隐私信息描述、迭代延伸控制、出行服务应用场景、信用计算应用场景示例.docx

附录A费料性)隐私信息描述示例A.1假述隐私伯恩可由障私信息六元组描述，具体如下：a)障私信息向量:,根据文件标识符确定信息的类型，并根据语义特征将信息进行拆分，得到n个在语义上不可分割的陷私信息分量，则肥私信息向吊可以表示为I=(id,i1.,0).其中k为取值范围从1到n的正卷数：b)约束条件集合，由隐私信息分房对应的约束条件向后组成的集合8=(1.2-,k,n),用于描述在不同场景下实体访问陷私信息分3*所襦的访问权限根据除私信息向城中的隐私信息分量的应用场景，可对隐私信息分量设置相应的约束条件向法*=(uk.tk,d1.t,n1.c),表示第k个隐私信息分量的约束条件，其中.UIt表示访问者列入，外衣示访问时间，心表示访问设备，川丧示网络标识：C)2和典性向I匕通过预先标记或障私保护程度吊化操作海数，站合约!U条件集合，时隐私信息向量进行隐私度瑞，度量结果存入隐私属性向瑞/1=(a1.,a2,-,an,-.am),可假设初始所有隐私属性分成为1(假设做私碣性分量的范围为O到1.隐私展性分晟越小，其对应的I®私信息分员的保护程度越南):d)广义定位信息集合，分别茯取验私信总分量在信息中的广义定位信息向信以、丫?、丁，由此生成广义定位信息集合r=(,>j,加，/；e)审计捽制信息集合.分别获取隐私信息分批的审计控制信息向盘0,3z,n.在初始化阶段,审计控制信息向量:可以为空，记录当前持有者对除私信恩分现进行的所有操作，由此生成审计拄制信息集合n=1,2,-,11);f)传播控制操作集合，针对除私属性向埴和约束条件集合，根据操作判别函数或人工标记生成院私信息向量:及其组合的传播控制操作集合甲=1-Pn).在初始化阶段,传播控制操作向信可以为空,根据流传过程中对隐私伯息分量的传播要求.逐渐添加得到传播控制操作向川甲z，甲n共同组成传播控制操作集合。A.2隐私信息描述六元组生成过程本附录以文本、图像模态数据为例，介绍陷私信息描述的生成方法和过程，供设计实现私信息描述与处理功能时多考，针时待处理的多愎态数据，进行防私抽取，确定的私信息分量模态，并进行定位，生成胞私信息向量和广义定位信息集合：通过除私数据分类分级规则对识别和抽取的隐私信息分t进行分类,根据分类结果确定隐私信息向量的约束条件集合：根业:的束条件集合以及隐私数据分类分级规则对隐私估息向址进行陷私度属,生成除私属性向量和传播控制愫作集合；记录时除私信息向信执行的所有操作，生成审计控制信息集合。除私信息描述六元蛾生成过程如图A.1所示。T模态数据I传播控制I排作汆合广义定位信息妪合约束条件蛆合计制息合审控(s图.1.的私信息描述六元组生成过程A3文本类隐私信息描述生成示例A.3.1隐私信息向量陌私信息向Ift生成过程如下；a）除私信息处界并根据文件标识符等信息确定信息的类鞭，并读取其内容,例如：可以通过APHehePoi等工具读取Hord文档信息、EXCe1.表格信息：通过Spire.PDF等工具读取PI）F文档信恩：b）通过正则文本匹配、自然语言处理识别文件中的除私信息并进行切割。以文本信息“张三和李四去中关村参加活动”为例，使用荔于Bi1.SnI-CRF模型的命名实体识别算法对姓名、组织名.地名等实体进行识别：c）生成隐私信息向眼/=（id.张三和，力纵去,中关村,参加,活动）.A3.2约束条件集合约束条件集合生成过程如下：a）陷私信息处理者获取文本类数据对应的分类分级规则：b）根据当前私信息处理者的超愿，生成够和信息向后对应的约束条件集合，例如:若当前除和信总处理者仅向197.224.*.*网段的用户赋予文档读H权限，则非该网段下的用户无法读取该文件：c）生成约束条件集合a=（读写,197.224.）.A3.3隐私属性向量吃私属性向量生成过程如下：a）防私信息处理者根据文本类数据对应的分类分级规则和陷私信息分奴的约束条件集合，确定恃处理文本信息对应的分类分级规则：b）根据约束条件集合、分类分级规则以及文档创建者的意愿，通过预先标记或隐私保护程度量化操作函数,依次计算隐私信息向J和隐私信息分量组合对应的防私属性向fit,生成各个除私信息分量的隐私网性向量：C）如段值结果为。，包含莅至Xn的除和屈性向量可表示为由=（XiXn,0.4）O广义定位信息集合生成过程如下：a）除私信息处埋并采用合适的位置标识信息，对隐私信息在文档中的位置进行编码“例如：1） Wrd文档可利用页码、段落、行数、起始位和终止位等表示定位信息：2） Exce1.表格可利用表单号、行号、列号等表示定位信息.b）生成陷私信息分Ift对应的广义定位信息向S1.例如：对于Word、Kxce1.文档，可使用APaehepoi工具为唠私信息向小进行索引，统一设置字符在文档中的范国标签和批注引用，生成广义定位信息集合；c）生成广义定位信息集合r.例如：D八=（左,尸11，鼻*2,0,4）表示记为XIIS私信总分量“张三”,位于文本信息的第11页、第3段中的第2行，起始位为0,终止位为4；3） 2=（X2,T1,Rs,C4）表示记为X2隐私信息分量”321128202502012921”,位于表格的表单1、第5行中的第4列的单元格中.A.3.5审计控制信息集合审计控制信息集合生成过程如下：a）隐私信息处理者记录其对文档的隐私信息分出进行的所有操作,并生成审计控制信息集合:b）将生成的审计控制信息能合存储于财应的I®私信息描述六元组，A.3.6传播控制操作集合传播控制探作集合生成过程如下：a）或私信息处理者获取文木类数据对应的分类分级规则和除私信息分W的约束条件集合、险私属性向量；b）根据当前隐私信息处理者流转共享意愿，生成吃私信息向量对应的传播控制操作集合.例如：当前的传播控制操作佻合W=1%,甲2，%，假设当前陷私信息处埋者只希望除私信息分址“中关村”被更制转发，则可新增一个传播控制操作向址,=（转发,复制），生成新的传播控制掾作集合中=1,2,3,J,1.¾私信息六元组的生成结果如图A.2所示.识别文档中的隐私信息实体.例如：“北京市消防局”记为片，X的位置在文档中的第2页、第2段、第2行上，起始位置是35,终止位汽是41.提取外部文木数据分类分级规则，结合使用意愿，得到其对应的总和阀性向量为a1=（X1,0.4）,表示隐私信息分埴X1的盼私属性度埴结果为04.约束条件集合“约束该文档只能在197.224.*.网段中被查看,并且叼控制后域流转过程中该隙私信息分量只能被转发、契制.传播控制操作集合叫=（U/O”红制,转发;。/%，转发,修改）我示隐私伯恩分量“北京市消防局“先后被唯标识为，/名和WDZ的用户访问和操作过，其中"W/,复制，转发”表示隐私信息分琏“北京市消防局“被用户。/历执行了H制、粒发的操作：当该除私信息分出传播至用户山6则被执行了转发和修改的操作.Ha.*ce个州0的鲤序.anxftfc<rMfiu,t内女星左看入假M险，。I口MS介乂"冷A<HfHWta*赠的NJKJ<r<*er-(1KW22<.)1.-(r)«i-(X1.04),"(wo1.axffw.55用化也电2rRziu力.AtniiKwttWtt*ntt*c.依例龄人AK代我门、钎%6大过失夕龊rmx火.ma><<f.怅4介4不负<1m*Mh0omm4n<.纥次火灾i阴是任贝IiWi1.1.UI.电权用Nir¥次Mi卡墓.1次-18，KftMft*11.ftM*ii%*k9V*tt"但育人假“*总*火帽新城火火事皎秀的U宣ftWttftA<4MrKKM4AMA食KrItAUffN公k曲曲及A><>9RHttRMZ<*<IMA*eXANMtt*W<MeM文火得失H五S假M*WK*VTtVi,入4ni"W1."帽"aKM欠化中。野，麴父尸图A.2Woai文档隐私信息描述生成结果A.4图片类隐私信息描述生成示例A.4.1隐私信息向量图片中的隐私信息向M生成过程如下：a）在图片分享过程中，图片持有者使用EXirrO01、exifread等开源工具/函数库读取图片EXIF数据中的拍摄时间、拍摄经绊度、焦距等敏感信息：b）通过图像处理算法识别图片像素区域中的敏感内衣.例如：一张图片同时出现张三和李四在医院门口下私家车，图片拍摄者为张五。其中，张三人脸、李四人脸、私家车车牌、医院标识即为敢超内容：c）符识别的敏感内容作为隐私信息分量（张三人脸、李四人脸、私家车车牌、医院标识）存储在EXif信息的IFD（ImageKi1.eDirectory）结构的自定义区域，命名为息分量信ivacyInfoEntry中。A.4.2约束条件集合图片中的约束条件集合生成过程如下：a）可通过一些外在信息判定敢感信息的约束条件，例如，图片像索的张三人脸区域、李四人脸区域、私家车车牌号区域、医院标识区域,访问者-访问客体信息Y=«张五,私家车车牌号区域赵六.医院标识区域>约束条件：b）可通过ExifToo1.、exifread等开源工具/函数库，将约束条件写入Exif信息的IFD结构自定义区域中的约束条件ConstraintEntryt1.,.A.4.3隐私属性向量图片中的隐私属性向Ia生成过程如下：a）通过图片内容私检测算法、合影人员亲密度检测算法等工具识别私家车车牌号区域、张:.人脸区域、赵四人脸区域、医院标识区域的敏感程度：b）根据用户的吃私需求设巴图片像素的私家车车牌号区域的隐私级别为IqVeI1：张三人险区域.赵四人脸区域的隐私级别为1.eVe1.2：医院标识区域为1.eVeI3：C）通过EXirrg1、。Xifread等开源工具/函数库，写入在EXif信息的IH）结构的阳私属性向量PriVaCyRtribuCiOnEntry中。A.4.4广义定位信息集合图片中的广义定位信息集合生成过程如下:a）通过图像分割算法标记图片像素的张三人脸区域、李四人脸区域、私家车车牌号区域、医院标识区域,将每个区域的坐标、位置等元数据存储的EX1.FEn1.ry名称等广义定位信息：b）通过ExifToo1.,CXifrCad等开源工具/函数库,将这叫广义定位信息记录在Exif信息的IFD结构的广义定位信息1.ocatiOnEntry中.A.4.5审计控制信息集合图片中的审计控制信息集合生成过程如Ma）招用户对图片中张三人脸区域、李四人脸区城、私家车车牌号区域、医院标识区域等除私（S息的复制、转发、谑镜、套切等操作进行记录：b）通过EXifTo。1、exifread等开源工具/函数库，将记录写入IFD结构的审计控制信息AUdi1.EntrytP,审计控制操作AuditEnIry下可以设置子IFD.用于动态扩充后续审计控制操作集合：C）当出现违规行为时，可通过定制程序读取所有审计控制操作,通过比对隐私佑息的约束条件进行违规行为判定，A. 4.6传播控制操作集合图片中的传播控制操作集合生成过程如下:a）将图片像素的张三人脸区域、李四人胎区域、私家车车牌号区域、医院标识区域的转发、删除、女制等传播操作进行记录：b）通过EXifToO1.eXifread等开源工具/函数库.记录在EXif信息的IFD结构的传播控制操作Contro1.Entry,传播控制操作Contro1.Entry下可以设置子】FD,用于动态扩充后续传播控制操作集合；c）在图片分享过程中，通过定制程序读取Con1.ro1.En1.ry信息，并根据传播控制信息对图片的传播进行拄制：d）根据已有的传播控制操作集合和的束条件集合，结合当前文档操作者的意聊,写入新的传播控制操作分疑，生成新的传播控制操作集合。例如，当前的传播控制操作集合甲=1.,2.3）.假设当前持有者想要隐私信息分量“医院标识”只能被受制、转发，则可新增一个传播控制操作向量,=（行发更制），生成新的传播控制操作=（v2,3rjn附录8（奥科性）迭代延伸控制示例B-1概述迭代廷伸控制,通过延伸控制策略的协同，确保不同陷私信息处理不能对接权到的隐私信息提供合适的保护能力，避免因数据流通与共享导致私池正,迭代延伸控制主要包括迭代控制策略生成、控制策珞UJ控传递、控制策略动态调整、控制策珞Ur信验证等环节。延伸捽制策略根据隐私信息所有拧或隐私信息提供者的拄制意图、当前健私信息使用者的控制约束和隐私信息接收齐的隐私保护能力等因素生成.延伸控制策略在全生命周期中是动态调整的，H班存防私信息可步流转传递，迭代廷伸控制制穿于随私信息从收集到删除的全过程.此外，在数据流通与共享过程中，需要对其关联的比伸控制策略进行存证，以支撑迭代料伸控制的合规审查、异常溯源.数据交易场故下的信息脱质迭代延伸控制流程如图从1所示，具体表述如下：a）的私信息提供者A,通过数据交易流程将包含延伸控制策略的陌私信息集合传递给隐私信刖接收者B。因为延伸控制策略中脱敏控制约束，B接收到的信息业小于等于A原始信息的信息量：b）隐私伯息接收者B,根据A传递的延伸控制第略对数据集诳行脱械、使用、存储等掾作。当B向私信息接收者C和D分别提供附和信息时，根据C和D的应用场景、胞私保护傀力等因索，更新生成新的比伸控制策略，井防数据集交付给CHm.OC和D本地脱敏后信息Ift一致,但由于延伸控制策略内容的不同,导致可实际使用的信息最不一致：2）由于脱敏策珞的不同，C和D本地脱敢后信息累不一致.c）C和D后续的数据交易流程，以此类推“«e«>UCJaUI1.1.UuJC*卜三B.I脱敏延伸控制流程示意图B. 2海私信息全生命周期中的迭代延伸控制本节通过数据交易场景示例（如图Bj所示），介绍迭代延伸控制在隐私信息全生命冏期中从收集到删除的过程中所发挥的作用。a）收集操作,因私信息收集拧A以六元组的形式描述采集原始隐私信息,生成隐私信息描述.隐私佰息描述包含初始的延伸控制策略,例如：除私信息描述六元组中的传播控制操作集合，可对该陞私信息的共享范例诳行约束；b）脱敏操作,隐私信息收集者A根据隐私信息描述、应用场景等因素，生成延伸控制策略,并据此对原始隐私信息进行场景自适应的按需脱敏：C）存储便作，验私信息收佻者A可根据陷私信息所有者要求的存储时间、删除方式等生成曲除相关的延伸控制策略，保障隐私信息所干j者的删除权：d）使用操作，隐私信息收集者A在延伸控制策珞中的使用约束下，对隐私信息进行受控使用：e）交换探作，R&私信总收佻者A和陪私信息接收者B启动数据交易流程.A根匏隐私数据模态、应用场景以及唠和信息接收方B的I®私保护能力等因素，调整更新延伸控制策略，并执行控制策略UJ控传递,将隐私信息及延伸控制策略交付给B。B通过数据交易流程,结合延伸控制策略,可符数据分别转售于C和D.后续的数据交易流程以此类推：f）删除操作，皓私信息收集者A收到障私信息所有者的删除请求，通过迭代廷伸控制机制，通知B、C、D,以及其他相关的随私信息处理者采取合适的刷除方法,州除相关的蒯除对飘.B.3脱敏延伸控制脱敬廷伸控制关注除私信息跨域流转场景3相关隐私信息处理者对接收到的原始隐私信息开展脱坡操作管理和控制工作.包括脱敏延伸控制策略的生成、脱敏延伸控制策略的可控传递、脱敏延伸控制策略的动态谓整、脱敏延伸控制策略可信验证等步骤.其过程如图B.2所示。实现脱械延伸控制的关键环节如下；a）脱敢延伸控制策珞的生成：D当个人信息源域接收到用户的脱敏需求时,通过陶私信息所有拧或前序隐私信息提供者导入脱敏需求,明确脱敏数据范围、脱敏目的、敏感估息类型等关谨要素，井利用除私信息流转历史记录，立询相关防私信息的流转历史，以确定脱取延伸的覆盖范围：2）基于查询结果.生成脱敏延伸控制策略.这一过程中.需明确脱敏算法选择.瓶被的详细要求,并执行初步的数据脱敏处理，为后续的脱敏延伸奥定基础.1）脱敢延伸控制策略的可控传递：1）采用消刖脸证码或数字签名等技术,对流转分发的隐私信息及其相关的脱敬任伸控制策略进行处理.保证在院私信息提供者和因私信息接收拧之间传递过程中的充整性、机密性、不可剥离性和不可抵赖性：2）当后继I邃和信息处理者接收到脱敢廷伸控制策珞吊，需要按照策略要求更新自身的处理策珞，并执行相应的脱政操作.C）脱敏延伸控制策略的可信脸证：1）采用逐级【可传机制.确保每个数据使用实体在正确执行脱械操作后，能铭返回不可伪造的可信骆证信息：2）隐私信息所有者负责收集并分析这些险证信息，确保整个脱故延伸过程的可犯性和有效性：3） 一旦完成所有验证，形成此次脱敏延伸控制事件的闭环.确保整个过程的可追溯性和可审计性.”居”?有国包MM*QGH1.目包N1第图B.2脱敏延伸控制流程示意图d）脱敏延伸控制策略的动态调整：1）在媵故延伸控制策略传递和执行过程中，若发现任何异常或不符合预期的情况.如策略传递失败、验证信息回传异常等，需要立即启动动态调整机制；2）根据异常信息,对脱椒延伸控制策略进行必要的脩改和调整，以确保整个脱敏延伸过程的顺利进行：3）通过通知重传、策略更新等手段.确保所有相关数据使用实体能师及时接收到最新的脱敏延伸控制策略.并执行相应的怫作：-1）当继续往后序或私信息接收者共享信息时，股统延伸控制策略的动态调整过程依次类推。B.4删除延伸控制按需州除是实现E个人信息保护法？规定的捌除权的技术手段。个人信息源域（即收到盼私信息所有者州除请求的除私信息处理r）.根据隐私信息所有者针对此次隐私信息刷除的删除意图,生成隐私信息删除通知,保证所有相关的隐私信息处理者（即存储核删除对飘的隐私伯息刷除者）能安全可信地收到捌除通知，并对删除对思执行删除操作，实现隐私信息的完备删除，其过程如图B3所示,实现删除延伸控制的关键环节如下：a）刷除延伸控制策略的生成：D个人信息源域接收用户的删除意图，导入删除意图,利用隐私信息流转历史记录，查询相关捌除对望的流转历史（即数据共享情况）,确定捌除通知他国，确保删除通知在全域内的可达性：2）以州除通知范用为基础牛.成刷除近伸控制策略,选择删除方法,执行删除操作，以实现数据及其副本全面删除.b）删除延伸控制策珞的可控传递：1）以消息骁证码、数字签名等密码学为技术手段，根据删除通知苞困生成州除通知流转树，确保除私信息流转树上的数据使用实体能够正确解密删除通知及其相关信息,并仅能解密当前数据使用实体的后续数据使用实体信息：2）实现陷私信总流转树上数据使用实体的州除延伸控制，同时在删除通知过程中实现通知传递可控；3）后绯隐私信息处理者在接收到蒯除比伸控制策珞及删除对象后,更新策略并选择刑除方法、执行数据删除等操作.c）删除延伸控制策略的可信脸证：1）除私信息所有者设置删除意图，包括但不限尸：删除对象、删除时间、州除等缎、州除粒度等：2）以删除延伸控制策略生成、可控传递为基础.酬除通知可信脸证实现删除通知的完备性，刷除延伸控制策略的可信脸证基于消息验证码、数字签名技术,采用逐级回传机制传递验证信息；3）数据使用实体在正确接收并斛错得到相关数据捌除信息后，回传不可伪造的可信验证信息.同时将不可伪造验证信息反馈给删除效果评估.进行后续操作：4） Ra私信息所有者完成删除通知过程全程的验证,形成此次删除延伸控制事件用环，d）刷除延伸控制策略的动态调整：1）在删除延伸控制策略传递、删除延伸控制策略执行可信5金证回传过程中,以及在陷私信息所有者对可信验证结果未通过的情况下,根据捌除延伸控制策略传递异常信息、可信验证信息回传异常信息以及可信裟证结果失败信息，对删除通知全生命冏期中的异常行为进行动态调整修改：5） 通过采用通知里传等手段确保删除通知过程的可靠性、全面性、安全性和完备性.一-SS-电KGBO尼电信处即不M9dtMBtKIr2MMrnn<m*M5域修aMStUWKtf国9*#貌0*<WH4.目r»MV图B.3州除延伸控制流程示意图附录C（奥料性）出行服务应用场景示例C. 1概述本附录针时出行服务应用场景，描述了出行服务中隐私信息保护的流程，具体包括隐私保护使用者的收集、存储、使用、脱敏等环节，如图C.1所示。本示例体现了隐私信息使用者按需脱敏的过程.图C.1出行服务应用场景下隐私信息全生命周期的讨算操作流程示意图C.2出行旅务中的隐私信息处理的私信息使用者对IS和信息的计算操作流程具体如下：a）收集，出行服务场第中,出行APP采集的用户数据包括用户位置,用户目的地、用户选路偏好等.如果是注册用户.额外采集的用户数据包括用户名、手机号、亲情手机号、车牌号等，流程步骤对应图C1.中隐私信息全生命周期的计算操作流程的步骤：b）存储，这些信息收集后，将存储记录到出行服务商的云服务祥，以便后续Ur以H接按用户偏好和现状提供服务,例如高速优先设置、不同时间段的常去目的地、每H限行提醒、紧急救援通知等等，流程步骤对应图C.I中脸私信息全生命周期的计算操作流程的步骤：c）使用，用户打开出行APP,无论是用户位置、用户目的地等实时采集的用户数据，还是用户选路的好、用户名、手机号'车牌号等已经存储的用户数据.将送至使用操作,与云服务器上的地图数据一起结合,为用户提供用户定位、周边的信息提醒：如果用户己开启出行.服务,将会持续使用用户位过信息，为用户持续播报路况信息、更优的选路信息，流程步探对应图C1中隐私信息全生命周期的计蚌操作流程的步躲：d）存储，用户出行过程中会在某些事件节点产生计算结果.例如某时刻途径用户指定的途径点、在区间限速路段的平均时速等等，这些数据需要送往出行眼务而云服务器进行数据记录操作，以便后续的统计查询、全程概况回顾。流程步骤对应图C.1中隐私信息全生命周期的计算操作流程的步骏：e）脱敏.出行服务完成后，按E个人信息保护法的要求去标识化（脱敏）,可留存用于行驶途径的路况分析;或者不去标识化,但将记录的数据迸行泛化处理（脱敢），可留存用于用户使用情况的统计分析.流程步骤对应图c.1中Iig私信息全生命周期的计算操作流程的步骤：f）存储，出行服务过程记录的信息脱缴后，存至出行服务商的云限务器，流程步骤对应图C.1中除私信息全生命周期的计算操作流程的步骤。附录D（奥料性）信用计算应用场景示例D1.概述本附录针对信用计制应用场景，描述了若系统联合的隐私估息保护的流程,具体包括隐私信息提供者的收篥、存储、交换、存证与取if等环节，融私信息使用者的收集、脱敏、存储、使用、存证与取证等环节，如图D.1所示。图D.1信用计算应用场景中隐私信愿全生命周期的计算操作流程示意图D.2的私信息所有者或隐私信息提供者的计算操作D. 2.1收集在信用计算应用场第中，陌私信息提供者收柒除私信息所有者的原始数据（含I®和信息.,包括但不限于以下内容：a）用户行为数据，包括电商交易数据、互联网金融数据、社交数据、自主提供数据等：b）信贷交易数据，包括借贷账户数据、借贷交易还款数据等：c）非信贷交易数据，包括电信数据、公共小业微费数据等；<1）公共信息数据，包括欠税信里、民事祓决信息、强制执行信息、行政处罚信息等.D.2.2存储隐私伯恩提供者对收集到的用户原始数抵（含隐私估息）进行安全高效存储,保证隐私信息的机密性、可用性、完整性。D.2.3交换私信息提供者从存储中获取原始数据（含防私信息）交换到总私信息接收者，以确保信用计算的准确性，交换操作可以具有以卜安全机制：a）可信执行环境.针对蹈系统联合的隐私信息保护安全需求.交换操作在可信执行环境中执行：b）密钥安全合成，在可信执行环境中，采用多万卷马的法于密钥材料与可信执行环境预存秘密的密钥安全合成技术合成传输密钥,用于数据加密,确保盼私信息的机密性：c）安全传输协议，确保隐私伯息的认证性、完成性和来源真实性.D.2.4存证与取证对上述收集、存储、交换操作进行定制化的操作记录生成和存储.并响应用户的证据查近请求，返同生成的证据,支推除私保护合规审计，以及陷私侵权行为溯源与迫责.D.3隐私信息接收者或隐私信息使用者的计算操作D.3.1收集胞私信息接收者从除私信息提供者攸集用户的原始数据（含隐私信息），收集操作马的私信息提供者的交换操作相对应，可以具有以p安全机制：a）可信执行环境针对聆系统联合的隐私信息保护安全需求.收集操作在可信执行环境中执行：b）密钥安全合成，在可信执行环境中，采用多方参与的基于密钥材料与可信执行环境预存秘密的密钥安全合成技术合成传输密钥,用于数据解空，确保防私信息的机密性：c）安全传输协议，确保隐私信息的认证性、完成性和来源真实性.D.3.2脱敏在数据使用的,隐私信息接收者需对原始数据进行脱敏,脱敏操作需满足以下安全需求：a）按缁脱般.按照信用计算场景的脱收捽制策略选择合适的脱敏算法进行险私信息脱敏脱敏算法满足用户标识匿名化的安全需求,同一个人在同一信息系统中，1"1一类型数据在一定时间范用内的相同属性被置换为不同乱码，单向不可逆：b）可信执行环境针对吃私信息接收者不可信的安全需求.脱敏过程在可信执行环境中执行.D.3.3存储除私信息接收者时脱敏后的陟私信息进行密态数据的安全薪效存储,在脱敏数据检索过程中，尚考虑满足上述标识化佶息随机徨乱存储的检索方法，以确保检索数据的准确性.D.3.4使用在使用操作环节,针对信用计算模型幼人参数需求.晦私信息使用者对脱敏后的隐私信息进行归一化处埋,即使用归一化玩识售换随州混乱标识，并基于信用评分模型、反欺诈模型、行为风险评分模型、预授信模型等伯用计算模型完成信用评估.D.3.5存证与取证对上述收集、脱敏,存储、使用操作进行定制化的操作记录生成和存谛,并响应用户的证据含询谕求，返回生成的证据，支撑除私保护合规审计，以及验私侵权行为溯源与迫货。