電子政務環境中隱私策略的分層方法

張華

摘 要： 基于電子政務用戶希望保持互聯互通的部署，并使用先進的政府電子服務，同時保持對個人信息的控制權，提出了輕量級且準確的隱私策略，通過利用現有的政府層次結構，提供了一種能夠支持不同數據需求和處理服務提供者請求的多層方法，可以通過合并隱私權政策和偏好文件來實現。將此方法合并到電子政務環境中將減少由于包含隱私策略文件而帶來的管理工作量，并促進實施和提供以用戶為中心和數據隱私意識的電子服務。案例研究結果表明，提出的分層方法可以減少政府管理文檔的工作量，同時促進用戶隱私信息的保護。

關鍵詞： 電子政務; 隱私策略; 層次結構; 隱私偏好

中圖分類號： TP 399 ? ? ?文獻標志碼： A

Abstract： The electronic government users want to keep the connectivity of the deployment， and use the advanced electronic government service， and maintain control of personal information. Thus， the paper puts forward the lightweight and accurate privacy policy through the use of the existing government hierarchy to provide a way of multilayer method to support different data requirements and processing service. It can be done by combination of privacy policy and preference file. This approach is incorporated into an e-government environment to reduce the administrative workload associated with the inclusion of privacy policy documents and facilitate the implementation and provision of user-centric and data-privacy aware electronic services. The results of the case study show that the proposed hierarchical method can reduce the workload of government management documents and promote the protection of users privacy information.

Key words： e-government; privacy policy; hierarchical structure; privacy preference

0 引言

信息和通信技術的廣泛擴展和互聯網絡的普遍部署，以及面向服務的體系結構使得能夠組成和提供交互式和個性化服務，已經為當前科技帶來了與安全性、可靠性、隱私性和信任相關的全面挑戰。它們不僅應該具有內置的隱私和安全性，而且還應該使用戶能夠理解信息、服務和安全級別的可靠性并做出明智的決策。隨著各國政府逐漸脫離組織間模式，將重點放在協作和面向服務的模式上，解決有關數據隱私、防止濫用等關注的問題上。因此，在隱私性和開放性需求之間取得適當的平衡是至關重要的。

我國從2002年開始就提出了“一站、兩網、四庫、十二金”為主體的電子政務框架。有關電子政務的研究也相繼為該行業帶來良好的改變。文獻[1-2]中提出了具有隱私意識的電子政務環境，可以提供可互操作的以用戶為中心的電子服務，同時使用戶能夠保留對其個人數據的控制權。文獻[3]探討了在現代電子政務環境中體現隱私策略和隱私偏好文檔的概念，以在保護用戶隱私的同時推進和簡化電子服務的提供。通過隱私策略文件，每個服務提供商都會對所需信息、請求的目的、使用信息的方式[4]以及向誰披露信息提供正式的公眾參與方法。

本文從服務提供者的角度出發，闡述了如何制定連貫而準確的隱私策略文件，同時又要保證其符合基本的法律和監管框架。通過利用現有的政府層次結構，提出了一種能夠支持不同數據需求和處理需求的多層方法，該方法包含特定規則和XML元素，從而使服務提供者可以制定符合要求的輕量級文檔。通過定義良好的XML模式將隱私策略和隱私偏好文檔合并在一起，有助于為用戶和服務提供者（Service Providers，SP）建立一定程度的數據隱私保證，這樣的部署促進和簡化了電子服務的提供過程，同時允許用戶根據自己的喜好和需要保留、控制和修改其個人數據隱私特征。基于這樣的體系結構，電子政務環境可以擴展其執行服務的能力，以實現滿足公民需求的服務，促進不同用戶群體對電子服務的進一步利用[5-6]，并最終建立對涉及敏感個人信息的電子政務應用的信心。

1 電子政務環境中的隱私控制器代理

數據主體通過為每個數據項或組指定細粒度的隱私偏好來同意使用其個人數據[7-8]。通過此過程，數據主體有權根據決定撤銷先前已 授予數據收集者使用其個人數據，或構成不再有效訪問某些數據項或組的權利。該架構的設計基于中央門戶的現代電子政務環境結構，屬于一站式服務，是每個服務提供商的前端。通常，此門戶為每個服務提供者實現身份驗證和注冊過程或合并聯合身份管理基礎結構。除了這些權限之外，還引入了一個新的實體，稱為隱私控制器代理（Privacy Controller Agent，PCA），它負責存儲和比較服務提供商的隱私策略和用戶隱私偏好文檔。隱私控制器代理架構，如圖1所示。

隱私控制器代理由兩個主要單元組成，即管理點和決策點。管理點由兩個存儲庫組成，這兩個存儲庫負責保留每個服務的隱私策略（A）和每個用戶的隱私偏好（B）。當一個SP將電子服務注冊到中央門戶網站（Central Portal，CP）時，除了要求提供必要的信息之外，還應根據基礎的互操作性框架，強制提交相應的隱私策略[9-10]。

由于SP通常會提供許多不同的電子服務，因此必須為每項服務提交單獨的隱私策略。隱私文檔明確規定了提供服務所需的數據、目的、處理方式、數據保留時間以及是否將其傳達給另一個SP。提交后（操作i），隱私控制器代理會驗證該策略的來源并將其存儲在策略存儲庫中。

類似地，當用戶注冊到中央門戶網站時，還需要他們提交其隱私偏好[11-12]。由于隱私偏好涉及用戶的個人數據，所以與用戶將使用的服務沒有直接關系。因此，用戶僅需提交一份適用于每種電子服務的文件。

2 隱私策略多層方法

2.1 分層隱私策略

在電子政務環境中，數據被構造為不同的抽象級別，并且服務提供商在被要求提供電子服務時具有不同的數據需求和處理請求，這些需求和請求可能彼此不同，但它們也受到相應的部門限制約束，并受到法律要求的約束。

因此，從建模的角度來看，對于給定的電子服務，隱私策略文檔遵循并遵守以下層次結構，其中每個箭頭表示進一步的概括級別;電子服務→服務提供商→部級部門→中央政府。本文用PCG表示中央政府的隱私策略要素，將PMD表示部級部門的隱私策略要素，將PSP表示服務提供商的隱私策略要素，將PES視為電子服務的私隱政策元素。因此，可將PES視為PSP的真子集，將PSP視為PMD的真子集，并將PMD視為PCG的真子集，如式（1）。

當轉向超集時，對于元素的規范需考慮不同的抽象級別。例如，PCG將包含有關個人身份證號碼的元素;根據基本的法律和法規框架，身份證號碼屬于個人標識符（PId）類別，因此應將其視為機密數據。因此，PCG聲明在處理和存儲期間應將身份證號碼視為機密數據。

在下一個抽象級別，PMD同意將身份證號碼歸類為PId，并且僅指定為特定的部級部門可以將其保留特定的時間。繼續向下移動到更低的超集級別，PSP指定它是否會被特定的服務提供商處理，以及如何處理。根據電子政府的環境和中央政府的結構（單一制、聯邦制），認為，集合和子集的數量可能會有所不同。

2.2 隱私策略的形成

根據以上介紹的隱私控制器代理（PCA）的體系結構，當PCA收到用戶的電子服務請求時，必須檢索兩個文檔并進行相互比較。（1）用戶的隱私偏好;（2）電子服務隱私策略。

第一個文檔由用戶提交并存儲在偏好存儲庫中;第二個文檔由服務提供商提交（專門針對每種電子服務），并存儲在策略存儲庫中。

考慮到層次結構方案和確定的適當方法作為子集，中央政府發布了通用的隱私策略文檔[13-14]，該文檔廣泛地描述了如何根據Level 1的基礎法律和法規框架來訪問、處理和存儲特定的數據類型。

隨著逐步降低層次結構，可以得到隱私策略文件是從特定的部級部門（Level 2）發行的，然后從特定的電子服務（k級）發行。每個級別都會對先前接受的信息進行確認，如果需要，還包括數據訪問、處理、存儲和保留期的更明確表述。隱私策略文件創建的示意圖，如圖2所示。

根據電子服務供應商和政府架構的不同，每個文檔中對先前級別的引用次數可能會有所不同。在任何情況下，所有文件都必須強制性地包含對較高級別的引用，因為它包含對基本法律和法規框架的表示[15-16]。

為了確保將隱私要求無縫過渡到較低級別，定義了以下強制性規則，這些規則與所建議的方法一起使用。

規則1：隱私策略文檔中的每一個都必須遵守Level 1文檔要求;

規則2：隱私策略文檔中的每一個都必須包括對Level 1文檔的直接或間接引用;

規則3：隱私策略文檔中的每一個都可以引入新的規定和條款，只要它們與現有規定不抵觸即可。

2.3 方法評估

應用電子政務中隱私策略的分層方法可促進電子服務的互用性以及對基本法律和法規框架的遵守。對于任何可能發生的更改，不僅可以視為一個控件，而且可以視為一種強制機制。新引入的立法修訂通常不會無縫地傳播到相應的電子政務服務中;每個服務提供商必須執行適當的修改，而這些修改需要花費時間和精力才能有效地完成。無論這種變化是否發生，部級部門和服務提供者都不能偏離上級規定和條款，從而確保全面合規[17]。

在所提出方法的部署過程中必須解決的重要問題，是使用XML模式以及創建和管理支持層次結構方案的XML文檔。提出面向電子政務環境的新模式是一條有前途的道路，然而，該模式的部署帶來了兼容性、評估和更新過程的挑戰。除此之外，根據環境的不同，還可以探索其他數據交換格式，特別是XML格式，因為與JSON相比，XML被認為對數據傳輸速率和性能具有重大影響。該方法的一個缺點是引入了中央門戶的工作量和計算成本，因為對于每個電子服務請求，PCA都必須對所有引用的策略文檔執行根返回檢索[18]。

如果更高級別的隱私策略文檔發生了變化，則將通知PCA撤銷所有相關文檔。同樣，如果電子政府進行組織重組，則PCA也必須撤回所有受影響的文檔。

3 案例研究

為了證明所提出的方法在現代電子政務環境中的適用性，研究了一個案例，其中將隱私策略層次結構并入了電子政務環境。該框架的主要目的是為訪問所有提供電子服務的通用身份驗證和注冊機制提供支持，這是通過一個中央門戶網站實現的，該門戶網站是一站式商店，為公民提供了SP的所有電子服務的通用接口。該框架的主要特征是為每個服務提供者提供統一的注冊和身份驗證過程，并根據所需的身份保證和數據保護級別將服務劃分為若干個信任級別。

3.1 年度車稅電子服務

每名車主須就每輛在其名下登記的車輛繳付每年的車輛稅（Annual Vehicle Tax，AVT）。總稅額是根據車輛的二氧化碳排放量、發動機尺寸和生產日期計算的，并與年度所得稅分開支付。

電子服務由信息系統秘書（General Secretary of Information Systems，GSIS）提供，GSIS在財政部的授權下運作，適用的層次結構[19-21]，如圖3所示。

要成功完成電子服務，用戶必須提交車輛牌照。GSIS會驗證數據的準確性，并生成一張收據，其中包含車主的姓名、車輛的牌照以及要支付的稅額以及唯一的付款識別碼，該標識符將由支付款項的銀行機構使用。

3.2 陷私政策

出于本案例研究的目的，基于文獻[8]中介紹的屬性和元素，在簡單的XML模式中準備了必要的隱私策略文檔，該模式由簡單的元素以及一些屬性組成，試圖以結構化的方式描述嚴格的隱私策略。

本節中提供的文檔僅包含有關個人標識符的信息以及成功完成AVT電子服務所需的數據。每個文檔都包含一個根Privacy_Policy元素和一個Policy_ID元素，后者包含一個唯一的策略文檔標識符，根據該標識符可以實現對較低層次的引用，同時還包含一個Data元素。Data元素根據數據類型分為兩個子元素，Personal_Identifiers和Personal_Data。

與先前討論的文檔相比，可以識別兩個新引入的元素和。由于此文檔涉及的是一種電子服務，而不是一個部級部門，因此需要明確其范圍和提供該服務的SP。在這個文檔中，禁止傳播國家稅務標識符（AFM）、車牌信息用于進行識別處理，而名稱也將用于標識，但不會被存儲和保留。

4 總結

電子政府措施的成功與否，不僅取決于前廳的現代化程度，也取決于后廳流程的精簡、重組和支持。政策制定者和公共行政管理者的視角與電子政務的技術實現之間存在的差距和不一致，影響著電子政務的接受度和進一步發展。本文提出了一種簡單而有效的方法來制定一致且準確的隱私策略，同時保持對基本法律和法規框架的遵守。通過利用現有的政府層次結構，提出的多層方法能夠支持多樣化的數據需求和處理服務提供者提出的請求。作為分層模式的一個測試平臺以及支持文檔審計支持工具。將這方法納入電子政府環境，可減少因納入隱私政策文檔而帶來的管理工作量，并可促進以用戶為中心和保障資料隱私的電子服務的推行和提供。

參考文獻

[1] 舒小慶.論電子政務環境下網絡隱私權保護及立法對策[J].南昌航空大學學報（社會科學版），2010，12（4）：38-43.

[2] 李延暉，儲益周，池毛毛.二元論視角下企業策略與個人隱私保護效用關系研究[J].情報雜志，2020，39（2）：95-102.

[3] Drogkaris P， Gritzalis S， Lambrinoudakis C. Employing privacy policies and preferences in modern e-government environments[J]. International Journal of Electronic Governance，2013，6（2）：101-116.

[4] 梁曉丹.在線隱私政策對消費者提供個人信息意愿的影響機制研究[D].杭州：浙江工商大學，2017.

[5] 張廷嬌.基于電子政務視角的我國基層政府公共服務能力提升研究[D].蘭州：西北師范大學.

[6] 楊金寶，馬寶澤，葉清.面向Android手機應用程序的用戶隱私保護系統研究[J].計算機與數字工程，2019，47（9）：2206-2211.

[7] 陶靈靈，曹彥，張夢嬌.支持目的與信譽度的隱私偏好規約模型[J].計算技術與自動化，2018，37（3）：122-126.

[8] 陶靈靈. 隱私保護訪問控制模型規約方法研究[D].南京：南京航空航天大學，2018.

[9] 陳麗君. 社交網絡文本信息隱私策略預測的研究[D].杭州：杭州電子科技大學，2018.

[10] 鐘洪斌.智能型門戶網站助推政府公共服務效能提升[J].電子政務，2012（11）：106-114.

[11] 曾蘇夢，唐明董，劉建勛，等.隱私敏感的服務選擇方法[J].小型微型計算機系統，2017，38（12）：2741-2746.

[12] 馮昌揚.政府開放數據門戶網站隱私政策比較研究[J].數字圖書館論壇，2016（7）：52-56.

[13] 馬薇薇，姜家鑫，張銳.支持時間屬性的隱私需求建模與一致性驗證[J].計算機與現代化，2017（10）：100-104.

[14] 陳美.城市政府開放數據的隱私風險及其技術控制策略[J].圖書館建設，2018（8）：16-21.

[15] 金超，張琳，王汝傳.一種移動社交網絡中的位置內容分享方法[J].南京郵電大學學報（自然科學版），2017，37（5）：101-110.

[16] 牛曉磊，沈航，白光偉，等.啞元位置隱私博弈機制[J].小型微型計算機系統，2020，41（3）：610-616.

[17] 姜家鑫，黃志球，馬薇薇.滿足隱私需求的服務組合信息流控制方法研究[J].計算機科學與探索，2018，12（3）：370-379.

[18] 王進，黃志球.云計算中隱私需求的建模與一致性檢測[J].計算機研究與發展，2015，52（10）：2395-2410.

[19] 薛怡娜. 社交網絡形式化建模與驗證方法的實現[D].西安：西安電子科技大學，2018.

[20] 孫然. 基于應用程序運行時行為的Android用戶隱私數據保護技術研究[D].北京：北京郵電大學，2018.

[21] 葛強. Web服務中基于本體推理的隱私保護研究[D].南京：南京航空航天大學，2014.

（收稿日期： 2020.04.15）