電子政務數(shù)據(jù)安全流通中的貢獻度評估技術指南

4電子政務數(shù)據(jù)安全流通中的貢獻度評估技術指南本文件提供了電子政務數(shù)據(jù)安全流通中的貢獻度評估技術指南，主要包括電子政務數(shù)據(jù)流通中的脫敏數(shù)據(jù)貢獻度評估、電子政務數(shù)據(jù)流通中的脫敏數(shù)據(jù)公平性保障等內容。本文件適用于大數(shù)據(jù)平臺運營者進行電子政務數(shù)據(jù)流通和交易時貢獻度評估的參考。2規(guī)范性引用文件下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件，不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T5271.1-2000信息技術詞匯第1部分：基本術語GB/T35273信息安全技術個人信息安全規(guī)范YD/T2782-2014電信和互聯(lián)網服務用戶個人信息保護分級指南3術語和定義GB/T25069-2022、GB/T5271.1-2000中界定的以及下列的術語和定義適用于本文件電子政務數(shù)據(jù)e-Governmentdata各級政務部門及其技術支撐單位在履行職責過程中依法采集、生成、存儲、管理的各類數(shù)據(jù)資源電子政務數(shù)據(jù)提供者e-Governmentdatasupplier基于統(tǒng)一數(shù)據(jù)共享交換平臺，利用各種技術向其他政府部門、事業(yè)單位、企業(yè)或公眾提供電子政務數(shù)據(jù)的實體。電子政務數(shù)據(jù)使用者e-Governmentdataconstme使用電子政務數(shù)據(jù)的實體。電子政務數(shù)據(jù)副本流通e-Governmentdatacopiestransaction電子政務數(shù)據(jù)提供者和使用者雙方在達成協(xié)議后，由電子政務數(shù)據(jù)提供者將原始數(shù)據(jù)副本或脫敏處理后的數(shù)據(jù)副本提供給電子政務數(shù)據(jù)使用者的交付方式電子政務數(shù)據(jù)使用權流通e-Governmentdatauserighttransaction5電子政務數(shù)據(jù)提供者和使用者雙方在達成協(xié)議后，由電子政務數(shù)據(jù)使用者提供特定任務的數(shù)據(jù)分析程序，電子政務數(shù)據(jù)提供者使用該程序在自身數(shù)據(jù)集上進行計算，將特定任務的中間數(shù)據(jù)或者分析結果提供給電子政務數(shù)據(jù)使用者的交付方式。數(shù)據(jù)貢獻度評估為數(shù)據(jù)價值提供定量評估，也是電子政務數(shù)據(jù)安全流通過程中至關重要的環(huán)節(jié)。本文件在對數(shù)據(jù)貢獻度評估技術手段給出建議的同時，也對此過程中數(shù)據(jù)安全和隱私保護提出了以下總體建議：a)數(shù)據(jù)機密性保護：建議對需要保護的數(shù)據(jù)采用加密方式進行安全存儲和傳輸保護。b)數(shù)據(jù)隱私保護建議使用泛化、加密、擾動、替換等隱私保護技術手段對數(shù)據(jù)中隱私進行保護。具體隱私保護技術見附錄A。c)數(shù)據(jù)存儲安全：數(shù)據(jù)在貢獻度評估和審計過程中的存儲安全，建議按照國家相關行業(yè)的要求開展，保障存儲時長和利用加密等手段進行安全存儲，來保證數(shù)據(jù)存儲的機密性和完整性，防止數(shù)據(jù)的非授權訪問和篡改d)個人信息保護：建議參考GB/T35273相關安全要求。e)交易數(shù)據(jù)抗抵賴建議采用數(shù)字簽名、分布式賬本等方式保證交易數(shù)據(jù)不可抵賴和可追f)交易數(shù)據(jù)防篡改：建議采用承諾等方式保證電子政務數(shù)據(jù)提供者的數(shù)據(jù)不可篡改。5電子政務數(shù)據(jù)流通中的脫敏數(shù)據(jù)貢獻度評估5.1電子政務數(shù)據(jù)副本流通中的貢獻度評估5.1.1電子政務數(shù)據(jù)副本流通中的貢獻度評估流程電子政務數(shù)據(jù)副本流通過程中的貢獻度評估，指使用業(yè)務模型對數(shù)據(jù)直接進行效用測試。由于電子政務數(shù)據(jù)提供者和電子政務數(shù)據(jù)使用者之間的利益不一致，建議采取第三方貢獻度評估方式。如圖1所示，評估過程具體包括數(shù)據(jù)預處理、業(yè)務模型評估和貢獻度量化。圖1電子政務數(shù)據(jù)副本流通過程中的貢獻度評估流程5.1.2數(shù)據(jù)預處理建議根據(jù)待流通數(shù)據(jù)的格式，確定合適的數(shù)據(jù)預處理方法，該步驟是可選的。此時數(shù)據(jù)預處理包括：a)數(shù)據(jù)接入：電子政務數(shù)據(jù)提供者審查電子政務數(shù)據(jù)使用者的數(shù)據(jù)用途和使用資6質，準備脫敏的待流通數(shù)據(jù)。b)數(shù)據(jù)清洗：電子政務數(shù)據(jù)提供者根據(jù)待流通數(shù)據(jù)的特點，對數(shù)據(jù)進行修剪和重組等，去除無效數(shù)據(jù)和數(shù)據(jù)中的冗余屬性。5.1.3業(yè)務模型評估建議對數(shù)據(jù)進行分析后，設計并生成合適的業(yè)務模型對待流通數(shù)據(jù)的效用進行測試。業(yè)務模型評估包括a)業(yè)務分析：針對業(yè)務要求，結合數(shù)據(jù)的大小、格式，屬性等進行分析。b)模型生成：根據(jù)數(shù)據(jù)分析結果，生成適用于測試該數(shù)據(jù)貢獻度的業(yè)務模型o)業(yè)務評估：將待流通數(shù)據(jù)輸入業(yè)務模型，完成業(yè)務模型的總體效果評估，生成業(yè)務評估結果。5.1.4貢獻度量化建議將待流通數(shù)據(jù)輸入選定的業(yè)務模型，計算數(shù)據(jù)貢獻度并作歸一化量化。貢獻度量化包括：a)貢獻度計算：建議將待流通數(shù)據(jù)對業(yè)務模型的提升效果作為貢獻度。如果業(yè)務流程復雜，可選擇使用專家打分法對涉及業(yè)務的具體指標進行打分，并分配權重。b)貢獻度歸一化對所有數(shù)據(jù)的貢獻度進行歸一化運算，得到全局數(shù)據(jù)中每個數(shù)據(jù)貢獻度的評估結果。c)隱私保護效果量化可制定相應的達標標準，按扣分制對數(shù)據(jù)流通中的隱私保護效果進行評估。5.2電子政務數(shù)據(jù)使用權流通中的貢獻度評估5.2.1電子政務數(shù)據(jù)使用權流通中的貢獻度評估概述電子政務數(shù)據(jù)使用權流通中的貢獻度評估，指貢獻度評估者無法直接獲取和待流通數(shù)據(jù)相關的信息的情形下，評估數(shù)據(jù)的貢獻度。評估場景可分為中間數(shù)據(jù)可見情況下的貢獻度評估和中間數(shù)據(jù)不可見情況下的貢獻度評估。電子政務數(shù)據(jù)使用權流通中的貢獻度評估用例見5.2.2中間數(shù)據(jù)可見情況下的貢獻度評估5.2.2.1中間數(shù)據(jù)可見情況下的貢獻度評估流程中間數(shù)據(jù)可見情況下的貢獻度評估，建議對數(shù)據(jù)使用過程中產生的中間數(shù)據(jù)進行分析，設計并應用貢獻度評估模型。如圖2所示，評估流程具體包括數(shù)據(jù)預處理，數(shù)據(jù)特征抽取評估模型選擇和貢獻度量化。圖2.中間數(shù)據(jù)可見情況下的貢獻度評估流程75.2.2.2數(shù)據(jù)預處理建議根據(jù)電子政務數(shù)據(jù)提供者隱私保護需求及待流通數(shù)據(jù)格式，確定合適的數(shù)據(jù)預處理方法，從而保證數(shù)據(jù)的隱私安全。此時數(shù)據(jù)預處理包括：a)數(shù)據(jù)接入：電子政務數(shù)據(jù)提供者審查電子政務數(shù)據(jù)使用者的數(shù)據(jù)用途和使用資質，準備待流通數(shù)據(jù)。b)脫敏處理電子政務數(shù)據(jù)提供者聲明數(shù)據(jù)隱私保護需求，例如保護數(shù)據(jù)中用戶的聯(lián)系方式和體態(tài)特征。使用數(shù)據(jù)隱私保護技術，對數(shù)據(jù)中的敏感信息進行刷減或模糊阻斷隱私信息和用戶間的關聯(lián)性。c)格式處理電子政務數(shù)據(jù)提供者根據(jù)數(shù)據(jù)使用者的模型輸入需求，對數(shù)據(jù)格式進行統(tǒng)一，完成數(shù)據(jù)準備工作。5.2.2.3數(shù)據(jù)特征抽取建議根據(jù)數(shù)據(jù)使用權流通需求和隱私保護需求，設計有效的數(shù)據(jù)特征提取算法，從待流通數(shù)據(jù)中提取有效特征。數(shù)據(jù)特征抽取包括：a)算法選擇：根據(jù)電子政務數(shù)據(jù)使用者的流通需求和電子政務數(shù)據(jù)提供者的隱私保護需求，確認數(shù)據(jù)特征提取算法。例如針對圖像流通場景，選擇卷積神經網絡作為特征提取算法：針對數(shù)據(jù)維度較多的場景，使用主成分分析算法提取數(shù)據(jù)的特b)特征提取：將待流通數(shù)據(jù)輸入預選算法中，提取有效數(shù)據(jù)特征。5.2.2.4評估模型選擇建議對數(shù)據(jù)特征抽取完畢后，選擇合適的貢獻度評估模型。數(shù)據(jù)模型選擇包括a)特征分析：對數(shù)據(jù)特征的數(shù)值、格式等進行分析。例如，數(shù)據(jù)間數(shù)值差異是否較大，數(shù)據(jù)維度是否重疊等。b)模型設計根據(jù)特征分析結果，設計適用于該數(shù)據(jù)特征的貢獻度評估模型，例如聚類和回歸等模型。針對數(shù)據(jù)間差值較小的情形，可使用k-means聚類的方法實現(xiàn)數(shù)據(jù)貢獻度的分類針對數(shù)據(jù)間差值較大的情形，可使用閾值檢測的方法區(qū)分數(shù)據(jù)貢獻度的高低。5.2.2.5貢獻度量化建議根據(jù)數(shù)據(jù)特征，生成選定的評估模型和公平可信的貢獻度量化算法。貢獻度量化包a)貢獻度計算：生成用于數(shù)據(jù)貢獻度評估的模型，例如生成數(shù)據(jù)特征的聚類、回歸等模型，計算每個數(shù)據(jù)提供方的貢獻度數(shù)值b)貢獻度歸一化對所有數(shù)據(jù)的貢獻度進行歸一化運算，得到全局數(shù)據(jù)中每個數(shù)據(jù)貢獻度的評估結果。c)隱私保護效果量化可制定相應的達標標準，按扣分制對數(shù)據(jù)流通中的隱私保護效果進行評估。5.2.3中間數(shù)據(jù)不可見情況下的貢獻度評估指電子政務數(shù)據(jù)使用者無法獲取中間數(shù)據(jù)時，對數(shù)據(jù)的實際效用進行評估。建議通過對比不同數(shù)據(jù)集合的效用差異，評估每個數(shù)據(jù)的貢獻度。此時貢獻度評估包括：a)數(shù)據(jù)分組：對流通數(shù)據(jù)進行多次分組至不同集合。b)小組測試分別使用不同數(shù)據(jù)集合實現(xiàn)電子政務數(shù)據(jù)使用者的目標需求，并測試數(shù)據(jù)效用。o)分組對比多次對比不同集合的數(shù)據(jù)效用差異和數(shù)據(jù)內容差異，進行數(shù)據(jù)貢獻度評86電子政務數(shù)據(jù)流通中的脫敏數(shù)據(jù)公平性保障6.1參與者流通行為的記錄機制在電子政務數(shù)據(jù)流通過程中，建議記錄用戶在電子政務數(shù)據(jù)流通中的行為以保障整個流程的公平性。所記錄的內容可包括用戶的身份、提交數(shù)據(jù)的特征、數(shù)據(jù)判斷的結果、違規(guī)行為記錄等。記錄機制包括：a)記錄的業(yè)務數(shù)據(jù)類內容包括用戶提交的數(shù)據(jù)、用戶提交的模型特征等。b)記錄的用戶聲明類內容包括用戶聲明的數(shù)據(jù)可用性、使用該數(shù)據(jù)對全局模型的提升效果等。)記錄的貢獻度判定結果類內容包括用戶聲明貢獻度與實際貢獻度是否一致的判定結果、誤判記錄等，可采用單獨貢獻度評估法、消融貢獻度評估法等。d)記錄的聲譽類內容包括用戶的歷史違規(guī)行為記錄、提交數(shù)據(jù)質量優(yōu)質次數(shù)等。e)業(yè)務數(shù)據(jù)類(用戶提交的數(shù)據(jù)、用戶提交的模型特征等)、用戶聲明類(用戶聲明的數(shù)據(jù)可用性、使用該數(shù)據(jù)對全局模型的提升效果等)、貢獻度判定結果類(用戶聲明貢獻度與實際貢獻度是否一致的判定結果、誤判記錄等)、聲譽類(用戶的歷史違規(guī)行為記錄、提交數(shù)據(jù)質量優(yōu)質次數(shù)等)等。6.2基于分布式賬本的操作記錄抗否認機制建議使用安全、可信、不可第改的方式記錄電子政務數(shù)據(jù)流通的參與者行為?？墒褂帽O(jiān)管類聯(lián)盟鏈記錄用戶行為，例如：超級賬本、企業(yè)以太坊聯(lián)盟(FEA)、R3區(qū)塊鏈聯(lián)盟、中國分布式總賬基礎協(xié)議聯(lián)盟、中國區(qū)塊鏈研究聯(lián)盟(CBRA)等聯(lián)盟鏈架構。一個通用的基于分布式賬本的貢獻度評估流程包括：a)由客戶端發(fā)起一個數(shù)據(jù)貢獻度評估請求，客戶端會根據(jù)鏈碼的背書策略把該請求發(fā)往指定的多個背書節(jié)點，由背書節(jié)點進行投票，客戶端匯總各背書節(jié)點的結b)多個背書節(jié)點接收到貢獻度評估請求后執(zhí)行對應的鏈碼并對結果進行貢獻度評估并簽名然后分別將輸出結果返回給客戶端。c)客戶端將收到所有的評估結果和各節(jié)點的背書內容(包括其投票結果以及背書簽名)打包發(fā)送給排序節(jié)點。d)排序節(jié)點將接收到的該次貢獻度評估結果在交易池里進行排序并組合打包生成一個新的區(qū)塊，井將新的區(qū)塊發(fā)送給所有的區(qū)塊鏈節(jié)點。每個區(qū)塊鏈節(jié)點接收到新區(qū)塊后，對其中的每一筆交易結果進行簽名驗證，判斷其是否符合背書策略，比對新區(qū)塊的版本與本地的版本是否相同，如滿足所有條件則將新的區(qū)塊寫入本地賬本內，完成貢獻度評估的記錄。6.3基于承諾的數(shù)據(jù)所有權認證機制為防止數(shù)據(jù)流通過程中，惡意方使用他人密文數(shù)據(jù)進行交換。建議使用基于零知識證明的承諾算法，可以證明電子政務數(shù)據(jù)提供者的確擁有數(shù)據(jù)的明文信息。例如：可使用基于2協(xié)議的Schnorr協(xié)議、Okamoto協(xié)議等零知識證明方法。一個通用的承諾流程包括：a)電子政務數(shù)據(jù)提供者發(fā)起數(shù)據(jù)傳輸，并對數(shù)據(jù)的哈希摘要生成承諾發(fā)送給電子政務數(shù)據(jù)使用者。b)電子政務數(shù)據(jù)使用者返回一個隨機挑戰(zhàn)值給電子政務數(shù)據(jù)提供者c)電子政務數(shù)據(jù)提供者根據(jù)挑戰(zhàn)值和已傳輸?shù)臄?shù)據(jù)，計算返回值發(fā)送給電子政務數(shù)據(jù)使用者。d)電子政務數(shù)據(jù)使用者根據(jù)返回值和已收到的數(shù)據(jù)，驗證電子政務數(shù)據(jù)提供者是否擁有數(shù)據(jù)的明文信息。電子政務數(shù)據(jù)流通中的隱私保護技術A.1數(shù)據(jù)副本流通中的隱私保護技術在數(shù)據(jù)副本流通過程中，電子政務數(shù)據(jù)提供者可根據(jù)隱私保護需求選擇使用不同的隱私保護方法，包括泛化(偏移取整、k匿名等)、擾動(差分隱私、噪聲機制、隨機擾動等)、替換(隨機化、無效化、掩碼屏蔽等)等方法。數(shù)據(jù)副本流通的隱私保護技術使用規(guī)則主要包括以下方面a)數(shù)據(jù)副本流通的隱私保護技術的分類建立相應的數(shù)據(jù)副本流通的隱私保護技術算法庫。并對各種數(shù)據(jù)副本流通的隱私保護技術進行定性分析，確定技術類別。b)數(shù)據(jù)副本流通的隱私保護技術的分級對數(shù)據(jù)副本流通中隱私保護技術的適用范圍定量分析，根據(jù)算法特性、保護強度等，確定數(shù)據(jù)副本流通的隱私保護技術的級別。c)數(shù)據(jù)副本流通的隱私保護技術的選擇在數(shù)據(jù)副本流通的過程中，根據(jù)數(shù)據(jù)副本的隱私保護需求，選擇適合的數(shù)據(jù)副本流通的隱私保護技術。A.1.1數(shù)據(jù)副本流通的隱私保護技術分類數(shù)據(jù)副本流通的隱私保護技術的分類是根據(jù)數(shù)據(jù)脫敏后的特點及脫敏原理、應用數(shù)據(jù)類a)根據(jù)數(shù)據(jù)脫敏后的特點及脫敏原理可劃分以下三類泛化類的隱私保護技術、擾動類的隱私保護技術和替換類的隱私保護技術。泛化類的隱私保護技術主要包括偏移取整、k匿名等。擾動類的隱私保護技術主要包括：差分隱私、噪聲機制、隨機擾動等。替換類的隱私保護技術主要包括：隨機化、無效化、掩碼屏蔽等。b)依據(jù)處理對象也可對隱私保護技術進行劃分。例如，根據(jù)數(shù)據(jù)類型可劃分為數(shù)值類 (金額、閥值等)、字符類(姓名、公司名稱、項目名稱等)的隱私保護技術；根據(jù)文件格式可分為文檔類(郵件、文檔等)、圖像類(照片等)、音頻類(錄音等)視頻類(錄像等)的隱私保護技術；根據(jù)應用業(yè)務可分為時序類(日期、時間等)位置類(定位、地址等)、號碼類(電話號碼、身份證、銀行卡號、個人賬號、社交網絡賬號等)的隱私保護技術。根據(jù)數(shù)據(jù)副本流通場景中各方的需求以及數(shù)據(jù)泄露的影響，確定泛化范圍、擾動規(guī)則、替換規(guī)則閥值等參數(shù)，確定數(shù)據(jù)副本流通的隱私保護技術的等級。注：參考YD/T2782-2014相關要求A.1.3數(shù)據(jù)副本流通的隱私保護技術選擇在數(shù)據(jù)副本流通的過程中，建議根據(jù)不同數(shù)據(jù)副本流通場景中各方的需求選擇合適類別及等級的數(shù)據(jù)副本流通的隱私保護技術，總體流程如圖A.1所示。圖A.1數(shù)據(jù)副本流通的隱私保護技術的選擇與使用流程a)數(shù)據(jù)副本流通的隱私保護技術算法選擇：建議根據(jù)不同的數(shù)據(jù)副本流通場景、不同的數(shù)據(jù)的形式、不同的數(shù)據(jù)副本流通的需求等選擇合適的數(shù)據(jù)副本流通的隱私保護b)數(shù)據(jù)副本流通的脫敏效果評價：建議由第三方對脫敏數(shù)據(jù)副本進行隱私披露風險測試，并根據(jù)隱私泄漏程度對脫敏效果進行評價。A.2數(shù)據(jù)使用權流通中的隱私保護技術在數(shù)據(jù)使用權流通中，數(shù)據(jù)使用權指的是對數(shù)據(jù)執(zhí)行特定任務時的中間數(shù)據(jù)和對數(shù)據(jù)的分析結果。在此場景中，傳統(tǒng)的數(shù)據(jù)副本流通中的隱私保護技術如替換類的數(shù)據(jù)隱私保護技術不適用于這些數(shù)據(jù)所產生出的中間數(shù)據(jù)和分析結果。如果選擇直接對數(shù)據(jù)進行脫敏，再執(zhí)行分析、訓練、產生中間數(shù)據(jù)，建議參照圖B.1的方式使用。如果是對數(shù)據(jù)使用權(特定任務的中間數(shù)據(jù)或數(shù)據(jù)的分析結果)進行脫敏，建