網(wǎng)絡(luò)環(huán)境中的隱私保護(hù)標(biāo)準(zhǔn)化研究*

高 楓，張 峰，周 偉

（1.中訊郵電咨詢(xún)?cè)O(shè)計(jì)院有限公司 北京 100048；2.北京郵電大學(xué)智能通信軟件與多媒體北京市重點(diǎn)實(shí)驗(yàn)室 北京 100876）

1 引言

中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）發(fā)布的第31次《中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》顯示，截至2012年12月底，我國(guó)網(wǎng)民規(guī)模達(dá)到5.64億，互聯(lián)網(wǎng)普及率為42.1%。網(wǎng)絡(luò)的普及為信息共享和交互提供了極大的便利。

隨著下一代互聯(lián)網(wǎng)、移動(dòng)P2P網(wǎng)絡(luò)、物聯(lián)網(wǎng)、泛在網(wǎng)絡(luò)、社交網(wǎng)絡(luò)、云計(jì)算等各種新型網(wǎng)絡(luò)及應(yīng)用的出現(xiàn)，越來(lái)越多的網(wǎng)絡(luò)應(yīng)用中涉及各種隱私信息。當(dāng)前網(wǎng)絡(luò)環(huán)境中共享、存儲(chǔ)和管理的隱私信息規(guī)模急速增長(zhǎng)，收集、利用隱私信息的技術(shù)迅速發(fā)展[1,2]，這些都使得網(wǎng)絡(luò)環(huán)境中的隱私保護(hù)更加復(fù)雜和困難，隱私保護(hù)問(wèn)題日益受到學(xué)術(shù)界和工業(yè)界的廣泛關(guān)注。

為應(yīng)對(duì)隱私保護(hù)的需求，目前國(guó)際上已有眾多標(biāo)準(zhǔn)組織及產(chǎn)業(yè)聯(lián)盟啟動(dòng)了隱私保護(hù)的標(biāo)準(zhǔn)化工作，本文將從隱私保護(hù)標(biāo)準(zhǔn)化的現(xiàn)狀入手，分析隱私保護(hù)標(biāo)準(zhǔn)化的特點(diǎn)、方向與趨勢(shì)。

2 隱私保護(hù)國(guó)內(nèi)外標(biāo)準(zhǔn)化現(xiàn)狀

目前，國(guó)內(nèi)隱私保護(hù)相關(guān)的外標(biāo)準(zhǔn)化工作已經(jīng)啟動(dòng)，ISO/IEC（國(guó)際標(biāo)準(zhǔn)化組織/國(guó)際電工委員會(huì)）、OMA（開(kāi)放移動(dòng)聯(lián)盟）、3GPP（第三代合作伙伴項(xiàng)目）、GSMA（全球移動(dòng)通信系統(tǒng)協(xié)會(huì)）、W3C（萬(wàn)維網(wǎng)聯(lián)盟）、CCSA（中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)）等國(guó)內(nèi)外標(biāo)準(zhǔn)化組織，從不同角度就網(wǎng)絡(luò)環(huán)境中的隱私保護(hù)制定了相關(guān)標(biāo)準(zhǔn)[3]，具體見(jiàn)表1。

2.1 ISO/IEC

ISO/IEC JTC1 SC27（信息安全分技術(shù)委員會(huì)）[4]WG5組（身份管理和隱私保護(hù)技術(shù)工作組）主要研究和制定身份管理、生物特征以及個(gè)人數(shù)據(jù)保護(hù)相關(guān)的標(biāo)準(zhǔn)。WG5在隱私保護(hù)方面的主要工作如下。

·ISO/IEC 29100 Privacy Framework（隱私框架），其基本元素包括主體、個(gè)人身份信息、風(fēng)險(xiǎn)、隱私偏好、隱私需求和隱私原則。框架定義了隱私保護(hù)的要求、通用的隱私術(shù)語(yǔ)、規(guī)范處理個(gè)人身份信息的隱私原則，對(duì)隱私保護(hù)功能進(jìn)行了分類(lèi)，形成一個(gè)可行的隱私標(biāo)準(zhǔn)化的基礎(chǔ)框架，包括技術(shù)性的參考架構(gòu)、隱私技術(shù)的使用、整體隱私管理、外包數(shù)據(jù)處理隱私保證、隱私性評(píng)估以及工程規(guī)范等[5]。ISO/IEC 29100隱私保護(hù)框架結(jié)構(gòu)如圖1所示。

·ISO/IEC 29101 Privacy Reference Architecture（隱私參考體系架構(gòu)），該架構(gòu)提供了隱私保護(hù)技術(shù)實(shí)施的指導(dǎo)，用于信息通信系統(tǒng)建設(shè)。ISO/IEC 29101隱私保護(hù)參考架構(gòu)。

·ISO/IEC 29190 Privacy Capability Assess Model（隱私能力評(píng)估模型），提供了高層次的指導(dǎo)，評(píng)估隱私管理的成熟度。

·ISO/IEC 29191 Requirements for Partially Anonymous,Partially Unlinkable Authentication（部分匿名和部分不可連接認(rèn)證的需求），提供身份代管的不可連接匿名認(rèn)證的模型及需求。其目的是提供群組簽名和相關(guān)機(jī)制的指導(dǎo)，減少數(shù)據(jù)量并提升用戶(hù)體驗(yàn)，同時(shí)允許用戶(hù)通過(guò)其托管代理控制用戶(hù)匿名性。

2.2 OMA

OMA針對(duì)移動(dòng)網(wǎng)絡(luò)應(yīng)用提出了基本的隱私保護(hù)要求，在2007年發(fā)布了OMA Privacy Requirements for Mobile Services V1.0（OMA 移動(dòng)服務(wù)的隱私需求）[6]。

在OMA體系中，每個(gè)服務(wù)可能有自己的隱私需求，并用自己的方式解決。例如，位置服務(wù)可以根據(jù)存儲(chǔ)的用戶(hù)偏好，在用戶(hù)進(jìn)入某一區(qū)域時(shí)執(zhí)行操作，向其他人發(fā)送信息。因此，OMA規(guī)范旨在通過(guò)收集相同的需求為OMA服務(wù)創(chuàng)建通用的解決方法。該規(guī)范明確了隱私策略的執(zhí)行對(duì)OMA體系的影響，提出隱私策略應(yīng)從內(nèi)容提供商的角度表明使用的意圖，包括目的、收件人、保留期，并指出如何與數(shù)據(jù)處理器通信以及對(duì)爭(zhēng)議的處理等。

2.3 3GPP

3GPP TR 22.949 Study on a Generalized Privacy Capability（通用隱私能力的研究）[7]研究了通用隱私能力。其范圍包括:明確3GPP系統(tǒng)相關(guān)的隱私信息；明確現(xiàn)有3GPP服務(wù)應(yīng)如何處理隱私相關(guān)信息；明確隱私相關(guān)角色，明確個(gè)人數(shù)據(jù)在這些角色中的處理流程；明確隱私角色的各種行為規(guī)范等。

2.4 GSMA

隨著移動(dòng)應(yīng)用、服務(wù)和數(shù)據(jù)的國(guó)家化，基于地理位置的數(shù)據(jù)隱私保護(hù)規(guī)則無(wú)法滿(mǎn)足移動(dòng)互聯(lián)網(wǎng)的需求，據(jù)此，GSMA啟動(dòng)了移動(dòng)隱私計(jì)劃[8]，旨在確保消費(fèi)者隱私在各種移動(dòng)應(yīng)用、平臺(tái)及服務(wù)中得到更加一致的處理并繼續(xù)支持創(chuàng)新，達(dá)成廣泛共識(shí)。

表1 國(guó)內(nèi)外隱私保護(hù)相關(guān)標(biāo)準(zhǔn)化成果統(tǒng)計(jì)

圖1 ISO/IEC 29100隱私保護(hù)框架

圖2 ISO/IEC 29101隱私保護(hù)參考架構(gòu)

2011年1月27日GSMA發(fā)布了Mobile Privacy Principles（移動(dòng)隱私原則）[9]，原則明確了在用戶(hù)使用需要訪問(wèn)、使用或采集個(gè)人信息的移動(dòng)應(yīng)用及服務(wù)時(shí)，移動(dòng)用戶(hù)隱私應(yīng)當(dāng)受到尊重和保護(hù)。原則將用于制定更為詳盡的指導(dǎo)方針和行為準(zhǔn)則，以解決用戶(hù)關(guān)心的應(yīng)用程序使用個(gè)人資料等具體問(wèn)題，為用戶(hù)管理其手機(jī)上的信息及隱私制定明確簡(jiǎn)單的方法提供指導(dǎo)。

GSMA同時(shí)發(fā)布了Privacy Design Guidelines for Mobile Application Development（移動(dòng)應(yīng)用開(kāi)發(fā)的隱私設(shè)計(jì)原則）[10]，該規(guī)范將“移動(dòng)隱私原則”應(yīng)用于移動(dòng)終端服務(wù)的設(shè)計(jì)中，旨在將隱私保護(hù)用于移動(dòng)互聯(lián)網(wǎng)應(yīng)用的全鏈條中，從而建立一個(gè)可信的移動(dòng)生態(tài)系統(tǒng)。

2.5 W3C

W3C主要關(guān)注于Web領(lǐng)域的隱私問(wèn)題，積極推進(jìn)隱私保護(hù)的標(biāo)準(zhǔn)化工作。

W3C隱私興趣組[11]研究影響Web用戶(hù)隱私的各種行為，興趣組將輸出相應(yīng)的導(dǎo)則、模型、過(guò)程和最佳實(shí)踐，以指導(dǎo)涉及隱私保護(hù)的W3C標(biāo)準(zhǔn)的制定。

W3C跟蹤保護(hù)工作組[12]定義了機(jī)器可讀的隱私偏好的跟蹤（track）使能策略，通過(guò)擴(kuò)展 HTTP分組頭，采用ECMAScript API或DOM方法提供用戶(hù)偏好配置機(jī)制。

W3C DAP（device API and policy）工作組[13]旨在制定移動(dòng)終端側(cè)API，互聯(lián)網(wǎng)應(yīng)用與終端提供的服務(wù)通過(guò)API進(jìn)行交互。同時(shí)，該工作組還研究制定了安全框架，該框架管理用于對(duì)API的安全訪問(wèn)/調(diào)用。工作組在隱私保護(hù)方面主要有3個(gè)標(biāo)準(zhǔn)草案:Device API Privacy Requirement（設(shè)備 API 的 隱 私 需 求 ）[14]、Web Application Privacy Best Practice（Web 應(yīng)用隱私最佳實(shí)踐）[15]和 Privacy Ruleset（隱私規(guī)則集合）[16]。

2.6 CCSA

CCSA在隱私保護(hù)標(biāo)準(zhǔn)化研究工作中，主要體現(xiàn)在身份管理和移動(dòng)終端安全等方面。

CCSA TC8 WG4制定了身份管理的系列標(biāo)準(zhǔn)，包括體系架構(gòu)、術(shù)語(yǔ)、數(shù)據(jù)模型、接口消息技術(shù)要求、互通技術(shù)要求等。

CCSA TC11 WG3制定了 《移動(dòng)終端安全能力技術(shù)要求》和《移動(dòng)終端安全能力測(cè)試方法》，對(duì)移動(dòng)終端用戶(hù)數(shù)據(jù)安全保護(hù)能力做出了相關(guān)要求，包括移動(dòng)終端的密碼保護(hù)，用戶(hù)數(shù)據(jù)的加密存儲(chǔ)、授權(quán)訪問(wèn)、遠(yuǎn)程保護(hù)及轉(zhuǎn)移備份等。

3 隱私保護(hù)標(biāo)準(zhǔn)化的特點(diǎn)

3.1 標(biāo)準(zhǔn)化內(nèi)容日趨豐富

從目前標(biāo)準(zhǔn)化組織輸出的成果來(lái)看，隱私保護(hù)標(biāo)準(zhǔn)化內(nèi)容日趨豐富，工作主要涵蓋以下幾個(gè)方面。

（1）隱私信息分類(lèi)

目前標(biāo)準(zhǔn)組織將隱私信息普遍定義為個(gè)人數(shù)據(jù)，包括綁定到數(shù)據(jù)主體的信息（如地址、電話號(hào)碼）、與其他數(shù)據(jù)相結(jié)合可以推測(cè)出數(shù)據(jù)主體身份的信息 （如IP地址）、有特定要求而存儲(chǔ)的信息（如cookies和位置數(shù)據(jù)）等。

（2）隱私角色

盡管各個(gè)標(biāo)準(zhǔn)組織對(duì)隱私信息保護(hù)研究的側(cè)重點(diǎn)不同，但對(duì)于隱私保護(hù)中的角色劃分大體一致，可以歸納為數(shù)據(jù)主體、個(gè)人信息以及接收者/使用者三大類(lèi)。此外，根據(jù)標(biāo)準(zhǔn)組織研究的不同側(cè)重點(diǎn)，又可細(xì)分為本地運(yùn)營(yíng)商、服務(wù)提供商、移動(dòng)應(yīng)用等。

（3）隱私處理規(guī)則

隱私處理規(guī)則是隱私保護(hù)的核心，標(biāo)準(zhǔn)組織相關(guān)的隱私保護(hù)標(biāo)準(zhǔn)中大都對(duì)處理規(guī)則做出了明確要求。隱私規(guī)則可以歸納為以下幾類(lèi):

·隱私偏好，大多標(biāo)準(zhǔn)都允許用戶(hù)對(duì)其隱私偏好設(shè)定；

·訪問(wèn)規(guī)則，即定義“什么人”可以用“怎樣的處理權(quán)限”訪問(wèn)“什么樣的個(gè)人數(shù)據(jù)”；

·處理權(quán)限，即定義對(duì)訪問(wèn)個(gè)人數(shù)據(jù)的權(quán)限控制。

（4）隱私原則

隱私原則是對(duì)業(yè)務(wù)和系統(tǒng)開(kāi)發(fā)中隱私信息處理的指導(dǎo)，抽取各標(biāo)準(zhǔn)組織隱私原則的共性，可以歸納為以下幾點(diǎn):

·公開(kāi)、透明化與通知，即為用戶(hù)提供明確、及時(shí)的數(shù)據(jù)隱私信息，用戶(hù)應(yīng)知道何種個(gè)人信息被采集及其原因以及這些信息的訪問(wèn)、存儲(chǔ)、分享及未來(lái)的使用方式，使用戶(hù)能對(duì)數(shù)據(jù)使用做出選擇；

·目的與使用，即用戶(hù)個(gè)人信息的訪問(wèn)、存儲(chǔ)、分享及未來(lái)使用應(yīng)限于合法的商業(yè)目的，為用戶(hù)提供便利或滿(mǎn)足法律的義務(wù)；

·最小化個(gè)人信息，即應(yīng)用所收集的個(gè)人信息應(yīng)該適量，而不能過(guò)量，且信息的使用應(yīng)在用戶(hù)要求和法律規(guī)定的范圍內(nèi)。

3.2 隱私保護(hù)范圍成為標(biāo)準(zhǔn)化難點(diǎn)

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和廣泛應(yīng)用，隱私已由純粹的社會(huì)學(xué)問(wèn)題演化為兼具技術(shù)與社會(huì)雙重屬性的復(fù)雜問(wèn)題。網(wǎng)絡(luò)環(huán)境中的隱私是集社會(huì)、法律、技術(shù)等因素為一體的綜合性概念。隱私概念沒(méi)有標(biāo)準(zhǔn)定義，但強(qiáng)調(diào)個(gè)人對(duì)其隱私信息的控制能力。

網(wǎng)絡(luò)環(huán)境中的隱私保護(hù)內(nèi)容不僅涵蓋傳統(tǒng)的私人信息，同時(shí)還包括實(shí)體參與網(wǎng)絡(luò)活動(dòng)所產(chǎn)生的數(shù)字行為和通信內(nèi)容等。數(shù)字行為如瀏覽了哪些網(wǎng)站、停留了多長(zhǎng)時(shí)間、在哪些網(wǎng)站訂購(gòu)了哪些商品等；通信內(nèi)容如電子郵件內(nèi)容、即時(shí)通信內(nèi)容等。由此產(chǎn)生的動(dòng)態(tài)隱私和衍生隱私，也是網(wǎng)絡(luò)環(huán)境中隱私保護(hù)的內(nèi)容。Corby在 《The Case for Privacy》[17]一文中將隱私進(jìn)行了分類(lèi)，如表2所示[18]。

表2 隱私分類(lèi)

隱私具有個(gè)性化的特點(diǎn)，不同實(shí)體對(duì)隱私的內(nèi)涵、外延、敏感度等理解不同，同一實(shí)體在不同網(wǎng)絡(luò)環(huán)境中的隱私保護(hù)需求也不盡相同，呈現(xiàn)出多樣性的特點(diǎn)。隨著網(wǎng)絡(luò)應(yīng)用的日益豐富，各個(gè)標(biāo)準(zhǔn)組織在制定隱私保護(hù)相關(guān)標(biāo)準(zhǔn)時(shí)業(yè)務(wù)相關(guān)的側(cè)重點(diǎn)不盡相同，加之隱私保護(hù)的多樣性特點(diǎn)，使得隱私保護(hù)標(biāo)準(zhǔn)化工作中的隱私保護(hù)范圍難以達(dá)成較為一致的共識(shí)，隱私保護(hù)范圍成為標(biāo)準(zhǔn)化的難點(diǎn)。

3.3 隱私保護(hù)原則及處理規(guī)范是標(biāo)準(zhǔn)化重點(diǎn)

隱私保護(hù)處理規(guī)范明確對(duì)訪問(wèn)個(gè)人數(shù)據(jù)的權(quán)限控制，定義“什么人”可以用“怎樣的處理權(quán)限”訪問(wèn)“什么樣的個(gè)人數(shù)據(jù)”是隱私保護(hù)的核心。隱私保護(hù)原則用于制定更為詳盡的指導(dǎo)方針和行為準(zhǔn)則，是對(duì)業(yè)務(wù)和系統(tǒng)開(kāi)發(fā)中隱私信息處理的指導(dǎo)。目前，標(biāo)準(zhǔn)組織輸出的隱私保護(hù)相關(guān)標(biāo)準(zhǔn)中大都對(duì)隱私保護(hù)原則和處理規(guī)則做出了明確要求，然而，隨著業(yè)務(wù)多樣性的不斷演化以及收集、利用隱私信息的技術(shù)迅速發(fā)展，有效滿(mǎn)足業(yè)務(wù)場(chǎng)景和需求的隱私保護(hù)原則及處理規(guī)范將成為今后標(biāo)準(zhǔn)化工作的重點(diǎn)。

4 隱私保護(hù)標(biāo)準(zhǔn)化發(fā)展趨勢(shì)

因各標(biāo)準(zhǔn)組織的工作側(cè)重點(diǎn)不同，隱私保護(hù)的關(guān)注點(diǎn)應(yīng)該也有所不同。由于隱私信息的多樣性特點(diǎn)，使得相同類(lèi)別的隱私信息在不同業(yè)務(wù)場(chǎng)景下的保護(hù)需要不盡相同，因此，很難使用統(tǒng)一的標(biāo)準(zhǔn)涵蓋網(wǎng)絡(luò)環(huán)境的各種業(yè)務(wù)的隱私保護(hù)需求。

隨著下一代互聯(lián)網(wǎng)、移動(dòng)P2P網(wǎng)絡(luò)、物聯(lián)網(wǎng)、泛在網(wǎng)絡(luò)、社交網(wǎng)絡(luò)、云計(jì)算等各種新型網(wǎng)絡(luò)及應(yīng)用的出現(xiàn)，越來(lái)越多的網(wǎng)絡(luò)應(yīng)用中涉及各種隱私信息。在業(yè)務(wù)細(xì)分前提下的隱私保護(hù)標(biāo)準(zhǔn)化，將成為未來(lái)標(biāo)準(zhǔn)化工作的主要方向。

因此，在未來(lái)的隱私保護(hù)相關(guān)的標(biāo)準(zhǔn)化工作中，個(gè)性化的隱私保護(hù)標(biāo)準(zhǔn)、業(yè)務(wù)細(xì)分前提下的隱私保護(hù)標(biāo)準(zhǔn)都將成為標(biāo)準(zhǔn)化發(fā)展的趨勢(shì)。

5 結(jié)束語(yǔ)

隨著網(wǎng)絡(luò)應(yīng)用的不斷豐富和發(fā)展，越來(lái)越多的應(yīng)用中涉及隱私信息。國(guó)內(nèi)外標(biāo)準(zhǔn)組織開(kāi)展了隱私保護(hù)標(biāo)準(zhǔn)化工作 ，ISO/IEC、OMA、3GPP、GSMA、W3C、CCSA 等 國(guó) 內(nèi) 外 標(biāo)準(zhǔn)化組織從不同角度就網(wǎng)絡(luò)環(huán)境中的隱私保護(hù)制定了相關(guān)標(biāo)準(zhǔn)，用于業(yè)務(wù)和系統(tǒng)開(kāi)發(fā)中隱私信息處理的指導(dǎo)。隨著網(wǎng)絡(luò)應(yīng)用的不斷豐富，不斷研究適用于新業(yè)務(wù)、新場(chǎng)景的隱私保護(hù)標(biāo)準(zhǔn)將成為標(biāo)準(zhǔn)化組織的工作內(nèi)容。在未來(lái)的隱私保護(hù)相關(guān)的標(biāo)準(zhǔn)化工作中，個(gè)性化的隱私保護(hù)標(biāo)準(zhǔn)、業(yè)務(wù)細(xì)分前提下的隱私保護(hù)標(biāo)準(zhǔn)化都將成為標(biāo)準(zhǔn)化發(fā)展的趨勢(shì)。

1 Vanja S,Borka J B,Tomaz K.Privacy-enhancing technologies approaches and development.Computer Standards&Interfaces,2003,25(2):147～158

2 Edman M，Yener B.On anonymity in an electronic society:a survey of anonymous communication systems.ACM Computing Surveys,2009,42(1):1～35

3 CCSA研究報(bào)告.移動(dòng)互聯(lián)網(wǎng)用戶(hù)隱私保護(hù)技術(shù)研究，2012

4 ISO/IEC JTC 1/SC 27.http://www.jtc1sc27.din.de/

5 ISO/IEC JTC 1/SC 27.Working Group 5 Identity Management and Privacy Technologies within ISO/IEC JTC 1/SC 27-IT Security Techniques,2007

6 OMA Privacy Requirements for Mobile Services.http://www.openmobilealliance.org/technical/release_program/privacy_v1_0.aspx,2007

7 3GPP TR 22.949.Study on a Generalized Privacy Capability,2012

8 GSMA Mobile Privacy Initiative. http://www.gsma.com/mobile-and-privacy/

9 GSMA Mobile Privacy Principles.http://www.gsmworld.com/documents/GSMA_Privacy_Principles_UPDATED.pdf,2011

10 GSMA Privacy Design Guidelines For Mobile Application Development.http://www.gsmworld.com/documents/privacy_design_guidelines.pdf,2011

11 W3C Privacy Interest Group Charter.http://www.w3.org/2011/07/privacy-ig-charter.html

12 W3C Tracking Protection Working Group.http://www.w3.org/2011/tracking-protection/

13 W3C Device APIs and Policy Working Group.http://www.w3.org/2009/dap/

14 W3C Device API Privacy Requirement.http://www.w3.org/TR/2010/NOTE-dap-privacy-reqs-20100629/,2009

15 W3C Web Application Privacy Best Practice.http://www.w3.org/TR/2011/WD-app-privacy-bp-20110804/,2011

16 W3C Privacy Ruleset.http://dev.w3.org/2009/dap/privacy-rulesets/,2009

17 Corby M J.The case for privacy.Information Security Journal:A Global Perspective,2002,11(2):9～14

18 劉恒.普適計(jì)算環(huán)境下基于位置服務(wù)的隱私保護(hù)若干技術(shù)研究.電子科技大學(xué)博士學(xué)位論文，2010