國外公共數據資源開放共享中的隱私風險控制研究綜述

蘇君華 杜念

關鍵詞：公共數據資源；開放共享；隱私風險控制；數據生命周期；綜述

2021年，十三屆全國人大四次會議通過的《中華人民共和國國民經濟和社會發展第十四個五年規劃和2035年遠景目標綱要》中明確指出，“完善公共數據開放共享機制”，強調了基于隱私和安全的公共數據開放的重要性。學者們就如何平衡公共數據隱私和效用進行了深入的研究，提出了許多控制方法，如數據信任、差分隱私、去識別化、區塊鏈等。同時，有關隱私風險控制的理論、實踐研究逐漸走向深入，產生了一系列相關研究成果。盡管國內已發表隱私計算、開放數據等研究述評，但未見相關綜述全面反映國外公共數據資源開放共享中的隱私風險控制研究成果。因此，本文采用內容分析法來梳理、總結國外公共數據資源開放共享中的隱私風險控制研究進展。

本文的主要貢獻是從教育、法律、技術和程序手段4個方面梳理當前公共數據開放中的隱私風險控制研究進展，并分類闡述各個方面的研究現狀及主要控制措施。最后，總結并展望了當前公共數據開放中的隱私風險控制現狀和發展方向，以期為后續研究人員及中國公共數據開放的建設提供參考和思路。

1數據樣本與研究方法

《上海市公共數據和一網通辦管理辦法》第三條規定，公共數據指本市各級行政機關以及履行公共管理和服務職能的事業單位在依法履職過程中，采集和產生的各類數據資源。其中，公共數據的共享、開放、授權經營亦或交易，必須有利于促成公共利益，而不是謀取個人或少數群體的利益。根據公共數據定義，2023年3月30日，筆者以TS=（Open and Data and Privacy and Risk and（Govern-ment OR Public））為檢索式，對國外主要全文數據庫（含Web of Science、EBSCO、Elsevier、Springer、Taylor&Francis、Emerald、SAGE Jourmal、Wiley、Scopus）進行檢索，排除社論材料、專利、信函、新聞等文獻類型。為了使檢索更全面，以TI=（“Priva-cy Risk”）為檢索式補充檢索了相關重要文獻。手動剔除顯著不相關（如非公共數據、涉及隱私風險而無隱私控制的文獻）與重復文獻后，最終得到99篇文獻。

借助VOSview對文獻進行關鍵詞聚類分析。首先獲取文獻關鍵詞，文獻關鍵詞整合作者關鍵詞和來源數據庫提供的關鍵詞，包括Web of Science關鍵詞、IEEE關鍵詞、Scopus檢索關鍵詞及主題詞。其次預處理關鍵詞，將外文文獻中的關鍵詞翻譯為中文，合并同義詞與相近詞，刪除無實際意義關鍵詞等。如將“數據采集”與“數據收集”合并為“數據收集”：

“法律和立法”與“法律”合并為“法律／立法”等：刪除“文章”“程序”“調查”等關鍵詞。選取關鍵詞頻率大于3的關鍵詞（91），運用VOSviewer軟件生成國外公共數據資源開放共享中的隱私風險控制主題關鍵詞共現網絡圖譜，如圖1所示。

根據圖1，國外公共數據資源開放共享中的隱私控制主題研究形成了4個主要類團。第一個類團（黃色部分）主要涉及公共數據資源開放共享中的隱私風險控制教育手段；第二個類團（藍色部分）主要覆蓋公共數據資源開放共享中的隱私保護法律手段；第三個類團（紅色部分）主要涉及公共數據資源開放共享中的隱私風險控制技術手段：第四個類團（綠色部分）主要涉及公共數據資源開放共享中的隱私風險控制程序手段。各類團包含的研究主題、主要關鍵詞及其頻次、關鍵詞數量、總頻次信息如表1所示。

綜合圖1與表1可以發現：①目前國外對公共數據資源開放共享中的隱私風險控制主題研究主要集中在隱私風險控制教育、法律法規和標準、技術、程序4個方面，其中法律手段類團的關鍵詞數量和總頻次較高，說明當前公共數據中的隱私風險控制正處于發展階段，法律正在不斷完善中，其中隱私與開放的平衡是研究重點：②當前公共數據資源開放共享中的隱私風險控制教育手段研究成果相對較少，研究者開始注重道德、公眾信任對隱私的影響，這對于推進公共數據資源開放共享具有重要作用；③在技術、程序手段方面，隱私增強技術廣泛應用于各個領域，特別是政府服務、城市管理方面。并且區塊鏈、差分隱私、人工智能等新興技術被應用于隱私控制實踐中：④4個類團的關鍵詞分布存在交叉現象，說明國外公共數據資源開放共享中的隱私風險控制主題研究熱點之間的界限還比較模糊。

2公共數據資源開放共享中的隱私風險控制研究分析

基于關鍵詞共現與聚類分析，本文從收集和接受、轉換、保留、發布和訪問、訪問后5個方面出發，將公共數據資源開放共享中的隱私風險控制實踐情況分為程序、經濟、教育、法律、技術手段，如表2所示。其中，程序手段指采用組織內部的程序；技術手段包括統計方法、計算方法和人為因素分析；教育手段包括旨在通知與系統交互的數據主體、數據控制者和數據接收者的任何干預措施，及一般數據主體、控制者、接收者或廣大公眾對隱私慣例和風險的看法：經濟手段包括旨在改變利益相關者的經濟激勵的任何干預措施：法律手段旨在改變利益攸關方的合法權利或利益相關者間關系的干預措施。

2.1公共數據開放中的隱私風險控制教育手段

Watson H等提出，健康數據環境中，需要轉變思維方式。他強調優先考慮以患者為中心的研究，并減輕需要量化的患者實際隱私風險，同時必須從患者本身開始自下而上地采取激勵措施。這強調了公眾信任的重要性。在開放公共數據過程中，日益增長的背景知識導致現有的數據發布隱私保護模式大多無法抵御攻擊：通過使用人工智能，數據隱私風險及得出有偏見或錯誤結論也變得更加突出。這極大地削減了公眾對政府、組織機構的信任，同時阻礙了公共數據的開放與共享。然而，當人們意識到他們的隱私受到尊重和保護時，他們會更加自信地參與社會和經濟活動。隱私儀表板和個人數據存儲是個人用于表達有關保留和使用其數據的詳細權限的工具，它幫助提供透明度和對個人數據的控制，有助于提升公眾的信任。個人可以使用基于Web的隱私儀表板向選定方或特定用途授予對其數據的精細訪問權限。還可在用于監控和自動評估的“儀表板”中查閱個人層面的現有數據源被鏈接情況。個人數據存儲使個人能夠有效地對有關他們信息的存儲位置和訪問方式進行細粒度控制，從而選擇在特定時間與特定方共享特定個人信息。個人數據存儲不僅提供了增強的控制，而且作為用戶控制的交互式系統，是開發更豐富的問責機制、在線聚合方法和高級安全機制的潛在基礎。

對于信息或數據管理平臺而言，公眾的信任也至關重要。研究表明，社會規范、媒體代表和報道、對責任方的看法會影響人們對信息管理平臺的信任和使用意愿，而保持公眾對信息平臺的信任是減輕對數據安全性、隱私和功能效率的普遍擔憂的關鍵。如Shi M等從用戶角度分析了影響醫療大數據安全和隱私泄露的關鍵指標，包括用戶訪問行為和信任度。并且在判斷用戶“非法行為”方面，將用戶的信任值納入風險評估指標，可以減少系統誤判的可能性。

信任與隱私是彼此緊密聯系、相互作用的兩個重要因素，包括數據主體、控制者、接收者之間的信任。Ruotsalainen P等認為，可信度（即以合乎道德的方式處理健康和保健信息并保證隱私）是未來個人健康系統、無處不在的醫療保健和普遍健康的基石之一。基于無處不在的信息空間的普遍健康和風險分析框架模型，他們制定了實現可信信息共享的原則，包括數據主體應有權動態驗證信任并控制其健康信息的使用，以及設置基于情境的上下文感知個人策略的權利：數據收集者和處理者的責任包括信息處理的透明度，以及利益、政策和環境特征的開放性。這些原則為自主管理健康領域的隱私和信息奠定了基礎。基于信任的方法，Zuo Y J等構建了包括供應鏈成員信任評估、數據分類和基于信任的決策在內的框架，旨在控制和減輕參與者在供應鏈網絡中面臨的信息風險（如信息機密性、隱私和完整性的風險）。這充分表明建立數據主體、控制者、接收者及公眾間的相互信任對于數據保護和防止個人信息泄露的重要性。

信任的建立依賴于透明和安全的數據處理措施。動態社會契約模型以一套商定的關于如何共享數據的合理期望為基礎，對提供可接受的保證的治理以及誰對什么負責達成一致。如Open Mustard SeedPlatform是一個開放數據平臺，它允許個人就其個人信息的使用進行社會契約談判，通過基于同意的平臺來管理數據，使人們在合法構成的“信任框架”內共享個人數據。數據信托或數據受托人是另一種新興方法。這種法律和政策框架方法考慮了第一方或第三方實體（數據主體除外），受一組經批準的法律可執行義務的約束，以管理數據。Potoczny-Jones I等針對智慧城市協調數據敏感風險與預期收益問題，提出了“數據信任”解決方案。該技術框架強制實施個人身份數據最小化、訪問控制以及靈活而精細的披露和編輯控制，并結合了法律上可執行的數據使用義務和責任；YoungM等提出由第三方公私數據信托提供的綜合法律技術方法，旨在透明度、所有權、隱私和研究目標之間取得平衡。基本成員資格允許公司和機構實現對合規性報告和核心方法研究數據的低風險訪問，而模塊化數據共享協議支持廣泛的項目和用例。除非協議中另有明確規定，否則所有數據訪問最初都是通過定制的合成數據集提供給最終用戶。安全共享站點以安全和隱私保護的方式對數據進行計算，而無需發布原始數據，且所有數據共享都是透明且可審計的。這種方案解決了對數據壟斷的擔憂，即沒有人擁有數據。數據信托或數據受托人、動態社會契約模型等都涉及整個數據生命周期的隱私控制，在每個數據生命周期階段通過“信任”框架或方案來管理數據，盡管他們提供“信任”方式不同，前者主要借助信托，后者基于談判。此外，利用區塊鏈的去中心化、透明化和可信度也有助于解決信任、安全和隱私問題。Kang H等開發了一種基于區塊鏈的新型接觸者追蹤移動應用程序BeepTrace，旨在緩解大流行并緩解接觸者追蹤的隱私問題，特別是解決了第三方信任問題。

2.2公共數據開放中的隱私風險控制法律手段

2.2.1隱私保護主要法律法規

當前，隱私風險控制主要的法律法規包括個人信息保護法（PIPA）、數據保護法（DPA）、通用數據保護條例（GDPR）、個人醫療信息保護法（HIPAA）等。

韓國《個人信息保護法》主要保護個人的自由和權利，并通過規定處理和保護個人信息來實現個人的尊嚴和價值。2020年2月的修訂允許未經信息主體同意，將“假名信息”處理為有限目的，這為私營公司和公共機構的公共大數據交付提供了更多動力。然而，修訂后的法律側重于利用大數據、企業間信息合并等，并引入了安全措施義務、罰款、刑事處罰等，但并沒有為應對公共機構擴大公共數據開放而承擔特別強化的風險管理責任。

英國《2018年數據保護法》法案規定了公共機構及其雇員如何處理與個人有關的數據。根據DPA，參與處理數據的人員被稱為維護和操作數據的數據處理者，負責做出有關數據以及是否可以共享數據決定的數據控制者。數據處理者和控制者必須遵守嚴格的數據保護原則，并確保個人數據得到合法、公平和透明的方式處理；收集和處理最低限度的必要數據，且僅用于特定目的、準確、保存時間不超過必要時間，并得到適當保障。

歐盟《通用數據保護條例》是第一部通過明確定義歐盟內外個人數據處理和移動的背景來直接規范個人隱私的法律。GDPR的頒布帶來了巨大的變化。關于受保護的信息，擺脫了傳統的個人信息／匿名信息二分法，首次引入假名信息概念。在降低信息主體風險的同時，減輕個人信息處理者義務。關于同意，在法規全文中明確規定，對于用于研究的個人信息的使用，可以“廣泛同意”，而不是信息主體的具體同意。關于同意豁免的原因可以確認，即使是敏感信息，信息主體對醫療目的、公共衛生和研究目的的同意也相對廣泛地得到豁免。此外，GDPR明確定義了個人（主體）的權利，即：①個人數據泄露通知：②訪問收集的數據及其使用方式和目的；③刪除數據的權利；④數據可移植性；⑤收集和處理過程中的數據保護。同時，引入并建立數據保護官，他們有義務將其數據處理活動通知當地數據保護機構。根據1995年的數據保護指令，歐盟委員會（2012年）提出了對歐盟數據保護規則的全面改革。此外，ISO/IEC 29100標準還定義了11項隱私原則（ISO/IEC-29100 2011）。

美國有單獨的個人醫療信息保護法，對非識別方法有具體規定，如“專家決策方式”和“保障港法”。此外，還對“有限信息聚合”概念進行了單獨規定，部分放松了管制。關于免除同意的理由，若機構審查委員會等批準同意豁免，即使未經個人同意，也有可能將個人醫療信息用于研究目的。

2.2.2隱私保護主要標準

人們可能一度認為公共機構收集的任何信息只會用于最初收集的目的，但開放數據的引入改變了這種情況。開放數據是任何人都可以免費下載、共享和重復使用的數據，除了可能需要引用來源之外，對重復使用或重新分發沒有限制。開放政府旨在通過使數據易于獲取來提高透明度和公民參與與協作。當前許多國家（地區）承諾開放政府，并將公共數據作為開放數據提供。這有助于讓公民參與使用或重用政府數據，并且使數據分析提供商或其他政府組織具有通過促進更好的理解和加強決策來幫助政府改進其程序的潛力。但在履行這一承諾時，公共機構需確保以開放格式發布的任何數據不包含個人或敏感數據，即識別或可用于幫助識別公民個人的數據。因為這些潛在的風險因素會影響問責制，甚至降低公共機構的聲譽。因此，需要權衡隱私風險和數據效用。①一個重要框架是公平信息原則（FIP）。FIP的有影響力的版本是經濟合作與發展組織（OECD）的《個人數據隱私和跨境流動保護指南》。OECD成員國于1980年通過了《隱私準則》，該指南強調，它們提供了“最低標準”，且沒有“根據其性質和收集、存儲、處理或傳播的背景，對不同類別的個人數據實施不同的保護措施。其原則包括：收集限制原則、數據質量原則、目的說明原則、使用限制原則、保安保障原則、開放原則、個人參與原則、問責原則。現在，幾乎每個OECD成員國都有以FIP為核心的數據隱私法；②平衡隱私和其他利益。為組織內決策提供信息的另一個重要方法是進行風險評估。美國國家標準與技術研究院（NIST）或國際標準組織（ISO）等公認的國際機構制定了評估安全風險的指南（BS IS0 27000：2017；NIST，2012）。此外，為針對匿名性的要求并幫助組織實施數據去標識化流程以增強隱私，ISO提出了一系列數據去標識化方法，如ISO20889和IS0 29100系列。IS0 29100和IS0 29191標準為大數據鏈接和開放數據提供了額外的保護，也減輕了公眾和科研人員對隱私侵犯或無意中非法侵犯個人數據的擔憂。IS0 29192-1至IS0 29192-5用于少量信息安全的技術標準，包括分組密碼、流密碼和非對稱加密等機制。

2.3公共數據開放中的隱私風險控制技術手段

2.3.1去識別化技術

數據的發布可能會導致私人信息泄露。為防止泄露，應在全部或部分個人信息被刪除或轉換后發布數據，這些技術被稱為去識別化。其技術解決方案是從數據集中刪除識別信息，同時保留數據的其余實用程序。表3總結了各種去標識化技術的概念和集成技術。

1）假名化指將個人身份數據替換為無法直接識別的其他值。如加密加鹽方法，將虛假信息添加到隱私字段中并使用其他算法進行加密，以使恢復原始數據更加困難。Huang H H等通過加密加鹽方法（Cryptographic Salting）對一組來自中國臺灣地區的電子收費數據進行去識別。這種去識別技術提高了隱私字段的安全性，混淆了原始數據的內容。但沒有改變原始去標識方法的一對一對應關系，其獲得的結果與原始數據結果相同，但隱私字段的內容更復雜，更難觀察。

2）集合體指將統計值應用于個人信息，使其無法識別特定個人。如隱私字段數據平均法，將信息的詳細部分轉換為簡化的分類。該方法提高了數據粒度，但不會導致扭曲和不準確；結合基于距離的記錄鏈接與微聚合方法，通過記錄鏈接對去識別化的開放政府數據進行數據挖掘。該方法能夠解決匿名和已經發布的開放政府數據的挖掘問題，支持異構數據挖掘以進行深入分析：ZouininaS等提出了兩種通過微聚合實現k-anonymity的技術：k-CMVM和Constrained-CMVM。兩者都使用拓撲協作聚類來獲取k-anonymity數據，前者自動確定K個級別，后者通過探索來定義它。然而，集合體難以進行基于匯總數據的精確分析。并且當匯總數據量很小時，可以在數據合并過程中提取或預測個人信息。

3）數據縮減指刪除可用于識別個人信息的特定數據值。刪除直接標識符和準標識符是清理或去標識化的最常見方法，如刪除敏感數據和隱私識別信息：刪除所有可能包含個人身份信息的自由文本數據字段。但其可用信息數量有限，只能用于粗略的統計分析，當涉及大型數據集時，刪除標識符并不總是足以保護隱私，因為幾個準標識符組合起來可以具有強大的識別能力。

4）數據抑制指通過將給定的識別信息轉換為組的代表性值或預定義的范圍來防止唯一信息跟蹤和識別。抑制包括用一些特殊值替換原始數據，例如“*”。與之類似的，泛化指故意降低數據準確性（如將年齡轉換為年齡組）。然而，數據抑制和泛化都難以進行精確數值分析。

5）數據屏蔽指通過隱藏準標識符的一部分將數據劃分為多個組。Templ M等通過向事件歷史日期中添加噪聲，發現即使在高噪音水平下，也能保持高效用，與原始數據相比，保留了事件數據的基本屬性：Badu-MarfoG等發現在兩種地理隨機擾動方法（地理不可區分性（Geo - indistin-guishability）和甜甜圈地理掩碼（Donut Geomask））中，實現的k-estimate匿名性隨甜甜圈地理掩碼所需的匿名性線性增加，而地理不可區分性高度依賴于其隱私預算因素，且在確保期望實現的k-estimate匿名性方面不是很有效。甜甜圈地理掩碼是k-ano-nymity位置隱私保護機制的實現，通過使用點位置的基礎鄰域人口密度來確定混淆距離以實現隱私保護。地理不可區分性是位置數據差分隱私的實現。它保證受訪者的位置在指定的保護距離內受到保護，增加的噪聲水平隨距離而降低，其速率取決于所需的隱私級別。

在實踐中，即使通過上述技術執行了足夠的去標識化措施，若數據沒有通過與匿名化相關的充分性評估，它仍可以通過逆向工程將數據與補充信息相結合進行推斷而被識別并視為個人信息。

2.3.2匿名技術

匿名技術是隱私保護領域的重要手段。通常，以下匿名化測試主要用于評估去標識化過程的充分性：k-anonymity、1-diversity和t-closeness等。

k-anonymity模型是最基本的評估技術之一，生成數據集時通常會檢查k-anonymity，可以修改準標識符以避免任何數據鏈接。Luthfi A等提出貝葉斯信念網絡方法，該模型使用像k-ano-nymity這樣的抑制技術來匿名化敏感屬性，并構建決策過程的因果關系，以開放健康患者記錄中的數據。此外，k-anonymity也涉及數據隱私和效用的權衡，k-anonymity原則是若無法將個人與公開發布的數據集中的k-1個其他個人區分開來，則可以實現隱私。其中，k值越高，重新識別風險就越低。特別是Santos W等對ARX k匿名算法的k值進行的敏感性分析表明，匿名化過程可能導致少數群體和社會人口弱勢群體的代表性不足。因此，需根據需求情況決定k值。k-anonymity模型的缺陷是易受到同質性攻擊和背景知識攻擊。因此，Tudor C等討論了一種弱k-anonymity的替代方案，它要求僅在記錄的一個子集中強制執行，這意味著那些不通過k-anonymity控制的變量有可能被用來識別某人。然而，當對這些變量的興趣較低時，這種風險通常很小。因此，這可能是一個更實用的選擇。

1-diversity是一種降低泄露機密信息風險的技術。1-diversity將大于或等于1的良好表示敏感值分配給每個等價類，通過額外要求在每個匿名組中存在表示良好的值來擴展k-anonymity。Ali S等采用1-diversity來保護敏感標簽，避免攻擊者利用這些標簽來推測私人信息：疾病控制和預防中心的病例監測科將流行病學數據集與隱私保護算法相結合，通過自動化工作流和R統計軟件實現和驗證k匿名性的字段級抑制和L多樣性，并根據該流程生成了兩個去識別化的公共數據集。然而，1-diversity無法防止概率推理攻擊和屬性披露。

t-closeness是1-diversity的進一步延伸。這種方法不僅保證敏感值的良好表示，還要求匿名組內每個敏感屬性的分布與屬性在整個數據集上的分布相同，取模閾值t。然而，與k-anonymity和1-di-versity一樣，t-closeness下的年齡、性別、種族甚至工作類型等受保護的屬性仍然可以從加速度測量數據中推斷出來。并且，這些傳統的隱私保護模型對攻擊模型和攻擊者的背景知識做了過多的假設，各種匿名公共記錄的傳統方法已被證明存在隱私泄露風險。直到差分隱私技術的出現，這個問題才得到了很好的解決。

差分隱私方法是通過在原始數據或統計數據中添加噪聲來處理數據信息和轉換原始數據。該模型可降低最大后臺攻擊風險，并定義隱私保護等級的量化評估方法。與k-anonymity不同，差分隱私是基于概率的，它使用不同的機制來隱藏數據的真實價值以保護隱私，如引入噪聲或虛假數據。差分隱私的缺點與k-anonymity的缺點相似：為了實現足夠的隱私級別，必須添加一定量的噪聲。添加噪聲等效于有意向數據集添加錯誤。這可能導致從數據分析中得出一些錯誤的結論。Nahmias Y等建議監管機構應該使用差分隱私算法在準確性和隱私之間進行權衡，并提出基于霧計算的政府統計數據發布的差分隱私框架，開發了一種基于MaxDiff直方圖的數據發布算法，可用于實現基于霧計算的用戶隱私保護功能：Piao C H等也提出了一種基于MaxDiff直方圖的數據發布算法，通過應用差分方法，將拉普拉斯噪聲添加到原始數據集中，根據最大頻率差，對相鄰數據箱進行分組，構建平均誤差最小的差分隱私直方圖。該方法可以有效保護公民隱私，降低查詢敏感度，提高發布數據的實用性。然而，差分隱私并不能解決所有隱私問題，也不會保護個人免受未經授權的信息收集、處理或防止安全漏洞。

安全多方計算方法，受密碼學領域啟發，信息泄漏量根據對手可訪問的信息量來衡量。它使兩方或多方（彼此不完全信任）能執行涉及其兩個數據集的計算，而不透露彼此的任何信息。其他高級加密方法可對數據進行計算，并限制對基礎數據的學習。如功能或同態加密能夠對加密數據進行計算，而無需解密數據并將其暴露給攻擊者。

除上述技術外，提供匿名數據的另一種方法是生成與原始數據具有相同特征的合成數據，可使用機器學習和統計建模方法。合成數據是從使用原始數據集開發的統計模型生成的。生成合成數據最初被用來填補缺失的條目，現在被廣泛用于保護隱私，因為合成數據集不直接指向任何“真實”的人。如LiW等基于深度學習的生成模型來解決敏感數據被開放發布問題，該模型生成模擬數據以掩蓋原始數據。合成數據通常具有非常低的披露率，但當原始數據具有復雜的結構時，數據效用也相對較低。因此，Young M等在發布數據之前從數據集中刪除不需要的偏見和專有信息，并將這些方法與差分隱私技術相結合，當合成數據集不足以進行分析時，調用由強大治理支持的結構化數據使用協議o Lee J S等將微聚合應用于合成數據生成器以鏈接和利用異構開放政府數據（微數據），允許用戶調整隱私閾值水平，以確定隱私披露風險和數據效用之間的適當平衡。這種將合成數據與對原始數據的強大法律保護結合使用，可在透明度、所有權、隱私和研究目標之間取得平衡。

2.4公共數據開放中的隱私風險控制程序手段

通知和同意是數據收集和接受中常用的隱私保護工具，并且在管理個人數據處理的歐洲法律中，獲得數據主體的同意是支持公平合法處理個人數據的主要程序機制。同時，通知和同意也有助于確保公共數據開放共享的透明度。在尋求適用的規范時，僅僅遵守法律和采用一次性同意程序不足以確保數據使用在道德上是合理的。因為人們通常希望在數據科學項目的所有階段都具有透明度，并被告知何時和為什么收集有關他們的數據以及項目的結果是否實現。因此，許多知情同意模型被提出以適應不同情景下的個人隱私保護。①分層或分類同意模型為研究參與者提供了如何以及何時使用數據的選擇：②動態同意允許參與者隨著時間的推移更新他們的同意偏好，并將結果返回給感興趣的人；③一攬子或一般同意模型指參與者可選擇同意未來對其數據的所有研究使用，而無需獲得該研究可能需要的詳細信息：④選擇退出指參與者主動退出研究。通過“選擇退出”，數據主體可以反對將數據用于次要目的：⑤自動同意模型以高精度地預測用戶的數據共享決策，來避免提示用戶做出大多數決策。

盡管在信息生態中，同意可能是主要的，但同意絕不是合法處理個人數據的唯一機制，它還與維護自治原則、隱私、透明度和不歧視有關。足夠的透明度、對有害使用和商業化的控制、反對的能力，特別是反對任何被認為不適當或特別敏感的處理對用戶接受具有較低個人控制水平的同意模式至關重要。更友好的智能設備界面可能是一個好的方式以便用戶能夠控制數據的使用內容和方式，同時也可以幫助用戶更好地接收通知并控制同意選擇。

透明度和濫用問責制對實現數據效用和個人隱私保護平衡至關重要。如數據資產登記冊、公開辯論（或相關記錄）可告知公眾，政府持有和發布哪些類型的信息，他們如何決定向公眾發布或隱瞞哪些數據，并在特殊情況下記錄在案；而數據資產清單，可幫助組織制定與部門活動相關的數據管理計劃及治理結構，以處理出現的問題。此外，算法問責制和透明度對確保數據安全非常重要。機器智能委員會旨在確保隨著新一代算法的開發，公共利益得到保護。而區塊鏈可提供更大的問責制和安全性的承諾。對于數據收集者和數據的個人主體而言，需了解數據的潛在和實際用途。為數據主體實現此類透明度的一種工具是隱私儀表板，該儀表板向個人提供有關哪些實體正在訪問其數據、他們如何使用數據以及他們因使用其數據而可能面臨的任何隱私風險的通知。在問責制方面，對濫用數據的制裁很重要，包括違反保護或濫用的處罰或其他后果的信息。濫用責任包括使個人能夠了解其數據是如何被共享和使用，對侵犯隱私的行為進行民事和刑事處罰，以及因不當使用其數據而受到傷害的個人的私人訴訟權。

在發布信息時，機構必須平衡隱私和效用，包括廣泛利益相關方的專家小組參與制定決策來確保合規性。同樣重要的是評估重新識別風險，因為即使數據集嚴重不完整，也可能不符合匿名化的現代標準。開放數據的關鍵性級別、開放性、攻擊風險、信任和使用限制是隱私風險與收益權衡中的重要考慮因素，可通過決策引擎和評分矩陣進行評估：也可通過基于熵的再識別風險來衡量開放數據中的隱私泄露風險，同時結合基于熵的數據實用模型，在保證隱私的同時保證數據的可用性；也可通過貝葉斯信念網絡模型分析打開數據時導致風險的因果機制：情況目錄通過列出在評估是否以及在何種條件下發布數據集時應考慮的情況或因素，及應如何重新發布數據集的不同選項來幫助作出決定。此外，進行正式的入侵者測試有助于評估重新識別風險，涉及使用“友好的入侵者”來嘗試查看他們是否可以重新識別數據集中的任何人并捕獲入侵者可能鏈接到數據集的其他信息以發生泄露，其中適當選擇入侵者對于獲得準確結果非常重要。

組織在通過信息系統共享數據時，使用訪問控制來保護隱私。①這種系統可能要求所有用戶注冊并共享個人信息，并且使用系統配置文件進行身份驗證。如，在發布個人的犯罪歷史之前，平臺可以要求請求者提供其標識符、全名和動機。通過此功能，專業人員在獲得必要的批準后才能夠下載他們想要的數據．并且這種請求可通過速率限制來防止快速觸發請求：②區分3種類型的用戶，即管理、授權用戶和運營商，來進行訪問控制。如管理層負責向用戶授予訪問權限并批準運營商上傳的數據集在平臺上發布；③借助分層訪問系統進行訪問控制，通過身份驗證模塊將對私人信息的訪問限制為數據所有者，實現分層訪問，從而保護隱私。分層訪問還可包含更高級的數據共享模型。如向公眾提供列聯表形式的匯總統計數據等；④向研究人員群體提供交互式查詢系統，向通過仔細篩選程序獲得批準的少數分析人員提供原始數據。交互機制可使用戶能夠提交有關數據集的查詢并僅接收查詢分析結果，分析結果可通過圖表等可視化形式呈現。

對披露數據進行重復使用限制是在隱私和開放數據政策之間取得平衡的另一種方法。重復使用限制可以以許可證形式呈現。許可證可能要求用戶不要重新識別數據，或在發現個人可以或已被重新識別的情況下通知許可人。此外，在線提供數據的組織通常會提供服務條款或參考道德準則，這些準則描述了使用有關個人機密數據的準則和最佳實踐。如科學用途數據集僅發布給簽署數據使用協議的經批準的研究人員，且包含比公共使用數據集更多的變量。數據使用協議通常涉及對數據的使用、共享和重用的限制，保護數據的義務，因使用或濫用數據而造成損害的責任，以及執行協議條款的機制。一般召集／管理數據的組織對其正確訪問和使用負有法律責任。然而，在實踐中很難發現違反數據使用協議的行為并執行條款。因此，需要通過簽署合同或協議等方式確保數據后續使用存在的隱私問題。如在與特定學生共享敏感數據前，可與其簽訂特殊的合同協議：只有在證明道德批準、簽署數據使用協議和明確的數據管理計劃的情況下才授予大學教師訪問權限等。

此外，在用戶訪問數據后，還涉及審計系統，該系統包括法律和技術機制，用于檢測信息濫用和防止個人違反數據使用政策。如Tzermias Z等提出可確定負責個人身份信息泄漏的公務員，通過使用誘餌文件及“誘餌”信息來識別泄漏：Potoc-zny-Jones I等在試點平臺中檢測違反策略的行為，并向公眾提供未發生此類違規行為的透明度以保護隱私：Lee J T等提出在發生數據泄露風險時通過日志查看以往請求，識別訪問過數據的個人，并請求他們返回或銷毀受損信息。此外，可能需要第三方審計每年審查數據隱私和安全程序，并且有權訪問數據的承包商也可能需要進行此類審計。

3結語

本文對公共數據資源開放共享中的隱私風險控制研究進展進行了綜述。綜合分析發現，隱私風險控制研究基本覆蓋教育、法律、技術、程序方面，涉及公共數據的收集和接受、轉換、保留、發布和訪問、訪問后等階段。總的來看，當前研究：①重視利益相關者對隱私的看法，倡導積極與利益相關者溝通、交流，特別是構建利益相關者間“信任”：②公共數據中的隱私風險控制法律政策正處于發展、完善階段，主要聚焦于隱私與開放的平衡問題；③各個領域，特別是政府、城市方面，積極采用新興技術來保護隱私，如區塊鏈、差分隱私等。

但目前的研究存在：①缺少對公共數據隱私風險控制的討論。現有研究集中于政府開放數據下的隱私風險控制，忽視了履行公共管理和服務職能的事業單位或企業的開放數據隱私問題：②隱私風險控制方法尚未形成體系。諸如“差分隱私”“數據信任”等隱私控制方法，由于對隱私保護和數據效用的目標或參數（這通常由數據發布者選擇）不同，因此其方法、定義、名稱存在差異。此外，研究多涉及技術或框架等隱私風險控制方法，而很少構建包括政治、經濟、社會、技術在內的綜合的隱私風險控制體系：③缺少公共數據資源開放共享中的隱私風險控制的實證研究。雖然內容分析法被廣泛用來分析公共數據資源開放共享中的隱私風險控制政策法規，但缺乏相關的隱私風險控制調查與實證研究，未能有效揭示公共數據資源開放共享中的隱私風險控制現狀。

這對數據開放和隱私保護的實踐工作有一定啟示：①深化公共數據資源開放共享中的隱私風險控制的理論研究，探索數據開放與隱私保護相統一的法律制度體系，針對不同時期出現的新問題，及時完善在數字化進程中的法律空白。第一，明晰公共數據與政府數據的區別與聯系，考慮履行公共管理和服務職能的事業單位或企業的開放數據隱私問題：第二，面向采集、存儲、傳輸、共享、開放、使用、銷毀等公共數據全生命周期過程，探究有針對性的數據隱私保護措施，落實公共數據風險評估、分類分級、合規監管等要求，從而明確安全保障職責，強化安全運行管理，提升安全保障能力；第三，探索完善的公共數據管理組織機構制度，明確公共數據治理和數據保護人員、機構及其職責；第四，通過法律鼓勵公共數據創新與應用。探究支持公共數據創新和應用的政策和法律，以推進公共數據驅動的創新，促進公共機構和企業利用公共數據解決社會問題和提供公共服務。②加強對隱私技術的研究，首先，綜合運用區塊鏈、隱私計算、數據安全沙箱、邊緣計算、同態加密、多方安全計算等隱私增強技術，探索新型開發利用模式；其次，探索技術理念與實踐相統一的隱私風險控制途徑，通過實施適當的技術和組織安全措施，以確保個人數據的安全，防止未經授權的訪問、使用、披露、更改或破壞；最后，構建“一中心一張網一平臺”隱私風險控制體系，確保公共數據開放中的隱私風險得到有效控制。③堅持以公眾意見為導向。首先，探究建立公眾信任的方法。在為公共利益共享數據的情況下，更清楚地說明如何定義和判斷公共利益。如增加公共數據資源開放共享中的隱私風險控制的實地調查與實證研究，引入公共數據資源開放共享中的隱私風險的量化分析，提高研究結果的可靠性、可操作性與適用性等；其次，個人的隱私權必須與其他公民權利以及更廣泛的社區和社會的權利相權衡。明確公共部門處理數據共享項目過程以建立一致性和透明度；最后，關注人工智能對公眾隱私的影響。從法律和監管角度為開發和部署人工智能創造合適的環境，包括將倫理原則納入共識規范框架，確保整個社會了解其基本情況，并能夠就其與人工智能技術的關系做出積極決策。

本文區別于已有綜述文章，重點梳理了公共數據開放與隱私相互作用的研究進展。將公共數據開放中的隱私風險控制研究分為教育、法律、技術、程序手段4個方面進行闡述，有助于了解、把握當前開放與隱私保護研究發展現狀。最后，文章總結了當前研究的現狀與不足，并展望未來發展方向，為推動安全、隱私的公共數據開放提供了新的研究方向。