电子政务环境中隐私策略的分层方法

张华

摘 要： 基于电子政务用户希望保持互联互通的部署，并使用先进的政府电子服务，同时保持对个人信息的控制权，提出了轻量级且准确的隐私策略，通过利用现有的政府层次结构，提供了一种能够支持不同数据需求和处理服务提供者请求的多层方法，可以通过合并隐私权政策和偏好文件来实现。将此方法合并到电子政务环境中将减少由于包含隐私策略文件而带来的管理工作量，并促进实施和提供以用户为中心和数据隐私意识的电子服务。案例研究结果表明，提出的分层方法可以减少政府管理文档的工作量，同时促进用户隐私信息的保护。

关键词： 电子政务; 隐私策略; 层次结构; 隐私偏好

中图分类号： TP 399      文献标志码： A

Abstract： The electronic government users want to keep the connectivity of the deployment， and use the advanced electronic government service， and maintain control of personal information. Thus， the paper puts forward the lightweight and accurate privacy policy through the use of the existing government hierarchy to provide a way of multilayer method to support different data requirements and processing service. It can be done by combination of privacy policy and preference file. This approach is incorporated into an e-government environment to reduce the administrative workload associated with the inclusion of privacy policy documents and facilitate the implementation and provision of user-centric and data-privacy aware electronic services. The results of the case study show that the proposed hierarchical method can reduce the workload of government management documents and promote the protection of users privacy information.

Key words： e-government; privacy policy; hierarchical structure; privacy preference

0 引言

信息和通信技术的广泛扩展和互联网络的普遍部署，以及面向服务的体系结构使得能够组成和提供交互式和个性化服务，已经为当前科技带来了与安全性、可靠性、隐私性和信任相关的全面挑战。它们不仅应该具有内置的隐私和安全性，而且还应该使用户能够理解信息、服务和安全级别的可靠性并做出明智的决策。随着各国政府逐渐脱离组织间模式，将重点放在协作和面向服务的模式上，解决有关数据隐私、防止滥用等关注的问题上。因此，在隐私性和开放性需求之间取得适当的平衡是至关重要的。

我国从2002年开始就提出了“一站、两网、四库、十二金”为主体的电子政务框架。有关电子政务的研究也相继为该行业带来良好的改变。文献[1-2]中提出了具有隐私意识的电子政务环境，可以提供可互操作的以用户为中心的电子服务，同时使用户能够保留对其个人数据的控制权。文献[3]探讨了在现代电子政务环境中体现隐私策略和隐私偏好文档的概念，以在保护用户隐私的同时推进和简化电子服务的提供。通过隐私策略文件，每个服务提供商都会对所需信息、请求的目的、使用信息的方式[4]以及向谁披露信息提供正式的公众参与方法。

本文从服务提供者的角度出发，阐述了如何制定连贯而准确的隐私策略文件，同时又要保证其符合基本的法律和监管框架。通过利用现有的政府层次结构，提出了一种能够支持不同数据需求和处理需求的多层方法，该方法包含特定规则和XML元素，从而使服务提供者可以制定符合要求的轻量级文档。通过定义良好的XML模式将隐私策略和隐私偏好文档合并在一起，有助于为用户和服务提供者（Service Providers，SP）建立一定程度的数据隐私保证，这样的部署促进和简化了电子服务的提供过程，同时允许用户根据自己的喜好和需要保留、控制和修改其个人数据隐私特征。基于这样的体系结构，电子政务环境可以扩展其执行服务的能力，以实现满足公民需求的服务，促进不同用户群体对电子服务的进一步利用[5-6]，并最终建立对涉及敏感个人信息的电子政务应用的信心。

1 电子政务环境中的隐私控制器代理

数据主体通过为每个数据项或组指定细粒度的隐私偏好来同意使用其个人数据[7-8]。通过此过程，数据主体有权根据决定撤销先前已 授予数据收集者使用其个人数据，或构成不再有效访问某些數据项或组的权利。该架构的设计基于中央门户的现代电子政务环境结构，属于一站式服务，是每个服务提供商的前端。通常，此门户为每个服务提供者实现身份验证和注册过程或合并联合身份管理基础结构。除了这些权限之外，还引入了一个新的实体，称为隐私控制器代理（Privacy Controller Agent，PCA），它负责存储和比较服务提供商的隐私策略和用户隐私偏好文档。隐私控制器代理架构，如图1所示。

隐私控制器代理由两个主要单元组成，即管理点和决策点。管理点由两个存储库组成，这两个存储库负责保留每个服务的隐私策略（A）和每个用户的隐私偏好（B）。当一个SP将电子服务注册到中央门户网站（Central Portal，CP）时，除了要求提供必要的信息之外，还应根据基础的互操作性框架，强制提交相应的隐私策略[9-10]。

由于SP通常会提供许多不同的电子服务，因此必须为每项服务提交单独的隐私策略。隐私文档明确规定了提供服务所需的数据、目的、处理方式、数据保留时间以及是否将其传达给另一个SP。提交后（操作i），隐私控制器代理会验证该策略的来源并将其存储在策略存储库中。

类似地，当用户注册到中央门户网站时，还需要他们提交其隐私偏好[11-12]。由于隐私偏好涉及用户的个人数据，所以与用户将使用的服务没有直接关系。因此，用户仅需提交一份适用于每种电子服务的文件。

2 隐私策略多层方法

2.1 分层隐私策略

在电子政务环境中，数据被构造为不同的抽象级别，并且服务提供商在被要求提供电子服务时具有不同的数据需求和处理请求，这些需求和请求可能彼此不同，但它们也受到相应的部门限制约束，并受到法律要求的约束。

因此，从建模的角度来看，对于给定的电子服务，隐私策略文档遵循并遵守以下层次结构，其中每个箭头表示进一步的概括级别;电子服务→服务提供商→部级部门→中央政府。本文用PCG表示中央政府的隐私策略要素，将PMD表示部级部门的隐私策略要素，将PSP表示服务提供商的隐私策略要素，将PES视为电子服务的私隐政策元素。因此，可将PES视为PSP的真子集，将PSP视为PMD的真子集，并将PMD视为PCG的真子集，如式（1）。

当转向超集时，对于元素的规范需考虑不同的抽象级别。例如，PCG将包含有关个人身份证号码的元素;根据基本的法律和法规框架，身份证号码属于个人标识符（PId）类别，因此应将其视为机密数据。因此，PCG声明在处理和存储期间应将身份证号码视为机密数据。

在下一个抽象级别，PMD同意将身份证号码归类为PId，并且仅指定为特定的部级部门可以将其保留特定的时间。继续向下移动到更低的超集级别，PSP指定它是否会被特定的服务提供商处理，以及如何处理。根据电子政府的环境和中央政府的结构（单一制、联邦制），认为，集合和子集的数量可能会有所不同。

2.2 隐私策略的形成

根据以上介绍的隐私控制器代理（PCA）的体系结构，当PCA收到用户的电子服务请求时，必须检索两个文档并进行相互比较。（1）用户的隐私偏好;（2）电子服务隐私策略。

第一个文档由用户提交并存储在偏好存储库中;第二个文档由服务提供商提交（专门针对每种电子服务），并存储在策略存储库中。

考虑到层次结构方案和确定的适当方法作为子集，中央政府发布了通用的隐私策略文档[13-14]，该文档广泛地描述了如何根据Level 1的基础法律和法规框架来访问、处理和存储特定的数据类型。

随着逐步降低层次结构，可以得到隐私策略文件是从特定的部级部门（Level 2）发行的，然后从特定的电子服务（k级）发行。每个级别都会对先前接受的信息进行确认，如果需要，还包括数据访问、处理、存储和保留期的更明确表述。隐私策略文件创建的示意图，如图2所示。

根据电子服务供应商和政府架构的不同，每个文档中对先前级别的引用次数可能会有所不同。在任何情况下，所有文件都必须强制性地包含对较高级别的引用，因为它包含对基本法律和法规框架的表示[15-16]。

为了确保将隐私要求无缝过渡到较低级别，定义了以下强制性规则，这些规则与所建议的方法一起使用。

规则1：隐私策略文档中的每一个都必须遵守Level 1文档要求;

规则2：隐私策略文档中的每一个都必须包括对Level 1文档的直接或间接引用;

规则3：隐私策略文档中的每一个都可以引入新的规定和条款，只要它们与现有规定不抵触即可。

2.3 方法评估

应用电子政务中隐私策略的分层方法可促进电子服务的互用性以及对基本法律和法规框架的遵守。对于任何可能发生的更改，不仅可以视为一个控件，而且可以视为一种强制机制。新引入的立法修订通常不会无缝地传播到相应的电子政务服务中;每个服务提供商必须执行适当的修改，而这些修改需要花费时间和精力才能有效地完成。无论这种变化是否发生，部级部门和服务提供者都不能偏离上级规定和条款，从而确保全面合规[17]。

在所提出方法的部署过程中必须解决的重要问题，是使用XML模式以及创建和管理支持层次结构方案的XML文档。提出面向电子政务环境的新模式是一条有前途的道路，然而，该模式的部署带来了兼容性、评估和更新过程的挑战。除此之外，根据环境的不同，还可以探索其他数据交换格式，特别是XML格式，因为与JSON相比，XML被认为对数据传输速率和性能具有重大影响。该方法的一个缺点是引入了中央门户的工作量和计算成本，因为对于每个电子服务请求，PCA都必须对所有引用的策略文档执行根返回检索[18]。

如果更高级别的隐私策略文档发生了变化，则将通知PCA撤销所有相关文档。同样，如果电子政府进行组织重组，则PCA也必须撤回所有受影响的文档。

3 案例研究

为了证明所提出的方法在現代电子政务环境中的适用性，研究了一个案例，其中将隐私策略层次结构并入了电子政务环境。该框架的主要目的是为访问所有提供电子服务的通用身份验证和注册机制提供支持，这是通过一个中央门户网站实现的，该门户网站是一站式商店，为公民提供了SP的所有电子服务的通用接口。该框架的主要特征是为每个服务提供者提供统一的注册和身份验证过程，并根据所需的身份保证和数据保护级别将服务划分为若干个信任级别。

3.1 年度车税电子服务

每名车主须就每辆在其名下登记的车辆缴付每年的车辆税（Annual Vehicle Tax，AVT）。总税额是根据车辆的二氧化碳排放量、发动机尺寸和生产日期计算的，并与年度所得税分开支付。

电子服务由信息系统秘书（General Secretary of Information Systems，GSIS）提供，GSIS在财政部的授权下运作，适用的层次结构[19-21]，如图3所示。

要成功完成电子服务，用户必须提交车辆牌照。GSIS会验证数据的准确性，并生成一张收据，其中包含车主的姓名、车辆的牌照以及要支付的税额以及唯一的付款识别码，该标识符将由支付款项的银行机构使用。

3.2 陷私政策

出于本案例研究的目的，基于文献[8]中介绍的属性和元素，在简单的XML模式中准备了必要的隐私策略文档，该模式由简单的元素以及一些属性组成，试图以结构化的方式描述严格的隐私策略。

本节中提供的文档仅包含有关个人标识符的信息以及成功完成AVT电子服务所需的数据。每个文档都包含一个根Privacy_Policy元素和一个Policy_ID元素，后者包含一个唯一的策略文档标识符，根据该标识符可以实现对较低层次的引用，同时还包含一个Data元素。Data元素根据数据类型分为两个子元素，Personal_Identifiers和Personal_Data。

与先前讨论的文档相比，可以识别两个新引入的元素和。由于此文档涉及的是一种电子服务，而不是一个部级部门，因此需要明确其范围和提供该服务的SP。在这个文档中，禁止传播国家税务标识符（AFM）、车牌信息用于进行识别处理，而名称也将用于标识，但不会被存储和保留。

4 总结

电子政府措施的成功与否，不仅取决于前厅的现代化程度，也取决于后厅流程的精简、重组和支持。政策制定者和公共行政管理者的视角与电子政务的技术实现之间存在的差距和不一致，影响着电子政务的接受度和进一步发展。本文提出了一种简单而有效的方法来制定一致且准确的隐私策略，同时保持对基本法律和法规框架的遵守。通过利用现有的政府层次结构，提出的多层方法能够支持多样化的数据需求和处理服务提供者提出的请求。作为分层模式的一个测试平台以及支持文档审计支持工具。将这方法纳入电子政府环境，可减少因纳入隐私政策文档而带来的管理工作量，并可促进以用户为中心和保障资料隐私的电子服务的推行和提供。

参考文献

[1] 舒小庆.论电子政务环境下网络隐私权保护及立法对策[J].南昌航空大学学报（社会科学版），2010，12（4）：38-43.

[2] 李延晖，储益周，池毛毛.二元论视角下企业策略与个人隐私保护效用关系研究[J].情报杂志，2020，39（2）：95-102.

[3] Drogkaris P， Gritzalis S， Lambrinoudakis C. Employing privacy policies and preferences in modern e-government environments[J]. International Journal of Electronic Governance，2013，6（2）：101-116.

[4] 梁晓丹.在线隐私政策对消费者提供个人信息意愿的影响机制研究[D].杭州：浙江工商大学，2017.

[5] 张廷娇.基于电子政务视角的我国基层政府公共服务能力提升研究[D].兰州：西北师范大学.

[6] 杨金宝，马宝泽，叶清.面向Android手机应用程序的用户隐私保护系统研究[J].计算机与数字工程，2019，47（9）：2206-2211.

[7] 陶灵灵，曹彦，张梦娇.支持目的与信誉度的隐私偏好规约模型[J].计算技术与自动化，2018，37（3）：122-126.

[8] 陶灵灵. 隐私保护访问控制模型规约方法研究[D].南京：南京航空航天大学，2018.

[9] 陈丽君. 社交网络文本信息隐私策略预测的研究[D].杭州：杭州电子科技大学，2018.

[10] 钟洪斌.智能型门户网站助推政府公共服务效能提升[J].电子政务，2012（11）：106-114.

[11] 曾苏梦，唐明董，刘建勋，等.隐私敏感的服务选择方法[J].小型微型计算机系统，2017，38（12）：2741-2746.

[12] 冯昌扬.政府开放数据门户网站隐私政策比较研究[J].数字图书馆论坛，2016（7）：52-56.

[13] 馬薇薇，姜家鑫，张锐.支持时间属性的隐私需求建模与一致性验证[J].计算机与现代化，2017（10）：100-104.

[14] 陈美.城市政府开放数据的隐私风险及其技术控制策略[J].图书馆建设，2018（8）：16-21.

[15] 金超，张琳，王汝传.一种移动社交网络中的位置内容分享方法[J].南京邮电大学学报（自然科学版），2017，37（5）：101-110.

[16] 牛晓磊，沈航，白光伟，等.哑元位置隐私博弈机制[J].小型微型计算机系统，2020，41（3）：610-616.

[17] 姜家鑫，黄志球，马薇薇.满足隐私需求的服务组合信息流控制方法研究[J].计算机科学与探索，2018，12（3）：370-379.

[18] 王进，黄志球.云计算中隐私需求的建模与一致性检测[J].计算机研究与发展，2015，52（10）：2395-2410.

[19] 薛怡娜. 社交网络形式化建模与验证方法的实现[D].西安：西安电子科技大学，2018.

[20] 孙然. 基于应用程序运行时行为的Android用户隐私数据保护技术研究[D].北京：北京邮电大学，2018.

[21] 葛强. Web服务中基于本体推理的隐私保护研究[D].南京：南京航空航天大学，2014.

（收稿日期： 2020.04.15）