電子政務(wù)環(huán)境中隱私策略的分層方法

張華

摘 要： 基于電子政務(wù)用戶希望保持互聯(lián)互通的部署，并使用先進(jìn)的政府電子服務(wù)，同時(shí)保持對(duì)個(gè)人信息的控制權(quán)，提出了輕量級(jí)且準(zhǔn)確的隱私策略，通過(guò)利用現(xiàn)有的政府層次結(jié)構(gòu)，提供了一種能夠支持不同數(shù)據(jù)需求和處理服務(wù)提供者請(qǐng)求的多層方法，可以通過(guò)合并隱私權(quán)政策和偏好文件來(lái)實(shí)現(xiàn)。將此方法合并到電子政務(wù)環(huán)境中將減少由于包含隱私策略文件而帶來(lái)的管理工作量，并促進(jìn)實(shí)施和提供以用戶為中心和數(shù)據(jù)隱私意識(shí)的電子服務(wù)。案例研究結(jié)果表明，提出的分層方法可以減少政府管理文檔的工作量，同時(shí)促進(jìn)用戶隱私信息的保護(hù)。

關(guān)鍵詞： 電子政務(wù); 隱私策略; 層次結(jié)構(gòu); 隱私偏好

中圖分類號(hào)： TP 399 ? ? ?文獻(xiàn)標(biāo)志碼： A

Abstract： The electronic government users want to keep the connectivity of the deployment， and use the advanced electronic government service， and maintain control of personal information. Thus， the paper puts forward the lightweight and accurate privacy policy through the use of the existing government hierarchy to provide a way of multilayer method to support different data requirements and processing service. It can be done by combination of privacy policy and preference file. This approach is incorporated into an e-government environment to reduce the administrative workload associated with the inclusion of privacy policy documents and facilitate the implementation and provision of user-centric and data-privacy aware electronic services. The results of the case study show that the proposed hierarchical method can reduce the workload of government management documents and promote the protection of users privacy information.

Key words： e-government; privacy policy; hierarchical structure; privacy preference

0 引言

信息和通信技術(shù)的廣泛擴(kuò)展和互聯(lián)網(wǎng)絡(luò)的普遍部署，以及面向服務(wù)的體系結(jié)構(gòu)使得能夠組成和提供交互式和個(gè)性化服務(wù)，已經(jīng)為當(dāng)前科技帶來(lái)了與安全性、可靠性、隱私性和信任相關(guān)的全面挑戰(zhàn)。它們不僅應(yīng)該具有內(nèi)置的隱私和安全性，而且還應(yīng)該使用戶能夠理解信息、服務(wù)和安全級(jí)別的可靠性并做出明智的決策。隨著各國(guó)政府逐漸脫離組織間模式，將重點(diǎn)放在協(xié)作和面向服務(wù)的模式上，解決有關(guān)數(shù)據(jù)隱私、防止濫用等關(guān)注的問(wèn)題上。因此，在隱私性和開放性需求之間取得適當(dāng)?shù)钠胶馐侵陵P(guān)重要的。

我國(guó)從2002年開始就提出了“一站、兩網(wǎng)、四庫(kù)、十二金”為主體的電子政務(wù)框架。有關(guān)電子政務(wù)的研究也相繼為該行業(yè)帶來(lái)良好的改變。文獻(xiàn)[1-2]中提出了具有隱私意識(shí)的電子政務(wù)環(huán)境，可以提供可互操作的以用戶為中心的電子服務(wù)，同時(shí)使用戶能夠保留對(duì)其個(gè)人數(shù)據(jù)的控制權(quán)。文獻(xiàn)[3]探討了在現(xiàn)代電子政務(wù)環(huán)境中體現(xiàn)隱私策略和隱私偏好文檔的概念，以在保護(hù)用戶隱私的同時(shí)推進(jìn)和簡(jiǎn)化電子服務(wù)的提供。通過(guò)隱私策略文件，每個(gè)服務(wù)提供商都會(huì)對(duì)所需信息、請(qǐng)求的目的、使用信息的方式[4]以及向誰(shuí)披露信息提供正式的公眾參與方法。

本文從服務(wù)提供者的角度出發(fā)，闡述了如何制定連貫而準(zhǔn)確的隱私策略文件，同時(shí)又要保證其符合基本的法律和監(jiān)管框架。通過(guò)利用現(xiàn)有的政府層次結(jié)構(gòu)，提出了一種能夠支持不同數(shù)據(jù)需求和處理需求的多層方法，該方法包含特定規(guī)則和XML元素，從而使服務(wù)提供者可以制定符合要求的輕量級(jí)文檔。通過(guò)定義良好的XML模式將隱私策略和隱私偏好文檔合并在一起，有助于為用戶和服務(wù)提供者（Service Providers，SP）建立一定程度的數(shù)據(jù)隱私保證，這樣的部署促進(jìn)和簡(jiǎn)化了電子服務(wù)的提供過(guò)程，同時(shí)允許用戶根據(jù)自己的喜好和需要保留、控制和修改其個(gè)人數(shù)據(jù)隱私特征。基于這樣的體系結(jié)構(gòu)，電子政務(wù)環(huán)境可以擴(kuò)展其執(zhí)行服務(wù)的能力，以實(shí)現(xiàn)滿足公民需求的服務(wù)，促進(jìn)不同用戶群體對(duì)電子服務(wù)的進(jìn)一步利用[5-6]，并最終建立對(duì)涉及敏感個(gè)人信息的電子政務(wù)應(yīng)用的信心。

1 電子政務(wù)環(huán)境中的隱私控制器代理

數(shù)據(jù)主體通過(guò)為每個(gè)數(shù)據(jù)項(xiàng)或組指定細(xì)粒度的隱私偏好來(lái)同意使用其個(gè)人數(shù)據(jù)[7-8]。通過(guò)此過(guò)程，數(shù)據(jù)主體有權(quán)根據(jù)決定撤銷先前已 授予數(shù)據(jù)收集者使用其個(gè)人數(shù)據(jù)，或構(gòu)成不再有效訪問(wèn)某些數(shù)據(jù)項(xiàng)或組的權(quán)利。該架構(gòu)的設(shè)計(jì)基于中央門戶的現(xiàn)代電子政務(wù)環(huán)境結(jié)構(gòu)，屬于一站式服務(wù)，是每個(gè)服務(wù)提供商的前端。通常，此門戶為每個(gè)服務(wù)提供者實(shí)現(xiàn)身份驗(yàn)證和注冊(cè)過(guò)程或合并聯(lián)合身份管理基礎(chǔ)結(jié)構(gòu)。除了這些權(quán)限之外，還引入了一個(gè)新的實(shí)體，稱為隱私控制器代理（Privacy Controller Agent，PCA），它負(fù)責(zé)存儲(chǔ)和比較服務(wù)提供商的隱私策略和用戶隱私偏好文檔。隱私控制器代理架構(gòu)，如圖1所示。

隱私控制器代理由兩個(gè)主要單元組成，即管理點(diǎn)和決策點(diǎn)。管理點(diǎn)由兩個(gè)存儲(chǔ)庫(kù)組成，這兩個(gè)存儲(chǔ)庫(kù)負(fù)責(zé)保留每個(gè)服務(wù)的隱私策略（A）和每個(gè)用戶的隱私偏好（B）。當(dāng)一個(gè)SP將電子服務(wù)注冊(cè)到中央門戶網(wǎng)站（Central Portal，CP）時(shí)，除了要求提供必要的信息之外，還應(yīng)根據(jù)基礎(chǔ)的互操作性框架，強(qiáng)制提交相應(yīng)的隱私策略[9-10]。

由于SP通常會(huì)提供許多不同的電子服務(wù)，因此必須為每項(xiàng)服務(wù)提交單獨(dú)的隱私策略。隱私文檔明確規(guī)定了提供服務(wù)所需的數(shù)據(jù)、目的、處理方式、數(shù)據(jù)保留時(shí)間以及是否將其傳達(dá)給另一個(gè)SP。提交后（操作i），隱私控制器代理會(huì)驗(yàn)證該策略的來(lái)源并將其存儲(chǔ)在策略存儲(chǔ)庫(kù)中。

類似地，當(dāng)用戶注冊(cè)到中央門戶網(wǎng)站時(shí)，還需要他們提交其隱私偏好[11-12]。由于隱私偏好涉及用戶的個(gè)人數(shù)據(jù)，所以與用戶將使用的服務(wù)沒有直接關(guān)系。因此，用戶僅需提交一份適用于每種電子服務(wù)的文件。

2 隱私策略多層方法

2.1 分層隱私策略

在電子政務(wù)環(huán)境中，數(shù)據(jù)被構(gòu)造為不同的抽象級(jí)別，并且服務(wù)提供商在被要求提供電子服務(wù)時(shí)具有不同的數(shù)據(jù)需求和處理請(qǐng)求，這些需求和請(qǐng)求可能彼此不同，但它們也受到相應(yīng)的部門限制約束，并受到法律要求的約束。

因此，從建模的角度來(lái)看，對(duì)于給定的電子服務(wù)，隱私策略文檔遵循并遵守以下層次結(jié)構(gòu)，其中每個(gè)箭頭表示進(jìn)一步的概括級(jí)別;電子服務(wù)→服務(wù)提供商→部級(jí)部門→中央政府。本文用PCG表示中央政府的隱私策略要素，將PMD表示部級(jí)部門的隱私策略要素，將PSP表示服務(wù)提供商的隱私策略要素，將PES視為電子服務(wù)的私隱政策元素。因此，可將PES視為PSP的真子集，將PSP視為PMD的真子集，并將PMD視為PCG的真子集，如式（1）。

當(dāng)轉(zhuǎn)向超集時(shí)，對(duì)于元素的規(guī)范需考慮不同的抽象級(jí)別。例如，PCG將包含有關(guān)個(gè)人身份證號(hào)碼的元素;根據(jù)基本的法律和法規(guī)框架，身份證號(hào)碼屬于個(gè)人標(biāo)識(shí)符（PId）類別，因此應(yīng)將其視為機(jī)密數(shù)據(jù)。因此，PCG聲明在處理和存儲(chǔ)期間應(yīng)將身份證號(hào)碼視為機(jī)密數(shù)據(jù)。

在下一個(gè)抽象級(jí)別，PMD同意將身份證號(hào)碼歸類為PId，并且僅指定為特定的部級(jí)部門可以將其保留特定的時(shí)間。繼續(xù)向下移動(dòng)到更低的超集級(jí)別，PSP指定它是否會(huì)被特定的服務(wù)提供商處理，以及如何處理。根據(jù)電子政府的環(huán)境和中央政府的結(jié)構(gòu)（單一制、聯(lián)邦制），認(rèn)為，集合和子集的數(shù)量可能會(huì)有所不同。

2.2 隱私策略的形成

根據(jù)以上介紹的隱私控制器代理（PCA）的體系結(jié)構(gòu)，當(dāng)PCA收到用戶的電子服務(wù)請(qǐng)求時(shí)，必須檢索兩個(gè)文檔并進(jìn)行相互比較。（1）用戶的隱私偏好;（2）電子服務(wù)隱私策略。

第一個(gè)文檔由用戶提交并存儲(chǔ)在偏好存儲(chǔ)庫(kù)中;第二個(gè)文檔由服務(wù)提供商提交（專門針對(duì)每種電子服務(wù)），并存儲(chǔ)在策略存儲(chǔ)庫(kù)中。

考慮到層次結(jié)構(gòu)方案和確定的適當(dāng)方法作為子集，中央政府發(fā)布了通用的隱私策略文檔[13-14]，該文檔廣泛地描述了如何根據(jù)Level 1的基礎(chǔ)法律和法規(guī)框架來(lái)訪問(wèn)、處理和存儲(chǔ)特定的數(shù)據(jù)類型。

隨著逐步降低層次結(jié)構(gòu)，可以得到隱私策略文件是從特定的部級(jí)部門（Level 2）發(fā)行的，然后從特定的電子服務(wù)（k級(jí)）發(fā)行。每個(gè)級(jí)別都會(huì)對(duì)先前接受的信息進(jìn)行確認(rèn)，如果需要，還包括數(shù)據(jù)訪問(wèn)、處理、存儲(chǔ)和保留期的更明確表述。隱私策略文件創(chuàng)建的示意圖，如圖2所示。

根據(jù)電子服務(wù)供應(yīng)商和政府架構(gòu)的不同，每個(gè)文檔中對(duì)先前級(jí)別的引用次數(shù)可能會(huì)有所不同。在任何情況下，所有文件都必須強(qiáng)制性地包含對(duì)較高級(jí)別的引用，因?yàn)樗瑢?duì)基本法律和法規(guī)框架的表示[15-16]。

為了確保將隱私要求無(wú)縫過(guò)渡到較低級(jí)別，定義了以下強(qiáng)制性規(guī)則，這些規(guī)則與所建議的方法一起使用。

規(guī)則1：隱私策略文檔中的每一個(gè)都必須遵守Level 1文檔要求;

規(guī)則2：隱私策略文檔中的每一個(gè)都必須包括對(duì)Level 1文檔的直接或間接引用;

規(guī)則3：隱私策略文檔中的每一個(gè)都可以引入新的規(guī)定和條款，只要它們與現(xiàn)有規(guī)定不抵觸即可。

2.3 方法評(píng)估

應(yīng)用電子政務(wù)中隱私策略的分層方法可促進(jìn)電子服務(wù)的互用性以及對(duì)基本法律和法規(guī)框架的遵守。對(duì)于任何可能發(fā)生的更改，不僅可以視為一個(gè)控件，而且可以視為一種強(qiáng)制機(jī)制。新引入的立法修訂通常不會(huì)無(wú)縫地傳播到相應(yīng)的電子政務(wù)服務(wù)中;每個(gè)服務(wù)提供商必須執(zhí)行適當(dāng)?shù)男薷模@些修改需要花費(fèi)時(shí)間和精力才能有效地完成。無(wú)論這種變化是否發(fā)生，部級(jí)部門和服務(wù)提供者都不能偏離上級(jí)規(guī)定和條款，從而確保全面合規(guī)[17]。

在所提出方法的部署過(guò)程中必須解決的重要問(wèn)題，是使用XML模式以及創(chuàng)建和管理支持層次結(jié)構(gòu)方案的XML文檔。提出面向電子政務(wù)環(huán)境的新模式是一條有前途的道路，然而，該模式的部署帶來(lái)了兼容性、評(píng)估和更新過(guò)程的挑戰(zhàn)。除此之外，根據(jù)環(huán)境的不同，還可以探索其他數(shù)據(jù)交換格式，特別是XML格式，因?yàn)榕cJSON相比，XML被認(rèn)為對(duì)數(shù)據(jù)傳輸速率和性能具有重大影響。該方法的一個(gè)缺點(diǎn)是引入了中央門戶的工作量和計(jì)算成本，因?yàn)閷?duì)于每個(gè)電子服務(wù)請(qǐng)求，PCA都必須對(duì)所有引用的策略文檔執(zhí)行根返回檢索[18]。

如果更高級(jí)別的隱私策略文檔發(fā)生了變化，則將通知PCA撤銷所有相關(guān)文檔。同樣，如果電子政府進(jìn)行組織重組，則PCA也必須撤回所有受影響的文檔。

3 案例研究

為了證明所提出的方法在現(xiàn)代電子政務(wù)環(huán)境中的適用性，研究了一個(gè)案例，其中將隱私策略層次結(jié)構(gòu)并入了電子政務(wù)環(huán)境。該框架的主要目的是為訪問(wèn)所有提供電子服務(wù)的通用身份驗(yàn)證和注冊(cè)機(jī)制提供支持，這是通過(guò)一個(gè)中央門戶網(wǎng)站實(shí)現(xiàn)的，該門戶網(wǎng)站是一站式商店，為公民提供了SP的所有電子服務(wù)的通用接口。該框架的主要特征是為每個(gè)服務(wù)提供者提供統(tǒng)一的注冊(cè)和身份驗(yàn)證過(guò)程，并根據(jù)所需的身份保證和數(shù)據(jù)保護(hù)級(jí)別將服務(wù)劃分為若干個(gè)信任級(jí)別。

3.1 年度車稅電子服務(wù)

每名車主須就每輛在其名下登記的車輛繳付每年的車輛稅（Annual Vehicle Tax，AVT）?？偠愵~是根據(jù)車輛的二氧化碳排放量、發(fā)動(dòng)機(jī)尺寸和生產(chǎn)日期計(jì)算的，并與年度所得稅分開支付。

電子服務(wù)由信息系統(tǒng)秘書（General Secretary of Information Systems，GSIS）提供，GSIS在財(cái)政部的授權(quán)下運(yùn)作，適用的層次結(jié)構(gòu)[19-21]，如圖3所示。

要成功完成電子服務(wù)，用戶必須提交車輛牌照。GSIS會(huì)驗(yàn)證數(shù)據(jù)的準(zhǔn)確性，并生成一張收據(jù)，其中包含車主的姓名、車輛的牌照以及要支付的稅額以及唯一的付款識(shí)別碼，該標(biāo)識(shí)符將由支付款項(xiàng)的銀行機(jī)構(gòu)使用。

3.2 陷私政策

出于本案例研究的目的，基于文獻(xiàn)[8]中介紹的屬性和元素，在簡(jiǎn)單的XML模式中準(zhǔn)備了必要的隱私策略文檔，該模式由簡(jiǎn)單的元素以及一些屬性組成，試圖以結(jié)構(gòu)化的方式描述嚴(yán)格的隱私策略。

本節(jié)中提供的文檔僅包含有關(guān)個(gè)人標(biāo)識(shí)符的信息以及成功完成AVT電子服務(wù)所需的數(shù)據(jù)。每個(gè)文檔都包含一個(gè)根Privacy_Policy元素和一個(gè)Policy_ID元素，后者包含一個(gè)唯一的策略文檔標(biāo)識(shí)符，根據(jù)該標(biāo)識(shí)符可以實(shí)現(xiàn)對(duì)較低層次的引用，同時(shí)還包含一個(gè)Data元素。Data元素根據(jù)數(shù)據(jù)類型分為兩個(gè)子元素，Personal_Identifiers和Personal_Data。

與先前討論的文檔相比，可以識(shí)別兩個(gè)新引入的元素和。由于此文檔涉及的是一種電子服務(wù)，而不是一個(gè)部級(jí)部門，因此需要明確其范圍和提供該服務(wù)的SP。在這個(gè)文檔中，禁止傳播國(guó)家稅務(wù)標(biāo)識(shí)符（AFM）、車牌信息用于進(jìn)行識(shí)別處理，而名稱也將用于標(biāo)識(shí)，但不會(huì)被存儲(chǔ)和保留。

4 總結(jié)

電子政府措施的成功與否，不僅取決于前廳的現(xiàn)代化程度，也取決于后廳流程的精簡(jiǎn)、重組和支持。政策制定者和公共行政管理者的視角與電子政務(wù)的技術(shù)實(shí)現(xiàn)之間存在的差距和不一致，影響著電子政務(wù)的接受度和進(jìn)一步發(fā)展。本文提出了一種簡(jiǎn)單而有效的方法來(lái)制定一致且準(zhǔn)確的隱私策略，同時(shí)保持對(duì)基本法律和法規(guī)框架的遵守。通過(guò)利用現(xiàn)有的政府層次結(jié)構(gòu)，提出的多層方法能夠支持多樣化的數(shù)據(jù)需求和處理服務(wù)提供者提出的請(qǐng)求。作為分層模式的一個(gè)測(cè)試平臺(tái)以及支持文檔審計(jì)支持工具。將這方法納入電子政府環(huán)境，可減少因納入隱私政策文檔而帶來(lái)的管理工作量，并可促進(jìn)以用戶為中心和保障資料隱私的電子服務(wù)的推行和提供。

參考文獻(xiàn)

[1] 舒小慶.論電子政務(wù)環(huán)境下網(wǎng)絡(luò)隱私權(quán)保護(hù)及立法對(duì)策[J].南昌航空大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版），2010，12（4）：38-43.

[2] 李延暉，儲(chǔ)益周，池毛毛.二元論視角下企業(yè)策略與個(gè)人隱私保護(hù)效用關(guān)系研究[J].情報(bào)雜志，2020，39（2）：95-102.

[3] Drogkaris P， Gritzalis S， Lambrinoudakis C. Employing privacy policies and preferences in modern e-government environments[J]. International Journal of Electronic Governance，2013，6（2）：101-116.

[4] 梁曉丹.在線隱私政策對(duì)消費(fèi)者提供個(gè)人信息意愿的影響機(jī)制研究[D].杭州：浙江工商大學(xué)，2017.

[5] 張廷嬌.基于電子政務(wù)視角的我國(guó)基層政府公共服務(wù)能力提升研究[D].蘭州：西北師范大學(xué).

[6] 楊金寶，馬寶澤，葉清.面向Android手機(jī)應(yīng)用程序的用戶隱私保護(hù)系統(tǒng)研究[J].計(jì)算機(jī)與數(shù)字工程，2019，47（9）：2206-2211.

[7] 陶靈靈，曹彥，張夢(mèng)嬌.支持目的與信譽(yù)度的隱私偏好規(guī)約模型[J].計(jì)算技術(shù)與自動(dòng)化，2018，37（3）：122-126.

[8] 陶靈靈. 隱私保護(hù)訪問(wèn)控制模型規(guī)約方法研究[D].南京：南京航空航天大學(xué)，2018.

[9] 陳麗君. 社交網(wǎng)絡(luò)文本信息隱私策略預(yù)測(cè)的研究[D].杭州：杭州電子科技大學(xué)，2018.

[10] 鐘洪斌.智能型門戶網(wǎng)站助推政府公共服務(wù)效能提升[J].電子政務(wù)，2012（11）：106-114.

[11] 曾蘇夢(mèng)，唐明董，劉建勛，等.隱私敏感的服務(wù)選擇方法[J].小型微型計(jì)算機(jī)系統(tǒng)，2017，38（12）：2741-2746.

[12] 馮昌揚(yáng).政府開放數(shù)據(jù)門戶網(wǎng)站隱私政策比較研究[J].數(shù)字圖書館論壇，2016（7）：52-56.

[13] 馬薇薇，姜家鑫，張銳.支持時(shí)間屬性的隱私需求建模與一致性驗(yàn)證[J].計(jì)算機(jī)與現(xiàn)代化，2017（10）：100-104.

[14] 陳美.城市政府開放數(shù)據(jù)的隱私風(fēng)險(xiǎn)及其技術(shù)控制策略[J].圖書館建設(shè)，2018（8）：16-21.

[15] 金超，張琳，王汝傳.一種移動(dòng)社交網(wǎng)絡(luò)中的位置內(nèi)容分享方法[J].南京郵電大學(xué)學(xué)報(bào)（自然科學(xué)版），2017，37（5）：101-110.

[16] 牛曉磊，沈航，白光偉，等.啞元位置隱私博弈機(jī)制[J].小型微型計(jì)算機(jī)系統(tǒng)，2020，41（3）：610-616.

[17] 姜家鑫，黃志球，馬薇薇.滿足隱私需求的服務(wù)組合信息流控制方法研究[J].計(jì)算機(jī)科學(xué)與探索，2018，12（3）：370-379.

[18] 王進(jìn)，黃志球.云計(jì)算中隱私需求的建模與一致性檢測(cè)[J].計(jì)算機(jī)研究與發(fā)展，2015，52（10）：2395-2410.

[19] 薛怡娜. 社交網(wǎng)絡(luò)形式化建模與驗(yàn)證方法的實(shí)現(xiàn)[D].西安：西安電子科技大學(xué)，2018.

[20] 孫然. 基于應(yīng)用程序運(yùn)行時(shí)行為的Android用戶隱私數(shù)據(jù)保護(hù)技術(shù)研究[D].北京：北京郵電大學(xué)，2018.

[21] 葛強(qiáng). Web服務(wù)中基于本體推理的隱私保護(hù)研究[D].南京：南京航空航天大學(xué)，2014.

（收稿日期： 2020.04.15）