基于隱私計算技術(shù)的公共數(shù)據(jù)開發(fā)利用管理規(guī)范Specificationsformanagementofpublicd2024-11-29發(fā)布2025-03-01實施上海市市場監(jiān)督管理局發(fā)發(fā)出布版I前言 Ⅲ 12規(guī)范性引用文件 1 14縮略語 25總體框架 2 25.2應(yīng)用框架 25.3參與方角色 35.4開發(fā)利用流程 36參與方運營要求 46.1數(shù)據(jù)需求方 46.2開發(fā)利用方 56.3公共數(shù)據(jù)管理方 56.4數(shù)據(jù)提供方 56.5平臺運營方 56.6第三方監(jiān)管機構(gòu) 56.7第三方評估機構(gòu) 67技術(shù)保障 67.1平臺能力 67.2數(shù)據(jù)安全 7.3系統(tǒng)安全 7.4跨平臺操作 6附錄A(資料性)基于隱私計算技術(shù)的公共數(shù)據(jù)開發(fā)利用參考案例 7參考文獻 8Ⅲ本文件按照GB/T1.1-2020《標準化工作導(dǎo)則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔識別專利的責任。本文件由上海市數(shù)據(jù)局提出并組織實施。本文件由上海市數(shù)據(jù)標準化技術(shù)委員會歸口。本文件起草單位：上海市大數(shù)據(jù)中心、交通銀行股份有限公司、復(fù)旦大學、上海交通大學、上海市司法局、上海市浦東新區(qū)數(shù)據(jù)局、上海市浦東新區(qū)大數(shù)據(jù)中心、上海市臨港新片區(qū)大數(shù)據(jù)中心、上海數(shù)據(jù)集團有限公司、國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心上海分中心、上海市信息網(wǎng)絡(luò)安全管理協(xié)會、上海市信息安全行業(yè)協(xié)會、上海計算機軟件技術(shù)開發(fā)中心、云賽智聯(lián)股份有限公司、上海觀安信息技術(shù)股份有限公司、上海安恒智慧城市安全技術(shù)有限公司、上海富數(shù)科技有限公司、上海錯崴信息科技有限公司、上海數(shù)字產(chǎn)業(yè)發(fā)展有限公司、上海數(shù)字安全科技有限公司、北京原語科技有限公司。本文件主要起草人：劉迎風、梁滿、王光中、韓偉力、袁晨、劉辰昀、倪雄、何怡、陳沐桐、汪瑜、楊昊、靳玲、郭曉陽、陳凌霄、董繼明、黃得志、吳金松、沈王恒、丁睿、傅行曉、戴沁蕓、劉春梅、王強、楊琳、1本文件規(guī)定了基于隱私計算技術(shù)進行公共數(shù)據(jù)開發(fā)利用的總體框架、參與方運營要求、技術(shù)保障。本文件適用于規(guī)范上海市基于隱私計算技術(shù)開展公共數(shù)據(jù)開發(fā)利用的管理工作。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T22239信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求GB/T35273信息安全技術(shù)個人信息安全規(guī)范GB/T39786信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求GB/T43697數(shù)據(jù)安全技術(shù)數(shù)據(jù)分類分級規(guī)則GB/T43709資產(chǎn)管理信息化數(shù)據(jù)質(zhì)量管理要求3術(shù)語和定義下列術(shù)語和定義適用于本文件。公共數(shù)據(jù)publicdata公共管理和服務(wù)機構(gòu)在依法履行公共管理和服務(wù)職責過程中收集和產(chǎn)生的數(shù)據(jù)。隱私計算privacy-preservingcomputation在提供隱私保護的前提下，兩個或多個數(shù)據(jù)提供方使用其私有數(shù)據(jù)共同完成計算任務(wù)的一種計算模式。參與方party參與公共數(shù)據(jù)開發(fā)利用的一個或一組法人或非法人組織。多方安全計算securemulti-partycomputation一種基于多方數(shù)據(jù)協(xié)同完成計算目標，實現(xiàn)除計算結(jié)果及其可推導(dǎo)出的信息之外不泄露各方隱私數(shù)據(jù)的密碼技術(shù)。2聯(lián)邦學習federatedlearning由兩個或以上參與方共同參與，在保障參與方各自原始數(shù)據(jù)不出其定義的安全控制范圍的前提下，協(xié)作構(gòu)建并使用機器學習模型的技術(shù)架構(gòu)?？尚艌?zhí)行環(huán)境trustedexecutionenvironment基于硬件級隔離及安全啟動機制，為確保安全敏感應(yīng)用相關(guān)數(shù)據(jù)和代碼的機密性、完整性、真實性和不可否認性目標構(gòu)建的一種軟件運行環(huán)境。4縮略語下列縮略語適用于本文件。API:應(yīng)用程序編程接口(ApplicationProgrammingInterface)SDK:軟件開發(fā)工具包(SoftwareDevelopmentKit)VPN:虛擬專用網(wǎng)絡(luò)(VirtualPrivateNetwork)5總體框架基于隱私計算技術(shù)的公共數(shù)據(jù)開發(fā)利用，指在符合法律法規(guī)要求的需求場景中，在授權(quán)范圍內(nèi)，以數(shù)據(jù)需求方、數(shù)據(jù)提供方、開發(fā)利用方、平臺運營方等作為參與方，依托公共數(shù)據(jù)開發(fā)利用隱私計算平臺(以下簡稱“平臺”),實現(xiàn)多方相互監(jiān)督下的多方數(shù)據(jù)融合應(yīng)用?；陔[私計算技術(shù)的公共數(shù)據(jù)開發(fā)利用應(yīng)用框架應(yīng)按圖1進行構(gòu)建。3數(shù)據(jù)需求方數(shù)據(jù)需求方需求申請服務(wù)結(jié)果公共數(shù)據(jù)開發(fā)利用隱私計算平臺全過程開發(fā)平臺運營方可信隱私計算環(huán)境全流程管理數(shù)據(jù)接入否資源平臺數(shù)據(jù)提供方公共數(shù)據(jù)管理方第三方評估機構(gòu)開發(fā)利用方專業(yè)評估計算資源監(jiān)管接入是圖1基于隱私計算技術(shù)的公共數(shù)據(jù)開發(fā)利用應(yīng)用框架在實際場景中，不同主體應(yīng)根據(jù)不同職責區(qū)分參與方角色，按需分配各參與方角色。主要參與方角色如下：a)數(shù)據(jù)需求方：對公共數(shù)據(jù)有需求的參與方；b)開發(fā)利用方：進行公共數(shù)據(jù)開發(fā)利用并提供數(shù)據(jù)服務(wù)的參與方；c)公共數(shù)據(jù)管理方：對平臺運營過程進行監(jiān)督管理的參與方；d)數(shù)據(jù)提供方：提供公共數(shù)據(jù)的參與方；e)平臺運營方：對平臺進行建設(shè)、運營及運維的參與方；f)第三方監(jiān)管機構(gòu)：對基于隱私計算技術(shù)的公共數(shù)據(jù)開發(fā)利用過程進行監(jiān)督、審查和審計等的參g)第三方評估機構(gòu)：在基于隱私計算技術(shù)的公共數(shù)據(jù)開發(fā)利用過程中提供價值評估、風險評估等服務(wù)的參與方?；陔[私計算技術(shù)的公共數(shù)據(jù)開發(fā)利用流程應(yīng)按圖2進行實施。4公共數(shù)據(jù)管理方公共數(shù)據(jù)管理方數(shù)據(jù)提供方開始場景審核服務(wù)上線服務(wù)上線審核服務(wù)使用結(jié)束第三方評估機構(gòu)數(shù)據(jù)需求方需求申請方案評估圖2基于隱私計算技術(shù)的公共數(shù)據(jù)開發(fā)利用流程基于隱私計算技術(shù)的公共數(shù)據(jù)開發(fā)利用的步驟如下。a)需求申請：數(shù)據(jù)需求方基于實際應(yīng)用需要，向開發(fā)利用方提出公共數(shù)據(jù)開發(fā)利用場景需求，包括c)方案評估：第三方評估機構(gòu)對場景需求、技術(shù)方案進行評估。e)融合加工：開發(fā)利用方在測試環(huán)境進行數(shù)據(jù)融合加工，對數(shù)據(jù)進行預(yù)處理。f)隱私計算模型開發(fā)：開發(fā)利用方進行隱私計算模型開發(fā)，并將模型構(gòu)建為數(shù)據(jù)服務(wù)。g)隱私計算服務(wù)調(diào)試：開發(fā)利用方部署所需的隱私計算節(jié)點，進行系統(tǒng)聯(lián)調(diào)。h)服務(wù)上線：開發(fā)利用方對數(shù)據(jù)服務(wù)進行自評估并提交數(shù)據(jù)服務(wù)上線申請，第三方評估機構(gòu)、公共數(shù)據(jù)管理方分別進行上線評估、審核，審核通過的數(shù)據(jù)服務(wù)在生產(chǎn)環(huán)境上線。i)服務(wù)使用：數(shù)據(jù)需求方使用數(shù)基于隱私計算技術(shù)的公共數(shù)據(jù)開發(fā)利用參考案例見附錄A。6參與方運營要求數(shù)據(jù)需求方的要求包括但不限于：5a)應(yīng)制定并實施數(shù)據(jù)安全管理制度，具備對公共數(shù)據(jù)開發(fā)利用結(jié)果進行保護的能力；b)需求申請時，應(yīng)基于應(yīng)用場景，按照最小夠用原則，提出數(shù)據(jù)應(yīng)用的場景需求，明確業(yè)務(wù)流程、技術(shù)要求和需要保護的數(shù)據(jù)對象；c)服務(wù)使用時，應(yīng)按照應(yīng)用場景對服務(wù)結(jié)果進行使用、二次加工，落實數(shù)據(jù)安全管理制度。6.2開發(fā)利用方開發(fā)利用方的要求包括但不限于：a)應(yīng)制定并實施技術(shù)方案風險自評估制度，制定風險應(yīng)對措施，避免數(shù)據(jù)計算中間值、數(shù)據(jù)服務(wù)結(jié)果等信息泄露，保障多個數(shù)據(jù)提供行為關(guān)聯(lián)后暴露約定范圍外信息的風險可控；b)方案對接時，應(yīng)評估數(shù)據(jù)需求方的數(shù)據(jù)安全防護水平，制定合理合規(guī)的技術(shù)方案；c)服務(wù)上線前，應(yīng)對算法邏輯、數(shù)據(jù)服務(wù)進行自評估，并由第三方機構(gòu)評審、評估，確保符合場景需求及隱私保護、數(shù)據(jù)安全等要求，并根據(jù)要求進行審核、備案，接受第三方監(jiān)管機構(gòu)的全過程監(jiān)管；d)服務(wù)上線后，應(yīng)對提供的數(shù)據(jù)服務(wù)進行數(shù)據(jù)使用管控和風險管控。6.3公共數(shù)據(jù)管理方公共數(shù)據(jù)管理方的要求包括但不限于：a)應(yīng)制定并實施公共數(shù)據(jù)開發(fā)利用隱私計算技術(shù)應(yīng)用的管理制度；b)應(yīng)對數(shù)據(jù)開發(fā)利用過程中的各參與方進行監(jiān)督、指導(dǎo)、管理；c)應(yīng)組織開發(fā)利用過程中場景需求、技術(shù)方案、服務(wù)上線的評審。6.4數(shù)據(jù)提供方數(shù)據(jù)提供方的要求包括但不限于：a)應(yīng)保證數(shù)據(jù)來源合法合規(guī)，可追溯；b)應(yīng)明確數(shù)據(jù)服務(wù)任務(wù)提供的數(shù)據(jù)范圍，并按照GB/T43697對數(shù)據(jù)進行分類分級管理；c)應(yīng)按照GB/T43709的要求加強數(shù)據(jù)質(zhì)量管理；d)應(yīng)會同公共數(shù)據(jù)管理方對應(yīng)用場景進行審核。6.5平臺運營方平臺運營方的要求包括但不限于：a)應(yīng)制定并實施平臺的運營管理制度、風險管理制度及安全管理制度；b)應(yīng)負責平臺建設(shè)及運維，為平臺提供計算資源及技術(shù)支撐，提供所需功能，負責全流程運營；c)應(yīng)實現(xiàn)與目錄鏈、本市大數(shù)據(jù)資源平臺等的對接，加強數(shù)據(jù)管理；d)應(yīng)對平臺資源進行管控、調(diào)度，確保平臺運行服務(wù)性能；e)應(yīng)對平臺中運行的任務(wù)進行監(jiān)控、分析，保障平臺中的各項服務(wù)平穩(wěn)運行；f)應(yīng)保障平臺的安全性，落實平臺各項安全管控措施；g)應(yīng)配合數(shù)據(jù)管理方及第三方監(jiān)管機構(gòu)，落實監(jiān)督、管理、審計要求。6.6第三方監(jiān)管機構(gòu)第三方監(jiān)管機構(gòu)應(yīng)根據(jù)數(shù)據(jù)主管部門和行業(yè)主管部門相關(guān)要求，對應(yīng)用場景的開發(fā)過程、使用情況進行監(jiān)督、審查和審計，保持監(jiān)管的合法、公正、66.7第三方評估機構(gòu)第三方評估機構(gòu)應(yīng)具備對場景需求、技術(shù)方案等進行評估的能力，保持評估的合法、公正、中立、客觀。7技術(shù)保障平臺能力的要求包括但不限于：a)平臺運營方應(yīng)保證平臺的安全使用，基于訪問控制、權(quán)限管理等對平臺用戶進行安全管控，并提供安全的數(shù)據(jù)開發(fā)環(huán)境；b)平臺運營方應(yīng)實現(xiàn)開發(fā)測試環(huán)境與生產(chǎn)環(huán)境相互分離；c)平臺運營方應(yīng)提供同場景匹配的多方安全計算、聯(lián)邦學習和可信執(zhí)行環(huán)境等隱私計算技術(shù)；d)平臺運營方應(yīng)保證平臺可用性、業(yè)務(wù)連續(xù)性和災(zāi)備能力；e)平臺運營方應(yīng)對平臺中的關(guān)鍵信息進行記錄、存證、分析。數(shù)據(jù)安全的要求包括但不限于：a)各參與方應(yīng)按照GB/T35273的相關(guān)要求，利用多方安全計算、聯(lián)邦學習和可信執(zhí)行環(huán)境等隱私計算技術(shù)，保障公共數(shù)據(jù)開發(fā)利用中的個人信息安全；b)各參與方應(yīng)對數(shù)據(jù)處理采取數(shù)據(jù)保護措施，優(yōu)先采購安全可信、經(jīng)過安全檢測認證的隱私計算產(chǎn)品；c)平臺運營方應(yīng)支持算力資源隔離，以實現(xiàn)不同參與方獨立使用算力資源。系統(tǒng)安全的要求包括但不限于：a)平臺運營方應(yīng)保證平臺不低于GB/T22239中網(wǎng)絡(luò)安全等級保護(三級)的相關(guān)要求；b)平臺運營方應(yīng)保證平臺的密碼應(yīng)用滿足GB/T39786的相關(guān)要求；c)平臺運營方應(yīng)保證所提供技術(shù)的安全性，采用安全的隱私計算算法協(xié)議，保障隱私計算過程的d)平臺運營方應(yīng)對設(shè)備運行狀態(tài)、資源使用情況等進行監(jiān)控，并支持計算資源的靈活擴展，如數(shù)據(jù)e)平臺運營方應(yīng)保證平臺部署在中國境內(nèi)。7.4跨平臺操作跨平臺操作的要求包括但不限于：a)各參與方應(yīng)使用安全通道、VPN等對跨平臺通信進行保護；b)平臺運營方應(yīng)提供基于數(shù)字證書等方式的跨平臺身份互認技術(shù)；c)平臺運營方應(yīng)按需提供便于跨平臺接入的工具，如API、SDK或程序包7(資料性)基于隱私計算技術(shù)的公共數(shù)據(jù)開發(fā)利用參考案例A.1案例背景某銀行為服務(wù)科技自立自強戰(zhàn)略，在開展科技金融服務(wù)時，需對科創(chuàng)企業(yè)運營情況進行評估并定期分析，以提高線上自動審批通過率、線上授信額度，降低金融產(chǎn)品違約率?；诠矓?shù)據(jù)開發(fā)利用隱私計獲取企業(yè)運營情況分析結(jié)果。A.2開發(fā)利用流程某銀行開展科技金融服務(wù)，基于隱私計算技術(shù)進行科創(chuàng)企業(yè)運營情況分析的開發(fā)利用流程可參考以下流程。a)需求申請：某銀行作為數(shù)據(jù)需求方，基于科技金融服務(wù)需對企業(yè)運營情況進行分析的實際需要，提出場景需求。b)方案對接：1)開發(fā)利用方在測試環(huán)境進行數(shù)據(jù)探查；2)開發(fā)利用方基于目錄鏈提供的數(shù)據(jù)目錄選擇所需數(shù)據(jù)；3)開發(fā)利用方基于場景需求提出數(shù)據(jù)加工邏輯；4)開發(fā)利用方基于所需數(shù)據(jù)分類分級、數(shù)據(jù)量、數(shù)據(jù)服務(wù)響應(yīng)時間、結(jié)果使用范圍等需求選擇適用的隱私計算技術(shù)；5)開發(fā)利用方基于場景需求及適用的隱私計算技術(shù)，匹配所需計算資源，形成技術(shù)方案。c)方案評估：第三方評估機構(gòu)對科創(chuàng)企業(yè)運營情況分析場景需求、技術(shù)方案進行評估。d)場景審核：公共數(shù)據(jù)管理方、數(shù)據(jù)提供方對場景需求、技術(shù)方案進行審核。e)融合加工：1)數(shù)據(jù)提供方將數(shù)據(jù)接入本市大數(shù)據(jù)資源平臺，按照公共數(shù)據(jù)使用