WO2020087878A1

WO2020087878A1 - 一种隐私信息管理方法、装置和系统

Info

Publication number: WO2020087878A1
Application number: PCT/CN2019/083048
Authority: WO
Inventors: 李凤华; 李晖; 牛犇; 朱辉
Original assignee: 中国科学院信息工程研究所; 西安电子科技大学
Priority date: 2018-10-30
Filing date: 2019-04-17
Publication date: 2020-05-07
Also published as: CN109583228A; WO2020087879A1; CN109583228B; WO2020087876A1

Abstract

本发明实施例公开了一种隐私信息管理方法、装置和系统，所述方法包括：确定隐私信息、确定隐私信息所支持的隐私操作、确定隐私信息的隐私保护需求、以及确定场景描述信息和/或隐私场景描述信息；根据以下一种或多种的任意组合确定隐私保护方案，采用隐私保护方案对隐私信息进行隐私保护：隐私信息的格式和/或隐私信息的类型、场景描述信息和/或隐私场景描述信息、隐私信息所支持的隐私操作、隐私保护需求。

Description

一种隐私信息管理方法、装置和系统

技术领域

本文涉及但不限于信息应用技术领域，尤指一种隐私信息管理方法、装置和系统。

背景技术

随着信息技术、移动通信技术等的紧密结合与快速发展，以及智能终端软硬件的不断升级与换代，促进了互联网、移动互联网、云计算、大数据、物联网等方面的技术发展及其融合，新技术、新服务模式的产生与快速发展促使海量、异构的用户个人信息跨系统、跨生态圈，甚至跨国境交互已成为常态。然而，随着信息传播流的扩大，用户个人信息在采集、存储、处理、发布交换、销毁等环节中不可避免的会在不同信息系统中有意或无意地留存，给用户、企业、国家带来了极大的个人隐私信息泄露风险。

针对隐私信息在信息系统中潜在的泄露风险，需要对不同类型、不同来源、不同应用场景、不同隐私保护需求的隐私信息进行有效管理。然而相关技术中，隐私信息管理方法只针对特定信息类型、特定信息处理阶段进行管理，缺乏对隐私信息的融合、隐私保护算法设计、保护效果评估等多个环节的综合管理，且无法支持延伸控制、隐私侵犯行为追踪与溯源等功能。不仅如此，相关技术中的隐私信息管理方法大都聚焦于相对孤立的应用场景和技术点，针对给定的应用场景中存在的问题提出单一的保护方案，在面对多样化的隐私信息时，无法根据隐私信息类型、应用场景、隐私保护需求等因素，为隐私信息提供自适应的隐私保护算法及其参数调整。

发明概述

以下是对本文详细描述的主题的概述。本概述并非是为了限制权利要求的保护范围。

本发明实施例提出了一种隐私信息管理方法，包括以下步骤中一个或多个的任意组合：

确定隐私信息、隐私信息所支持的隐私操作、隐私信息的隐私保护需求，以及确定场景描述信息和/或隐私场景描述信息；

根据以下一种或多种组合确定隐私保护方案，采用确定的隐私保护方案对隐私信息进行隐私保护：隐私信息的格式和/或隐私信息的类型；场景描述信息和/或隐私场景描述信息；隐私信息所支持的隐私操作；隐私保护需求。

其中，所述确定隐私信息、确定场景描述信息和/或隐私场景描述信息、确定隐私信息所支持的隐私操作、确定隐私信息的隐私保护需求可以包括：

从信息中提取隐私信息，根据以下一种或多种的任意组合构造隐私场景描述信息：隐私信息的格式和/或类型；隐私信息所处的环境信息；隐私信息的语义；

根据隐私信息、隐私场景描述信息、信息持有者的偏好中的一种或多种的任意组合可以确定隐私信息的隐私保护需求；

根据以下一种或多种组合可以确定隐私信息所支持的隐私操作：隐私信息的格式和/或隐私信息的类型；隐私信息的语义；隐私场景描述信息。

其中，所述从信息中提取隐私信息可以包括：

根据所述信息的格式和/或类型、所述信息的语义对信息进行拆分得到信息向量；

从所述信息向量中提取至少一个信息分量作为隐私信息分量，提取的隐私信息分量构成所述隐私信息。

其中，所述从信息向量中提取至少一个信息分量作为隐私信息分量可以包括：

从所述信息向量中提取敏感度大于敏感阈值的信息分量，作为所述隐私信息分量，所述敏感度可以根据用户对信息分量的主观敏感程度和信息分量的信息熵确定。

根据信息的格式和/或类型、所述信息的语义对所述信息进行拆分得到信息向量；

根据所述信息的格式和/或类型、所述信息所处的环境信息、所述信息的语义生成所述场景描述信息；

根据所述场景描述信息从信息向量中提取至少一个信息分量作为隐私信息分量，提取的隐私信息分量构成所述隐私信息，根据所述场景描述信息提取出隐私信息对应的隐私场景描述信息；

根据隐私信息、隐私场景描述信息、信息持有者的偏好中的一种或多种的任意组合确定隐私信息的隐私保护需求；

根据以下一种或多种组合确定隐私信息所支持的隐私操作：隐私信息的格式和/或类型；隐私信息的语义；隐私场景描述信息。

其中，当不同所述隐私信息分量的来源、数据格式不相同时，该方法还可以包括：

对所述隐私信息分量进行变换操作，使得所有所述隐私信息分量的量纲得到统一；

对统一量纲后的隐私信息分量进行融合得到所述隐私信息。

其中，所述隐私保护需求是指信息持有者在特定应用场景下希望隐私信息被保护的程度，可以包括以下任意一个或多个的组合：隐私保护期望、约束条件；

其中，隐私保护期望可以包括以下任意一个或多个的组合：隐私保护后攻击者推测出隐私保护前的隐私信息的概率的预期、隐私保护后隐私信息的不确定度的预期、隐私保护后的隐私信息与隐私保护前的隐私信息之间的损失量预期；

其中，约束条件可以包括以下任意一个或多个的组合：隐私场景描述信息、信息持有者允许的隐私操作和隐私信息之间的对应关系；隐私场景描述信息、信息持有者不允许的隐私操作和隐私信息之间的对应关系。

其中，所述场景描述信息是指信息所处的状态信息，所述隐私场景描述信息是指所述隐私信息所处的状态信息，可以包括以下一种或多种的任意组合：

信息格式和/或类型、时间、空间位置、设备、交互对象、交互途径、传输方式、存储方式、语义。

其中，所述隐私操作可以包括以下一种或多种的任意组合：读、写、加密、模糊、泛化、加噪、匿名、签名、验签、计算摘要、加密、保存、复制、粘贴、转发、剪切、修改、删除。

其中，所述确定隐私保护方案可以包括：

根据以下一种或多种组合确定至少一组隐私保护算法的分类、隐私保护算法和隐私保护算法的参数取值范围：隐私信息的格式和/或类型；场景描述信息和/或隐私场景描述信息；隐私信息所支持的隐私操作；隐私保护需求；

根据确定的至少一组隐私保护算法的分类、隐私保护算法和隐私保护算法的参数取值范围确定至少一个隐私保护方案；

从确定的至少一个隐私保护方案中选取其中一组隐私保护算法的分类、隐私保护算法和隐私保护算法的参数取值得到其中一个隐私保护方案；

计算选取的隐私保护方案对应的隐私保护后的隐私信息的隐私保护效果，当判断出所述隐私保护效果不满足隐私保护需求中的隐私保护期望时，重新选取另一组隐私保护算法的分类、隐私保护算法和隐私保护算法的参数取值得到另一个隐私保护方案，直至选取的隐私保护方案对应的隐私保护效果满足隐私保护需求中的隐私保护期望。

其中，所述隐私保护算法的分类可以包括以下一种或多种的任意组合：

基于密码学的分类、基于泛化技术的分类、基于访问控制技术的分类。

其中，所述确定隐私保护算法的分类、隐私保护算法和隐私保护算法的参数取值范围可以包括：

在预先设置的隐私信息的格式和/或类型、第一隐私保护算法的分类、第一隐私保护算法和第一隐私保护算法的第一参数取值范围之间的对应关系中，查找所述隐私信息的格式和/或类型对应的第一隐私保护算法的分类、第一隐私保护算法和第一隐私保护算法的第一参数取值范围，根据隐私信息、场景描述信息和/或隐私场景描述信息、隐私保护需求中的约束条件、隐私信息所支持的隐私操作从查找到的第一隐私保护算法的分类、第一隐私保护算法和第一隐私保护算法的第一参数取值范围中确定第二隐私保护算法的分类、第二隐私保护算法，以及第二隐私保护算法的第二参数取值范围。

当在预先设置的隐私信息的格式和/或类型、第一隐私保护算法的分类、第一隐私保护算法和第一隐私保护算法的第一参数取值范围之间的对应关系中，查找不到所述隐私信息的格式和/或类型对应的第一隐私保护算法的分类、第一隐私保护算法和第一隐私保护算法的第一参数取值范围，或，查找到的所述隐私信息的格式和/或类型对应的第一隐私保护算法的分类、第一隐私保护算法和第一隐私保护算法的第一参数取值范围均不满足隐私保护需求中的约束条件时，根据隐私信息的格式和/或类型、场景描述信息和/或隐私场景描述信息、隐私信息所支持的隐私操作、隐私保护需求中的一种或多种的任意组合设计新型隐私保护方案。

其中，所述隐私保护效果设置成评价隐私保护方案保护后的隐私信息实际被保护的程度，可以包括以下一种或多种的任意组合：

隐私保护后攻击者推测出隐私保护前的隐私信息的概率、隐私保护后隐私信息的不确定度、隐私保护后的隐私信息与隐私保护前的隐私信息之间的损失量。

本发明实施例提出了一种隐私信息管理装置，包括以下模块中一个或多个的任意组合：

确定模块，设置成确定隐私信息、隐私信息所支持的隐私操作、隐私信息的隐私保护需求，以及确定场景描述信息和/或隐私场景描述信息；

隐私保护方案决策评估模块，设置成根据以下一种或多种的任意组合确定隐私保护方案，采用确定的隐私保护方案对隐私信息进行隐私保护：隐私信息的格式和/或类型；场景描述信息和/或隐私场景描述信息；隐私信息所支持的隐私操作；隐私保护需求。

本发明实施例提出了一种隐私信息管理装置，包括处理器和计算机可读存储介质，所述计算机可读存储介质中存储有指令，当所述指令被所述处理器执行时，实现上述任一种隐私信息管理方法。

本发明实施例提出了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述任一种隐私信息管理方法。

本发明实施例提出了一种隐私信息管理系统，包括：

第一设备，设置成确定隐私信息、隐私信息所支持的隐私操作、隐私信息的隐私保护需求，以及确定场景描述信息和/或隐私场景描述信息；

第二设备，设置成根据以下一种或多种的任意组合确定隐私保护方案，采用确定的隐私保护方案对隐私信息进行隐私保护：隐私信息的格式和/或类型；场景描述信息和/或隐私场景描述信息；隐私信息所支持的隐私操作；隐私保护需求。

本发明实施例包括以下步骤中一个或多个的任意组合：确定隐私信息、确定隐私信息所支持的隐私操作、确定隐私信息的隐私保护需求、以及确定场景描述信息和/或隐私场景描述信息；根据以下一种或多种的任意组合确定隐私保护方案，采用隐私保护方案对隐私信息进行隐私保护：隐私信息的格式和/或类型、场景描述信息和/或隐私场景描述信息、隐私信息所支持的隐私操作、隐私信息的隐私保护需求。本发明实施例面向含有多样化隐私信息的系统构建，针对不同隐私信息在不同应用场景中的隐私保护需求，选择相应的隐私保护方案进行保护，实现了对不同隐私信息的个性化、自动化管理。

附图概述

图1为本发明实施例的隐私信息管理方法的流程图；

图2为本发明实施例的隐私信息管理方法的流程示意图；

图3(a)为本发明实施例的隐私信息管理装置的结构组成示意图；

图3(b)为本发明实施例的确定模块的结构组成示意图；

图3(c)为本发明实施例的确定模块的结构组成示意图；

图4为本发明实施例的隐私信息管理系统的结构组成示意图。

详述

在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。

下文中将结合附图对本发明实施例进行详细说明。需要说明的是，在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互任意组合。

参见图1，本申请提出了一种隐私信息管理方法，包括：

步骤100、确定隐私信息、确定隐私信息所支持的隐私操作、确定隐私信息的隐私保护需求、以及确定场景描述信息和/或隐私场景描述信息；

一个示例性的实施例中，隐私信息可以设置成描述信息所有者不想公开的信息中的部分或全部内容。

一个示例性的实施例中，可以采用以下任一种方式确定隐私信息、隐私信息所支持的隐私操作、隐私信息的隐私保护需求、以及确定场景描述信息和/或隐私场景描述信息。

第一种，从信息中提取隐私信息，根据隐私信息的格式和/或类型、隐私信息所处的环境信息、隐私信息的语义中的一种或多种的任意组合构造隐私场景描述信息；根据隐私信息、隐私场景描述信息、信息持有者的偏好中的一种或多种的任意组合确定隐私信息的隐私保护需求；根据隐私信息的格式和/或类型、隐私信息的语义和隐私场景描述信息中的一种或多种的任意组合确定隐私信息所支持的隐私操作。

一个示例性的实施例中，从信息中提取隐私信息包括：

根据信息的格式和/或类型、信息的语义对信息进行拆分得到信息向量；从信息向量中提取至少一个信息分量作为隐私信息分量，提取的隐私信息分量构成隐私信息。

一个示例性的实施例中，隐私信息分量是指信息中敏感度大于敏感阈值的信息分量。其中敏感度在业内一般是指信息分量被不当使用或未经授权被人接触或修改带来的风险程度。

一个示例性的实施例中，信息向量是将原始信息按照不同来源、格式或语义拆分而成的，例如一则信息包含了“用户A的一段语音信息、用户B的一张照片、用户C的一段文字信息”的结合，则信息向量分别为：“用户A的语音信息”、“用户B的照片”、“用户C的文字信息”。其中，信息分量则是信息向量更细粒度的拆分，例如若用户C的文字信息对应的信息向量为：“小明和小红去食堂吃饭”，则信息分量分别为：“小明”，“和”，“小红”，“去”，“食堂”，“吃饭”。

一个示例性的实施例中，信息分量的敏感度计算方法包括但不限于包括以下的一种或多种的任意组合：

根据预先定义的敏感度计算方式得到、采用机器学习方法根据信息分量的历史敏感度统计得到。

例如，预先定义的敏感度计算方式为按照公式S(X _i)＝w _i/H(X _i)计算第i个信息分量X _i的敏感度S(X _i)；其中，w _i为用户对第i个信息分量的主观敏感程度，H(X _i)为第i个信息分量的信息熵。

一个示例性的实施例中，信息分量的信息熵的计算方式如下：不同的信息分量X _i有着n _i个不同的取值x _i,j，每一个信息分量的每一个取值在整个数据库中出现的频率f _i,j也不相同，其中，有

以频率代替概率，得到每一个信息分量X _i的信息熵，即

一个示例性的实施例中，w _i可以由用户预先设定，称为信息分量的权重。例如，用户v将自己的姓名、手机号、邮箱等信息分量的权重设置为0.5，将住址、身份证号、正面照片等信息分量的权重设置为0.8，结合文字、图像或视频识别技术，当读取到信息分量时，为该信息分量设置相应的权重，而信息的敏感度可以为该信息下每个信息分量的敏感度的最大值，或者为所有信息分量敏感度的平均值。又如，通过机器学习方法根据用户历史偏好建立模型，学习用户在历史数据中的隐私信息、提取其与敏感度之间的对应关系，当输入新的隐私信息时，训练后的模型将识别出隐私信息的敏感度。

一个示例性的实施例中，所述隐私保护需求是指信息持有者在特定应用场景下希望隐私信息被保护的程度，包括但不限于包括以下任意一个或多个的组合：隐私保护期望、约束条件；

一个示例性的实施例中，隐私保护期望包括但不限于包括以下任意一个或多个的组合：隐私保护后攻击者推测出隐私保护前的隐私信息的概率的预期、隐私保护后隐私信息的不确定度的预期、隐私保护后的隐私信息与隐私保护前的隐私信息之间的损失量预期；

一个示例性的实施例中，约束条件包括但不限于包括以下任意一个或多个的组合：隐私场景描述信息、信息持有者允许的隐私操作和隐私信息的对应关系；隐私场景描述信息、信息持有者不允许的隐私操作和隐私信息的对应关系。

一个示例性的实施例中，可以采用人工标记、机器学习等方法确定隐私信息的隐私保护需求。

一个示例性的实施例中，可以通过学习用户行为习惯自动分析不同的隐私保护需求。

例如，用户u采取人工标记，将隐私保护需求分为3档：

1、允许所有用户在任意时间访问用户u的所有隐私信息的明文；

2、允许用户u的好友在任意时间可以访问用户u经过加噪扰动后的隐私信息；允许其他用户在任意时间访问用户u加密后的隐私信息；

3、不允许任何用户在21:00-04:00访问用户u的隐私信息。

又如，通过机器学习方法根据用户历史偏好建立模型，学习用户在历史数据中的隐私信息、隐私场景描述信息，提取其与隐私保护需求之间的对应关系，当输入新的隐私信息、隐私场景描述信息时，训练后的模型将识别出隐私保护需求。

一个示例性的实施例中，所述隐私信息的格式和/或类型，是指一个或多个隐私信息分量的格式和/或类型，包括但不限于包括以下一种或多种的任意组合：文本、图片、音频、视频。

一个示例性的实施例中，可以采用数据集成技术对隐私信息的格式和/或类型、隐私信息所处的环境信息、隐私信息的语义进行处理，把不同来源、格式、特点性质的信息按照隐私场景描述信息的要求集中，得到隐私场景描述信息，例如，隐私场景描述信息的存储内容分别为：时间、位置坐标、隐私信息格式、存储大小，则读取对应的信息：“北京时间12：00、中关村地铁站、文本、200KB”，将其按照该格式录入隐私场景描述信息中；

也可以通过隐私信息的格式和/或类型、隐私信息所处的环境信息、隐私信息的语义中的一种或多种的任意组合和隐私场景描述信息的对应关系(可以预先设置)来构建隐私场景描述信息；例如，以环境信息的时间、空间位置两个维度为例，可以读取隐私信息中，一个或多个隐私信息分量当前所处的时间(北京时间12：00)、发布或生成地点(北京海淀区中关村地铁站)，得到对应的隐私场景描述信息。

一个示例性的实施例中，隐私信息所处的环境信息包括以下一种或多种的任意组合：

时间、空间位置、设备、传输方式、存储方式。

一个示例性的实施例中，所述隐私场景描述信息是指隐私信息所处的状态信息，包括但不限于包括以下一种或多种的任意组合：

一个示例性的实施例中，所述隐私操作包括以下一种或多种的任意组合：

读、写、加密、模糊、泛化、加噪、匿名、签名、验签、计算摘要、加密、保存、复制、粘贴、转发、剪切、修改、删除。

一个示例性的实施例中，可以通过人工设置、自动抽取、机器学习等方法，分析得到在给定隐私信息的格式和/或类型、隐私信息的语义、隐私场景描述信息下，隐私信息所支持的隐私操作。例如，人工标定不同的隐私信息所支持的隐私操作，举例：包含身份证号的文本信息支持被修改、复制、粘贴、加密；又如，利用关键词匹配进行自动抽取，设定所抽取的关键词对应的隐私操作，当抽取到相关关键词时，提取所设置的隐私操作；又如，通过机器学习方法根据用户历史偏好建立模型，学习用户在历史数据中的隐私信息的格式和/或类型、语义、隐私场景描述信息，提取其与隐私信息所支持的隐私操作之间的对应关系，当输入新的隐私信息的格式和/或类型、语义、隐私场景描述信息时，训练后的模型将识别出隐私信息所支持的隐私操作。

第二种、如图2所示，根据信息的格式和/或类型、以及根据信息的语义对所述信息进行拆分得到信息向量；根据所述信息的格式和/或类型、根据所述信息所处的环境信息、以及根据信息的语义生成所述场景描述信息；根据所述场景描述信息从信息向量中提取至少一个信息分量作为隐私信息分量，提取的隐私信息分量构成隐私信息，根据场景描述信息提取出隐私信息对应的隐私场景描述信息；根据所述隐私信息、隐私场景描述信息、信息持有者的偏好中的一种或多种的任意组合确定隐私信息的隐私保护需求；根据隐私信息的格式和/或类型、语义、隐私场景描述信息中的一种或多种的任意组合确定隐私信息所支持的隐私操作。

一个示例性的实施例中，提取隐私信息的方法可以采用人工设置、自动抽取、机器学习等，例如人工标定信息中的隐私信息，例如当读取到的场景描述信息为时间14:00-17:00，地点在娱乐场所时，与位置相关的信息即为隐私信息；又如，利用关键词匹配进行自动抽取，所抽取的关键词对应的信息构成了隐私信息；又如，通过机器学习方法根据用户历史偏好建立模型，学习用户在历史数据中的信息、场景描述信息，提取其与隐私信息之间的对应关系，当输入新的信息、场景描述信息时，训练后的模型将识别出隐私信息。

例如，用户u采取人工标记，将隐私保护需求分为3档：

3、不允许任何用户在21:00-04:00访问用户u的隐私信息。

一个示例性的实施例中，根据以下一种或多种的任意组合确定隐私信息所支持的隐私操作：隐私信息的格式和/或类型、隐私信息的语义、隐私场景描述信息，其中，可以通过人工设置、自动抽取、机器学习等方法，分析得到在给定隐私信息的格式和/或类型、语义、隐私场景描述信息下，隐私信息所支持的隐私操作。例如，人工标定不同的隐私信息所支持的隐私操作，举例：包含身份证号的文本信息支持被修改、复制、粘贴、加密；又如，利用关键词匹配进行自动抽取，设定所抽取的关键词对应的隐私操作，当抽取到相关关键词时，提取所设置的隐私操作；又如，通过机器学习方法根据用户历史偏好建立模型，学习用户在历史数据中的隐私信息的格式和/或类型、语义、隐私场景描述信息，提取其与隐私信息所支持的隐私操作之间的对应关系，当输入新的隐私信息的格式和/或类型、语义、隐私场景描述信息时，训练后的模型将识别出隐私信息所支持的隐私操作。

一个示例性的实施例中，当隐私信息分量的来源、数据格式不相同时，该方法还包括：对隐私信息分量进行变换操作，使得所有隐私信息分量的量纲得到统一，对统一量纲后的隐私信息分量进行融合得到隐私信息。

一个示例性的实施例中，所述信息的格式和/或类型，是指一个或多个信息向量的格式和/或类型，包括但不限于包括以下一种或多种的任意组合：文本、图片、音频、视频。

一个示例性的实施例中，信息所处的环境信息包括以下一种或多种的任意组合：

时间、空间位置、设备、传输方式、存储方式。

一个示例性的实施例中，场景描述信息是指信息所处的状态信息，包括但不限于包括以下一种或多种的任意组合：

一个示例性的实施例中，变换操作是指将量纲不统一的隐私信息分量统一为量纲一致的隐私信息分量，便于比较和度量，包括但不限于以下至少之一：语音识别、图像文字相互转换、视频文字相互转换。例如，当隐私信息分量分别为：A的语音信息、B的照片、C的文字信息时，可以将隐私信息分量统一为文字信息，或者统一为图片格式，以便后续进行融合。

一个示例性的实施例中，融合是指对隐私信息分量进行合并的操作，即将隐私信息分量的量纲统一后，将统一量纲后的所有隐私信息分量合并在一起得到隐私信息。

步骤110、根据以下一种或多种的任意组合确定隐私保护方案：隐私信息的格式和/或类型、场景描述信息和/或隐私场景描述信息、隐私信息所支持的隐私操作、隐私保护需求，采用确定隐私保护方案对隐私信息进行隐私保护。

一个示例性的实施例中，确定隐私保护方案包括：

根据以下一种或多种的任意组合确定至少一组隐私保护算法的分类、隐私保护算法和隐私保护算法的参数取值范围：隐私信息的格式和/或类型、场景描述信息和/或隐私场景描述信息、隐私信息所支持的隐私操作、隐私保护需求；根据确定的至少一组隐私保护算法的分类、隐私保护算法和隐私保护算法的参数取值范围确定至少一个隐私保护方案，从确定的至少一个隐私保护方案中选取其中一组隐私保护算法的分类、隐私保护算法和隐私保护算法的参数取值得到其中一个隐私保护方案；

一个示例性的实施例中，所述隐私保护算法分类包括但不限于包括以下一种或多种的任意组合：基于密码学的分类、基于泛化技术的分类、基于访问控制技术分类。

一个示例性的实施例中，所述隐私保护算法的分类为一种或多种近似隐私保护算法的组合，所述近似隐私保护算法是指以某一种或几种特定技术为核心，所衍生出的算法：例如k-匿名、l-多样性的算法或其组合是基于泛化技术的隐私保护算法分类下的近似隐私保护算法。

一个示例性的实施例中，确定隐私保护算法的分类、隐私保护算法和隐私保护算法的参数取值范围包括：

一个示例性的实施例中，可以采用人工标记、机器学习等方法，确定隐私信息的格式和/或类型、第一隐私保护算法的分类、第一隐私保护算法、第一隐私保护算法的参数取值范围之间的对应关系。

一个示例性的实施例中，也可以通过人工设置、机器学习等方法，分析得到在给定隐私信息的格式和/或类型、语义、隐私场景描述信息、隐私保护需求下，隐私信息所支持的隐私保护算法的分类、隐私保护算法、隐私保护算法的参数取值范围。例如，人工设置隐私保护算法的分类、隐私保护方案，举例：可以通过预设得到统计数据类型的隐私信息对应基于泛化技术(隐私保护算法的分类)中的k-匿名算法(k＝1-30)、差分隐私算法(隐私预算∈＝0.1-1)；又如，通过机器学习方法根据用户历史偏好建立模型，学习用户在历史数据中隐私信息的格式和/或类型、语义、隐私场景描述信息、隐私保护需求下，提取其与隐私保护算法的分类、隐私保护算法、隐私保护算法的参数取值范围之间的对应关系，当输入新的隐私信息的格式和/或类型、语义、隐私场景描述信息、隐私保护需求时，训练后的模型将识别出隐私保护算法的分类、隐私保护算法、隐私保护算法的参数取值范围。

一个示例性的实施例中，隐私保护算法的参数是指隐私保护算法中的自变量参数、调整参数，选择不同的自变量参数能够得到具有不同隐私保护强度的隐私保护算法；例如，k匿名中的k就是一个自变量参数；差分隐私中的隐私预算∈是自变量参数；RSA加密算法中的密钥长度也是自变量参数。

例如，可以通过建立隐私信息的格式和/或类型、第一隐私保护算法的分类、第一隐私保护算法、第一隐私保护算法的参数取值范围的对应关系，查找到隐私信息的格式和/或类型对应的第一隐私保护算法的分类、第一隐私保护算法、第一隐私保护算法的第一参数取值范围；根据场景描述信息和/或隐私场景描述信息和隐私保护算法分类之间的对应关系，从第一隐私保护算法的分类中筛选出第二隐私保护算法分类；根据隐私信息所支持的隐私操作、隐私保护需求、隐私保护算法的分类和隐私保护算法之间的对应关系，筛选出第二隐私保护算法分类下，第一隐私保护算法中由满足隐私信息所支持的隐私操作、隐私保护需求构成的第二隐私保护算法；根据场景描述信息和/或隐私场景描述信息、隐私保护需求和隐私保护算法的参数取值范围之间的对应关系，从第二隐私保护算法的第一参数取值范围中筛选出第二隐私保护算法的第二参数取值范围；

又如，可以通过建立隐私信息的格式和/或类型、隐私保护算法的分类、隐私保护算法、隐私保护算法的参数取值范围之间的对应关系，查找到隐私信息的格式和/或类型对应的第一隐私保护算法的分类、第一隐私保护算法、第一隐私保护算法的第一参数取值范围；根据场景描述信息和/或隐私场景描述信息、隐私信息所支持的隐私操作、隐私保护需求、隐私保护算法的分类、隐私保护算法、隐私保护算法的参数取值范围之间的对应关系，从第一隐私保护算法的分类、第一隐私保护算法、第一隐私保护算法的第一参数取值范围中筛选出第二隐私保护算法的分类、第二隐私保护算法、第二隐私保护算法的第二参数取值范围。

这里的设计是指根据隐私信息的格式和/或类型、场景描述信息和/或隐私场景描述信息、隐私信息所支持的隐私操作、隐私保护需求去构建新的隐私保护算法，例如将已有算法进行组合得到隐私保护算法的组合方案，或对已有隐私保护算法的步骤重新组合，例如先采用k匿名算法，然后对k个匿名结果分别加密，整体的流程可视作新构造的算法。

一个示例性的实施例中，隐私保护效果设置成评价隐私保护方案保护后的隐私信息实际被保护的程度，包括以下一种或多种的任意组合：

例如，对于位置隐私信息，其偏差量可以定义为隐私保护后位置与真实位置的距离，其损失比可以定义为隐私保护前反馈给用户的POI个数与隐私保护后反馈给用户的POI个数之比；对于图片隐私信息，其偏差量可以定义为隐私保护前后每个像素点RGB数值上的差值，其损失比可以定义为隐私保护前后每个像素点RGB数值上的差值，与隐私保护前的像素点RGB数值之比。

一个示例性的实施例中，判断出所述隐私保护效果满足隐私保护需求中的隐私保护期望包括以下一种或多种的任意组合：

隐私保护效果中的隐私保护后攻击者推测出隐私保护前的隐私信息的概率小于或等于隐私保护期望中的隐私保护后攻击者推测出隐私保护前的隐私信息的概率的预期；

隐私保护效果中的隐私保护后隐私信息的不确定度大于或等于隐私保护期望中的隐私保护后隐私信息的不确定度的预期；

隐私保护效果中的隐私保护后的隐私信息与隐私保护前的隐私信息之间的损失量小于或等于隐私保护期望中的隐私保护后的隐私信息与隐私保护前的隐私信息之间的损失量预期。

一个示例性的实施例中，判断出所述隐私保护效果不满足隐私保护需求中的隐私保护期望包括以下一种或多种的任意组合：

隐私保护效果中的隐私保护后攻击者推测出隐私保护前的隐私信息的概率大于隐私保护期望中的隐私保护后攻击者推测出隐私保护前的隐私信息的概率的预期；

隐私保护效果中的隐私保护后隐私信息的不确定度小于隐私保护期望中的隐私保护后隐私信息的不确定度的预期；

隐私保护效果中的隐私保护后的隐私信息与隐私保护前的隐私信息之间的损失量大于隐私保护期望中的隐私保护后的隐私信息与隐私保护前的隐私信息之间的损失量预期。

一个示例性的实施例中，重新选取另一组隐私保护算法的分类、隐私保护算法和隐私保护算法的参数取值的方法包括但不限于：

例如，可以先选择其中一个隐私保护算法和参数，基于选择的隐私保护算法和参数计算其隐私保护效果，并判断隐私保护效果是否满足隐私保护需求中的隐私保护期望；当隐私保护算法的隐私保护效果不满足隐私保护需求中的隐私保护期望时，保持当前的隐私保护算法的分类和隐私保护算法不变，为其参数选择取值范围内的另一个取值，基于重新选择的参数计算隐私保护算法的隐私保护效果，并判断隐私保护算法的隐私保护效果是否满足隐私保护需求中的隐私保护期望；直到基于当前选择的隐私保护算法对应的所有参数计算的隐私保护算法的隐私保护效果均不满足隐私保护需求中的隐私保护期望时，结束本流程；或者输出隐私需求过高的提示信息，并不予以输出任何隐私保护方案。

又如，可以先选择其中一个隐私保护算法和参数，基于选择的隐私保护算法和参数计算其隐私保护效果，并判断隐私保护效果是否满足隐私保护需求中的隐私保护期望；当隐私保护算法的隐私保护效果不满足隐私保护需求中的隐私保护期望时，保持当前的隐私保护算法的分类和隐私保护算法不变，为其参数选择取值范围内的另一个取值，基于重新选择的参数计算隐私保护算法的隐私保护效果，并判断隐私保护算法的隐私保护效果是否满足隐私保护需求中的隐私保护期望；直到基于当前选择的隐私保护算法对应的所有参数计算的隐私保护算法的隐私保护效果均不满足隐私保护需求中的隐私保护期望时，选择隐私保护算法的分类中的另一个不同的隐私保护算法及其对应参数；直到基于当前选择的隐私保护算法分类下对应的所有隐私保护算法及其参数所得到隐私保护效果均不满足隐私保护需求中的隐私保护期望时，结束本流程；或者输出隐私需求过高的提示信息，并不予以输出任何隐私保护方案。

又如，可以先选择其中一个隐私保护算法和参数，基于选择的隐私保护算法和参数计算其隐私保护效果，并判断隐私保护效果是否满足隐私保护需求中的隐私保护期望；当隐私保护算法的隐私保护效果不满足隐私保护需求中的隐私保护期望时，保持当前的隐私保护算法的分类和隐私保护算法不变，为其参数选择取值范围内的另一个取值，基于重新选择的参数计算隐私保护算法的隐私保护效果，并判断隐私保护算法的隐私保护效果是否满足隐私保护需求中的隐私保护期望；直到基于当前选择的隐私保护算法对应的所有参数计算的隐私保护算法的隐私保护效果均不满足隐私保护需求中的隐私保护期望时，选择当前隐私保护算法的分类中的另一个不同的隐私保护算法及其对应参数；直到基于当前选择的隐私保护算法分类下对应的所有隐私保护算法及其参数所得到隐私保护效果均不满足隐私保护需求中的隐私保护期望时，选择另一个不同的隐私保护算法的分类；重复上述步骤，直到隐私保护算法的分类下的隐私保护方案的隐私保护效果满足隐私保护需求中的隐私保护期望时，输出隐私保护效果满足隐私保护需求中的隐私保护期望的隐私保护方案。

当所有查找到的隐私保护算法的隐私保护效果均不满足隐私保护需求中的隐私保护期望时，结束本流程；或者输出隐私需求过高的提示信息，并不予以输出任何隐私保护方案。

本发明实施例考虑到不同的隐私保护算法由于其数学基础、算法参数选择的不同，具有不同的隐私保护能力，从而满足不同的隐私保护需求，并且隐私保护算法数量有限，可以将系统所包含的隐私保护算法按照数学基础分类，例如，根据前述举例，可将基于时间的访问控制技术分类对应至隐私保护需求3级，将数据混淆、扰动等基于概率思想的不可逆算法分类和交换加密、同态加密等基于密码学思想的可逆算法分类至隐私保护需求2级。

参见图3(a)，本申请另一个实施例提出一种隐私信息的管理装置，包括以下模块中的一个或多个的任意组合：

确定模块301，设置成确定隐私信息、隐私信息所支持的隐私操作、隐私信息的隐私保护需求，以及确定场景描述信息和/或隐私场景描述信息；

隐私保护方案决策评估模块302，设置成根据以下一种或多种的任意组合确定隐私保护方案，采用确定的隐私保护方案对隐私信息进行隐私保护：隐私信息的格式和/或类型；场景描述信息和/或隐私场景描述信息；隐私信息所支持的隐私操作；隐私保护需求。

一个示例性的实施例中，确定模块301可以采用以下任一种方式确定隐私信息、确定隐私信息所支持的隐私操作、确定隐私信息的隐私保护需求、以及确定场景描述信息和/或隐私场景描述信息。

第一种、参见图3(b)，确定模块301包括：

第一隐私信息提取单元3011，设置成从信息中提取隐私信息；

第一隐私保护需求确定单元3012，设置成根据隐私信息、隐私场景描述信息、信息持有者的偏好中的一种或多种的任意组合确定隐私信息的隐私保护需求；

隐私场景描述信息构造单元3013，设置成根据隐私信息的格式和/或类型、隐私信息所处的环境信息、隐私信息的语义中的一种或多种的任意组合构造隐私场景描述信息；

第一隐私操作确定单元3014，设置成根据隐私信息的格式和/或类型、隐私信息的语义和隐私场景描述信息中的一种或多种的任意组合确定隐私信息所支持的隐私操作。

第二种、如图3(c)所示，确定模块301包括：

拆分单元3015，设置成根据信息的格式和/或类型、信息的语义对所述信息进行拆分得到信息向量；

场景描述信息生成单元3016，设置成根据所述信息的格式和/或类型、所述信息所处的环境信息、信息的语义生成所述场景描述信息；

第二隐私信息提取单元3017，设置成根据所述场景描述信息从信息向量中提取至少一个信息分量作为隐私信息分量，提取的隐私信息分量构成隐私信息，根据场景描述信息提取出隐私信息对应的隐私场景描述信息，其中，隐私信息的提取方法可以采用人工设置、自动抽取、机器学习等，例如人工标定信息中的隐私信息，例如当读取到的场景描述信息为时间14:00-17:00，地点在娱乐场所时，与位置相关的信息即为隐私信息；又如，利用关键词匹配进行自动抽取，所抽取的关键词对应的信息构成了隐私信息；又如，通过机器学习方法根据用户历史偏好建立模型，学习用户在历史数据中的信息、场景描述信息，提取其与隐私信息之间的对应关系，当输入新的信息、场景描述信息时，训练后的模型将识别出隐私信息。

第二隐私保护需求确定单元3018，设置成根据所述隐私信息、隐私场景描述信息、信息持有者的偏好中的一种或多种的任意组合确定隐私信息的隐私保护需求，一个示例性的实施例中，可以采用人工标记、机器学习等方法确定隐私信息的隐私保护需求。

第二隐私操作确定单元3019，用于根据隐私信息的格式和/或类型、隐私信息的语义、场景描述信息中的一种或多种的任意组合确定隐私信息所支持的隐私操作。其中，可以通过人工设置、自动抽取、机器学习等方法，分析得到在给定隐私信息的格式和/或类型、语义、隐私场景描述信息下，隐私信息所支持的隐私操作。

图3(a)、3(b)、3(c)分别仅展示本申请提出一种隐私信息管理装置的一种可实现的展现形式，还可以以其他形式出现。本申请对模块的数量和顺序不作限制，可以是图中一种模块或多种模块的任意组合，也可以以其他顺序排列模块。

参见图4，本申请另一个实施例提出了一种隐私信息管理系统，包括：

第一设备401，设置成确定隐私信息、隐私信息所支持的隐私操作、隐私信息的隐私保护需求，以及确定场景描述信息和/或隐私场景描述信息；

第二设备402，设置成根据以下一种或多种的任意组合确定隐私保护方案，采用确定的隐私保护方案对隐私信息进行隐私保护；隐私信息的格式和/或类型；场景描述信息和/或隐私场景描述信息；隐私信息所支持的隐私操作；隐私保护需求。

上述第一设备401和第二设备402的实现过程与前述实施例隐私信息管理方法的实现过程相同，这里不再赘述。

一个示例性的实施例中，第一设备401和第二设备402可以是任意设备，例如，第一设备401可以是终端设备，第二设备402可以是服务器。

本领域普通技术人员可以理解，上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中，在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分；例如，一个物理组件可以具有多个功能，或者一个功能或步骤可以由若干物理组件合作执行。某些组件或所有组件可以被实施为由处理器，如数字信号处理器或微处理器执行的软件，或者被实施为硬件，或者被实施为集成电路，如专用集成电路。这样的软件可以分布在计算机可读介质上，计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的，术语计算机存储介质包括在设置成存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以设置成存储期望的信息并且可以被计算机访问的任何其他的介质。此外，本领域普通技术人员公知的是，通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据，并且可包括任何信息递送介质。

Claims

一种隐私信息管理方法，包括以下步骤中一个或多个的任意组合：

确定隐私信息、隐私信息所支持的隐私操作、隐私信息的隐私保护需求，以及确定场景描述信息和/或隐私场景描述信息；

根据以下一种或多种组合确定隐私保护方案，采用确定的隐私保护方案对隐私信息进行隐私保护：

隐私信息的格式和/或类型；

场景描述信息和/或

隐私场景描述信息；

隐私信息所支持的隐私操作；

隐私保护需求。
根据权利要求1所述的隐私信息管理方法，其中，所述确定隐私信息、确定场景描述信息和/或隐私场景描述信息、确定隐私信息所支持的隐私操作、确定隐私信息的隐私保护需求包括：

从信息中提取隐私信息，根据以下一种或多种的任意组合构造隐私场景描述信息：

隐私信息的格式和/或类型；

隐私信息所处的环境信息；

隐私信息的语义；

根据隐私信息、隐私场景描述信息、信息持有者的偏好中的一种或多种的任意组合确定隐私信息的隐私保护需求；

根据以下一种或多种组合确定隐私信息所支持的隐私操作：

隐私信息的格式和/或类型；

隐私信息的语义；

隐私场景描述信息。
根据权利要求2所述的隐私信息管理方法，其中，所述从信息中提取隐私信息包括：

根据所述信息的格式和/或类型、以及根据所述信息的语义对信息进行拆分得到信息向量；

从所述信息向量中提取至少一个信息分量作为隐私信息分量，提取的隐私信息分量构成所述隐私信息。
根据权利要求3所述的隐私信息管理方法，其中，所述从信息向量中提取至少一个信息分量作为隐私信息分量包括：

从所述信息向量中提取敏感度大于敏感阈值的信息分量，作为所述隐私信息分量，所述敏感度可以根据用户对信息分量的主观敏感程度和信息分量的信息熵确定。
根据权利要求1所述的隐私信息管理方法，其中，所述确定隐私信息、确定场景描述信息和/或隐私场景描述信息、确定隐私信息所支持的隐私操作、确定隐私信息的隐私保护需求包括：

根据信息的格式和/或类型、所述信息的语义对所述信息进行拆分得到信息向量；

根据所述信息的格式和/或类型、以及根据所述信息所处的环境信息、所述信息的语义生成所述场景描述信息；

根据所述场景描述信息从信息向量中提取至少一个信息分量作为隐私信息分量，提取的隐私信息分量构成所述隐私信息，根据所述场景描述信息提取出隐私信息对应的隐私场景描述信息；

根据隐私信息、隐私场景描述信息、信息持有者的偏好中的一种或多种的任意组合确定隐私信息的隐私保护需求；

根据以下一种或多种组合确定隐私信息所支持的隐私操作：

隐私信息的格式和/或类型；

隐私信息的语义；

隐私场景描述信息。
根据权利要求3或5所述的隐私信息管理方法，其中，当不同所述隐私信息分量的来源、数据格式不相同时，该方法还包括：

对所述隐私信息分量进行变换操作，使得所有所述隐私信息分量的量纲得到统一；

对统一量纲后的隐私信息分量进行融合得到所述隐私信息。
根据权利要求1所述的隐私信息管理方法，其中，所述隐私保护需求是指信息持有者在特定应用场景下希望隐私信息被保护的程度，包括以下任意一个或多个的组合：隐私保护期望、约束条件；

其中，隐私保护期望包括以下任意一个或多个的组合：隐私保护后攻击者推测出隐私保护前的隐私信息的概率的预期、隐私保护后隐私信息的不确定度的预期、隐私保护后的隐私信息与隐私保护前的隐私信息之间的损失量预期；

其中，约束条件包括以下任意一个或多个的组合：隐私场景描述信息、信息持有者允许的隐私操作和隐私信息之间的对应关系；隐私场景描述信息、信息持有者不允许的隐私操作和隐私信息之间的对应关系。
根据权利要求1所述的隐私信息管理方法，其中，所述场景描述信息是指信息所处的状态信息，所述隐私场景描述信息是指所述隐私信息所处的状态信息，包括以下一种或多种的任意组合：

信息格式和/或类型、时间、空间位置、设备、交互对象、交互途径、传输方式、存储方式、语义；或者，

其中，所述隐私操作包括以下一种或多种的任意组合：读、写、加密、模糊、泛化、加噪、匿名、签名、验签、计算摘要、加密、保存、复制、粘贴、转发、剪切、修改、删除。
根据权利要求1所述的隐私信息管理方法，其中，所述确定隐私保护方案包括：

根据以下一种或多种组合确定至少一组隐私保护算法的分类、隐私保护算法和隐私保护算法的参数取值范围：

隐私信息的格式和/或类型；

场景描述信息和/或

隐私场景描述信息；

隐私信息所支持的隐私操作；

隐私保护需求；

根据确定的至少一组隐私保护算法的分类、隐私保护算法和隐私保护算法的参数取值范围确定至少一个隐私保护方案；

从确定的至少一个隐私保护方案中选取其中一组隐私保护算法的分类、隐私保护算法和隐私保护算法的参数取值得到其中一个隐私保护方案；

计算选取的隐私保护方案对应的隐私保护后的隐私信息的隐私保护效果，当判断出所述隐私保护效果不满足隐私保护需求中的隐私保护期望时，重新选取另一组隐私保护算法的分类、隐私保护算法和隐私保护算法的参数取值得到另一个隐私保护方案，直至选取的隐私保护方案对应的隐私保护效果满足隐私保护需求中的隐私保护期望。
根据权利要求9所述的隐私信息管理方法，其中，所述隐私保护算法的分类包括以下一种或多种的任意组合：

基于密码学的分类、基于泛化技术的分类、基于访问控制技术的分类。
根据权利要求9所述的隐私信息管理方法，其中，所述确定隐私保护算法的分类、隐私保护算法和隐私保护算法的参数取值范围包括：

在预先设置的隐私信息的格式和/或类型、以及第一隐私保护算法的分类、第一隐私保护算法和第一隐私保护算法的第一参数取值范围之间的对应关系中，查找所述隐私信息的格式和/或类型对应的第一隐私保护算法的分类、第一隐私保护算法和第一隐私保护算法的第一参数取值范围，根据场景描述信息和/或隐私场景描述信息、以及根据隐私信息、隐私保护需求中的约束条件、隐私信息所支持的隐私操作从查找到的第一隐私保护算法的分类、第一隐私保护算法和第一隐私保护算法的第一参数取值范围中确定第二隐私保护算法的分类、第二隐私保护算法，以及第二隐私保护算法的第二参数取值范围。
根据权利要求9所述的隐私信息管理方法，其中，所述确定隐私保护算法的分类、隐私保护算法和隐私保护算法的参数取值范围包括：

当在预先设置的隐私信息的格式和/或类型、以及第一隐私保护算法的分类、第一隐私保护算法和第一隐私保护算法的第一参数取值范围之间的对应关系中，查找不到所述隐私信息的格式和/或类型对应的第一隐私保护算法的分类、第一隐私保护算法和第一隐私保护算法的第一参数取值范围，或，查找到的所述隐私信息的格式和/或类型对应的第一隐私保护算法的分类、第一隐私保护算法和第一隐私保护算法的第一参数取值范围均不满足隐私保护需求中的约束条件时，根据以下一种或多种的任意组合设计新型隐私保护方案：

隐私信息的格式和/或类型；

场景描述信息和/或

隐私场景描述信息；

隐私信息所支持的隐私操作；

隐私保护需求。
一种隐私信息管理装置，包括以下模块中一个或多个的任意组合：

确定模块，设置成确定隐私信息、隐私信息所支持的隐私操作、隐私信息的隐私保护需求，以及确定场景描述信息和/或隐私场景描述信息；

隐私保护方案决策评估模块，设置成根据以下一种或多种的任意组合确定隐私保护方案，采用确定的隐私保护方案对隐私信息进行隐私保护；

隐私信息的格式和/或类型；

场景描述信息和/或

隐私场景描述信息；

隐私信息所支持的隐私操作；

隐私保护需求。
一种计算机可读存储介质，其上存储有计算机程序，其中，所述计算机程序被处理器执行时实现如权利要求1～12任一项所述的隐私信息管理方法。
一种隐私信息管理系统，包括：

第一设备，设置成确定隐私信息、隐私信息所支持的隐私操作、隐私信息的隐私保护需求，以及确定场景描述信息和/或隐私场景描述信息；

第二设备，设置成根据以下一种或多种的任意组合确定隐私保护方案，采用确定的隐私保护方案对隐私信息进行隐私保护；

隐私信息的格式和/或类型；

场景描述信息和/或

隐私场景描述信息；

隐私信息所支持的隐私操作；

隐私保护需求。