蘇君華 杜念

關(guān)鍵詞：公共數(shù)據(jù)資源；開放共享；隱私風(fēng)險控制；數(shù)據(jù)生命周期；綜述

2021年，十三屆全國人大四次會議通過的《中華人民共和國國民經(jīng)濟(jì)和社會發(fā)展第十四個五年規(guī)劃和2035年遠(yuǎn)景目標(biāo)綱要》中明確指出，“完善公共數(shù)據(jù)開放共享機(jī)制”，強(qiáng)調(diào)了基于隱私和安全的公共數(shù)據(jù)開放的重要性。學(xué)者們就如何平衡公共數(shù)據(jù)隱私和效用進(jìn)行了深入的研究，提出了許多控制方法，如數(shù)據(jù)信任、差分隱私、去識別化、區(qū)塊鏈等。同時，有關(guān)隱私風(fēng)險控制的理論、實踐研究逐漸走向深入，產(chǎn)生了一系列相關(guān)研究成果。盡管國內(nèi)已發(fā)表隱私計算、開放數(shù)據(jù)等研究述評，但未見相關(guān)綜述全面反映國外公共數(shù)據(jù)資源開放共享中的隱私風(fēng)險控制研究成果。因此，本文采用內(nèi)容分析法來梳理、總結(jié)國外公共數(shù)據(jù)資源開放共享中的隱私風(fēng)險控制研究進(jìn)展。

本文的主要貢獻(xiàn)是從教育、法律、技術(shù)和程序手段4個方面梳理當(dāng)前公共數(shù)據(jù)開放中的隱私風(fēng)險控制研究進(jìn)展，并分類闡述各個方面的研究現(xiàn)狀及主要控制措施。最后，總結(jié)并展望了當(dāng)前公共數(shù)據(jù)開放中的隱私風(fēng)險控制現(xiàn)狀和發(fā)展方向，以期為后續(xù)研究人員及中國公共數(shù)據(jù)開放的建設(shè)提供參考和思路。

1數(shù)據(jù)樣本與研究方法

《上海市公共數(shù)據(jù)和一網(wǎng)通辦管理辦法》第三條規(guī)定，公共數(shù)據(jù)指本市各級行政機(jī)關(guān)以及履行公共管理和服務(wù)職能的事業(yè)單位在依法履職過程中，采集和產(chǎn)生的各類數(shù)據(jù)資源。其中，公共數(shù)據(jù)的共享、開放、授權(quán)經(jīng)營亦或交易，必須有利于促成公共利益，而不是謀取個人或少數(shù)群體的利益。根據(jù)公共數(shù)據(jù)定義，2023年3月30日，筆者以TS=（Open and Data and Privacy and Risk and（Govern-ment OR Public））為檢索式，對國外主要全文數(shù)據(jù)庫（含Web of Science、EBSCO、Elsevier、Springer、Taylor&Francis、Emerald、SAGE Jourmal、Wiley、Scopus）進(jìn)行檢索，排除社論材料、專利、信函、新聞等文獻(xiàn)類型。為了使檢索更全面，以TI=（“Priva-cy Risk”）為檢索式補充檢索了相關(guān)重要文獻(xiàn)。手動剔除顯著不相關(guān)（如非公共數(shù)據(jù)、涉及隱私風(fēng)險而無隱私控制的文獻(xiàn)）與重復(fù)文獻(xiàn)后，最終得到99篇文獻(xiàn)。

借助VOSview對文獻(xiàn)進(jìn)行關(guān)鍵詞聚類分析。首先獲取文獻(xiàn)關(guān)鍵詞，文獻(xiàn)關(guān)鍵詞整合作者關(guān)鍵詞和來源數(shù)據(jù)庫提供的關(guān)鍵詞，包括Web of Science關(guān)鍵詞、IEEE關(guān)鍵詞、Scopus檢索關(guān)鍵詞及主題詞。其次預(yù)處理關(guān)鍵詞，將外文文獻(xiàn)中的關(guān)鍵詞翻譯為中文，合并同義詞與相近詞，刪除無實際意義關(guān)鍵詞等。如將“數(shù)據(jù)采集”與“數(shù)據(jù)收集”合并為“數(shù)據(jù)收集”：

“法律和立法”與“法律”合并為“法律／立法”等：刪除“文章”“程序”“調(diào)查”等關(guān)鍵詞。選取關(guān)鍵詞頻率大于3的關(guān)鍵詞（91），運用VOSviewer軟件生成國外公共數(shù)據(jù)資源開放共享中的隱私風(fēng)險控制主題關(guān)鍵詞共現(xiàn)網(wǎng)絡(luò)圖譜，如圖1所示。

根據(jù)圖1，國外公共數(shù)據(jù)資源開放共享中的隱私控制主題研究形成了4個主要類團(tuán)。第一個類團(tuán)（黃色部分）主要涉及公共數(shù)據(jù)資源開放共享中的隱私風(fēng)險控制教育手段；第二個類團(tuán)（藍(lán)色部分）主要覆蓋公共數(shù)據(jù)資源開放共享中的隱私保護(hù)法律手段；第三個類團(tuán)（紅色部分）主要涉及公共數(shù)據(jù)資源開放共享中的隱私風(fēng)險控制技術(shù)手段：第四個類團(tuán)（綠色部分）主要涉及公共數(shù)據(jù)資源開放共享中的隱私風(fēng)險控制程序手段。各類團(tuán)包含的研究主題、主要關(guān)鍵詞及其頻次、關(guān)鍵詞數(shù)量、總頻次信息如表1所示。

綜合圖1與表1可以發(fā)現(xiàn)：①目前國外對公共數(shù)據(jù)資源開放共享中的隱私風(fēng)險控制主題研究主要集中在隱私風(fēng)險控制教育、法律法規(guī)和標(biāo)準(zhǔn)、技術(shù)、程序4個方面，其中法律手段類團(tuán)的關(guān)鍵詞數(shù)量和總頻次較高，說明當(dāng)前公共數(shù)據(jù)中的隱私風(fēng)險控制正處于發(fā)展階段，法律正在不斷完善中，其中隱私與開放的平衡是研究重點：②當(dāng)前公共數(shù)據(jù)資源開放共享中的隱私風(fēng)險控制教育手段研究成果相對較少，研究者開始注重道德、公眾信任對隱私的影響，這對于推進(jìn)公共數(shù)據(jù)資源開放共享具有重要作用；③在技術(shù)、程序手段方面，隱私增強(qiáng)技術(shù)廣泛應(yīng)用于各個領(lǐng)域，特別是政府服務(wù)、城市管理方面。并且區(qū)塊鏈、差分隱私、人工智能等新興技術(shù)被應(yīng)用于隱私控制實踐中：④4個類團(tuán)的關(guān)鍵詞分布存在交叉現(xiàn)象，說明國外公共數(shù)據(jù)資源開放共享中的隱私風(fēng)險控制主題研究熱點之間的界限還比較模糊。

2公共數(shù)據(jù)資源開放共享中的隱私風(fēng)險控制研究分析

基于關(guān)鍵詞共現(xiàn)與聚類分析，本文從收集和接受、轉(zhuǎn)換、保留、發(fā)布和訪問、訪問后5個方面出發(fā)，將公共數(shù)據(jù)資源開放共享中的隱私風(fēng)險控制實踐情況分為程序、經(jīng)濟(jì)、教育、法律、技術(shù)手段，如表2所示。其中，程序手段指采用組織內(nèi)部的程序；技術(shù)手段包括統(tǒng)計方法、計算方法和人為因素分析；教育手段包括旨在通知與系統(tǒng)交互的數(shù)據(jù)主體、數(shù)據(jù)控制者和數(shù)據(jù)接收者的任何干預(yù)措施，及一般數(shù)據(jù)主體、控制者、接收者或廣大公眾對隱私慣例和風(fēng)險的看法：經(jīng)濟(jì)手段包括旨在改變利益相關(guān)者的經(jīng)濟(jì)激勵的任何干預(yù)措施：法律手段旨在改變利益攸關(guān)方的合法權(quán)利或利益相關(guān)者間關(guān)系的干預(yù)措施。

2.1公共數(shù)據(jù)開放中的隱私風(fēng)險控制教育手段

Watson H等提出，健康數(shù)據(jù)環(huán)境中，需要轉(zhuǎn)變思維方式。他強(qiáng)調(diào)優(yōu)先考慮以患者為中心的研究，并減輕需要量化的患者實際隱私風(fēng)險，同時必須從患者本身開始自下而上地采取激勵措施。這強(qiáng)調(diào)了公眾信任的重要性。在開放公共數(shù)據(jù)過程中，日益增長的背景知識導(dǎo)致現(xiàn)有的數(shù)據(jù)發(fā)布隱私保護(hù)模式大多無法抵御攻擊：通過使用人工智能，數(shù)據(jù)隱私風(fēng)險及得出有偏見或錯誤結(jié)論也變得更加突出。這極大地削減了公眾對政府、組織機(jī)構(gòu)的信任，同時阻礙了公共數(shù)據(jù)的開放與共享。然而，當(dāng)人們意識到他們的隱私受到尊重和保護(hù)時，他們會更加自信地參與社會和經(jīng)濟(jì)活動。隱私儀表板和個人數(shù)據(jù)存儲是個人用于表達(dá)有關(guān)保留和使用其數(shù)據(jù)的詳細(xì)權(quán)限的工具，它幫助提供透明度和對個人數(shù)據(jù)的控制，有助于提升公眾的信任。個人可以使用基于Web的隱私儀表板向選定方或特定用途授予對其數(shù)據(jù)的精細(xì)訪問權(quán)限。還可在用于監(jiān)控和自動評估的“儀表板”中查閱個人層面的現(xiàn)有數(shù)據(jù)源被鏈接情況。個人數(shù)據(jù)存儲使個人能夠有效地對有關(guān)他們信息的存儲位置和訪問方式進(jìn)行細(xì)粒度控制，從而選擇在特定時間與特定方共享特定個人信息。個人數(shù)據(jù)存儲不僅提供了增強(qiáng)的控制，而且作為用戶控制的交互式系統(tǒng)，是開發(fā)更豐富的問責(zé)機(jī)制、在線聚合方法和高級安全機(jī)制的潛在基礎(chǔ)。

對于信息或數(shù)據(jù)管理平臺而言，公眾的信任也至關(guān)重要。研究表明，社會規(guī)范、媒體代表和報道、對責(zé)任方的看法會影響人們對信息管理平臺的信任和使用意愿，而保持公眾對信息平臺的信任是減輕對數(shù)據(jù)安全性、隱私和功能效率的普遍擔(dān)憂的關(guān)鍵。如Shi M等從用戶角度分析了影響醫(yī)療大數(shù)據(jù)安全和隱私泄露的關(guān)鍵指標(biāo)，包括用戶訪問行為和信任度。并且在判斷用戶“非法行為”方面，將用戶的信任值納入風(fēng)險評估指標(biāo)，可以減少系統(tǒng)誤判的可能性。

信任與隱私是彼此緊密聯(lián)系、相互作用的兩個重要因素，包括數(shù)據(jù)主體、控制者、接收者之間的信任。Ruotsalainen P等認(rèn)為，可信度（即以合乎道德的方式處理健康和保健信息并保證隱私）是未來個人健康系統(tǒng)、無處不在的醫(yī)療保健和普遍健康的基石之一?；跓o處不在的信息空間的普遍健康和風(fēng)險分析框架模型，他們制定了實現(xiàn)可信信息共享的原則，包括數(shù)據(jù)主體應(yīng)有權(quán)動態(tài)驗證信任并控制其健康信息的使用，以及設(shè)置基于情境的上下文感知個人策略的權(quán)利：數(shù)據(jù)收集者和處理者的責(zé)任包括信息處理的透明度，以及利益、政策和環(huán)境特征的開放性。這些原則為自主管理健康領(lǐng)域的隱私和信息奠定了基礎(chǔ)?；谛湃蔚姆椒?，Zuo Y J等構(gòu)建了包括供應(yīng)鏈成員信任評估、數(shù)據(jù)分類和基于信任的決策在內(nèi)的框架，旨在控制和減輕參與者在供應(yīng)鏈網(wǎng)絡(luò)中面臨的信息風(fēng)險（如信息機(jī)密性、隱私和完整性的風(fēng)險）。這充分表明建立數(shù)據(jù)主體、控制者、接收者及公眾間的相互信任對于數(shù)據(jù)保護(hù)和防止個人信息泄露的重要性。

信任的建立依賴于透明和安全的數(shù)據(jù)處理措施。動態(tài)社會契約模型以一套商定的關(guān)于如何共享數(shù)據(jù)的合理期望為基礎(chǔ)，對提供可接受的保證的治理以及誰對什么負(fù)責(zé)達(dá)成一致。如Open Mustard SeedPlatform是一個開放數(shù)據(jù)平臺，它允許個人就其個人信息的使用進(jìn)行社會契約談判，通過基于同意的平臺來管理數(shù)據(jù)，使人們在合法構(gòu)成的“信任框架”內(nèi)共享個人數(shù)據(jù)。數(shù)據(jù)信托或數(shù)據(jù)受托人是另一種新興方法。這種法律和政策框架方法考慮了第一方或第三方實體（數(shù)據(jù)主體除外），受一組經(jīng)批準(zhǔn)的法律可執(zhí)行義務(wù)的約束，以管理數(shù)據(jù)。Potoczny-Jones I等針對智慧城市協(xié)調(diào)數(shù)據(jù)敏感風(fēng)險與預(yù)期收益問題，提出了“數(shù)據(jù)信任”解決方案。該技術(shù)框架強(qiáng)制實施個人身份數(shù)據(jù)最小化、訪問控制以及靈活而精細(xì)的披露和編輯控制，并結(jié)合了法律上可執(zhí)行的數(shù)據(jù)使用義務(wù)和責(zé)任；YoungM等提出由第三方公私數(shù)據(jù)信托提供的綜合法律技術(shù)方法，旨在透明度、所有權(quán)、隱私和研究目標(biāo)之間取得平衡。基本成員資格允許公司和機(jī)構(gòu)實現(xiàn)對合規(guī)性報告和核心方法研究數(shù)據(jù)的低風(fēng)險訪問，而模塊化數(shù)據(jù)共享協(xié)議支持廣泛的項目和用例。除非協(xié)議中另有明確規(guī)定，否則所有數(shù)據(jù)訪問最初都是通過定制的合成數(shù)據(jù)集提供給最終用戶。安全共享站點以安全和隱私保護(hù)的方式對數(shù)據(jù)進(jìn)行計算，而無需發(fā)布原始數(shù)據(jù)，且所有數(shù)據(jù)共享都是透明且可審計的。這種方案解決了對數(shù)據(jù)壟斷的擔(dān)憂，即沒有人擁有數(shù)據(jù)。數(shù)據(jù)信托或數(shù)據(jù)受托人、動態(tài)社會契約模型等都涉及整個數(shù)據(jù)生命周期的隱私控制，在每個數(shù)據(jù)生命周期階段通過“信任”框架或方案來管理數(shù)據(jù)，盡管他們提供“信任”方式不同，前者主要借助信托，后者基于談判。此外，利用區(qū)塊鏈的去中心化、透明化和可信度也有助于解決信任、安全和隱私問題。Kang H等開發(fā)了一種基于區(qū)塊鏈的新型接觸者追蹤移動應(yīng)用程序BeepTrace，旨在緩解大流行并緩解接觸者追蹤的隱私問題，特別是解決了第三方信任問題。

2.2公共數(shù)據(jù)開放中的隱私風(fēng)險控制法律手段

2.2.1隱私保護(hù)主要法律法規(guī)

當(dāng)前，隱私風(fēng)險控制主要的法律法規(guī)包括個人信息保護(hù)法（PIPA）、數(shù)據(jù)保護(hù)法（DPA）、通用數(shù)據(jù)保護(hù)條例（GDPR）、個人醫(yī)療信息保護(hù)法（HIPAA）等。

韓國《個人信息保護(hù)法》主要保護(hù)個人的自由和權(quán)利，并通過規(guī)定處理和保護(hù)個人信息來實現(xiàn)個人的尊嚴(yán)和價值。2020年2月的修訂允許未經(jīng)信息主體同意，將“假名信息”處理為有限目的，這為私營公司和公共機(jī)構(gòu)的公共大數(shù)據(jù)交付提供了更多動力。然而，修訂后的法律側(cè)重于利用大數(shù)據(jù)、企業(yè)間信息合并等，并引入了安全措施義務(wù)、罰款、刑事處罰等，但并沒有為應(yīng)對公共機(jī)構(gòu)擴(kuò)大公共數(shù)據(jù)開放而承擔(dān)特別強(qiáng)化的風(fēng)險管理責(zé)任。

英國《2018年數(shù)據(jù)保護(hù)法》法案規(guī)定了公共機(jī)構(gòu)及其雇員如何處理與個人有關(guān)的數(shù)據(jù)。根據(jù)DPA，參與處理數(shù)據(jù)的人員被稱為維護(hù)和操作數(shù)據(jù)的數(shù)據(jù)處理者，負(fù)責(zé)做出有關(guān)數(shù)據(jù)以及是否可以共享數(shù)據(jù)決定的數(shù)據(jù)控制者。數(shù)據(jù)處理者和控制者必須遵守嚴(yán)格的數(shù)據(jù)保護(hù)原則，并確保個人數(shù)據(jù)得到合法、公平和透明的方式處理；收集和處理最低限度的必要數(shù)據(jù)，且僅用于特定目的、準(zhǔn)確、保存時間不超過必要時間，并得到適當(dāng)保障。

歐盟《通用數(shù)據(jù)保護(hù)條例》是第一部通過明確定義歐盟內(nèi)外個人數(shù)據(jù)處理和移動的背景來直接規(guī)范個人隱私的法律。GDPR的頒布帶來了巨大的變化。關(guān)于受保護(hù)的信息，擺脫了傳統(tǒng)的個人信息／匿名信息二分法，首次引入假名信息概念。在降低信息主體風(fēng)險的同時，減輕個人信息處理者義務(wù)。關(guān)于同意，在法規(guī)全文中明確規(guī)定，對于用于研究的個人信息的使用，可以“廣泛同意”，而不是信息主體的具體同意。關(guān)于同意豁免的原因可以確認(rèn)，即使是敏感信息，信息主體對醫(yī)療目的、公共衛(wèi)生和研究目的的同意也相對廣泛地得到豁免。此外，GDPR明確定義了個人（主體）的權(quán)利，即：①個人數(shù)據(jù)泄露通知：②訪問收集的數(shù)據(jù)及其使用方式和目的；③刪除數(shù)據(jù)的權(quán)利；④數(shù)據(jù)可移植性；⑤收集和處理過程中的數(shù)據(jù)保護(hù)。同時，引入并建立數(shù)據(jù)保護(hù)官，他們有義務(wù)將其數(shù)據(jù)處理活動通知當(dāng)?shù)財?shù)據(jù)保護(hù)機(jī)構(gòu)。根據(jù)1995年的數(shù)據(jù)保護(hù)指令，歐盟委員會（2012年）提出了對歐盟數(shù)據(jù)保護(hù)規(guī)則的全面改革。此外，ISO/IEC 29100標(biāo)準(zhǔn)還定義了11項隱私原則（ISO/IEC-29100 2011）。

美國有單獨的個人醫(yī)療信息保護(hù)法，對非識別方法有具體規(guī)定，如“專家決策方式”和“保障港法”。此外，還對“有限信息聚合”概念進(jìn)行了單獨規(guī)定，部分放松了管制。關(guān)于免除同意的理由，若機(jī)構(gòu)審查委員會等批準(zhǔn)同意豁免，即使未經(jīng)個人同意，也有可能將個人醫(yī)療信息用于研究目的。

2.2.2隱私保護(hù)主要標(biāo)準(zhǔn)

人們可能一度認(rèn)為公共機(jī)構(gòu)收集的任何信息只會用于最初收集的目的，但開放數(shù)據(jù)的引入改變了這種情況。開放數(shù)據(jù)是任何人都可以免費下載、共享和重復(fù)使用的數(shù)據(jù)，除了可能需要引用來源之外，對重復(fù)使用或重新分發(fā)沒有限制。開放政府旨在通過使數(shù)據(jù)易于獲取來提高透明度和公民參與與協(xié)作。當(dāng)前許多國家（地區(qū)）承諾開放政府，并將公共數(shù)據(jù)作為開放數(shù)據(jù)提供。這有助于讓公民參與使用或重用政府?dāng)?shù)據(jù)，并且使數(shù)據(jù)分析提供商或其他政府組織具有通過促進(jìn)更好的理解和加強(qiáng)決策來幫助政府改進(jìn)其程序的潛力。但在履行這一承諾時，公共機(jī)構(gòu)需確保以開放格式發(fā)布的任何數(shù)據(jù)不包含個人或敏感數(shù)據(jù)，即識別或可用于幫助識別公民個人的數(shù)據(jù)。因為這些潛在的風(fēng)險因素會影響問責(zé)制，甚至降低公共機(jī)構(gòu)的聲譽。因此，需要權(quán)衡隱私風(fēng)險和數(shù)據(jù)效用。①一個重要框架是公平信息原則（FIP）。FIP的有影響力的版本是經(jīng)濟(jì)合作與發(fā)展組織（OECD）的《個人數(shù)據(jù)隱私和跨境流動保護(hù)指南》。OECD成員國于1980年通過了《隱私準(zhǔn)則》，該指南強(qiáng)調(diào)，它們提供了“最低標(biāo)準(zhǔn)”，且沒有“根據(jù)其性質(zhì)和收集、存儲、處理或傳播的背景，對不同類別的個人數(shù)據(jù)實施不同的保護(hù)措施。其原則包括：收集限制原則、數(shù)據(jù)質(zhì)量原則、目的說明原則、使用限制原則、保安保障原則、開放原則、個人參與原則、問責(zé)原則。現(xiàn)在，幾乎每個OECD成員國都有以FIP為核心的數(shù)據(jù)隱私法；②平衡隱私和其他利益。為組織內(nèi)決策提供信息的另一個重要方法是進(jìn)行風(fēng)險評估。美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）或國際標(biāo)準(zhǔn)組織（ISO）等公認(rèn)的國際機(jī)構(gòu)制定了評估安全風(fēng)險的指南（BS IS0 27000：2017；NIST，2012）。此外，為針對匿名性的要求并幫助組織實施數(shù)據(jù)去標(biāo)識化流程以增強(qiáng)隱私，ISO提出了一系列數(shù)據(jù)去標(biāo)識化方法，如ISO20889和IS0 29100系列。IS0 29100和IS0 29191標(biāo)準(zhǔn)為大數(shù)據(jù)鏈接和開放數(shù)據(jù)提供了額外的保護(hù)，也減輕了公眾和科研人員對隱私侵犯或無意中非法侵犯個人數(shù)據(jù)的擔(dān)憂。IS0 29192-1至IS0 29192-5用于少量信息安全的技術(shù)標(biāo)準(zhǔn)，包括分組密碼、流密碼和非對稱加密等機(jī)制。

2.3公共數(shù)據(jù)開放中的隱私風(fēng)險控制技術(shù)手段

2.3.1去識別化技術(shù)

數(shù)據(jù)的發(fā)布可能會導(dǎo)致私人信息泄露。為防止泄露，應(yīng)在全部或部分個人信息被刪除或轉(zhuǎn)換后發(fā)布數(shù)據(jù)，這些技術(shù)被稱為去識別化。其技術(shù)解決方案是從數(shù)據(jù)集中刪除識別信息，同時保留數(shù)據(jù)的其余實用程序。表3總結(jié)了各種去標(biāo)識化技術(shù)的概念和集成技術(shù)。

1）假名化指將個人身份數(shù)據(jù)替換為無法直接識別的其他值。如加密加鹽方法，將虛假信息添加到隱私字段中并使用其他算法進(jìn)行加密，以使恢復(fù)原始數(shù)據(jù)更加困難。Huang H H等通過加密加鹽方法（Cryptographic Salting）對一組來自中國臺灣地區(qū)的電子收費數(shù)據(jù)進(jìn)行去識別。這種去識別技術(shù)提高了隱私字段的安全性，混淆了原始數(shù)據(jù)的內(nèi)容。但沒有改變原始去標(biāo)識方法的一對一對應(yīng)關(guān)系，其獲得的結(jié)果與原始數(shù)據(jù)結(jié)果相同，但隱私字段的內(nèi)容更復(fù)雜，更難觀察。

2）集合體指將統(tǒng)計值應(yīng)用于個人信息，使其無法識別特定個人。如隱私字段數(shù)據(jù)平均法，將信息的詳細(xì)部分轉(zhuǎn)換為簡化的分類。該方法提高了數(shù)據(jù)粒度，但不會導(dǎo)致扭曲和不準(zhǔn)確；結(jié)合基于距離的記錄鏈接與微聚合方法，通過記錄鏈接對去識別化的開放政府?dāng)?shù)據(jù)進(jìn)行數(shù)據(jù)挖掘。該方法能夠解決匿名和已經(jīng)發(fā)布的開放政府?dāng)?shù)據(jù)的挖掘問題，支持異構(gòu)數(shù)據(jù)挖掘以進(jìn)行深入分析：ZouininaS等提出了兩種通過微聚合實現(xiàn)k-anonymity的技術(shù)：k-CMVM和Constrained-CMVM。兩者都使用拓?fù)鋮f(xié)作聚類來獲取k-anonymity數(shù)據(jù)，前者自動確定K個級別，后者通過探索來定義它。然而，集合體難以進(jìn)行基于匯總數(shù)據(jù)的精確分析。并且當(dāng)匯總數(shù)據(jù)量很小時，可以在數(shù)據(jù)合并過程中提取或預(yù)測個人信息。

3）數(shù)據(jù)縮減指刪除可用于識別個人信息的特定數(shù)據(jù)值。刪除直接標(biāo)識符和準(zhǔn)標(biāo)識符是清理或去標(biāo)識化的最常見方法，如刪除敏感數(shù)據(jù)和隱私識別信息：刪除所有可能包含個人身份信息的自由文本數(shù)據(jù)字段。但其可用信息數(shù)量有限，只能用于粗略的統(tǒng)計分析，當(dāng)涉及大型數(shù)據(jù)集時，刪除標(biāo)識符并不總是足以保護(hù)隱私，因為幾個準(zhǔn)標(biāo)識符組合起來可以具有強(qiáng)大的識別能力。

4）數(shù)據(jù)抑制指通過將給定的識別信息轉(zhuǎn)換為組的代表性值或預(yù)定義的范圍來防止唯一信息跟蹤和識別。抑制包括用一些特殊值替換原始數(shù)據(jù)，例如“*”。與之類似的，泛化指故意降低數(shù)據(jù)準(zhǔn)確性（如將年齡轉(zhuǎn)換為年齡組）。然而，數(shù)據(jù)抑制和泛化都難以進(jìn)行精確數(shù)值分析。

5）數(shù)據(jù)屏蔽指通過隱藏準(zhǔn)標(biāo)識符的一部分將數(shù)據(jù)劃分為多個組。Templ M等通過向事件歷史日期中添加噪聲，發(fā)現(xiàn)即使在高噪音水平下，也能保持高效用，與原始數(shù)據(jù)相比，保留了事件數(shù)據(jù)的基本屬性：Badu-MarfoG等發(fā)現(xiàn)在兩種地理隨機(jī)擾動方法（地理不可區(qū)分性（Geo - indistin-guishability）和甜甜圈地理掩碼（Donut Geomask））中，實現(xiàn)的k-estimate匿名性隨甜甜圈地理掩碼所需的匿名性線性增加，而地理不可區(qū)分性高度依賴于其隱私預(yù)算因素，且在確保期望實現(xiàn)的k-estimate匿名性方面不是很有效。甜甜圈地理掩碼是k-ano-nymity位置隱私保護(hù)機(jī)制的實現(xiàn)，通過使用點位置的基礎(chǔ)鄰域人口密度來確定混淆距離以實現(xiàn)隱私保護(hù)。地理不可區(qū)分性是位置數(shù)據(jù)差分隱私的實現(xiàn)。它保證受訪者的位置在指定的保護(hù)距離內(nèi)受到保護(hù)，增加的噪聲水平隨距離而降低，其速率取決于所需的隱私級別。

在實踐中，即使通過上述技術(shù)執(zhí)行了足夠的去標(biāo)識化措施，若數(shù)據(jù)沒有通過與匿名化相關(guān)的充分性評估，它仍可以通過逆向工程將數(shù)據(jù)與補充信息相結(jié)合進(jìn)行推斷而被識別并視為個人信息。

2.3.2匿名技術(shù)

匿名技術(shù)是隱私保護(hù)領(lǐng)域的重要手段。通常，以下匿名化測試主要用于評估去標(biāo)識化過程的充分性：k-anonymity、1-diversity和t-closeness等。

k-anonymity模型是最基本的評估技術(shù)之一，生成數(shù)據(jù)集時通常會檢查k-anonymity，可以修改準(zhǔn)標(biāo)識符以避免任何數(shù)據(jù)鏈接。Luthfi A等提出貝葉斯信念網(wǎng)絡(luò)方法，該模型使用像k-ano-nymity這樣的抑制技術(shù)來匿名化敏感屬性，并構(gòu)建決策過程的因果關(guān)系，以開放健康患者記錄中的數(shù)據(jù)。此外，k-anonymity也涉及數(shù)據(jù)隱私和效用的權(quán)衡，k-anonymity原則是若無法將個人與公開發(fā)布的數(shù)據(jù)集中的k-1個其他個人區(qū)分開來，則可以實現(xiàn)隱私。其中，k值越高，重新識別風(fēng)險就越低。特別是Santos W等對ARX k匿名算法的k值進(jìn)行的敏感性分析表明，匿名化過程可能導(dǎo)致少數(shù)群體和社會人口弱勢群體的代表性不足。因此，需根據(jù)需求情況決定k值。k-anonymity模型的缺陷是易受到同質(zhì)性攻擊和背景知識攻擊。因此，Tudor C等討論了一種弱k-anonymity的替代方案，它要求僅在記錄的一個子集中強(qiáng)制執(zhí)行，這意味著那些不通過k-anonymity控制的變量有可能被用來識別某人。然而，當(dāng)對這些變量的興趣較低時，這種風(fēng)險通常很小。因此，這可能是一個更實用的選擇。

1-diversity是一種降低泄露機(jī)密信息風(fēng)險的技術(shù)。1-diversity將大于或等于1的良好表示敏感值分配給每個等價類，通過額外要求在每個匿名組中存在表示良好的值來擴(kuò)展k-anonymity。Ali S等采用1-diversity來保護(hù)敏感標(biāo)簽，避免攻擊者利用這些標(biāo)簽來推測私人信息：疾病控制和預(yù)防中心的病例監(jiān)測科將流行病學(xué)數(shù)據(jù)集與隱私保護(hù)算法相結(jié)合，通過自動化工作流和R統(tǒng)計軟件實現(xiàn)和驗證k匿名性的字段級抑制和L多樣性，并根據(jù)該流程生成了兩個去識別化的公共數(shù)據(jù)集。然而，1-diversity無法防止概率推理攻擊和屬性披露。

t-closeness是1-diversity的進(jìn)一步延伸。這種方法不僅保證敏感值的良好表示，還要求匿名組內(nèi)每個敏感屬性的分布與屬性在整個數(shù)據(jù)集上的分布相同，取模閾值t。然而，與k-anonymity和1-di-versity一樣，t-closeness下的年齡、性別、種族甚至工作類型等受保護(hù)的屬性仍然可以從加速度測量數(shù)據(jù)中推斷出來。并且，這些傳統(tǒng)的隱私保護(hù)模型對攻擊模型和攻擊者的背景知識做了過多的假設(shè)，各種匿名公共記錄的傳統(tǒng)方法已被證明存在隱私泄露風(fēng)險。直到差分隱私技術(shù)的出現(xiàn)，這個問題才得到了很好的解決。

差分隱私方法是通過在原始數(shù)據(jù)或統(tǒng)計數(shù)據(jù)中添加噪聲來處理數(shù)據(jù)信息和轉(zhuǎn)換原始數(shù)據(jù)。該模型可降低最大后臺攻擊風(fēng)險，并定義隱私保護(hù)等級的量化評估方法。與k-anonymity不同，差分隱私是基于概率的，它使用不同的機(jī)制來隱藏數(shù)據(jù)的真實價值以保護(hù)隱私，如引入噪聲或虛假數(shù)據(jù)。差分隱私的缺點與k-anonymity的缺點相似：為了實現(xiàn)足夠的隱私級別，必須添加一定量的噪聲。添加噪聲等效于有意向數(shù)據(jù)集添加錯誤。這可能導(dǎo)致從數(shù)據(jù)分析中得出一些錯誤的結(jié)論。Nahmias Y等建議監(jiān)管機(jī)構(gòu)應(yīng)該使用差分隱私算法在準(zhǔn)確性和隱私之間進(jìn)行權(quán)衡，并提出基于霧計算的政府統(tǒng)計數(shù)據(jù)發(fā)布的差分隱私框架，開發(fā)了一種基于MaxDiff直方圖的數(shù)據(jù)發(fā)布算法，可用于實現(xiàn)基于霧計算的用戶隱私保護(hù)功能：Piao C H等也提出了一種基于MaxDiff直方圖的數(shù)據(jù)發(fā)布算法，通過應(yīng)用差分方法，將拉普拉斯噪聲添加到原始數(shù)據(jù)集中，根據(jù)最大頻率差，對相鄰數(shù)據(jù)箱進(jìn)行分組，構(gòu)建平均誤差最小的差分隱私直方圖。該方法可以有效保護(hù)公民隱私，降低查詢敏感度，提高發(fā)布數(shù)據(jù)的實用性。然而，差分隱私并不能解決所有隱私問題，也不會保護(hù)個人免受未經(jīng)授權(quán)的信息收集、處理或防止安全漏洞。

安全多方計算方法，受密碼學(xué)領(lǐng)域啟發(fā)，信息泄漏量根據(jù)對手可訪問的信息量來衡量。它使兩方或多方（彼此不完全信任）能執(zhí)行涉及其兩個數(shù)據(jù)集的計算，而不透露彼此的任何信息。其他高級加密方法可對數(shù)據(jù)進(jìn)行計算，并限制對基礎(chǔ)數(shù)據(jù)的學(xué)習(xí)。如功能或同態(tài)加密能夠?qū)用軘?shù)據(jù)進(jìn)行計算，而無需解密數(shù)據(jù)并將其暴露給攻擊者。

除上述技術(shù)外，提供匿名數(shù)據(jù)的另一種方法是生成與原始數(shù)據(jù)具有相同特征的合成數(shù)據(jù)，可使用機(jī)器學(xué)習(xí)和統(tǒng)計建模方法。合成數(shù)據(jù)是從使用原始數(shù)據(jù)集開發(fā)的統(tǒng)計模型生成的。生成合成數(shù)據(jù)最初被用來填補缺失的條目，現(xiàn)在被廣泛用于保護(hù)隱私，因為合成數(shù)據(jù)集不直接指向任何“真實”的人。如LiW等基于深度學(xué)習(xí)的生成模型來解決敏感數(shù)據(jù)被開放發(fā)布問題，該模型生成模擬數(shù)據(jù)以掩蓋原始數(shù)據(jù)。合成數(shù)據(jù)通常具有非常低的披露率，但當(dāng)原始數(shù)據(jù)具有復(fù)雜的結(jié)構(gòu)時，數(shù)據(jù)效用也相對較低。因此，Young M等在發(fā)布數(shù)據(jù)之前從數(shù)據(jù)集中刪除不需要的偏見和專有信息，并將這些方法與差分隱私技術(shù)相結(jié)合，當(dāng)合成數(shù)據(jù)集不足以進(jìn)行分析時，調(diào)用由強(qiáng)大治理支持的結(jié)構(gòu)化數(shù)據(jù)使用協(xié)議o Lee J S等將微聚合應(yīng)用于合成數(shù)據(jù)生成器以鏈接和利用異構(gòu)開放政府?dāng)?shù)據(jù)（微數(shù)據(jù)），允許用戶調(diào)整隱私閾值水平，以確定隱私披露風(fēng)險和數(shù)據(jù)效用之間的適當(dāng)平衡。這種將合成數(shù)據(jù)與對原始數(shù)據(jù)的強(qiáng)大法律保護(hù)結(jié)合使用，可在透明度、所有權(quán)、隱私和研究目標(biāo)之間取得平衡。

2.4公共數(shù)據(jù)開放中的隱私風(fēng)險控制程序手段

通知和同意是數(shù)據(jù)收集和接受中常用的隱私保護(hù)工具，并且在管理個人數(shù)據(jù)處理的歐洲法律中，獲得數(shù)據(jù)主體的同意是支持公平合法處理個人數(shù)據(jù)的主要程序機(jī)制。同時，通知和同意也有助于確保公共數(shù)據(jù)開放共享的透明度。在尋求適用的規(guī)范時，僅僅遵守法律和采用一次性同意程序不足以確保數(shù)據(jù)使用在道德上是合理的。因為人們通常希望在數(shù)據(jù)科學(xué)項目的所有階段都具有透明度，并被告知何時和為什么收集有關(guān)他們的數(shù)據(jù)以及項目的結(jié)果是否實現(xiàn)。因此，許多知情同意模型被提出以適應(yīng)不同情景下的個人隱私保護(hù)。①分層或分類同意模型為研究參與者提供了如何以及何時使用數(shù)據(jù)的選擇：②動態(tài)同意允許參與者隨著時間的推移更新他們的同意偏好，并將結(jié)果返回給感興趣的人；③一攬子或一般同意模型指參與者可選擇同意未來對其數(shù)據(jù)的所有研究使用，而無需獲得該研究可能需要的詳細(xì)信息：④選擇退出指參與者主動退出研究。通過“選擇退出”，數(shù)據(jù)主體可以反對將數(shù)據(jù)用于次要目的：⑤自動同意模型以高精度地預(yù)測用戶的數(shù)據(jù)共享決策，來避免提示用戶做出大多數(shù)決策。

盡管在信息生態(tài)中，同意可能是主要的，但同意絕不是合法處理個人數(shù)據(jù)的唯一機(jī)制，它還與維護(hù)自治原則、隱私、透明度和不歧視有關(guān)。足夠的透明度、對有害使用和商業(yè)化的控制、反對的能力，特別是反對任何被認(rèn)為不適當(dāng)或特別敏感的處理對用戶接受具有較低個人控制水平的同意模式至關(guān)重要。更友好的智能設(shè)備界面可能是一個好的方式以便用戶能夠控制數(shù)據(jù)的使用內(nèi)容和方式，同時也可以幫助用戶更好地接收通知并控制同意選擇。

透明度和濫用問責(zé)制對實現(xiàn)數(shù)據(jù)效用和個人隱私保護(hù)平衡至關(guān)重要。如數(shù)據(jù)資產(chǎn)登記冊、公開辯論（或相關(guān)記錄）可告知公眾，政府持有和發(fā)布哪些類型的信息，他們?nèi)绾螞Q定向公眾發(fā)布或隱瞞哪些數(shù)據(jù)，并在特殊情況下記錄在案；而數(shù)據(jù)資產(chǎn)清單，可幫助組織制定與部門活動相關(guān)的數(shù)據(jù)管理計劃及治理結(jié)構(gòu)，以處理出現(xiàn)的問題。此外，算法問責(zé)制和透明度對確保數(shù)據(jù)安全非常重要。機(jī)器智能委員會旨在確保隨著新一代算法的開發(fā)，公共利益得到保護(hù)。而區(qū)塊鏈可提供更大的問責(zé)制和安全性的承諾。對于數(shù)據(jù)收集者和數(shù)據(jù)的個人主體而言，需了解數(shù)據(jù)的潛在和實際用途。為數(shù)據(jù)主體實現(xiàn)此類透明度的一種工具是隱私儀表板，該儀表板向個人提供有關(guān)哪些實體正在訪問其數(shù)據(jù)、他們?nèi)绾问褂脭?shù)據(jù)以及他們因使用其數(shù)據(jù)而可能面臨的任何隱私風(fēng)險的通知。在問責(zé)制方面，對濫用數(shù)據(jù)的制裁很重要，包括違反保護(hù)或濫用的處罰或其他后果的信息。濫用責(zé)任包括使個人能夠了解其數(shù)據(jù)是如何被共享和使用，對侵犯隱私的行為進(jìn)行民事和刑事處罰，以及因不當(dāng)使用其數(shù)據(jù)而受到傷害的個人的私人訴訟權(quán)。

在發(fā)布信息時，機(jī)構(gòu)必須平衡隱私和效用，包括廣泛利益相關(guān)方的專家小組參與制定決策來確保合規(guī)性。同樣重要的是評估重新識別風(fēng)險，因為即使數(shù)據(jù)集嚴(yán)重不完整，也可能不符合匿名化的現(xiàn)代標(biāo)準(zhǔn)。開放數(shù)據(jù)的關(guān)鍵性級別、開放性、攻擊風(fēng)險、信任和使用限制是隱私風(fēng)險與收益權(quán)衡中的重要考慮因素，可通過決策引擎和評分矩陣進(jìn)行評估：也可通過基于熵的再識別風(fēng)險來衡量開放數(shù)據(jù)中的隱私泄露風(fēng)險，同時結(jié)合基于熵的數(shù)據(jù)實用模型，在保證隱私的同時保證數(shù)據(jù)的可用性；也可通過貝葉斯信念網(wǎng)絡(luò)模型分析打開數(shù)據(jù)時導(dǎo)致風(fēng)險的因果機(jī)制：情況目錄通過列出在評估是否以及在何種條件下發(fā)布數(shù)據(jù)集時應(yīng)考慮的情況或因素，及應(yīng)如何重新發(fā)布數(shù)據(jù)集的不同選項來幫助作出決定。此外，進(jìn)行正式的入侵者測試有助于評估重新識別風(fēng)險，涉及使用“友好的入侵者”來嘗試查看他們是否可以重新識別數(shù)據(jù)集中的任何人并捕獲入侵者可能鏈接到數(shù)據(jù)集的其他信息以發(fā)生泄露，其中適當(dāng)選擇入侵者對于獲得準(zhǔn)確結(jié)果非常重要。

組織在通過信息系統(tǒng)共享數(shù)據(jù)時，使用訪問控制來保護(hù)隱私。①這種系統(tǒng)可能要求所有用戶注冊并共享個人信息，并且使用系統(tǒng)配置文件進(jìn)行身份驗證。如，在發(fā)布個人的犯罪歷史之前，平臺可以要求請求者提供其標(biāo)識符、全名和動機(jī)。通過此功能，專業(yè)人員在獲得必要的批準(zhǔn)后才能夠下載他們想要的數(shù)據(jù)．并且這種請求可通過速率限制來防止快速觸發(fā)請求：②區(qū)分3種類型的用戶，即管理、授權(quán)用戶和運營商，來進(jìn)行訪問控制。如管理層負(fù)責(zé)向用戶授予訪問權(quán)限并批準(zhǔn)運營商上傳的數(shù)據(jù)集在平臺上發(fā)布；③借助分層訪問系統(tǒng)進(jìn)行訪問控制，通過身份驗證模塊將對私人信息的訪問限制為數(shù)據(jù)所有者，實現(xiàn)分層訪問，從而保護(hù)隱私。分層訪問還可包含更高級的數(shù)據(jù)共享模型。如向公眾提供列聯(lián)表形式的匯總統(tǒng)計數(shù)據(jù)等；④向研究人員群體提供交互式查詢系統(tǒng)，向通過仔細(xì)篩選程序獲得批準(zhǔn)的少數(shù)分析人員提供原始數(shù)據(jù)。交互機(jī)制可使用戶能夠提交有關(guān)數(shù)據(jù)集的查詢并僅接收查詢分析結(jié)果，分析結(jié)果可通過圖表等可視化形式呈現(xiàn)。

對披露數(shù)據(jù)進(jìn)行重復(fù)使用限制是在隱私和開放數(shù)據(jù)政策之間取得平衡的另一種方法。重復(fù)使用限制可以以許可證形式呈現(xiàn)。許可證可能要求用戶不要重新識別數(shù)據(jù)，或在發(fā)現(xiàn)個人可以或已被重新識別的情況下通知許可人。此外，在線提供數(shù)據(jù)的組織通常會提供服務(wù)條款或參考道德準(zhǔn)則，這些準(zhǔn)則描述了使用有關(guān)個人機(jī)密數(shù)據(jù)的準(zhǔn)則和最佳實踐。如科學(xué)用途數(shù)據(jù)集僅發(fā)布給簽署數(shù)據(jù)使用協(xié)議的經(jīng)批準(zhǔn)的研究人員，且包含比公共使用數(shù)據(jù)集更多的變量。數(shù)據(jù)使用協(xié)議通常涉及對數(shù)據(jù)的使用、共享和重用的限制，保護(hù)數(shù)據(jù)的義務(wù)，因使用或濫用數(shù)據(jù)而造成損害的責(zé)任，以及執(zhí)行協(xié)議條款的機(jī)制。一般召集／管理數(shù)據(jù)的組織對其正確訪問和使用負(fù)有法律責(zé)任。然而，在實踐中很難發(fā)現(xiàn)違反數(shù)據(jù)使用協(xié)議的行為并執(zhí)行條款。因此，需要通過簽署合同或協(xié)議等方式確保數(shù)據(jù)后續(xù)使用存在的隱私問題。如在與特定學(xué)生共享敏感數(shù)據(jù)前，可與其簽訂特殊的合同協(xié)議：只有在證明道德批準(zhǔn)、簽署數(shù)據(jù)使用協(xié)議和明確的數(shù)據(jù)管理計劃的情況下才授予大學(xué)教師訪問權(quán)限等。

此外，在用戶訪問數(shù)據(jù)后，還涉及審計系統(tǒng)，該系統(tǒng)包括法律和技術(shù)機(jī)制，用于檢測信息濫用和防止個人違反數(shù)據(jù)使用政策。如Tzermias Z等提出可確定負(fù)責(zé)個人身份信息泄漏的公務(wù)員，通過使用誘餌文件及“誘餌”信息來識別泄漏：Potoc-zny-Jones I等在試點平臺中檢測違反策略的行為，并向公眾提供未發(fā)生此類違規(guī)行為的透明度以保護(hù)隱私：Lee J T等提出在發(fā)生數(shù)據(jù)泄露風(fēng)險時通過日志查看以往請求，識別訪問過數(shù)據(jù)的個人，并請求他們返回或銷毀受損信息。此外，可能需要第三方審計每年審查數(shù)據(jù)隱私和安全程序，并且有權(quán)訪問數(shù)據(jù)的承包商也可能需要進(jìn)行此類審計。

3結(jié)語

本文對公共數(shù)據(jù)資源開放共享中的隱私風(fēng)險控制研究進(jìn)展進(jìn)行了綜述。綜合分析發(fā)現(xiàn)，隱私風(fēng)險控制研究基本覆蓋教育、法律、技術(shù)、程序方面，涉及公共數(shù)據(jù)的收集和接受、轉(zhuǎn)換、保留、發(fā)布和訪問、訪問后等階段?？偟膩砜?，當(dāng)前研究：①重視利益相關(guān)者對隱私的看法，倡導(dǎo)積極與利益相關(guān)者溝通、交流，特別是構(gòu)建利益相關(guān)者間“信任”：②公共數(shù)據(jù)中的隱私風(fēng)險控制法律政策正處于發(fā)展、完善階段，主要聚焦于隱私與開放的平衡問題；③各個領(lǐng)域，特別是政府、城市方面，積極采用新興技術(shù)來保護(hù)隱私，如區(qū)塊鏈、差分隱私等。

但目前的研究存在：①缺少對公共數(shù)據(jù)隱私風(fēng)險控制的討論。現(xiàn)有研究集中于政府開放數(shù)據(jù)下的隱私風(fēng)險控制，忽視了履行公共管理和服務(wù)職能的事業(yè)單位或企業(yè)的開放數(shù)據(jù)隱私問題：②隱私風(fēng)險控制方法尚未形成體系。諸如“差分隱私”“數(shù)據(jù)信任”等隱私控制方法，由于對隱私保護(hù)和數(shù)據(jù)效用的目標(biāo)或參數(shù)（這通常由數(shù)據(jù)發(fā)布者選擇）不同，因此其方法、定義、名稱存在差異。此外，研究多涉及技術(shù)或框架等隱私風(fēng)險控制方法，而很少構(gòu)建包括政治、經(jīng)濟(jì)、社會、技術(shù)在內(nèi)的綜合的隱私風(fēng)險控制體系：③缺少公共數(shù)據(jù)資源開放共享中的隱私風(fēng)險控制的實證研究。雖然內(nèi)容分析法被廣泛用來分析公共數(shù)據(jù)資源開放共享中的隱私風(fēng)險控制政策法規(guī)，但缺乏相關(guān)的隱私風(fēng)險控制調(diào)查與實證研究，未能有效揭示公共數(shù)據(jù)資源開放共享中的隱私風(fēng)險控制現(xiàn)狀。

這對數(shù)據(jù)開放和隱私保護(hù)的實踐工作有一定啟示：①深化公共數(shù)據(jù)資源開放共享中的隱私風(fēng)險控制的理論研究，探索數(shù)據(jù)開放與隱私保護(hù)相統(tǒng)一的法律制度體系，針對不同時期出現(xiàn)的新問題，及時完善在數(shù)字化進(jìn)程中的法律空白。第一，明晰公共數(shù)據(jù)與政府?dāng)?shù)據(jù)的區(qū)別與聯(lián)系，考慮履行公共管理和服務(wù)職能的事業(yè)單位或企業(yè)的開放數(shù)據(jù)隱私問題：第二，面向采集、存儲、傳輸、共享、開放、使用、銷毀等公共數(shù)據(jù)全生命周期過程，探究有針對性的數(shù)據(jù)隱私保護(hù)措施，落實公共數(shù)據(jù)風(fēng)險評估、分類分級、合規(guī)監(jiān)管等要求，從而明確安全保障職責(zé)，強(qiáng)化安全運行管理，提升安全保障能力；第三，探索完善的公共數(shù)據(jù)管理組織機(jī)構(gòu)制度，明確公共數(shù)據(jù)治理和數(shù)據(jù)保護(hù)人員、機(jī)構(gòu)及其職責(zé)；第四，通過法律鼓勵公共數(shù)據(jù)創(chuàng)新與應(yīng)用。探究支持公共數(shù)據(jù)創(chuàng)新和應(yīng)用的政策和法律，以推進(jìn)公共數(shù)據(jù)驅(qū)動的創(chuàng)新，促進(jìn)公共機(jī)構(gòu)和企業(yè)利用公共數(shù)據(jù)解決社會問題和提供公共服務(wù)。②加強(qiáng)對隱私技術(shù)的研究，首先，綜合運用區(qū)塊鏈、隱私計算、數(shù)據(jù)安全沙箱、邊緣計算、同態(tài)加密、多方安全計算等隱私增強(qiáng)技術(shù)，探索新型開發(fā)利用模式；其次，探索技術(shù)理念與實踐相統(tǒng)一的隱私風(fēng)險控制途徑，通過實施適當(dāng)?shù)募夹g(shù)和組織安全措施，以確保個人數(shù)據(jù)的安全，防止未經(jīng)授權(quán)的訪問、使用、披露、更改或破壞；最后，構(gòu)建“一中心一張網(wǎng)一平臺”隱私風(fēng)險控制體系，確保公共數(shù)據(jù)開放中的隱私風(fēng)險得到有效控制。③堅持以公眾意見為導(dǎo)向。首先，探究建立公眾信任的方法。在為公共利益共享數(shù)據(jù)的情況下，更清楚地說明如何定義和判斷公共利益。如增加公共數(shù)據(jù)資源開放共享中的隱私風(fēng)險控制的實地調(diào)查與實證研究，引入公共數(shù)據(jù)資源開放共享中的隱私風(fēng)險的量化分析，提高研究結(jié)果的可靠性、可操作性與適用性等；其次，個人的隱私權(quán)必須與其他公民權(quán)利以及更廣泛的社區(qū)和社會的權(quán)利相權(quán)衡。明確公共部門處理數(shù)據(jù)共享項目過程以建立一致性和透明度；最后，關(guān)注人工智能對公眾隱私的影響。從法律和監(jiān)管角度為開發(fā)和部署人工智能創(chuàng)造合適的環(huán)境，包括將倫理原則納入共識規(guī)范框架，確保整個社會了解其基本情況，并能夠就其與人工智能技術(shù)的關(guān)系做出積極決策。

本文區(qū)別于已有綜述文章，重點梳理了公共數(shù)據(jù)開放與隱私相互作用的研究進(jìn)展。將公共數(shù)據(jù)開放中的隱私風(fēng)險控制研究分為教育、法律、技術(shù)、程序手段4個方面進(jìn)行闡述，有助于了解、把握當(dāng)前開放與隱私保護(hù)研究發(fā)展現(xiàn)狀。最后，文章總結(jié)了當(dāng)前研究的現(xiàn)狀與不足，并展望未來發(fā)展方向，為推動安全、隱私的公共數(shù)據(jù)開放提供了新的研究方向。