國(guó)外公共數(shù)據(jù)資源開放共享中的隱私風(fēng)險(xiǎn)控制研究綜述

蘇君華 杜念

關(guān)鍵詞：公共數(shù)據(jù)資源；開放共享；隱私風(fēng)險(xiǎn)控制；數(shù)據(jù)生命周期；綜述

2021年，十三屆全國(guó)人大四次會(huì)議通過的《中華人民共和國(guó)國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展第十四個(gè)五年規(guī)劃和2035年遠(yuǎn)景目標(biāo)綱要》中明確指出，“完善公共數(shù)據(jù)開放共享機(jī)制”，強(qiáng)調(diào)了基于隱私和安全的公共數(shù)據(jù)開放的重要性。學(xué)者們就如何平衡公共數(shù)據(jù)隱私和效用進(jìn)行了深入的研究，提出了許多控制方法，如數(shù)據(jù)信任、差分隱私、去識(shí)別化、區(qū)塊鏈等。同時(shí)，有關(guān)隱私風(fēng)險(xiǎn)控制的理論、實(shí)踐研究逐漸走向深入，產(chǎn)生了一系列相關(guān)研究成果。盡管國(guó)內(nèi)已發(fā)表隱私計(jì)算、開放數(shù)據(jù)等研究述評(píng)，但未見相關(guān)綜述全面反映國(guó)外公共數(shù)據(jù)資源開放共享中的隱私風(fēng)險(xiǎn)控制研究成果。因此，本文采用內(nèi)容分析法來梳理、總結(jié)國(guó)外公共數(shù)據(jù)資源開放共享中的隱私風(fēng)險(xiǎn)控制研究進(jìn)展。

本文的主要貢獻(xiàn)是從教育、法律、技術(shù)和程序手段4個(gè)方面梳理當(dāng)前公共數(shù)據(jù)開放中的隱私風(fēng)險(xiǎn)控制研究進(jìn)展，并分類闡述各個(gè)方面的研究現(xiàn)狀及主要控制措施。最后，總結(jié)并展望了當(dāng)前公共數(shù)據(jù)開放中的隱私風(fēng)險(xiǎn)控制現(xiàn)狀和發(fā)展方向，以期為后續(xù)研究人員及中國(guó)公共數(shù)據(jù)開放的建設(shè)提供參考和思路。

1數(shù)據(jù)樣本與研究方法

《上海市公共數(shù)據(jù)和一網(wǎng)通辦管理辦法》第三條規(guī)定，公共數(shù)據(jù)指本市各級(jí)行政機(jī)關(guān)以及履行公共管理和服務(wù)職能的事業(yè)單位在依法履職過程中，采集和產(chǎn)生的各類數(shù)據(jù)資源。其中，公共數(shù)據(jù)的共享、開放、授權(quán)經(jīng)營(yíng)亦或交易，必須有利于促成公共利益，而不是謀取個(gè)人或少數(shù)群體的利益。根據(jù)公共數(shù)據(jù)定義，2023年3月30日，筆者以TS=（Open and Data and Privacy and Risk and（Govern-ment OR Public））為檢索式，對(duì)國(guó)外主要全文數(shù)據(jù)庫(kù)（含Web of Science、EBSCO、Elsevier、Springer、Taylor&Francis、Emerald、SAGE Jourmal、Wiley、Scopus）進(jìn)行檢索，排除社論材料、專利、信函、新聞等文獻(xiàn)類型。為了使檢索更全面，以TI=（“Priva-cy Risk”）為檢索式補(bǔ)充檢索了相關(guān)重要文獻(xiàn)。手動(dòng)剔除顯著不相關(guān)（如非公共數(shù)據(jù)、涉及隱私風(fēng)險(xiǎn)而無隱私控制的文獻(xiàn)）與重復(fù)文獻(xiàn)后，最終得到99篇文獻(xiàn)。

借助VOSview對(duì)文獻(xiàn)進(jìn)行關(guān)鍵詞聚類分析。首先獲取文獻(xiàn)關(guān)鍵詞，文獻(xiàn)關(guān)鍵詞整合作者關(guān)鍵詞和來源數(shù)據(jù)庫(kù)提供的關(guān)鍵詞，包括Web of Science關(guān)鍵詞、IEEE關(guān)鍵詞、Scopus檢索關(guān)鍵詞及主題詞。其次預(yù)處理關(guān)鍵詞，將外文文獻(xiàn)中的關(guān)鍵詞翻譯為中文，合并同義詞與相近詞，刪除無實(shí)際意義關(guān)鍵詞等。如將“數(shù)據(jù)采集”與“數(shù)據(jù)收集”合并為“數(shù)據(jù)收集”：

“法律和立法”與“法律”合并為“法律／立法”等：刪除“文章”“程序”“調(diào)查”等關(guān)鍵詞。選取關(guān)鍵詞頻率大于3的關(guān)鍵詞（91），運(yùn)用VOSviewer軟件生成國(guó)外公共數(shù)據(jù)資源開放共享中的隱私風(fēng)險(xiǎn)控制主題關(guān)鍵詞共現(xiàn)網(wǎng)絡(luò)圖譜，如圖1所示。

根據(jù)圖1，國(guó)外公共數(shù)據(jù)資源開放共享中的隱私控制主題研究形成了4個(gè)主要類團(tuán)。第一個(gè)類團(tuán)（黃色部分）主要涉及公共數(shù)據(jù)資源開放共享中的隱私風(fēng)險(xiǎn)控制教育手段；第二個(gè)類團(tuán)（藍(lán)色部分）主要覆蓋公共數(shù)據(jù)資源開放共享中的隱私保護(hù)法律手段；第三個(gè)類團(tuán)（紅色部分）主要涉及公共數(shù)據(jù)資源開放共享中的隱私風(fēng)險(xiǎn)控制技術(shù)手段：第四個(gè)類團(tuán)（綠色部分）主要涉及公共數(shù)據(jù)資源開放共享中的隱私風(fēng)險(xiǎn)控制程序手段。各類團(tuán)包含的研究主題、主要關(guān)鍵詞及其頻次、關(guān)鍵詞數(shù)量、總頻次信息如表1所示。

綜合圖1與表1可以發(fā)現(xiàn)：①目前國(guó)外對(duì)公共數(shù)據(jù)資源開放共享中的隱私風(fēng)險(xiǎn)控制主題研究主要集中在隱私風(fēng)險(xiǎn)控制教育、法律法規(guī)和標(biāo)準(zhǔn)、技術(shù)、程序4個(gè)方面，其中法律手段類團(tuán)的關(guān)鍵詞數(shù)量和總頻次較高，說明當(dāng)前公共數(shù)據(jù)中的隱私風(fēng)險(xiǎn)控制正處于發(fā)展階段，法律正在不斷完善中，其中隱私與開放的平衡是研究重點(diǎn)：②當(dāng)前公共數(shù)據(jù)資源開放共享中的隱私風(fēng)險(xiǎn)控制教育手段研究成果相對(duì)較少，研究者開始注重道德、公眾信任對(duì)隱私的影響，這對(duì)于推進(jìn)公共數(shù)據(jù)資源開放共享具有重要作用；③在技術(shù)、程序手段方面，隱私增強(qiáng)技術(shù)廣泛應(yīng)用于各個(gè)領(lǐng)域，特別是政府服務(wù)、城市管理方面。并且區(qū)塊鏈、差分隱私、人工智能等新興技術(shù)被應(yīng)用于隱私控制實(shí)踐中：④4個(gè)類團(tuán)的關(guān)鍵詞分布存在交叉現(xiàn)象，說明國(guó)外公共數(shù)據(jù)資源開放共享中的隱私風(fēng)險(xiǎn)控制主題研究熱點(diǎn)之間的界限還比較模糊。

2公共數(shù)據(jù)資源開放共享中的隱私風(fēng)險(xiǎn)控制研究分析

基于關(guān)鍵詞共現(xiàn)與聚類分析，本文從收集和接受、轉(zhuǎn)換、保留、發(fā)布和訪問、訪問后5個(gè)方面出發(fā)，將公共數(shù)據(jù)資源開放共享中的隱私風(fēng)險(xiǎn)控制實(shí)踐情況分為程序、經(jīng)濟(jì)、教育、法律、技術(shù)手段，如表2所示。其中，程序手段指采用組織內(nèi)部的程序；技術(shù)手段包括統(tǒng)計(jì)方法、計(jì)算方法和人為因素分析；教育手段包括旨在通知與系統(tǒng)交互的數(shù)據(jù)主體、數(shù)據(jù)控制者和數(shù)據(jù)接收者的任何干預(yù)措施，及一般數(shù)據(jù)主體、控制者、接收者或廣大公眾對(duì)隱私慣例和風(fēng)險(xiǎn)的看法：經(jīng)濟(jì)手段包括旨在改變利益相關(guān)者的經(jīng)濟(jì)激勵(lì)的任何干預(yù)措施：法律手段旨在改變利益攸關(guān)方的合法權(quán)利或利益相關(guān)者間關(guān)系的干預(yù)措施。

2.1公共數(shù)據(jù)開放中的隱私風(fēng)險(xiǎn)控制教育手段

Watson H等提出，健康數(shù)據(jù)環(huán)境中，需要轉(zhuǎn)變思維方式。他強(qiáng)調(diào)優(yōu)先考慮以患者為中心的研究，并減輕需要量化的患者實(shí)際隱私風(fēng)險(xiǎn)，同時(shí)必須從患者本身開始自下而上地采取激勵(lì)措施。這強(qiáng)調(diào)了公眾信任的重要性。在開放公共數(shù)據(jù)過程中，日益增長(zhǎng)的背景知識(shí)導(dǎo)致現(xiàn)有的數(shù)據(jù)發(fā)布隱私保護(hù)模式大多無法抵御攻擊：通過使用人工智能，數(shù)據(jù)隱私風(fēng)險(xiǎn)及得出有偏見或錯(cuò)誤結(jié)論也變得更加突出。這極大地削減了公眾對(duì)政府、組織機(jī)構(gòu)的信任，同時(shí)阻礙了公共數(shù)據(jù)的開放與共享。然而，當(dāng)人們意識(shí)到他們的隱私受到尊重和保護(hù)時(shí)，他們會(huì)更加自信地參與社會(huì)和經(jīng)濟(jì)活動(dòng)。隱私儀表板和個(gè)人數(shù)據(jù)存儲(chǔ)是個(gè)人用于表達(dá)有關(guān)保留和使用其數(shù)據(jù)的詳細(xì)權(quán)限的工具，它幫助提供透明度和對(duì)個(gè)人數(shù)據(jù)的控制，有助于提升公眾的信任。個(gè)人可以使用基于Web的隱私儀表板向選定方或特定用途授予對(duì)其數(shù)據(jù)的精細(xì)訪問權(quán)限。還可在用于監(jiān)控和自動(dòng)評(píng)估的“儀表板”中查閱個(gè)人層面的現(xiàn)有數(shù)據(jù)源被鏈接情況。個(gè)人數(shù)據(jù)存儲(chǔ)使個(gè)人能夠有效地對(duì)有關(guān)他們信息的存儲(chǔ)位置和訪問方式進(jìn)行細(xì)粒度控制，從而選擇在特定時(shí)間與特定方共享特定個(gè)人信息。個(gè)人數(shù)據(jù)存儲(chǔ)不僅提供了增強(qiáng)的控制，而且作為用戶控制的交互式系統(tǒng)，是開發(fā)更豐富的問責(zé)機(jī)制、在線聚合方法和高級(jí)安全機(jī)制的潛在基礎(chǔ)。

對(duì)于信息或數(shù)據(jù)管理平臺(tái)而言，公眾的信任也至關(guān)重要。研究表明，社會(huì)規(guī)范、媒體代表和報(bào)道、對(duì)責(zé)任方的看法會(huì)影響人們對(duì)信息管理平臺(tái)的信任和使用意愿，而保持公眾對(duì)信息平臺(tái)的信任是減輕對(duì)數(shù)據(jù)安全性、隱私和功能效率的普遍擔(dān)憂的關(guān)鍵。如Shi M等從用戶角度分析了影響醫(yī)療大數(shù)據(jù)安全和隱私泄露的關(guān)鍵指標(biāo)，包括用戶訪問行為和信任度。并且在判斷用戶“非法行為”方面，將用戶的信任值納入風(fēng)險(xiǎn)評(píng)估指標(biāo)，可以減少系統(tǒng)誤判的可能性。

信任與隱私是彼此緊密聯(lián)系、相互作用的兩個(gè)重要因素，包括數(shù)據(jù)主體、控制者、接收者之間的信任。Ruotsalainen P等認(rèn)為，可信度（即以合乎道德的方式處理健康和保健信息并保證隱私）是未來個(gè)人健康系統(tǒng)、無處不在的醫(yī)療保健和普遍健康的基石之一?；跓o處不在的信息空間的普遍健康和風(fēng)險(xiǎn)分析框架模型，他們制定了實(shí)現(xiàn)可信信息共享的原則，包括數(shù)據(jù)主體應(yīng)有權(quán)動(dòng)態(tài)驗(yàn)證信任并控制其健康信息的使用，以及設(shè)置基于情境的上下文感知個(gè)人策略的權(quán)利：數(shù)據(jù)收集者和處理者的責(zé)任包括信息處理的透明度，以及利益、政策和環(huán)境特征的開放性。這些原則為自主管理健康領(lǐng)域的隱私和信息奠定了基礎(chǔ)?；谛湃蔚姆椒ǎ琙uo Y J等構(gòu)建了包括供應(yīng)鏈成員信任評(píng)估、數(shù)據(jù)分類和基于信任的決策在內(nèi)的框架，旨在控制和減輕參與者在供應(yīng)鏈網(wǎng)絡(luò)中面臨的信息風(fēng)險(xiǎn)（如信息機(jī)密性、隱私和完整性的風(fēng)險(xiǎn)）。這充分表明建立數(shù)據(jù)主體、控制者、接收者及公眾間的相互信任對(duì)于數(shù)據(jù)保護(hù)和防止個(gè)人信息泄露的重要性。

信任的建立依賴于透明和安全的數(shù)據(jù)處理措施。動(dòng)態(tài)社會(huì)契約模型以一套商定的關(guān)于如何共享數(shù)據(jù)的合理期望為基礎(chǔ)，對(duì)提供可接受的保證的治理以及誰對(duì)什么負(fù)責(zé)達(dá)成一致。如Open Mustard SeedPlatform是一個(gè)開放數(shù)據(jù)平臺(tái)，它允許個(gè)人就其個(gè)人信息的使用進(jìn)行社會(huì)契約談判，通過基于同意的平臺(tái)來管理數(shù)據(jù)，使人們?cè)诤戏?gòu)成的“信任框架”內(nèi)共享個(gè)人數(shù)據(jù)。數(shù)據(jù)信托或數(shù)據(jù)受托人是另一種新興方法。這種法律和政策框架方法考慮了第一方或第三方實(shí)體（數(shù)據(jù)主體除外），受一組經(jīng)批準(zhǔn)的法律可執(zhí)行義務(wù)的約束，以管理數(shù)據(jù)。Potoczny-Jones I等針對(duì)智慧城市協(xié)調(diào)數(shù)據(jù)敏感風(fēng)險(xiǎn)與預(yù)期收益問題，提出了“數(shù)據(jù)信任”解決方案。該技術(shù)框架強(qiáng)制實(shí)施個(gè)人身份數(shù)據(jù)最小化、訪問控制以及靈活而精細(xì)的披露和編輯控制，并結(jié)合了法律上可執(zhí)行的數(shù)據(jù)使用義務(wù)和責(zé)任；YoungM等提出由第三方公私數(shù)據(jù)信托提供的綜合法律技術(shù)方法，旨在透明度、所有權(quán)、隱私和研究目標(biāo)之間取得平衡?；境蓡T資格允許公司和機(jī)構(gòu)實(shí)現(xiàn)對(duì)合規(guī)性報(bào)告和核心方法研究數(shù)據(jù)的低風(fēng)險(xiǎn)訪問，而模塊化數(shù)據(jù)共享協(xié)議支持廣泛的項(xiàng)目和用例。除非協(xié)議中另有明確規(guī)定，否則所有數(shù)據(jù)訪問最初都是通過定制的合成數(shù)據(jù)集提供給最終用戶。安全共享站點(diǎn)以安全和隱私保護(hù)的方式對(duì)數(shù)據(jù)進(jìn)行計(jì)算，而無需發(fā)布原始數(shù)據(jù)，且所有數(shù)據(jù)共享都是透明且可審計(jì)的。這種方案解決了對(duì)數(shù)據(jù)壟斷的擔(dān)憂，即沒有人擁有數(shù)據(jù)。數(shù)據(jù)信托或數(shù)據(jù)受托人、動(dòng)態(tài)社會(huì)契約模型等都涉及整個(gè)數(shù)據(jù)生命周期的隱私控制，在每個(gè)數(shù)據(jù)生命周期階段通過“信任”框架或方案來管理數(shù)據(jù)，盡管他們提供“信任”方式不同，前者主要借助信托，后者基于談判。此外，利用區(qū)塊鏈的去中心化、透明化和可信度也有助于解決信任、安全和隱私問題。Kang H等開發(fā)了一種基于區(qū)塊鏈的新型接觸者追蹤移動(dòng)應(yīng)用程序BeepTrace，旨在緩解大流行并緩解接觸者追蹤的隱私問題，特別是解決了第三方信任問題。

2.2公共數(shù)據(jù)開放中的隱私風(fēng)險(xiǎn)控制法律手段

2.2.1隱私保護(hù)主要法律法規(guī)

當(dāng)前，隱私風(fēng)險(xiǎn)控制主要的法律法規(guī)包括個(gè)人信息保護(hù)法（PIPA）、數(shù)據(jù)保護(hù)法（DPA）、通用數(shù)據(jù)保護(hù)條例（GDPR）、個(gè)人醫(yī)療信息保護(hù)法（HIPAA）等。

韓國(guó)《個(gè)人信息保護(hù)法》主要保護(hù)個(gè)人的自由和權(quán)利，并通過規(guī)定處理和保護(hù)個(gè)人信息來實(shí)現(xiàn)個(gè)人的尊嚴(yán)和價(jià)值。2020年2月的修訂允許未經(jīng)信息主體同意，將“假名信息”處理為有限目的，這為私營(yíng)公司和公共機(jī)構(gòu)的公共大數(shù)據(jù)交付提供了更多動(dòng)力。然而，修訂后的法律側(cè)重于利用大數(shù)據(jù)、企業(yè)間信息合并等，并引入了安全措施義務(wù)、罰款、刑事處罰等，但并沒有為應(yīng)對(duì)公共機(jī)構(gòu)擴(kuò)大公共數(shù)據(jù)開放而承擔(dān)特別強(qiáng)化的風(fēng)險(xiǎn)管理責(zé)任。

英國(guó)《2018年數(shù)據(jù)保護(hù)法》法案規(guī)定了公共機(jī)構(gòu)及其雇員如何處理與個(gè)人有關(guān)的數(shù)據(jù)。根據(jù)DPA，參與處理數(shù)據(jù)的人員被稱為維護(hù)和操作數(shù)據(jù)的數(shù)據(jù)處理者，負(fù)責(zé)做出有關(guān)數(shù)據(jù)以及是否可以共享數(shù)據(jù)決定的數(shù)據(jù)控制者。數(shù)據(jù)處理者和控制者必須遵守嚴(yán)格的數(shù)據(jù)保護(hù)原則，并確保個(gè)人數(shù)據(jù)得到合法、公平和透明的方式處理；收集和處理最低限度的必要數(shù)據(jù)，且僅用于特定目的、準(zhǔn)確、保存時(shí)間不超過必要時(shí)間，并得到適當(dāng)保障。

歐盟《通用數(shù)據(jù)保護(hù)條例》是第一部通過明確定義歐盟內(nèi)外個(gè)人數(shù)據(jù)處理和移動(dòng)的背景來直接規(guī)范個(gè)人隱私的法律。GDPR的頒布帶來了巨大的變化。關(guān)于受保護(hù)的信息，擺脫了傳統(tǒng)的個(gè)人信息／匿名信息二分法，首次引入假名信息概念。在降低信息主體風(fēng)險(xiǎn)的同時(shí)，減輕個(gè)人信息處理者義務(wù)。關(guān)于同意，在法規(guī)全文中明確規(guī)定，對(duì)于用于研究的個(gè)人信息的使用，可以“廣泛同意”，而不是信息主體的具體同意。關(guān)于同意豁免的原因可以確認(rèn)，即使是敏感信息，信息主體對(duì)醫(yī)療目的、公共衛(wèi)生和研究目的的同意也相對(duì)廣泛地得到豁免。此外，GDPR明確定義了個(gè)人（主體）的權(quán)利，即：①個(gè)人數(shù)據(jù)泄露通知：②訪問收集的數(shù)據(jù)及其使用方式和目的；③刪除數(shù)據(jù)的權(quán)利；④數(shù)據(jù)可移植性；⑤收集和處理過程中的數(shù)據(jù)保護(hù)。同時(shí)，引入并建立數(shù)據(jù)保護(hù)官，他們有義務(wù)將其數(shù)據(jù)處理活動(dòng)通知當(dāng)?shù)財(cái)?shù)據(jù)保護(hù)機(jī)構(gòu)。根據(jù)1995年的數(shù)據(jù)保護(hù)指令，歐盟委員會(huì)（2012年）提出了對(duì)歐盟數(shù)據(jù)保護(hù)規(guī)則的全面改革。此外，ISO/IEC 29100標(biāo)準(zhǔn)還定義了11項(xiàng)隱私原則（ISO/IEC-29100 2011）。

美國(guó)有單獨(dú)的個(gè)人醫(yī)療信息保護(hù)法，對(duì)非識(shí)別方法有具體規(guī)定，如“專家決策方式”和“保障港法”。此外，還對(duì)“有限信息聚合”概念進(jìn)行了單獨(dú)規(guī)定，部分放松了管制。關(guān)于免除同意的理由，若機(jī)構(gòu)審查委員會(huì)等批準(zhǔn)同意豁免，即使未經(jīng)個(gè)人同意，也有可能將個(gè)人醫(yī)療信息用于研究目的。

2.2.2隱私保護(hù)主要標(biāo)準(zhǔn)

人們可能一度認(rèn)為公共機(jī)構(gòu)收集的任何信息只會(huì)用于最初收集的目的，但開放數(shù)據(jù)的引入改變了這種情況。開放數(shù)據(jù)是任何人都可以免費(fèi)下載、共享和重復(fù)使用的數(shù)據(jù)，除了可能需要引用來源之外，對(duì)重復(fù)使用或重新分發(fā)沒有限制。開放政府旨在通過使數(shù)據(jù)易于獲取來提高透明度和公民參與與協(xié)作。當(dāng)前許多國(guó)家（地區(qū)）承諾開放政府，并將公共數(shù)據(jù)作為開放數(shù)據(jù)提供。這有助于讓公民參與使用或重用政府?dāng)?shù)據(jù)，并且使數(shù)據(jù)分析提供商或其他政府組織具有通過促進(jìn)更好的理解和加強(qiáng)決策來幫助政府改進(jìn)其程序的潛力。但在履行這一承諾時(shí)，公共機(jī)構(gòu)需確保以開放格式發(fā)布的任何數(shù)據(jù)不包含個(gè)人或敏感數(shù)據(jù)，即識(shí)別或可用于幫助識(shí)別公民個(gè)人的數(shù)據(jù)。因?yàn)檫@些潛在的風(fēng)險(xiǎn)因素會(huì)影響問責(zé)制，甚至降低公共機(jī)構(gòu)的聲譽(yù)。因此，需要權(quán)衡隱私風(fēng)險(xiǎn)和數(shù)據(jù)效用。①一個(gè)重要框架是公平信息原則（FIP）。FIP的有影響力的版本是經(jīng)濟(jì)合作與發(fā)展組織（OECD）的《個(gè)人數(shù)據(jù)隱私和跨境流動(dòng)保護(hù)指南》。OECD成員國(guó)于1980年通過了《隱私準(zhǔn)則》，該指南強(qiáng)調(diào)，它們提供了“最低標(biāo)準(zhǔn)”，且沒有“根據(jù)其性質(zhì)和收集、存儲(chǔ)、處理或傳播的背景，對(duì)不同類別的個(gè)人數(shù)據(jù)實(shí)施不同的保護(hù)措施。其原則包括：收集限制原則、數(shù)據(jù)質(zhì)量原則、目的說明原則、使用限制原則、保安保障原則、開放原則、個(gè)人參與原則、問責(zé)原則?，F(xiàn)在，幾乎每個(gè)OECD成員國(guó)都有以FIP為核心的數(shù)據(jù)隱私法；②平衡隱私和其他利益。為組織內(nèi)決策提供信息的另一個(gè)重要方法是進(jìn)行風(fēng)險(xiǎn)評(píng)估。美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）或國(guó)際標(biāo)準(zhǔn)組織（ISO）等公認(rèn)的國(guó)際機(jī)構(gòu)制定了評(píng)估安全風(fēng)險(xiǎn)的指南（BS IS0 27000：2017；NIST，2012）。此外，為針對(duì)匿名性的要求并幫助組織實(shí)施數(shù)據(jù)去標(biāo)識(shí)化流程以增強(qiáng)隱私，ISO提出了一系列數(shù)據(jù)去標(biāo)識(shí)化方法，如ISO20889和IS0 29100系列。IS0 29100和IS0 29191標(biāo)準(zhǔn)為大數(shù)據(jù)鏈接和開放數(shù)據(jù)提供了額外的保護(hù)，也減輕了公眾和科研人員對(duì)隱私侵犯或無意中非法侵犯?jìng)€(gè)人數(shù)據(jù)的擔(dān)憂。IS0 29192-1至IS0 29192-5用于少量信息安全的技術(shù)標(biāo)準(zhǔn)，包括分組密碼、流密碼和非對(duì)稱加密等機(jī)制。

2.3公共數(shù)據(jù)開放中的隱私風(fēng)險(xiǎn)控制技術(shù)手段

2.3.1去識(shí)別化技術(shù)

數(shù)據(jù)的發(fā)布可能會(huì)導(dǎo)致私人信息泄露。為防止泄露，應(yīng)在全部或部分個(gè)人信息被刪除或轉(zhuǎn)換后發(fā)布數(shù)據(jù)，這些技術(shù)被稱為去識(shí)別化。其技術(shù)解決方案是從數(shù)據(jù)集中刪除識(shí)別信息，同時(shí)保留數(shù)據(jù)的其余實(shí)用程序。表3總結(jié)了各種去標(biāo)識(shí)化技術(shù)的概念和集成技術(shù)。

1）假名化指將個(gè)人身份數(shù)據(jù)替換為無法直接識(shí)別的其他值。如加密加鹽方法，將虛假信息添加到隱私字段中并使用其他算法進(jìn)行加密，以使恢復(fù)原始數(shù)據(jù)更加困難。Huang H H等通過加密加鹽方法（Cryptographic Salting）對(duì)一組來自中國(guó)臺(tái)灣地區(qū)的電子收費(fèi)數(shù)據(jù)進(jìn)行去識(shí)別。這種去識(shí)別技術(shù)提高了隱私字段的安全性，混淆了原始數(shù)據(jù)的內(nèi)容。但沒有改變?cè)既?biāo)識(shí)方法的一對(duì)一對(duì)應(yīng)關(guān)系，其獲得的結(jié)果與原始數(shù)據(jù)結(jié)果相同，但隱私字段的內(nèi)容更復(fù)雜，更難觀察。

2）集合體指將統(tǒng)計(jì)值應(yīng)用于個(gè)人信息，使其無法識(shí)別特定個(gè)人。如隱私字段數(shù)據(jù)平均法，將信息的詳細(xì)部分轉(zhuǎn)換為簡(jiǎn)化的分類。該方法提高了數(shù)據(jù)粒度，但不會(huì)導(dǎo)致扭曲和不準(zhǔn)確；結(jié)合基于距離的記錄鏈接與微聚合方法，通過記錄鏈接對(duì)去識(shí)別化的開放政府?dāng)?shù)據(jù)進(jìn)行數(shù)據(jù)挖掘。該方法能夠解決匿名和已經(jīng)發(fā)布的開放政府?dāng)?shù)據(jù)的挖掘問題，支持異構(gòu)數(shù)據(jù)挖掘以進(jìn)行深入分析：ZouininaS等提出了兩種通過微聚合實(shí)現(xiàn)k-anonymity的技術(shù)：k-CMVM和Constrained-CMVM。兩者都使用拓?fù)鋮f(xié)作聚類來獲取k-anonymity數(shù)據(jù)，前者自動(dòng)確定K個(gè)級(jí)別，后者通過探索來定義它。然而，集合體難以進(jìn)行基于匯總數(shù)據(jù)的精確分析。并且當(dāng)匯總數(shù)據(jù)量很小時(shí)，可以在數(shù)據(jù)合并過程中提取或預(yù)測(cè)個(gè)人信息。

3）數(shù)據(jù)縮減指刪除可用于識(shí)別個(gè)人信息的特定數(shù)據(jù)值。刪除直接標(biāo)識(shí)符和準(zhǔn)標(biāo)識(shí)符是清理或去標(biāo)識(shí)化的最常見方法，如刪除敏感數(shù)據(jù)和隱私識(shí)別信息：刪除所有可能包含個(gè)人身份信息的自由文本數(shù)據(jù)字段。但其可用信息數(shù)量有限，只能用于粗略的統(tǒng)計(jì)分析，當(dāng)涉及大型數(shù)據(jù)集時(shí)，刪除標(biāo)識(shí)符并不總是足以保護(hù)隱私，因?yàn)閹讉€(gè)準(zhǔn)標(biāo)識(shí)符組合起來可以具有強(qiáng)大的識(shí)別能力。

4）數(shù)據(jù)抑制指通過將給定的識(shí)別信息轉(zhuǎn)換為組的代表性值或預(yù)定義的范圍來防止唯一信息跟蹤和識(shí)別。抑制包括用一些特殊值替換原始數(shù)據(jù)，例如“*”。與之類似的，泛化指故意降低數(shù)據(jù)準(zhǔn)確性（如將年齡轉(zhuǎn)換為年齡組）。然而，數(shù)據(jù)抑制和泛化都難以進(jìn)行精確數(shù)值分析。

5）數(shù)據(jù)屏蔽指通過隱藏準(zhǔn)標(biāo)識(shí)符的一部分將數(shù)據(jù)劃分為多個(gè)組。Templ M等通過向事件歷史日期中添加噪聲，發(fā)現(xiàn)即使在高噪音水平下，也能保持高效用，與原始數(shù)據(jù)相比，保留了事件數(shù)據(jù)的基本屬性：Badu-MarfoG等發(fā)現(xiàn)在兩種地理隨機(jī)擾動(dòng)方法（地理不可區(qū)分性（Geo - indistin-guishability）和甜甜圈地理掩碼（Donut Geomask））中，實(shí)現(xiàn)的k-estimate匿名性隨甜甜圈地理掩碼所需的匿名性線性增加，而地理不可區(qū)分性高度依賴于其隱私預(yù)算因素，且在確保期望實(shí)現(xiàn)的k-estimate匿名性方面不是很有效。甜甜圈地理掩碼是k-ano-nymity位置隱私保護(hù)機(jī)制的實(shí)現(xiàn)，通過使用點(diǎn)位置的基礎(chǔ)鄰域人口密度來確定混淆距離以實(shí)現(xiàn)隱私保護(hù)。地理不可區(qū)分性是位置數(shù)據(jù)差分隱私的實(shí)現(xiàn)。它保證受訪者的位置在指定的保護(hù)距離內(nèi)受到保護(hù)，增加的噪聲水平隨距離而降低，其速率取決于所需的隱私級(jí)別。

在實(shí)踐中，即使通過上述技術(shù)執(zhí)行了足夠的去標(biāo)識(shí)化措施，若數(shù)據(jù)沒有通過與匿名化相關(guān)的充分性評(píng)估，它仍可以通過逆向工程將數(shù)據(jù)與補(bǔ)充信息相結(jié)合進(jìn)行推斷而被識(shí)別并視為個(gè)人信息。

2.3.2匿名技術(shù)

匿名技術(shù)是隱私保護(hù)領(lǐng)域的重要手段。通常，以下匿名化測(cè)試主要用于評(píng)估去標(biāo)識(shí)化過程的充分性：k-anonymity、1-diversity和t-closeness等。

k-anonymity模型是最基本的評(píng)估技術(shù)之一，生成數(shù)據(jù)集時(shí)通常會(huì)檢查k-anonymity，可以修改準(zhǔn)標(biāo)識(shí)符以避免任何數(shù)據(jù)鏈接。Luthfi A等提出貝葉斯信念網(wǎng)絡(luò)方法，該模型使用像k-ano-nymity這樣的抑制技術(shù)來匿名化敏感屬性，并構(gòu)建決策過程的因果關(guān)系，以開放健康患者記錄中的數(shù)據(jù)。此外，k-anonymity也涉及數(shù)據(jù)隱私和效用的權(quán)衡，k-anonymity原則是若無法將個(gè)人與公開發(fā)布的數(shù)據(jù)集中的k-1個(gè)其他個(gè)人區(qū)分開來，則可以實(shí)現(xiàn)隱私。其中，k值越高，重新識(shí)別風(fēng)險(xiǎn)就越低。特別是Santos W等對(duì)ARX k匿名算法的k值進(jìn)行的敏感性分析表明，匿名化過程可能導(dǎo)致少數(shù)群體和社會(huì)人口弱勢(shì)群體的代表性不足。因此，需根據(jù)需求情況決定k值。k-anonymity模型的缺陷是易受到同質(zhì)性攻擊和背景知識(shí)攻擊。因此，Tudor C等討論了一種弱k-anonymity的替代方案，它要求僅在記錄的一個(gè)子集中強(qiáng)制執(zhí)行，這意味著那些不通過k-anonymity控制的變量有可能被用來識(shí)別某人。然而，當(dāng)對(duì)這些變量的興趣較低時(shí)，這種風(fēng)險(xiǎn)通常很小。因此，這可能是一個(gè)更實(shí)用的選擇。

1-diversity是一種降低泄露機(jī)密信息風(fēng)險(xiǎn)的技術(shù)。1-diversity將大于或等于1的良好表示敏感值分配給每個(gè)等價(jià)類，通過額外要求在每個(gè)匿名組中存在表示良好的值來擴(kuò)展k-anonymity。Ali S等采用1-diversity來保護(hù)敏感標(biāo)簽，避免攻擊者利用這些標(biāo)簽來推測(cè)私人信息：疾病控制和預(yù)防中心的病例監(jiān)測(cè)科將流行病學(xué)數(shù)據(jù)集與隱私保護(hù)算法相結(jié)合，通過自動(dòng)化工作流和R統(tǒng)計(jì)軟件實(shí)現(xiàn)和驗(yàn)證k匿名性的字段級(jí)抑制和L多樣性，并根據(jù)該流程生成了兩個(gè)去識(shí)別化的公共數(shù)據(jù)集。然而，1-diversity無法防止概率推理攻擊和屬性披露。

t-closeness是1-diversity的進(jìn)一步延伸。這種方法不僅保證敏感值的良好表示，還要求匿名組內(nèi)每個(gè)敏感屬性的分布與屬性在整個(gè)數(shù)據(jù)集上的分布相同，取模閾值t。然而，與k-anonymity和1-di-versity一樣，t-closeness下的年齡、性別、種族甚至工作類型等受保護(hù)的屬性仍然可以從加速度測(cè)量數(shù)據(jù)中推斷出來。并且，這些傳統(tǒng)的隱私保護(hù)模型對(duì)攻擊模型和攻擊者的背景知識(shí)做了過多的假設(shè)，各種匿名公共記錄的傳統(tǒng)方法已被證明存在隱私泄露風(fēng)險(xiǎn)。直到差分隱私技術(shù)的出現(xiàn)，這個(gè)問題才得到了很好的解決。

差分隱私方法是通過在原始數(shù)據(jù)或統(tǒng)計(jì)數(shù)據(jù)中添加噪聲來處理數(shù)據(jù)信息和轉(zhuǎn)換原始數(shù)據(jù)。該模型可降低最大后臺(tái)攻擊風(fēng)險(xiǎn)，并定義隱私保護(hù)等級(jí)的量化評(píng)估方法。與k-anonymity不同，差分隱私是基于概率的，它使用不同的機(jī)制來隱藏?cái)?shù)據(jù)的真實(shí)價(jià)值以保護(hù)隱私，如引入噪聲或虛假數(shù)據(jù)。差分隱私的缺點(diǎn)與k-anonymity的缺點(diǎn)相似：為了實(shí)現(xiàn)足夠的隱私級(jí)別，必須添加一定量的噪聲。添加噪聲等效于有意向數(shù)據(jù)集添加錯(cuò)誤。這可能導(dǎo)致從數(shù)據(jù)分析中得出一些錯(cuò)誤的結(jié)論。Nahmias Y等建議監(jiān)管機(jī)構(gòu)應(yīng)該使用差分隱私算法在準(zhǔn)確性和隱私之間進(jìn)行權(quán)衡，并提出基于霧計(jì)算的政府統(tǒng)計(jì)數(shù)據(jù)發(fā)布的差分隱私框架，開發(fā)了一種基于MaxDiff直方圖的數(shù)據(jù)發(fā)布算法，可用于實(shí)現(xiàn)基于霧計(jì)算的用戶隱私保護(hù)功能：Piao C H等也提出了一種基于MaxDiff直方圖的數(shù)據(jù)發(fā)布算法，通過應(yīng)用差分方法，將拉普拉斯噪聲添加到原始數(shù)據(jù)集中，根據(jù)最大頻率差，對(duì)相鄰數(shù)據(jù)箱進(jìn)行分組，構(gòu)建平均誤差最小的差分隱私直方圖。該方法可以有效保護(hù)公民隱私，降低查詢敏感度，提高發(fā)布數(shù)據(jù)的實(shí)用性。然而，差分隱私并不能解決所有隱私問題，也不會(huì)保護(hù)個(gè)人免受未經(jīng)授權(quán)的信息收集、處理或防止安全漏洞。

安全多方計(jì)算方法，受密碼學(xué)領(lǐng)域啟發(fā)，信息泄漏量根據(jù)對(duì)手可訪問的信息量來衡量。它使兩方或多方（彼此不完全信任）能執(zhí)行涉及其兩個(gè)數(shù)據(jù)集的計(jì)算，而不透露彼此的任何信息。其他高級(jí)加密方法可對(duì)數(shù)據(jù)進(jìn)行計(jì)算，并限制對(duì)基礎(chǔ)數(shù)據(jù)的學(xué)習(xí)。如功能或同態(tài)加密能夠?qū)用軘?shù)據(jù)進(jìn)行計(jì)算，而無需解密數(shù)據(jù)并將其暴露給攻擊者。

除上述技術(shù)外，提供匿名數(shù)據(jù)的另一種方法是生成與原始數(shù)據(jù)具有相同特征的合成數(shù)據(jù)，可使用機(jī)器學(xué)習(xí)和統(tǒng)計(jì)建模方法。合成數(shù)據(jù)是從使用原始數(shù)據(jù)集開發(fā)的統(tǒng)計(jì)模型生成的。生成合成數(shù)據(jù)最初被用來填補(bǔ)缺失的條目，現(xiàn)在被廣泛用于保護(hù)隱私，因?yàn)楹铣蓴?shù)據(jù)集不直接指向任何“真實(shí)”的人。如LiW等基于深度學(xué)習(xí)的生成模型來解決敏感數(shù)據(jù)被開放發(fā)布問題，該模型生成模擬數(shù)據(jù)以掩蓋原始數(shù)據(jù)。合成數(shù)據(jù)通常具有非常低的披露率，但當(dāng)原始數(shù)據(jù)具有復(fù)雜的結(jié)構(gòu)時(shí)，數(shù)據(jù)效用也相對(duì)較低。因此，Young M等在發(fā)布數(shù)據(jù)之前從數(shù)據(jù)集中刪除不需要的偏見和專有信息，并將這些方法與差分隱私技術(shù)相結(jié)合，當(dāng)合成數(shù)據(jù)集不足以進(jìn)行分析時(shí)，調(diào)用由強(qiáng)大治理支持的結(jié)構(gòu)化數(shù)據(jù)使用協(xié)議o Lee J S等將微聚合應(yīng)用于合成數(shù)據(jù)生成器以鏈接和利用異構(gòu)開放政府?dāng)?shù)據(jù)（微數(shù)據(jù)），允許用戶調(diào)整隱私閾值水平，以確定隱私披露風(fēng)險(xiǎn)和數(shù)據(jù)效用之間的適當(dāng)平衡。這種將合成數(shù)據(jù)與對(duì)原始數(shù)據(jù)的強(qiáng)大法律保護(hù)結(jié)合使用，可在透明度、所有權(quán)、隱私和研究目標(biāo)之間取得平衡。

2.4公共數(shù)據(jù)開放中的隱私風(fēng)險(xiǎn)控制程序手段

通知和同意是數(shù)據(jù)收集和接受中常用的隱私保護(hù)工具，并且在管理個(gè)人數(shù)據(jù)處理的歐洲法律中，獲得數(shù)據(jù)主體的同意是支持公平合法處理個(gè)人數(shù)據(jù)的主要程序機(jī)制。同時(shí)，通知和同意也有助于確保公共數(shù)據(jù)開放共享的透明度。在尋求適用的規(guī)范時(shí)，僅僅遵守法律和采用一次性同意程序不足以確保數(shù)據(jù)使用在道德上是合理的。因?yàn)槿藗兺ǔＯＭ跀?shù)據(jù)科學(xué)項(xiàng)目的所有階段都具有透明度，并被告知何時(shí)和為什么收集有關(guān)他們的數(shù)據(jù)以及項(xiàng)目的結(jié)果是否實(shí)現(xiàn)。因此，許多知情同意模型被提出以適應(yīng)不同情景下的個(gè)人隱私保護(hù)。①分層或分類同意模型為研究參與者提供了如何以及何時(shí)使用數(shù)據(jù)的選擇：②動(dòng)態(tài)同意允許參與者隨著時(shí)間的推移更新他們的同意偏好，并將結(jié)果返回給感興趣的人；③一攬子或一般同意模型指參與者可選擇同意未來對(duì)其數(shù)據(jù)的所有研究使用，而無需獲得該研究可能需要的詳細(xì)信息：④選擇退出指參與者主動(dòng)退出研究。通過“選擇退出”，數(shù)據(jù)主體可以反對(duì)將數(shù)據(jù)用于次要目的：⑤自動(dòng)同意模型以高精度地預(yù)測(cè)用戶的數(shù)據(jù)共享決策，來避免提示用戶做出大多數(shù)決策。

盡管在信息生態(tài)中，同意可能是主要的，但同意絕不是合法處理個(gè)人數(shù)據(jù)的唯一機(jī)制，它還與維護(hù)自治原則、隱私、透明度和不歧視有關(guān)。足夠的透明度、對(duì)有害使用和商業(yè)化的控制、反對(duì)的能力，特別是反對(duì)任何被認(rèn)為不適當(dāng)或特別敏感的處理對(duì)用戶接受具有較低個(gè)人控制水平的同意模式至關(guān)重要。更友好的智能設(shè)備界面可能是一個(gè)好的方式以便用戶能夠控制數(shù)據(jù)的使用內(nèi)容和方式，同時(shí)也可以幫助用戶更好地接收通知并控制同意選擇。

透明度和濫用問責(zé)制對(duì)實(shí)現(xiàn)數(shù)據(jù)效用和個(gè)人隱私保護(hù)平衡至關(guān)重要。如數(shù)據(jù)資產(chǎn)登記冊(cè)、公開辯論（或相關(guān)記錄）可告知公眾，政府持有和發(fā)布哪些類型的信息，他們?nèi)绾螞Q定向公眾發(fā)布或隱瞞哪些數(shù)據(jù)，并在特殊情況下記錄在案；而數(shù)據(jù)資產(chǎn)清單，可幫助組織制定與部門活動(dòng)相關(guān)的數(shù)據(jù)管理計(jì)劃及治理結(jié)構(gòu)，以處理出現(xiàn)的問題。此外，算法問責(zé)制和透明度對(duì)確保數(shù)據(jù)安全非常重要。機(jī)器智能委員會(huì)旨在確保隨著新一代算法的開發(fā)，公共利益得到保護(hù)。而區(qū)塊鏈可提供更大的問責(zé)制和安全性的承諾。對(duì)于數(shù)據(jù)收集者和數(shù)據(jù)的個(gè)人主體而言，需了解數(shù)據(jù)的潛在和實(shí)際用途。為數(shù)據(jù)主體實(shí)現(xiàn)此類透明度的一種工具是隱私儀表板，該儀表板向個(gè)人提供有關(guān)哪些實(shí)體正在訪問其數(shù)據(jù)、他們?nèi)绾问褂脭?shù)據(jù)以及他們因使用其數(shù)據(jù)而可能面臨的任何隱私風(fēng)險(xiǎn)的通知。在問責(zé)制方面，對(duì)濫用數(shù)據(jù)的制裁很重要，包括違反保護(hù)或?yàn)E用的處罰或其他后果的信息。濫用責(zé)任包括使個(gè)人能夠了解其數(shù)據(jù)是如何被共享和使用，對(duì)侵犯隱私的行為進(jìn)行民事和刑事處罰，以及因不當(dāng)使用其數(shù)據(jù)而受到傷害的個(gè)人的私人訴訟權(quán)。

在發(fā)布信息時(shí)，機(jī)構(gòu)必須平衡隱私和效用，包括廣泛利益相關(guān)方的專家小組參與制定決策來確保合規(guī)性。同樣重要的是評(píng)估重新識(shí)別風(fēng)險(xiǎn)，因?yàn)榧词箶?shù)據(jù)集嚴(yán)重不完整，也可能不符合匿名化的現(xiàn)代標(biāo)準(zhǔn)。開放數(shù)據(jù)的關(guān)鍵性級(jí)別、開放性、攻擊風(fēng)險(xiǎn)、信任和使用限制是隱私風(fēng)險(xiǎn)與收益權(quán)衡中的重要考慮因素，可通過決策引擎和評(píng)分矩陣進(jìn)行評(píng)估：也可通過基于熵的再識(shí)別風(fēng)險(xiǎn)來衡量開放數(shù)據(jù)中的隱私泄露風(fēng)險(xiǎn)，同時(shí)結(jié)合基于熵的數(shù)據(jù)實(shí)用模型，在保證隱私的同時(shí)保證數(shù)據(jù)的可用性；也可通過貝葉斯信念網(wǎng)絡(luò)模型分析打開數(shù)據(jù)時(shí)導(dǎo)致風(fēng)險(xiǎn)的因果機(jī)制：情況目錄通過列出在評(píng)估是否以及在何種條件下發(fā)布數(shù)據(jù)集時(shí)應(yīng)考慮的情況或因素，及應(yīng)如何重新發(fā)布數(shù)據(jù)集的不同選項(xiàng)來幫助作出決定。此外，進(jìn)行正式的入侵者測(cè)試有助于評(píng)估重新識(shí)別風(fēng)險(xiǎn)，涉及使用“友好的入侵者”來嘗試查看他們是否可以重新識(shí)別數(shù)據(jù)集中的任何人并捕獲入侵者可能鏈接到數(shù)據(jù)集的其他信息以發(fā)生泄露，其中適當(dāng)選擇入侵者對(duì)于獲得準(zhǔn)確結(jié)果非常重要。

組織在通過信息系統(tǒng)共享數(shù)據(jù)時(shí)，使用訪問控制來保護(hù)隱私。①這種系統(tǒng)可能要求所有用戶注冊(cè)并共享個(gè)人信息，并且使用系統(tǒng)配置文件進(jìn)行身份驗(yàn)證。如，在發(fā)布個(gè)人的犯罪歷史之前，平臺(tái)可以要求請(qǐng)求者提供其標(biāo)識(shí)符、全名和動(dòng)機(jī)。通過此功能，專業(yè)人員在獲得必要的批準(zhǔn)后才能夠下載他們想要的數(shù)據(jù)．并且這種請(qǐng)求可通過速率限制來防止快速觸發(fā)請(qǐng)求：②區(qū)分3種類型的用戶，即管理、授權(quán)用戶和運(yùn)營(yíng)商，來進(jìn)行訪問控制。如管理層負(fù)責(zé)向用戶授予訪問權(quán)限并批準(zhǔn)運(yùn)營(yíng)商上傳的數(shù)據(jù)集在平臺(tái)上發(fā)布；③借助分層訪問系統(tǒng)進(jìn)行訪問控制，通過身份驗(yàn)證模塊將對(duì)私人信息的訪問限制為數(shù)據(jù)所有者，實(shí)現(xiàn)分層訪問，從而保護(hù)隱私。分層訪問還可包含更高級(jí)的數(shù)據(jù)共享模型。如向公眾提供列聯(lián)表形式的匯總統(tǒng)計(jì)數(shù)據(jù)等；④向研究人員群體提供交互式查詢系統(tǒng)，向通過仔細(xì)篩選程序獲得批準(zhǔn)的少數(shù)分析人員提供原始數(shù)據(jù)。交互機(jī)制可使用戶能夠提交有關(guān)數(shù)據(jù)集的查詢并僅接收查詢分析結(jié)果，分析結(jié)果可通過圖表等可視化形式呈現(xiàn)。

對(duì)披露數(shù)據(jù)進(jìn)行重復(fù)使用限制是在隱私和開放數(shù)據(jù)政策之間取得平衡的另一種方法。重復(fù)使用限制可以以許可證形式呈現(xiàn)。許可證可能要求用戶不要重新識(shí)別數(shù)據(jù)，或在發(fā)現(xiàn)個(gè)人可以或已被重新識(shí)別的情況下通知許可人。此外，在線提供數(shù)據(jù)的組織通常會(huì)提供服務(wù)條款或參考道德準(zhǔn)則，這些準(zhǔn)則描述了使用有關(guān)個(gè)人機(jī)密數(shù)據(jù)的準(zhǔn)則和最佳實(shí)踐。如科學(xué)用途數(shù)據(jù)集僅發(fā)布給簽署數(shù)據(jù)使用協(xié)議的經(jīng)批準(zhǔn)的研究人員，且包含比公共使用數(shù)據(jù)集更多的變量。數(shù)據(jù)使用協(xié)議通常涉及對(duì)數(shù)據(jù)的使用、共享和重用的限制，保護(hù)數(shù)據(jù)的義務(wù)，因使用或?yàn)E用數(shù)據(jù)而造成損害的責(zé)任，以及執(zhí)行協(xié)議條款的機(jī)制。一般召集／管理數(shù)據(jù)的組織對(duì)其正確訪問和使用負(fù)有法律責(zé)任。然而，在實(shí)踐中很難發(fā)現(xiàn)違反數(shù)據(jù)使用協(xié)議的行為并執(zhí)行條款。因此，需要通過簽署合同或協(xié)議等方式確保數(shù)據(jù)后續(xù)使用存在的隱私問題。如在與特定學(xué)生共享敏感數(shù)據(jù)前，可與其簽訂特殊的合同協(xié)議：只有在證明道德批準(zhǔn)、簽署數(shù)據(jù)使用協(xié)議和明確的數(shù)據(jù)管理計(jì)劃的情況下才授予大學(xué)教師訪問權(quán)限等。

此外，在用戶訪問數(shù)據(jù)后，還涉及審計(jì)系統(tǒng)，該系統(tǒng)包括法律和技術(shù)機(jī)制，用于檢測(cè)信息濫用和防止個(gè)人違反數(shù)據(jù)使用政策。如Tzermias Z等提出可確定負(fù)責(zé)個(gè)人身份信息泄漏的公務(wù)員，通過使用誘餌文件及“誘餌”信息來識(shí)別泄漏：Potoc-zny-Jones I等在試點(diǎn)平臺(tái)中檢測(cè)違反策略的行為，并向公眾提供未發(fā)生此類違規(guī)行為的透明度以保護(hù)隱私：Lee J T等提出在發(fā)生數(shù)據(jù)泄露風(fēng)險(xiǎn)時(shí)通過日志查看以往請(qǐng)求，識(shí)別訪問過數(shù)據(jù)的個(gè)人，并請(qǐng)求他們返回或銷毀受損信息。此外，可能需要第三方審計(jì)每年審查數(shù)據(jù)隱私和安全程序，并且有權(quán)訪問數(shù)據(jù)的承包商也可能需要進(jìn)行此類審計(jì)。

3結(jié)語

本文對(duì)公共數(shù)據(jù)資源開放共享中的隱私風(fēng)險(xiǎn)控制研究進(jìn)展進(jìn)行了綜述。綜合分析發(fā)現(xiàn)，隱私風(fēng)險(xiǎn)控制研究基本覆蓋教育、法律、技術(shù)、程序方面，涉及公共數(shù)據(jù)的收集和接受、轉(zhuǎn)換、保留、發(fā)布和訪問、訪問后等階段?？偟膩砜?，當(dāng)前研究：①重視利益相關(guān)者對(duì)隱私的看法，倡導(dǎo)積極與利益相關(guān)者溝通、交流，特別是構(gòu)建利益相關(guān)者間“信任”：②公共數(shù)據(jù)中的隱私風(fēng)險(xiǎn)控制法律政策正處于發(fā)展、完善階段，主要聚焦于隱私與開放的平衡問題；③各個(gè)領(lǐng)域，特別是政府、城市方面，積極采用新興技術(shù)來保護(hù)隱私，如區(qū)塊鏈、差分隱私等。

但目前的研究存在：①缺少對(duì)公共數(shù)據(jù)隱私風(fēng)險(xiǎn)控制的討論?，F(xiàn)有研究集中于政府開放數(shù)據(jù)下的隱私風(fēng)險(xiǎn)控制，忽視了履行公共管理和服務(wù)職能的事業(yè)單位或企業(yè)的開放數(shù)據(jù)隱私問題：②隱私風(fēng)險(xiǎn)控制方法尚未形成體系。諸如“差分隱私”“數(shù)據(jù)信任”等隱私控制方法，由于對(duì)隱私保護(hù)和數(shù)據(jù)效用的目標(biāo)或參數(shù)（這通常由數(shù)據(jù)發(fā)布者選擇）不同，因此其方法、定義、名稱存在差異。此外，研究多涉及技術(shù)或框架等隱私風(fēng)險(xiǎn)控制方法，而很少構(gòu)建包括政治、經(jīng)濟(jì)、社會(huì)、技術(shù)在內(nèi)的綜合的隱私風(fēng)險(xiǎn)控制體系：③缺少公共數(shù)據(jù)資源開放共享中的隱私風(fēng)險(xiǎn)控制的實(shí)證研究。雖然內(nèi)容分析法被廣泛用來分析公共數(shù)據(jù)資源開放共享中的隱私風(fēng)險(xiǎn)控制政策法規(guī)，但缺乏相關(guān)的隱私風(fēng)險(xiǎn)控制調(diào)查與實(shí)證研究，未能有效揭示公共數(shù)據(jù)資源開放共享中的隱私風(fēng)險(xiǎn)控制現(xiàn)狀。

這對(duì)數(shù)據(jù)開放和隱私保護(hù)的實(shí)踐工作有一定啟示：①深化公共數(shù)據(jù)資源開放共享中的隱私風(fēng)險(xiǎn)控制的理論研究，探索數(shù)據(jù)開放與隱私保護(hù)相統(tǒng)一的法律制度體系，針對(duì)不同時(shí)期出現(xiàn)的新問題，及時(shí)完善在數(shù)字化進(jìn)程中的法律空白。第一，明晰公共數(shù)據(jù)與政府?dāng)?shù)據(jù)的區(qū)別與聯(lián)系，考慮履行公共管理和服務(wù)職能的事業(yè)單位或企業(yè)的開放數(shù)據(jù)隱私問題：第二，面向采集、存儲(chǔ)、傳輸、共享、開放、使用、銷毀等公共數(shù)據(jù)全生命周期過程，探究有針對(duì)性的數(shù)據(jù)隱私保護(hù)措施，落實(shí)公共數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估、分類分級(jí)、合規(guī)監(jiān)管等要求，從而明確安全保障職責(zé)，強(qiáng)化安全運(yùn)行管理，提升安全保障能力；第三，探索完善的公共數(shù)據(jù)管理組織機(jī)構(gòu)制度，明確公共數(shù)據(jù)治理和數(shù)據(jù)保護(hù)人員、機(jī)構(gòu)及其職責(zé)；第四，通過法律鼓勵(lì)公共數(shù)據(jù)創(chuàng)新與應(yīng)用。探究支持公共數(shù)據(jù)創(chuàng)新和應(yīng)用的政策和法律，以推進(jìn)公共數(shù)據(jù)驅(qū)動(dòng)的創(chuàng)新，促進(jìn)公共機(jī)構(gòu)和企業(yè)利用公共數(shù)據(jù)解決社會(huì)問題和提供公共服務(wù)。②加強(qiáng)對(duì)隱私技術(shù)的研究，首先，綜合運(yùn)用區(qū)塊鏈、隱私計(jì)算、數(shù)據(jù)安全沙箱、邊緣計(jì)算、同態(tài)加密、多方安全計(jì)算等隱私增強(qiáng)技術(shù)，探索新型開發(fā)利用模式；其次，探索技術(shù)理念與實(shí)踐相統(tǒng)一的隱私風(fēng)險(xiǎn)控制途徑，通過實(shí)施適當(dāng)?shù)募夹g(shù)和組織安全措施，以確保個(gè)人數(shù)據(jù)的安全，防止未經(jīng)授權(quán)的訪問、使用、披露、更改或破壞；最后，構(gòu)建“一中心一張網(wǎng)一平臺(tái)”隱私風(fēng)險(xiǎn)控制體系，確保公共數(shù)據(jù)開放中的隱私風(fēng)險(xiǎn)得到有效控制。③堅(jiān)持以公眾意見為導(dǎo)向。首先，探究建立公眾信任的方法。在為公共利益共享數(shù)據(jù)的情況下，更清楚地說明如何定義和判斷公共利益。如增加公共數(shù)據(jù)資源開放共享中的隱私風(fēng)險(xiǎn)控制的實(shí)地調(diào)查與實(shí)證研究，引入公共數(shù)據(jù)資源開放共享中的隱私風(fēng)險(xiǎn)的量化分析，提高研究結(jié)果的可靠性、可操作性與適用性等；其次，個(gè)人的隱私權(quán)必須與其他公民權(quán)利以及更廣泛的社區(qū)和社會(huì)的權(quán)利相權(quán)衡。明確公共部門處理數(shù)據(jù)共享項(xiàng)目過程以建立一致性和透明度；最后，關(guān)注人工智能對(duì)公眾隱私的影響。從法律和監(jiān)管角度為開發(fā)和部署人工智能創(chuàng)造合適的環(huán)境，包括將倫理原則納入共識(shí)規(guī)范框架，確保整個(gè)社會(huì)了解其基本情況，并能夠就其與人工智能技術(shù)的關(guān)系做出積極決策。

本文區(qū)別于已有綜述文章，重點(diǎn)梳理了公共數(shù)據(jù)開放與隱私相互作用的研究進(jìn)展。將公共數(shù)據(jù)開放中的隱私風(fēng)險(xiǎn)控制研究分為教育、法律、技術(shù)、程序手段4個(gè)方面進(jìn)行闡述，有助于了解、把握當(dāng)前開放與隱私保護(hù)研究發(fā)展現(xiàn)狀。最后，文章總結(jié)了當(dāng)前研究的現(xiàn)狀與不足，并展望未來發(fā)展方向，為推動(dòng)安全、隱私的公共數(shù)據(jù)開放提供了新的研究方向。