔn)

如引言所述，目前存在一些問(wèn)題需要解決。首先，匿名化的定義僅僅表明個(gè)人無(wú)法被識(shí)別且無(wú)法復(fù)原，但并沒(méi)有明確界定“無(wú)法識(shí)別”的具體范圍，也沒(méi)有明確“無(wú)法復(fù)原”是相對(duì)還是絕對(duì)的標(biāo)準(zhǔn)，這給信息處理者和法院帶來(lái)了合規(guī)成本和界定的困擾。因此，研究匿名化技術(shù)的統(tǒng)一度量和評(píng)價(jià)標(biāo)準(zhǔn)是迫切需要解決的問(wèn)題。

此外，還有其他一些問(wèn)題需要進(jìn)一步研究，如動(dòng)態(tài)數(shù)據(jù)發(fā)布和動(dòng)態(tài)社會(huì)網(wǎng)絡(luò)的匿名化問(wèn)題，異構(gòu)數(shù)據(jù)類型的適用性問(wèn)題，高維數(shù)據(jù)的匿名化以及如何實(shí)現(xiàn)個(gè)性化匿名等。對(duì)這些問(wèn)題的深入研究可以提供更全面和有效的解決方案。

四、個(gè)人數(shù)據(jù)共享中匿名化技術(shù)的發(fā)展建議

本文對(duì)匿名化技術(shù)在個(gè)人數(shù)據(jù)共享中的問(wèn)題提出了一些解決方案和發(fā)展建議。對(duì)于法律規(guī)制方面，我國(guó)未來(lái)應(yīng)制定個(gè)人信息匿名化處理統(tǒng)一標(biāo)準(zhǔn)和匿名化處理再識(shí)別風(fēng)險(xiǎn)防范規(guī)則。其中，立法可規(guī)定個(gè)人信息共享中不得從事對(duì)接收到的數(shù)據(jù)進(jìn)行再識(shí)別的法律義務(wù)，并規(guī)定違反法律負(fù)有的法律責(zé)任。同時(shí)，可詳細(xì)規(guī)定數(shù)據(jù)處理者對(duì)數(shù)據(jù)共享后續(xù)的保護(hù)義務(wù)，解決目前數(shù)據(jù)處理者背負(fù)過(guò)重責(zé)任的問(wèn)題。這樣，在進(jìn)一步保護(hù)個(gè)人數(shù)據(jù)的同時(shí)，最大程度減小匿名化數(shù)據(jù)再識(shí)別風(fēng)險(xiǎn)，促進(jìn)數(shù)據(jù)的有序流動(dòng)和合規(guī)共享。

對(duì)于行業(yè)監(jiān)管部門，可從以下四個(gè)方面考慮對(duì)企業(yè)數(shù)據(jù)共享和匿名化技術(shù)進(jìn)行監(jiān)管和評(píng)估：①進(jìn)行數(shù)據(jù)保護(hù)影響評(píng)估，驗(yàn)證匿名化與最初收集數(shù)據(jù)的目的的兼容性。這個(gè)評(píng)估可以確保匿名化處理后的數(shù)據(jù)仍然符合原始收集數(shù)據(jù)的目的，并且不會(huì)對(duì)個(gè)人隱私造成不良影響。②確定可用于共享的數(shù)據(jù)，以及其匿名化和聚合的程度，進(jìn)行技術(shù)評(píng)測(cè)和合規(guī)評(píng)估。通過(guò)技術(shù)評(píng)測(cè)可以確保匿名化技術(shù)的有效性和可行性，合規(guī)評(píng)估則可以驗(yàn)證企業(yè)是否按照相關(guān)法規(guī)和標(biāo)準(zhǔn)進(jìn)行匿名化處理。③通過(guò)考慮第三方接收方的技術(shù)、經(jīng)濟(jì)和組織能力，評(píng)估匿名化數(shù)據(jù)再識(shí)別的風(fēng)險(xiǎn)。這個(gè)評(píng)估可以幫助監(jiān)管部門了解匿名化數(shù)據(jù)可能被再識(shí)別的風(fēng)險(xiǎn)，并采取相應(yīng)的監(jiān)管措施，確保個(gè)人數(shù)據(jù)的安全性和隱私保護(hù)。④建立評(píng)估有效性長(zhǎng)效機(jī)制，對(duì)匿名化數(shù)據(jù)階段性進(jìn)行評(píng)估，降低匿名化數(shù)據(jù)再識(shí)別風(fēng)險(xiǎn)。這個(gè)長(zhǎng)效機(jī)制可以對(duì)企業(yè)的匿名化處理和數(shù)據(jù)共享進(jìn)行定期地監(jiān)督和評(píng)估，以確保匿名化數(shù)據(jù)始終保持高度的安全性和隱私保護(hù)。

在技術(shù)層面，本文提出了兩種解決匿名化技術(shù)中的問(wèn)題和未來(lái)發(fā)展方向的方法：去中心化的匿名化方法和個(gè)性化匿名化方法。去中心化的匿名化方法[16]基于區(qū)塊鏈，通過(guò)智能合約進(jìn)行信息交互，保證了數(shù)據(jù)共享的可靠性和安全性。這種方法不依賴數(shù)據(jù)處理者和第三方的信任，解決了傳統(tǒng)匿名化技術(shù)中數(shù)據(jù)共享雙方的信任問(wèn)題。不僅可以讓企業(yè)從數(shù)據(jù)共享中受益，而且能夠有效保護(hù)用戶的隱私。

個(gè)性化匿名方法[17]允許個(gè)人數(shù)據(jù)主體定義自己隱私數(shù)據(jù)的用途，既尊重個(gè)人隱私偏好，又最大程度地保持了數(shù)據(jù)的可用性。有研究表明，每一項(xiàng)屬性對(duì)數(shù)據(jù)的隱私性和可用性都有不同的影響[18]。該方法通過(guò)只選擇那些隱私比值大于某一閾值的數(shù)據(jù)屬性進(jìn)行匿名化，從而最小化個(gè)人數(shù)據(jù)的損失。未來(lái)的研究方向可以通過(guò)自然啟發(fā)算法等優(yōu)化方法來(lái)優(yōu)化數(shù)據(jù)屬性的選擇過(guò)程，以達(dá)到最大隱私保護(hù)和最小可用性降低的平衡，從而提高匿名數(shù)據(jù)庫(kù)的隱私保護(hù)水平和數(shù)據(jù)效用。

通過(guò)引入這兩種方法，可以在保護(hù)數(shù)據(jù)隱私性的同時(shí)增加數(shù)據(jù)的可用性，并且為未來(lái)匿名化技術(shù)的發(fā)展提供了方向和思路。

五、結(jié)束語(yǔ)

信息共享已成為許多個(gè)人、公司、組織和政府機(jī)構(gòu)日?；顒?dòng)的一部分。匿名化技術(shù)可以有效保護(hù)個(gè)人隱私和敏感信息，是一種非常有前景的信息共享方法。然而，除了匿名化技術(shù)本身需要進(jìn)一步提升外，還需要幫助個(gè)人信息處理者解決使用匿名化技術(shù)時(shí)面臨的非技術(shù)性困難，如匿名化技術(shù)的復(fù)雜度越來(lái)越高和數(shù)據(jù)的可用性降低，導(dǎo)致企業(yè)合規(guī)成本提高和服務(wù)質(zhì)量降低等問(wèn)題。本文認(rèn)為跨學(xué)科研究是解決這些問(wèn)題的關(guān)鍵，不同領(lǐng)域的專家學(xué)者從不同角度更好地理解隱私問(wèn)題，有助于匿名化技術(shù)未來(lái)在數(shù)據(jù)共享過(guò)程中發(fā)揮更大的價(jià)值。

作者單位：周娜 博鼎實(shí)華（北京）技術(shù)有限公司

劉剛 中國(guó)信息通信研究院

參? 考? 文? 獻(xiàn)

[1] Yao X， Farha F， Li R， et al. Security and privacy issues of physical objects in the IoT： Challenges and opportunities[J]. Digital Communications and Networks， 2021，7（3）：373-384.

[2] Sweeney L. k-anonymity： A model for protecting privacy[J]. International journal of uncertainty， fuzziness and knowledge-based systems， 2002， 10（05）： 557-570.

[3] Machanavajjhala A， Kifer D， Gehrke J， et al. l-diversity： Privacy beyond k-anonymity[J]. ACM Transactions on Knowledge Discovery from Data （TKDD）， 2007，1（1）：3-es.

[4] Li N， Li T， Venkatasubramanian S. t-closeness： Privacy beyond k-anonymity and l-diversity[C]//2007 IEEE 23rd international conference on data engineering. IEEE， 2006：106-115.

[5] Dwork C， McSherry F， Nissim K， et al. Calibrating noise to sensitivity in private data analysis[C]//Theory of cryptography conference. Springer， Berlin， Heidelberg， 2006： 265-284.

[6] Wong R C-W， Li J， Fu A W-C， et al. （α， k）-Anonymity： An Enhanced k-Anonymity Model for Privacy Preserving Data Publishing[C]//Proceedings of the 12th ACM SIGKDD International Conference on Knowledge Discovery and Data Mining. 2006： 754–759.

[7] 韓建民， 于娟， 虞慧群等. 面向數(shù)值型敏感屬性的分級(jí) L-多樣性模型[J]. 計(jì)算機(jī)研究與發(fā)展， 2011，48（1）：147-158.

[8] Jayaraman B， Evans D. Evaluating differentially private machine learning in practice[C]//28th USENIX Security Symposium （USENIX Security 19）. 2019：1895-1912

[9] Nguyen H H， Imine A， Rusinowitch M. Anonymizing social graphs via uncertainty semantics[C]//Proceedings of the 10th ACM symposium on information， computer and communications security. 2015： 495-506.

[10] Diaz C， Seys S， Claessens J， et al. Towards measuring anonymity[C]//Privacy Enhancing Technologies： Second International Workshop， PET 2002 San Francisco， CA， USA， April 14–15， 2002 Revised Papers. Berlin， Heidelberg： Springer Berlin Heidelberg， 2003： 54-68.

[11] Ma Z， Kargl F， Weber M. A location privacy metric for v2x communication systems[C]//2009 IEEE Sarn off Symposium. IEEE， 2009：1-6.

[12] Wu X， Dou W， Ni Q. Game theory based privacy preserving analysis in correlated data publication[C]//Proceedings of the Australasian Computer Science Week Multiconference. 2017：1-10.

[13] Cuff P， Yu L. Differential privacy as a mutual information constraint[C]//Proceedings of the 2016 ACM SIGSAC Conference on Computer and Communications Security. 2016：43-54.

[14] Narayanan A， Shi E， Rubinstein B I P. Link prediction by de-anonymization： How we won the kaggle social network challenge[C]//The 2011 International Joint Conference on Neural Networks. IEEE， 2011： 1825-1834.

[15] Narayanan A， Shmatikov V. De-anonymizing social networks[C]//2009 30th IEEE symposium on security and privacy. IEEE， 2009： 173-187.

[16] Talat R， Obaidat M S， Muzammal M， et al. A decentralised approach to privacy preserving trajectory mining[J]. Future generation computer systems， 2020，102：382-392.

[17] Can O. Personalised anonymity for microdata release[J]. IET Information Security， 2018， 12（4）： 341-347.

[18] A. Majeed and S. Lee， “Attribute susceptibility and? entropy based data anonymization to improve users community privacy and utility in publishing data，” Appl. Intell.， vol. 50， no. 8， pp. 2555–2574， Aug. 2020.

通訊作者：周娜（1995-），女，漢族，山西長(zhǎng)治，研究生，研究方向：數(shù)據(jù)通信技術(shù)、信息安全、網(wǎng)絡(luò)安全；

劉剛（1974-），男，漢族，北京，研究生，高級(jí)工程師，研究方向：數(shù)據(jù)通信技術(shù)、信息安全、標(biāo)準(zhǔn)研究與制定、新技術(shù)演進(jìn)發(fā)展等。