36、隐私模型与语言：访问控制和数据处理策略

隐私模型与语言：访问控制和数据处理策略

1. 引言

随着网络上个人信息的大量涌现，用户对隐私的担忧日益加剧，这也成为了阻碍他们使用互联网获取在线服务的主要因素之一。毕竟，用户都希望能在任何时候都不被他人掌控。在这样的背景下，隐私控制的概念应运而生，它主要涵盖以下三个方面：
- 通过控制对服务或资源的访问，确保信息达到预期的隐私保护水平。
- 管控为执行访问控制而披露的信息的二次使用。
- 处理相关隐私义务的特定管理，例如数据保留、数据删除和通知等。

在以隐私为导向的环境中，访问控制系统能够助力用户掌控自己的个人信息。不过，现有的访问控制解决方案需要进一步增强对隐私需求的支持能力，具体包括：
- 可互换的策略格式：各方需采用一种既便于人类阅读又能被机器识别的格式来明确数据保护要求，且这种格式应易于检查和互换。
- 交互式执行：评估阶段应提供一种交互式应用标准的方式，以获取准确的报告，同时可能需要处理复杂的用户交互，如接受书面协议和/或为每份报告进行在线支付。
- 元数据支持：具备隐私意识的访问控制系统应允许根据描述存储数据和用户（元）属性的元数据条件来设定访问限制。

传统的访问控制系统依据既定的规则（策略）来确定谁可以或不可以对哪些资源执行哪些操作，但这种系统存在局限性，无法满足上述需求。尽管近期的改进允许参考相关方和资源的通用属性/特性来制定策略，但这些系统并非专门为执行隐私策略而设计。此外，很少有方案尝试解决如何规范个人信息在二次应用中的使用问题。考虑到隐私问题，我们有必要重新审视授权策略和模型，并开发新的访问控制策略规范和执行范式。主要需要关注以下两个问题：
- 即使交互各方希望保持匿名或仅披露特定属性，访