数据匿名化:方法、架构与实现
1. 合适实现的要求
1.1 全局需求
目前大多数现有的隐私保护解决方案是基于经验开发的,通常只针对特定用途,且仅强化一种隐私属性。然而,细粒度的隐私保护往往需要与多种需求(如匿名性、假名性、不可链接性等)相关的复杂机制。
以法国的法规为例,为评估地区和国家的医疗活动,医生会将医疗和个人数据发送给“专业联盟”,这些数据是匿名的。但在特定情况下,该机构需要评估医生的行为和护理质量,这时就需要能够重新识别相关医生,这涉及到假名化处理。另外,对于一些疾病(如艾滋病、霍乱、狂犬病),需要通过法定通知进行监测,以评估公共医疗政策或触发紧急地方行动。对这些数据的处理(如预防、护理、流行病学分析)既需要匿名性,也需要可链接性。
随着当前系统和法律的不断发展和变化,迫切需要一种系统的方法论。这种方法论应具有通用性、可扩展性,并且能够轻松适应特定情况的要求。
1.2 系统方法论
传统的安全分析过程主要研究两个阶段:
- 需求阶段 :以需要满足的需求形式呈现。
- 响应阶段 :以功能和解决方案的形式呈现。
在推导匿名化解决方案之前,建议进行三个互补层次的分析:
- 匿名化需求 :代表用户的期望,通常其形式既不明确也不易形式化。
- 匿名化目标 :明确要达到的安全级别、需要保护的信息以及需要应对的隐私威胁等。
- 匿名化要求 :以明确的语义表达需求和
超级会员免费看
订阅专栏 解锁全文
885

被折叠的 条评论
为什么被折叠?



