ICS35.240

CCSL80YD

中華人民共和國通信行業標準

YD/T××××-202X

大搜索中隱私保護技術要求

Techniquerequirementsforprivacypreservationinbigsearch

202X-××-××發布202X-××-××實施

中華人民共和國工業和信息化部發布

I

YD××××—202X

前言

本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規則》的規定起

草。

本文件是“大搜索”系列標準之一，該系列標準擬發布以下三項：

——《大搜索術語》

——《大搜索中隱私保護技術要求》

——《大搜索系統框架指南》

請注意本文件的某些內容可能涉及專利。本文件的發布機構不承擔識別專利的責任。

本文件由中國通信標準化協會提出并歸口。

本文件牽頭起草單位：廣州大學網絡空間先進技術研究院、湖南星漢數智科技有限公司、鵬城實驗

室、國家計算機網絡應急技術處理協調中心、西北工業大學。

本文件參與起草單位：中國信息通信研究院、北京百度網訊科技有限公司、湖南蟻坊軟件有限公司、

西安郵電大學、華信咨詢設計研究院有限公司、哈爾濱工業大學（深圳）、電子科技大學廣東電子信息

工程研究院。

本文件主要起草人：李樹棟、賈焰、韓偉紅、吳曉波、王震、黃九鳴、田志宏、廖清、舒敏、周斌、

李愛平、殷麗華、顧釗銓、賀敏、陳悅、李笑如、陳慧慧、張勇、宋曦、王曉斌、徐睿峰、劉洋、陳雷

霆、曹厚華、母國才。

YD××××—2021

大搜索中隱私保護技術要求

1.范圍

本文件規定了在各類大搜索服務中對個人（用戶）隱私信息的保護手段和保護技術的要求。

本文件適用于各類搜索服務和各類搜索系統平臺的構建和監管，對用戶個人隱私、用戶數據安全等

隱私保護技術的實現提供指導。

2.規范性引用文件

下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文

件。

GB/T35273-2020信息安全技術個人信息安全規范

YD/TXXXX大搜索術語

3.術語和定義

下列術語和定義適用于本文件。

3.1

大搜索bigsearch

在面向泛在網絡空間中的人、物體和信息，在正確理解用戶意圖基礎上的，基于從網絡空間大數據

獲取的知識，給出滿足用戶需求的智慧解答。

[來源：YD/TXXXX,2.1]

3.2

去標識化de-identification

通過對個人信息的技術處理，使其在不借助額外信息的情況下，無法識別個人信息主體的過程。

注：去除標識符與個人信息主體之間關聯性。

[來源：YD/TXXXX,2.15]

3.3

敏感屬性sensitiveattribute

數據集中需要特別保護的屬性。在潛在的重標識攻擊期間，需要防止其值與任何一個個人信息主體

相關聯。

[來源：YD/TXXXX,2.16]

3.4

有用性usefulness

YD××××—202X

數據對于應用有著具體含義、具有使用意義的特性。去標識化數據應用廣泛，每種應用將要求去標

識化數據具有某些特性以達到應用目的，因此在去標識化后，需要保證對這些特性的保留。

[來源：YD/TXXXX,2.17]

3.5

隱私計算privacycomputing

隱私計算是面向隱私信息全生命周期保護的計算理論和方法，是隱私信息的所有權、管理權和使用

權分離時隱私度量、隱私泄漏代價、隱私保護與隱私分析復雜性的可計算模型與公理化系統。

3.6

隱私保護privacyprotecting

指在大搜索過程中對于用戶的個人敏感信息、行為習慣等隱私信息的保護，以及對從泛在網絡中

獲取的多維信息進行融合分析時的隱私信息保護問題。

3.7

隱私感知技術privacyawareness

主要是從包含隱私的信息中構建隱私變量集合，或從變量集合中確定變量的取值或取值范圍，產生

隱私元數據，對隱私進行標記和編碼，確定隱私變量的概率分布，從而對隱私變量中隱私度量的大小進

行計算，為實施隱私保護提供支撐。

4.大搜索中隱私保護的原則

在大搜索服務使用過程中，應遵循以下隱私保護原則：

a)公開性原則：對公開信息和個人用戶信息的收集、處理與利用一般應保持公開，應當公開信息

處理規則，明示處理的目的、方式和范圍，以及信息處理者的名稱或者姓名和聯系方式；

b)限制性原則：個人信息的所有處理行為要堅持合法原則，個人信息數據庫要堅持服務特定目的，

在最少必須原則下收集和處理，信息的收集和利用、保存期限和銷毀應受到限制；

c)數據質量原則：公開信息應當準確、完整和實時更新，大搜索服務商對此責無旁貸；如果無法

保證公開信息的準確性和完整性，則應該具體說明可能存在的信息缺失部分及其造成的后果。

d)匿名使用原則：將收集的信息中涉及敏感用戶的個性特征隱去，使用以群組統計的特征。

e)安全保護原則：對于已經收集到的個人數據，若未取得個人同意，則不得公開相應的個人數據；

應當采取合理的安全措施，防止數據的滅失或者未經授權的訪問，避免數據的破壞、使用、修

改或披露等風險。

f)責任明確與安全保證原則：明確并落實用戶信息處理過程中的責任；采取適當的、與用戶信息

遭受損害的可能性和嚴重性相適應的管理措施與技術手段，保護用戶信息安全。

5.大搜索中隱私保護整體框架

大搜索需要先從公開的互聯網、物聯網等多個來源獲取信息，對數據進行存儲、處理，并為用戶提

供智能化查詢、搜索服務，因此需要同時滿足服務能力和數據隱私保護能力，在提供數據使用服務時，

既可以滿足服務質量又可以保護隱私。

YD××××—2021

隨著網絡空間不斷擴展，互聯網應用模式發生了顯著的變化；數據呈現出爆炸性增長的趨勢。大搜

索——即“面向泛在網絡空間的智慧搜索”，相比基于關鍵字的傳統搜索引擎，在大數據時代更能滿足

用戶的搜索需求，有著必要且迫切的發展、應用需求。

本章提出了一種大搜索中隱私保護整體框架，如圖1所示。

圖1大搜索隱私保護框架

與傳統的搜索引擎只從互聯網獲取數據不同，大搜索將從互聯網、物聯網、社交網絡、醫療健康網

絡、視頻監控系統、地理信息系統、智能交通管理系統以及其它網絡空間應用中去采集、獲取各種用戶

資源、信息資源、物理資源等數據，其中隨時空變化的數據還會動態保持更新；在數據模式方面也更加

豐富和多變，包括數字、文本、圖片、視頻、音頻、位置、及其它們的組合等等。正是由于大搜索這種

數據“泛網獲取”的特點，所以在獲取到的公開信息中，不可避免會存在大量個人數據和信息、涉及行

業的敏感數據、涉及國家經濟和政治等方面的機密信息；這些數據往往規模巨大、類型繁多、數據模式

豐富多變，因而，在對獲取的數據進行存儲、處理和分析過程中，應要對隱私數據進行多維度分類和分

級。其中，涉及敏感信息的識別、去標識化、匿名化等技術，保證等級的敏感信息被區分開，有助于搜

索引擎針對性的提供服務。

為了實現智能搜索服務的目的，大搜索需要在泛網數據獲取的基礎上，進行多元融合知識獲取、并

對用戶意圖進行感知和理解，在此基礎上進行智慧解答的在線匹配。多元融合知識獲取，即知識綜合，

要求大搜索的知識不只是來源于單個通道，而是融合了網絡空間各類應用的數據，跨越了各種數據和知

識的表示模式，經推演、提煉而綜合出來的，從而具備更全面、更準確、更豐富的特點。知識綜合突出

了對多源數據之間、及其不同模式數據之間可能存在關聯關系進行綜合分析，從而可以挖掘和發現更加

新穎和更加豐富的知識。大搜索強大的關聯分析能力，可以對許多重要的事和重要的人的方方面面進行

關聯和歸納，形成新的認知和知識；這些內容可能是個人的隱私，乃至國家的機密，因此嚴格的訪問結

果內容研判和控制，是大搜索推廣使用的前提。為了對訪問結果內容進行研判和控制，就要建立隱私數

據交叉感知的隱私度量檢測機制。其中，對于大搜索應用的用戶而言，在對其隱私信息關鍵要素提取和

自適應隱私計算的基礎上進行多維用戶隱私建模，實現對隱私信息的精準建模與動態度量；對搜索的結

果而言，則在搜索要素抽取基礎上進行關聯計算與傳播模型建模，實現隱私信息流向、搜索結果可管可

控。

YD××××—202X

在用戶訪問大搜索系統時，根據用戶查詢的隱私程度、用戶身份信息、物理特征、網絡特征、訪問

行為等，其他時空屬性，刻畫用戶畫像，為用戶準確定級，確定相應的訪問權限。對于超越用戶權限的

查詢信息，及時進行攔截，保證隱私信息在可控的范圍內傳播。

最后，用戶訪問查詢和返回數據采用加密傳輸協議，保證數據在傳輸過程中不被竊取泄露。

6.隱私數據分類和分級

6.1概述

對于公開獲取的互聯網、物聯網源數據，在處理過程中，應該充分考慮源數據中包含的各類敏感信

息，包括大量個人數據信息、企業及各類機構敏感數據、國家經濟和政治方面敏感信息等，保證信息分

類和分級有序，處理和查詢過程可控。

6.2隱私數據識別

網絡空間數據具有多元、異構、海量等特點，針對大量復雜的源數據，需要對數據進行精準匹配、

快速標記、準確識別。通過準確的隱私識別，獲取數據中的敏感信息，認定是否需要刪除或者分級。且

對于不同數據來源的信息，需要考慮非顯性的可被關聯分析獲取的敏感信息，對數據進行充分的挖掘。

6.3隱私數據分類和分級

根據敏感信息的類別、時空屬性、出現頻率、出現范圍等特征，對其進行特征建模，利用規則匹配、

神經網絡等方法，對其進行分類和分級，保證敏感信息與一般信息、不同類別、不同機密等級的敏感信

息都能有效、準確的區分與利用。

從業務角度看，分類是企業、組織的數據按照企業數據資產管理形式，在明確敏感信息的業務范疇

基礎上，對信息進行劃分，分類的粒度可以根據具體的業務而有不同。分級則是從數據安全、隱私保護

和合規的角度，將數據的敏感等級劃分為不同的幾個級別，敏感等級不同的數據對內使用時受到的保護

策略不同，對外共享開放的程度也不同。

一套完整的數據分類分級系統應該有如下的特點：

a)主觀判定與客觀判斷的支持

主觀判定與客觀判斷主要是針對數據的敏感性（機密性）。組織內部數據分級判斷常分為客觀數據

及主觀數據，客觀數據可直接辨別敏感性（如電話、身份證等），而有些數據則需要進行主觀判定。

b)具有敏感數據發現能力

敏感數據發現是數據分類分級的基礎，也是客觀判斷的前期條件，如對電話、身份證號碼、社保卡

號、銀行賬號等多種數據進行判斷，及時發現組織內部敏感數據。

c)現有安全環境的系統映射能力

數據分類分級要考慮數據多種特性，其中包括數據安全可控性的問題，如果組織內部具有高強度的

安全可控環境，那數據分級價值則會有限，如果環境中安全防護能力有限，則需考慮如何利用現有設備

（或部分新購設備）有針對性的加深數據防護粒度，從而減輕資金、人員、運維精力等綜合投入成本，

在此環境下數據分類分級則顯得尤為重要。

d)動態擴展能力

動態擴展能力是適應不同場景的需要，是系統能否適用組織內部不同數據形態、不同分類分級需求

的基礎（如果不具備動態擴展的能力且但滿足需求，則可初步認定該系統是項目級，非產品級）。動態

擴展能力應包括敏感數據發現規則的動態拓展、元數據管理的動態擴展、標準自定義的動態擴展等。

YD××××—2021

e)上下游系統結合能力

數據分類分級應具有上下游系統結合的能力（即需要豐富的接口）。應能提供上游態勢可視化展示

（數據分布可視化、數據流程可視化等）、資產應用等，下游的數據安全管控（審計、防火墻、脫敏、

加密、數據防泄漏）等。

7.隱私度量檢測

7.1概述

隱私度量指通過度量指標或度量方法揭示保護方法中存在的隱私信息泄露風險，側面反映出隱私保

護方法的隱私保護強度。不同的隱私保護技術在不同的隱私需求下處理數據的方式和性能不同。

根據隱私度量方法不同的特點，可綜合采用基于匿名的隱私度量方法、基于信息熵的隱私度量方法、

基于集對分析理論的隱私度量方法和基于差分隱私的隱私度量方法。針對大搜索平臺的知識綜合和智慧

解答的特點，在隱私要素和搜索要素提取的基礎上，結合上述隱私度量方法，建立用戶隱私模型以及隱

私信息傳播模型，實現隱私信息的精準建模、動態度量以及隱私信息流向、搜索結果可管可控。

大搜索平臺上的智能搜索服務在對用戶的查詢進行響應時，需要對用戶身份進行隱私分級，嚴格訪

問控制機制，同時在傳輸過程中要利用加密、泛化等手段，以保證數據的隱私不泄露。大搜索隱私度量

與管控模型如圖2所示。

圖2大搜索隱私度量檢測

7.2用戶隱私建模

YD××××—202X

針對網絡大空間搜索環境下隱私信息多樣、關聯關系隱晦、隱私需求多變等特點，應綜合隱私信息

關鍵要素提取、隱私計算進行用戶隱私建模。

a)隱私信息關鍵要素應包括用戶的身份信息、物理特征、生理特征、網絡特征等關鍵要素。

b)隱私計算建議采用關聯分析、行為預測及迭代演進的方法。

c)用戶隱私建模應采用手工標記、決策樹、神經網絡、隱私信息匹配等技術，建立多維用戶隱私

模型。

7.3隱私管控機制

針對隱私訪問需求多樣、隱私信息頻繁跨域流轉等特點，應在搜索要素抽取基礎上，構建關聯計算

模型，實現隱私信息可管可控。

a)搜索要素抽取應綜合考慮搜索主體與客體的時空因素、搜索途徑、搜索行為等因素，在用戶進行

查詢時，可以快速確定是否符合查詢級別，能夠判斷是否能將結果提供給查詢者，在需要時進行阻斷。

b)可采用搜索路徑發現、柔性訪問控制等技術，構建查詢用戶與用戶隱私之間的關聯計算模型，實

現對隱私信息流向、搜索結果跨系統傳播的可管可控。

c)應保證信息訪問的合法性、安全性以及可控性。在考慮環境和時態等多種因素的基礎上，使用訪

問控制技術，向細粒度、多安全等級、跨域的方向延伸發展，授權依據開始逐漸面向主、客體的安全屬

性，采用基于信任、基于屬性和基于行為等一系列基于安全屬性的新型訪問控制模型及其管理模型。

d)基于屬性的訪問控制應將各類屬性包括用戶屬性、資源屬性、環境屬性等組合起來用于用戶訪問

權限的設定。

7.4隱私保護效果評價

應從以下幾個方面評價發布數據的隱私保護效果：

a)信息損失度量

信息損失度量宜采用InforLoss度量、最小擾動度量以及可辨識度度量等度量方法。

b)專用度量

如果在進行數據發布前已經明確數據使用的目的，再對數據進行匿名化的操作的同時就需要考慮數

據的應用需求，這樣才能保留更多的有用信息。

c)隱私效用的折中度量

應尋求一種確定的折中度量，隱私保護數據發布過程中既要保證用戶隱私信息盡可能不被泄露，同

時也要盡可能保證較高的發布數據的可用性。

8.數據傳輸過程的隱私保護

8.1用戶查詢中的隱私保護

在用戶使用大搜索智能系統服務的過程中，用戶發送的查詢信息，包括文字、語音、圖片等各種輸

入數據，應采用加密的傳輸協議，保證查詢過程中用戶的個人隱私不被泄露。

8.2數據響應中的隱私保護

在用戶執行搜索請求后，大搜索平臺通過智能匹配、推理，通過隱私管控機制，向用戶傳輸查詢結

果時，應采用加密的傳輸協議，保證在可控的范圍內傳播，保證數據和用戶的隱私不被泄露。

目次

前言...................................................................1

1.范圍....................................................................2

2.規范性引用文件..........................................................2

3.術語和定義..............................................................2

4.大搜索中隱私保護的原則..................................................3

5.大搜索中隱私保護整體框架................................................3

6.隱私數據分類和分級......................................................5

7.隱私度量檢測............................................................6

8.數據傳輸過程的隱私保護..................................................7

I

YD××××—2021

大搜索中隱私保護技術要求

1.范圍

本文件規定了在各類大搜索服務中對個人（用戶）隱私信息的保護手段和保護技術的要求。

本文件適用于各類搜索服務和各類搜索系統平臺的構建和監管，對用戶個人隱私、用戶數據安全等

隱私保護技術的實現提供指導。

2.規范性引用文件

下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文

件。

GB/T35273-2020信息安全技術個人信息安全規范

YD/TXXXX大搜索術語

3.術語和定義

下列術語和定義適用于本文件。

3.1

大搜索bigsearch

在面向泛在網絡空間中的人、物體和信息，在正確理解用戶意圖基礎上的，基于從網絡空間大數據

獲取的知識，給出滿足用戶需求的智慧解答。

[來源：YD/TXXXX,2.1]

3.2

去標識化de-identification

通過對個人信息的技術處理，使其在不借助額外信息的情況下，無法識別個人信息主體的過程。

注：去除標識符與個人信息主體之間關聯性。

[來源：YD/TXXXX,2.15]

3.3

敏感屬性sensitiveattribute

數據集中需要特別保護的屬性。在潛在的重標識攻擊期間，需要防止其值與任何一個個人信息主體

相關聯。

[來源：YD/TXXXX,2.16]

3.4

有用性usefulness

YD××××—202X

數據對于應用有著具體含義、具有使用意義的特性。去標識化數據應用廣泛，每種應用將要求去標

識化數據具有某些特性以達到應用目的，因此在去標識化后，需要保證對這些特性的保留。

[來源：YD/TXXXX,2.17]

3.5

隱私計算privacycomputing

隱私計算是面向隱私信息全生命周期保護的計算理論和方法，是隱私信息的所有權、管理權和使用

權分離時隱私度量、隱私泄漏代價、隱私保護與隱私分析復雜性的可計算模型與公理化系統。

3.6

隱私保護privacyprotecting

指在大搜索過程中對于用戶的個人敏感信息、行為習慣等隱私信息的保護，以及對從泛在網絡中

獲取的多維信息進行融合分析時的隱私信息保護問題。

3.7

隱私感知技術privacyawareness

主要是從包含隱私的信息中構建隱私變量集合，或從變量集合中確定變量的取值或取值范圍，產生

隱私元數據，對隱私進行標記和編碼，確定隱私變量的概率分布，從而對隱私變量中隱私度量的大小進

行計算，為實施隱私保護提供支撐。

4.大搜索中隱私保護的原則

在大搜索服務使用過程中，應遵循以下隱私保護原則：

a)公開性原則：對公開信息和個人用戶信息的收集、處理與利用一般應保持公開，應當公開信息

處理規則，明示處理的目的、方式和范圍，以及信息處理者的名稱或者姓名和聯系方式；

b)限制性原則：個人信息的所有處理行為要堅持合法原則，個人信息數據庫要堅持服務特定目的，

在最少必須原則下收集和處理，信息的收集和利用、保存期限和銷毀應受到限制；

c)數據質量原則：公開信息應當準確、完整和實時更新，大搜索服務商對此責無旁貸；如果無法

保證公開信息的準確性和完整性，則應該具體說明可能存在的信息缺失部分及其造成的后果。

d)匿名使用原則：將收集的信息中涉及敏感用戶的個性特征隱去，使用以群組統計的特征。

e)安全保護原則：對于已經收集到的個人數據，若未取得個人同意，則不得公開相應的個人數據；

應當采取合理的安全措施，防止數據的滅失或者未經授權的訪問，避免數據的破壞、使用、修

改或披露等風險。

f)責任明確與安全保證原則：明確并落實用戶信息處理過程中的責任；采取適當的、與用戶信息

遭受損害的可能性和嚴重性相適應的管理措施與技術手段，保護用戶信息安全。

5.大搜索中隱私保護整體框架

大搜索需要先從公開的互聯網、物聯網等多個來源獲取信息，對數據進行存儲、處理，并為用戶提

供智能化查詢、搜索服務，因此需要同時滿足服務能力和數據隱私保護能力，在提供數據使用服務時，

既可以滿足服務質量又可以保護隱私。