張華

摘 要： 基于電子政務(wù)用戶希望保持互聯(lián)互通的部署，并使用先進的政府電子服務(wù)，同時保持對個人信息的控制權(quán)，提出了輕量級且準(zhǔn)確的隱私策略，通過利用現(xiàn)有的政府層次結(jié)構(gòu)，提供了一種能夠支持不同數(shù)據(jù)需求和處理服務(wù)提供者請求的多層方法，可以通過合并隱私權(quán)政策和偏好文件來實現(xiàn)。將此方法合并到電子政務(wù)環(huán)境中將減少由于包含隱私策略文件而帶來的管理工作量，并促進實施和提供以用戶為中心和數(shù)據(jù)隱私意識的電子服務(wù)。案例研究結(jié)果表明，提出的分層方法可以減少政府管理文檔的工作量，同時促進用戶隱私信息的保護。

關(guān)鍵詞： 電子政務(wù); 隱私策略; 層次結(jié)構(gòu); 隱私偏好

中圖分類號： TP 399 ? ? ?文獻標(biāo)志碼： A

Abstract： The electronic government users want to keep the connectivity of the deployment， and use the advanced electronic government service， and maintain control of personal information. Thus， the paper puts forward the lightweight and accurate privacy policy through the use of the existing government hierarchy to provide a way of multilayer method to support different data requirements and processing service. It can be done by combination of privacy policy and preference file. This approach is incorporated into an e-government environment to reduce the administrative workload associated with the inclusion of privacy policy documents and facilitate the implementation and provision of user-centric and data-privacy aware electronic services. The results of the case study show that the proposed hierarchical method can reduce the workload of government management documents and promote the protection of users privacy information.

Key words： e-government; privacy policy; hierarchical structure; privacy preference

0 引言

信息和通信技術(shù)的廣泛擴展和互聯(lián)網(wǎng)絡(luò)的普遍部署，以及面向服務(wù)的體系結(jié)構(gòu)使得能夠組成和提供交互式和個性化服務(wù)，已經(jīng)為當(dāng)前科技帶來了與安全性、可靠性、隱私性和信任相關(guān)的全面挑戰(zhàn)。它們不僅應(yīng)該具有內(nèi)置的隱私和安全性，而且還應(yīng)該使用戶能夠理解信息、服務(wù)和安全級別的可靠性并做出明智的決策。隨著各國政府逐漸脫離組織間模式，將重點放在協(xié)作和面向服務(wù)的模式上，解決有關(guān)數(shù)據(jù)隱私、防止濫用等關(guān)注的問題上。因此，在隱私性和開放性需求之間取得適當(dāng)?shù)钠胶馐侵陵P(guān)重要的。

我國從2002年開始就提出了“一站、兩網(wǎng)、四庫、十二金”為主體的電子政務(wù)框架。有關(guān)電子政務(wù)的研究也相繼為該行業(yè)帶來良好的改變。文獻[1-2]中提出了具有隱私意識的電子政務(wù)環(huán)境，可以提供可互操作的以用戶為中心的電子服務(wù)，同時使用戶能夠保留對其個人數(shù)據(jù)的控制權(quán)。文獻[3]探討了在現(xiàn)代電子政務(wù)環(huán)境中體現(xiàn)隱私策略和隱私偏好文檔的概念，以在保護用戶隱私的同時推進和簡化電子服務(wù)的提供。通過隱私策略文件，每個服務(wù)提供商都會對所需信息、請求的目的、使用信息的方式[4]以及向誰披露信息提供正式的公眾參與方法。

本文從服務(wù)提供者的角度出發(fā)，闡述了如何制定連貫而準(zhǔn)確的隱私策略文件，同時又要保證其符合基本的法律和監(jiān)管框架。通過利用現(xiàn)有的政府層次結(jié)構(gòu)，提出了一種能夠支持不同數(shù)據(jù)需求和處理需求的多層方法，該方法包含特定規(guī)則和XML元素，從而使服務(wù)提供者可以制定符合要求的輕量級文檔。通過定義良好的XML模式將隱私策略和隱私偏好文檔合并在一起，有助于為用戶和服務(wù)提供者（Service Providers，SP）建立一定程度的數(shù)據(jù)隱私保證，這樣的部署促進和簡化了電子服務(wù)的提供過程，同時允許用戶根據(jù)自己的喜好和需要保留、控制和修改其個人數(shù)據(jù)隱私特征?；谶@樣的體系結(jié)構(gòu)，電子政務(wù)環(huán)境可以擴展其執(zhí)行服務(wù)的能力，以實現(xiàn)滿足公民需求的服務(wù)，促進不同用戶群體對電子服務(wù)的進一步利用[5-6]，并最終建立對涉及敏感個人信息的電子政務(wù)應(yīng)用的信心。

1 電子政務(wù)環(huán)境中的隱私控制器代理

數(shù)據(jù)主體通過為每個數(shù)據(jù)項或組指定細(xì)粒度的隱私偏好來同意使用其個人數(shù)據(jù)[7-8]。通過此過程，數(shù)據(jù)主體有權(quán)根據(jù)決定撤銷先前已 授予數(shù)據(jù)收集者使用其個人數(shù)據(jù)，或構(gòu)成不再有效訪問某些數(shù)據(jù)項或組的權(quán)利。該架構(gòu)的設(shè)計基于中央門戶的現(xiàn)代電子政務(wù)環(huán)境結(jié)構(gòu)，屬于一站式服務(wù)，是每個服務(wù)提供商的前端。通常，此門戶為每個服務(wù)提供者實現(xiàn)身份驗證和注冊過程或合并聯(lián)合身份管理基礎(chǔ)結(jié)構(gòu)。除了這些權(quán)限之外，還引入了一個新的實體，稱為隱私控制器代理（Privacy Controller Agent，PCA），它負(fù)責(zé)存儲和比較服務(wù)提供商的隱私策略和用戶隱私偏好文檔。隱私控制器代理架構(gòu)，如圖1所示。

隱私控制器代理由兩個主要單元組成，即管理點和決策點。管理點由兩個存儲庫組成，這兩個存儲庫負(fù)責(zé)保留每個服務(wù)的隱私策略（A）和每個用戶的隱私偏好（B）。當(dāng)一個SP將電子服務(wù)注冊到中央門戶網(wǎng)站（Central Portal，CP）時，除了要求提供必要的信息之外，還應(yīng)根據(jù)基礎(chǔ)的互操作性框架，強制提交相應(yīng)的隱私策略[9-10]。

由于SP通常會提供許多不同的電子服務(wù)，因此必須為每項服務(wù)提交單獨的隱私策略。隱私文檔明確規(guī)定了提供服務(wù)所需的數(shù)據(jù)、目的、處理方式、數(shù)據(jù)保留時間以及是否將其傳達給另一個SP。提交后（操作i），隱私控制器代理會驗證該策略的來源并將其存儲在策略存儲庫中。

類似地，當(dāng)用戶注冊到中央門戶網(wǎng)站時，還需要他們提交其隱私偏好[11-12]。由于隱私偏好涉及用戶的個人數(shù)據(jù)，所以與用戶將使用的服務(wù)沒有直接關(guān)系。因此，用戶僅需提交一份適用于每種電子服務(wù)的文件。

2 隱私策略多層方法

2.1 分層隱私策略

在電子政務(wù)環(huán)境中，數(shù)據(jù)被構(gòu)造為不同的抽象級別，并且服務(wù)提供商在被要求提供電子服務(wù)時具有不同的數(shù)據(jù)需求和處理請求，這些需求和請求可能彼此不同，但它們也受到相應(yīng)的部門限制約束，并受到法律要求的約束。

因此，從建模的角度來看，對于給定的電子服務(wù)，隱私策略文檔遵循并遵守以下層次結(jié)構(gòu)，其中每個箭頭表示進一步的概括級別;電子服務(wù)→服務(wù)提供商→部級部門→中央政府。本文用PCG表示中央政府的隱私策略要素，將PMD表示部級部門的隱私策略要素，將PSP表示服務(wù)提供商的隱私策略要素，將PES視為電子服務(wù)的私隱政策元素。因此，可將PES視為PSP的真子集，將PSP視為PMD的真子集，并將PMD視為PCG的真子集，如式（1）。

當(dāng)轉(zhuǎn)向超集時，對于元素的規(guī)范需考慮不同的抽象級別。例如，PCG將包含有關(guān)個人身份證號碼的元素;根據(jù)基本的法律和法規(guī)框架，身份證號碼屬于個人標(biāo)識符（PId）類別，因此應(yīng)將其視為機密數(shù)據(jù)。因此，PCG聲明在處理和存儲期間應(yīng)將身份證號碼視為機密數(shù)據(jù)。

在下一個抽象級別，PMD同意將身份證號碼歸類為PId，并且僅指定為特定的部級部門可以將其保留特定的時間。繼續(xù)向下移動到更低的超集級別，PSP指定它是否會被特定的服務(wù)提供商處理，以及如何處理。根據(jù)電子政府的環(huán)境和中央政府的結(jié)構(gòu)（單一制、聯(lián)邦制），認(rèn)為，集合和子集的數(shù)量可能會有所不同。

2.2 隱私策略的形成

根據(jù)以上介紹的隱私控制器代理（PCA）的體系結(jié)構(gòu)，當(dāng)PCA收到用戶的電子服務(wù)請求時，必須檢索兩個文檔并進行相互比較。（1）用戶的隱私偏好;（2）電子服務(wù)隱私策略。

第一個文檔由用戶提交并存儲在偏好存儲庫中;第二個文檔由服務(wù)提供商提交（專門針對每種電子服務(wù)），并存儲在策略存儲庫中。

考慮到層次結(jié)構(gòu)方案和確定的適當(dāng)方法作為子集，中央政府發(fā)布了通用的隱私策略文檔[13-14]，該文檔廣泛地描述了如何根據(jù)Level 1的基礎(chǔ)法律和法規(guī)框架來訪問、處理和存儲特定的數(shù)據(jù)類型。

隨著逐步降低層次結(jié)構(gòu)，可以得到隱私策略文件是從特定的部級部門（Level 2）發(fā)行的，然后從特定的電子服務(wù)（k級）發(fā)行。每個級別都會對先前接受的信息進行確認(rèn)，如果需要，還包括數(shù)據(jù)訪問、處理、存儲和保留期的更明確表述。隱私策略文件創(chuàng)建的示意圖，如圖2所示。

根據(jù)電子服務(wù)供應(yīng)商和政府架構(gòu)的不同，每個文檔中對先前級別的引用次數(shù)可能會有所不同。在任何情況下，所有文件都必須強制性地包含對較高級別的引用，因為它包含對基本法律和法規(guī)框架的表示[15-16]。

為了確保將隱私要求無縫過渡到較低級別，定義了以下強制性規(guī)則，這些規(guī)則與所建議的方法一起使用。

規(guī)則1：隱私策略文檔中的每一個都必須遵守Level 1文檔要求;

規(guī)則2：隱私策略文檔中的每一個都必須包括對Level 1文檔的直接或間接引用;

規(guī)則3：隱私策略文檔中的每一個都可以引入新的規(guī)定和條款，只要它們與現(xiàn)有規(guī)定不抵觸即可。

2.3 方法評估

應(yīng)用電子政務(wù)中隱私策略的分層方法可促進電子服務(wù)的互用性以及對基本法律和法規(guī)框架的遵守。對于任何可能發(fā)生的更改，不僅可以視為一個控件，而且可以視為一種強制機制。新引入的立法修訂通常不會無縫地傳播到相應(yīng)的電子政務(wù)服務(wù)中;每個服務(wù)提供商必須執(zhí)行適當(dāng)?shù)男薷?，而這些修改需要花費時間和精力才能有效地完成。無論這種變化是否發(fā)生，部級部門和服務(wù)提供者都不能偏離上級規(guī)定和條款，從而確保全面合規(guī)[17]。

在所提出方法的部署過程中必須解決的重要問題，是使用XML模式以及創(chuàng)建和管理支持層次結(jié)構(gòu)方案的XML文檔。提出面向電子政務(wù)環(huán)境的新模式是一條有前途的道路，然而，該模式的部署帶來了兼容性、評估和更新過程的挑戰(zhàn)。除此之外，根據(jù)環(huán)境的不同，還可以探索其他數(shù)據(jù)交換格式，特別是XML格式，因為與JSON相比，XML被認(rèn)為對數(shù)據(jù)傳輸速率和性能具有重大影響。該方法的一個缺點是引入了中央門戶的工作量和計算成本，因為對于每個電子服務(wù)請求，PCA都必須對所有引用的策略文檔執(zhí)行根返回檢索[18]。

如果更高級別的隱私策略文檔發(fā)生了變化，則將通知PCA撤銷所有相關(guān)文檔。同樣，如果電子政府進行組織重組，則PCA也必須撤回所有受影響的文檔。

3 案例研究

為了證明所提出的方法在現(xiàn)代電子政務(wù)環(huán)境中的適用性，研究了一個案例，其中將隱私策略層次結(jié)構(gòu)并入了電子政務(wù)環(huán)境。該框架的主要目的是為訪問所有提供電子服務(wù)的通用身份驗證和注冊機制提供支持，這是通過一個中央門戶網(wǎng)站實現(xiàn)的，該門戶網(wǎng)站是一站式商店，為公民提供了SP的所有電子服務(wù)的通用接口。該框架的主要特征是為每個服務(wù)提供者提供統(tǒng)一的注冊和身份驗證過程，并根據(jù)所需的身份保證和數(shù)據(jù)保護級別將服務(wù)劃分為若干個信任級別。

3.1 年度車稅電子服務(wù)

每名車主須就每輛在其名下登記的車輛繳付每年的車輛稅（Annual Vehicle Tax，AVT）?？偠愵~是根據(jù)車輛的二氧化碳排放量、發(fā)動機尺寸和生產(chǎn)日期計算的，并與年度所得稅分開支付。

電子服務(wù)由信息系統(tǒng)秘書（General Secretary of Information Systems，GSIS）提供，GSIS在財政部的授權(quán)下運作，適用的層次結(jié)構(gòu)[19-21]，如圖3所示。

要成功完成電子服務(wù)，用戶必須提交車輛牌照。GSIS會驗證數(shù)據(jù)的準(zhǔn)確性，并生成一張收據(jù)，其中包含車主的姓名、車輛的牌照以及要支付的稅額以及唯一的付款識別碼，該標(biāo)識符將由支付款項的銀行機構(gòu)使用。

3.2 陷私政策

出于本案例研究的目的，基于文獻[8]中介紹的屬性和元素，在簡單的XML模式中準(zhǔn)備了必要的隱私策略文檔，該模式由簡單的元素以及一些屬性組成，試圖以結(jié)構(gòu)化的方式描述嚴(yán)格的隱私策略。

本節(jié)中提供的文檔僅包含有關(guān)個人標(biāo)識符的信息以及成功完成AVT電子服務(wù)所需的數(shù)據(jù)。每個文檔都包含一個根Privacy_Policy元素和一個Policy_ID元素，后者包含一個唯一的策略文檔標(biāo)識符，根據(jù)該標(biāo)識符可以實現(xiàn)對較低層次的引用，同時還包含一個Data元素。Data元素根據(jù)數(shù)據(jù)類型分為兩個子元素，Personal_Identifiers和Personal_Data。

與先前討論的文檔相比，可以識別兩個新引入的元素和。由于此文檔涉及的是一種電子服務(wù)，而不是一個部級部門，因此需要明確其范圍和提供該服務(wù)的SP。在這個文檔中，禁止傳播國家稅務(wù)標(biāo)識符（AFM）、車牌信息用于進行識別處理，而名稱也將用于標(biāo)識，但不會被存儲和保留。

4 總結(jié)

電子政府措施的成功與否，不僅取決于前廳的現(xiàn)代化程度，也取決于后廳流程的精簡、重組和支持。政策制定者和公共行政管理者的視角與電子政務(wù)的技術(shù)實現(xiàn)之間存在的差距和不一致，影響著電子政務(wù)的接受度和進一步發(fā)展。本文提出了一種簡單而有效的方法來制定一致且準(zhǔn)確的隱私策略，同時保持對基本法律和法規(guī)框架的遵守。通過利用現(xiàn)有的政府層次結(jié)構(gòu)，提出的多層方法能夠支持多樣化的數(shù)據(jù)需求和處理服務(wù)提供者提出的請求。作為分層模式的一個測試平臺以及支持文檔審計支持工具。將這方法納入電子政府環(huán)境，可減少因納入隱私政策文檔而帶來的管理工作量，并可促進以用戶為中心和保障資料隱私的電子服務(wù)的推行和提供。

參考文獻

[1] 舒小慶.論電子政務(wù)環(huán)境下網(wǎng)絡(luò)隱私權(quán)保護及立法對策[J].南昌航空大學(xué)學(xué)報（社會科學(xué)版），2010，12（4）：38-43.

[2] 李延暉，儲益周，池毛毛.二元論視角下企業(yè)策略與個人隱私保護效用關(guān)系研究[J].情報雜志，2020，39（2）：95-102.

[3] Drogkaris P， Gritzalis S， Lambrinoudakis C. Employing privacy policies and preferences in modern e-government environments[J]. International Journal of Electronic Governance，2013，6（2）：101-116.

[4] 梁曉丹.在線隱私政策對消費者提供個人信息意愿的影響機制研究[D].杭州：浙江工商大學(xué)，2017.

[5] 張廷嬌.基于電子政務(wù)視角的我國基層政府公共服務(wù)能力提升研究[D].蘭州：西北師范大學(xué).

[6] 楊金寶，馬寶澤，葉清.面向Android手機應(yīng)用程序的用戶隱私保護系統(tǒng)研究[J].計算機與數(shù)字工程，2019，47（9）：2206-2211.

[7] 陶靈靈，曹彥，張夢嬌.支持目的與信譽度的隱私偏好規(guī)約模型[J].計算技術(shù)與自動化，2018，37（3）：122-126.

[8] 陶靈靈. 隱私保護訪問控制模型規(guī)約方法研究[D].南京：南京航空航天大學(xué)，2018.

[9] 陳麗君. 社交網(wǎng)絡(luò)文本信息隱私策略預(yù)測的研究[D].杭州：杭州電子科技大學(xué)，2018.

[10] 鐘洪斌.智能型門戶網(wǎng)站助推政府公共服務(wù)效能提升[J].電子政務(wù)，2012（11）：106-114.

[11] 曾蘇夢，唐明董，劉建勛，等.隱私敏感的服務(wù)選擇方法[J].小型微型計算機系統(tǒng)，2017，38（12）：2741-2746.

[12] 馮昌揚.政府開放數(shù)據(jù)門戶網(wǎng)站隱私政策比較研究[J].數(shù)字圖書館論壇，2016（7）：52-56.

[13] 馬薇薇，姜家鑫，張銳.支持時間屬性的隱私需求建模與一致性驗證[J].計算機與現(xiàn)代化，2017（10）：100-104.

[14] 陳美.城市政府開放數(shù)據(jù)的隱私風(fēng)險及其技術(shù)控制策略[J].圖書館建設(shè)，2018（8）：16-21.

[15] 金超，張琳，王汝傳.一種移動社交網(wǎng)絡(luò)中的位置內(nèi)容分享方法[J].南京郵電大學(xué)學(xué)報（自然科學(xué)版），2017，37（5）：101-110.

[16] 牛曉磊，沈航，白光偉，等.啞元位置隱私博弈機制[J].小型微型計算機系統(tǒng)，2020，41（3）：610-616.

[17] 姜家鑫，黃志球，馬薇薇.滿足隱私需求的服務(wù)組合信息流控制方法研究[J].計算機科學(xué)與探索，2018，12（3）：370-379.

[18] 王進，黃志球.云計算中隱私需求的建模與一致性檢測[J].計算機研究與發(fā)展，2015，52（10）：2395-2410.

[19] 薛怡娜. 社交網(wǎng)絡(luò)形式化建模與驗證方法的實現(xiàn)[D].西安：西安電子科技大學(xué)，2018.

[20] 孫然. 基于應(yīng)用程序運行時行為的Android用戶隱私數(shù)據(jù)保護技術(shù)研究[D].北京：北京郵電大學(xué)，2018.

[21] 葛強. Web服務(wù)中基于本體推理的隱私保護研究[D].南京：南京航空航天大學(xué)，2014.

（收稿日期： 2020.04.15）