翟志剛 謝莉莉

摘? ?要：大數(shù)據(jù)環(huán)境下安全問(wèn)題面臨著新的形勢(shì)和新的矛盾，其中隱私保護(hù)是關(guān)鍵的問(wèn)題之一，如何在大數(shù)據(jù)環(huán)境下兼顧共享和隱私保護(hù)是不得不考慮的問(wèn)題。文章分析了大數(shù)據(jù)環(huán)境下隱私保護(hù)問(wèn)題面臨的新困難，指出隱私保護(hù)問(wèn)題實(shí)際上就是數(shù)據(jù)共享問(wèn)題，初次共享可以通過(guò)授權(quán)控制，但是數(shù)據(jù)的過(guò)度共享無(wú)法單單通過(guò)授權(quán)來(lái)控制。研究新的使用控制模型，提出通過(guò)授權(quán)、職責(zé)和條件來(lái)控制非授權(quán)的數(shù)據(jù)過(guò)度共享。在此基礎(chǔ)上提出了職責(zé)后使用的控制模型，通過(guò)職責(zé)操作和條件約束來(lái)控制信息數(shù)據(jù)的過(guò)度共享，并給出了該模型的形式化描述。

關(guān)鍵詞：大數(shù)據(jù);隱私保護(hù);使用控制;職責(zé)

1 引言

信息技術(shù)與經(jīng)濟(jì)社會(huì)的交匯融合引發(fā)了數(shù)據(jù)量的迅猛增長(zhǎng)，數(shù)據(jù)已經(jīng)成為國(guó)家的基礎(chǔ)性戰(zhàn)略資源，大數(shù)據(jù)正日益對(duì)全球生產(chǎn)、流通、分配、消費(fèi)活動(dòng)、經(jīng)濟(jì)運(yùn)行機(jī)制、社會(huì)生活方式和國(guó)家治理能力產(chǎn)生重要影響[1]。在未來(lái)社會(huì)發(fā)展中，數(shù)據(jù)資源的重要性將會(huì)超過(guò)土地資源[2]。運(yùn)用大數(shù)據(jù)推動(dòng)政府治理體系和治理能力現(xiàn)代化，實(shí)現(xiàn)高質(zhì)量的發(fā)展是必然趨勢(shì)。

大數(shù)據(jù)技術(shù)的發(fā)展帶來(lái)了極大便利的同時(shí)，也面臨著許多新的安全問(wèn)題。為此，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)從2017年開(kāi)始發(fā)布《大數(shù)據(jù)安全標(biāo)準(zhǔn)化白皮書(shū)》，在2018版[3]中特別指出，數(shù)據(jù)安全和個(gè)人信息保護(hù)是大數(shù)據(jù)的應(yīng)用和發(fā)展中面臨的重大挑戰(zhàn)。在大數(shù)據(jù)時(shí)代，實(shí)現(xiàn)大數(shù)據(jù)安全與隱私保護(hù)，較以往其它安全問(wèn)題更為棘手[4]。大數(shù)據(jù)背景下很多的應(yīng)用平臺(tái)不但是數(shù)據(jù)的存儲(chǔ)者，還是數(shù)據(jù)的管理者，很難單純通過(guò)技術(shù)手段限制平臺(tái)對(duì)用戶信息的使用。因此，大數(shù)據(jù)環(huán)境下更容易暴露隱私數(shù)據(jù)，“棱鏡門”“劍橋分析”事件即為典型案例。同時(shí)，數(shù)據(jù)的可用性和安全性是一對(duì)天然的矛盾，有時(shí)候?yàn)榱藬?shù)據(jù)分析的方便，用戶不得不主動(dòng)或被動(dòng)的放棄部分隱私保護(hù)的權(quán)利。

“隱私”作為一個(gè)概念的提出可以追溯到19世紀(jì)，在社會(huì)科學(xué)領(lǐng)域有廣泛研究，但是跟“大數(shù)據(jù)”的概念一樣，很難給“隱私”確定一個(gè)明確的定義，一般是指用戶認(rèn)為是自身敏感的且不愿意公開(kāi)的信息。這里的用戶可以是個(gè)人，也可以是某個(gè)組織。

2018年5月，號(hào)稱史上最嚴(yán)的數(shù)據(jù)保護(hù)條例《通用數(shù)據(jù)保護(hù)條例》（GDPR）正式生效，歐盟個(gè)人信息保護(hù)進(jìn)入新的歷史階段[5]，需要注意的是GDPR從“個(gè)人數(shù)據(jù)”“數(shù)據(jù)主體”等概念設(shè)定了個(gè)人隱私保護(hù)要求。而我國(guó)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》（以下簡(jiǎn)稱網(wǎng)絡(luò)安全法）和《民法通則》中是基于“個(gè)人信息”進(jìn)行了表述?！皞€(gè)人數(shù)據(jù)”和“個(gè)人信息”的區(qū)別有專門研究[6]，本文對(duì)“數(shù)據(jù)”和“信息”的表述不做嚴(yán)格區(qū)分，也不對(duì)其內(nèi)涵和外延進(jìn)行深入分析，只要是個(gè)人或組織所擁有的數(shù)據(jù)或信息，均為本文研究涵蓋范圍，文中所列“信息”和“數(shù)據(jù)”的概念視作相同。

學(xué)術(shù)界從不同角度對(duì)大數(shù)據(jù)環(huán)境下的隱私保護(hù)進(jìn)行了廣泛的研究。劉雅輝等人[7]從數(shù)據(jù)層、應(yīng)用層以及數(shù)據(jù)展示層敘述了個(gè)人隱私保護(hù)所使用的技術(shù) ;黃劉生等人[8]從密碼學(xué)的角度，綜述了近年來(lái)提出的適用于大數(shù)據(jù)隱私保護(hù)技術(shù)的研究進(jìn)展;曹珍富等人[9]指出解決大數(shù)據(jù)安全與隱私最徹底的方法是通過(guò)加密來(lái)實(shí)現(xiàn)。但是，孟小峰等人[10]在分析了大數(shù)據(jù)管理中存在的隱私風(fēng)險(xiǎn)和隱私管理關(guān)鍵技術(shù)后，指出了大數(shù)據(jù)的大規(guī)模性與高速性帶來(lái)的實(shí)時(shí)性分析，使得傳統(tǒng)的加密和密碼學(xué)技術(shù)面臨極大的瓶頸;李昊等人[11]從訪問(wèn)控制角度，對(duì)大數(shù)據(jù)安全問(wèn)題進(jìn)行了研究;從管理角度，王利明[12]深刻分析了數(shù)據(jù)共享與個(gè)人信息保護(hù)的矛盾;劉佳等人[13]從法律法規(guī)和標(biāo)準(zhǔn)角度對(duì)個(gè)人信息保護(hù)進(jìn)行了研究;孫舒揚(yáng)[14]指出了大數(shù)據(jù)應(yīng)用中的個(gè)人信息使用存在的幾個(gè)關(guān)鍵問(wèn)題。

本文分析了大數(shù)據(jù)環(huán)境下隱私保護(hù)技術(shù)所面臨的新特點(diǎn)和難點(diǎn)，將大數(shù)據(jù)環(huán)境下隱私保護(hù)問(wèn)題歸結(jié)為控制非授權(quán)數(shù)據(jù)的共享問(wèn)題，初次共享可以通過(guò)授權(quán)控制，但是過(guò)度共享無(wú)法單單通過(guò)授權(quán)控制，提出了過(guò)度共享問(wèn)題可以通過(guò)職責(zé)操作和條件約束來(lái)控制，依托使用控制模型建立職責(zé)后使用控制模型，給出它的形式化描述。

2 大數(shù)據(jù)環(huán)境下隱私保護(hù)的難點(diǎn)

傳統(tǒng)的信息安全有三要素：機(jī)密性、完整性和可用性。機(jī)密性保證信息不被非授權(quán)訪問(wèn)，完整性保證信息不被非授權(quán)修改，可用性保證系統(tǒng)可用。機(jī)密性解決的是信息不能隨便“讀”的問(wèn)題，非授權(quán)不能讀取;完整性解決的是信息不能隨便“寫(xiě)”的問(wèn)題，無(wú)論是有意還是無(wú)意，都不能非授權(quán)寫(xiě);如果一個(gè)系統(tǒng)既不能讀也不能寫(xiě)，那么可以說(shuō)這個(gè)系統(tǒng)是完全安全的，但是這樣的系統(tǒng)就沒(méi)有了意義，所以還要有可用性來(lái)保證系統(tǒng)的可用。機(jī)密性、完整性和可用性缺一不可、不可分割，三者都取最優(yōu)是無(wú)解的，只能根據(jù)不同的應(yīng)用場(chǎng)景，分析系統(tǒng)需求，選取最佳平衡。

大數(shù)據(jù)環(huán)境下關(guān)于機(jī)密性所面臨的新特點(diǎn)和新安全威脅主要體現(xiàn)在兩方面。

一是間接信息泄露。大數(shù)據(jù)時(shí)代個(gè)人信息無(wú)處不在，無(wú)論是工作還是生活，登記的個(gè)人信息都已進(jìn)入網(wǎng)絡(luò)。同時(shí)，政府或社會(huì)組織的數(shù)據(jù)或信息也同樣面臨泄露的風(fēng)險(xiǎn)，甚至超過(guò)個(gè)人信息泄露的風(fēng)險(xiǎn)。分析信息泄露事件，除了非法訪問(wèn)破壞機(jī)密性而導(dǎo)致信息泄露外，大數(shù)據(jù)時(shí)代隨著數(shù)據(jù)挖掘、機(jī)器學(xué)習(xí)、人工智能等技術(shù)的發(fā)展，使得大數(shù)據(jù)的綜合聯(lián)機(jī)分析能力越來(lái)越強(qiáng)，更容易通過(guò)關(guān)聯(lián)分析挖掘出更多的關(guān)聯(lián)信息，這也是大數(shù)據(jù)的關(guān)鍵特征之一，但是大數(shù)據(jù)的這一特征同時(shí)增加了信息泄露的風(fēng)險(xiǎn)。所以，在大數(shù)據(jù)時(shí)代，對(duì)于隱私保護(hù)問(wèn)題，除了控制對(duì)數(shù)據(jù)的非法訪問(wèn)，更重要的是控制因數(shù)據(jù)挖掘分析而間接導(dǎo)致的信息泄露。

二是數(shù)據(jù)過(guò)度共享。大數(shù)據(jù)時(shí)代，數(shù)據(jù)是重要的戰(zhàn)略資源，但是數(shù)據(jù)的使用價(jià)值只有在流通、共享和應(yīng)用的過(guò)程中才能體現(xiàn)，沒(méi)有共享的數(shù)據(jù)只有價(jià)值而無(wú)使用價(jià)值。數(shù)據(jù)共享包括信息數(shù)據(jù)的收集和傳輸行為，數(shù)據(jù)共享實(shí)際上是數(shù)據(jù)控制范圍的擴(kuò)張，數(shù)據(jù)收集者如果再次將收集到的數(shù)據(jù)共享出去，將可能導(dǎo)致數(shù)據(jù)的廣泛傳播?！毒W(wǎng)絡(luò)安全法》第四十一條規(guī)定：“網(wǎng)絡(luò)運(yùn)營(yíng)者收集、使用的個(gè)人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，公開(kāi)收集使用規(guī)則，明示收集使用信息的目的、方式和范圍，并且經(jīng)過(guò)被收集者同意。網(wǎng)絡(luò)運(yùn)營(yíng)者不得收集與其提供的服務(wù)無(wú)關(guān)的個(gè)人信息，不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個(gè)人信息，并應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和用戶約定，處理其保存的個(gè)人信息?！卑凑丈鲜鲆?guī)定，數(shù)據(jù)收集者在收集信息數(shù)據(jù)時(shí)應(yīng)當(dāng)獲得信息數(shù)據(jù)擁有者的同意。但是數(shù)據(jù)收集主體在收集到相關(guān)信息數(shù)據(jù)以后，在利用這些信息數(shù)據(jù)的同時(shí)，可能會(huì)將其再次共享，再次共享時(shí)是否應(yīng)當(dāng)征得信息數(shù)據(jù)擁有者的同意。信息數(shù)據(jù)擁有者是否就是該信息數(shù)據(jù)的原始擁有者，有無(wú)權(quán)力轉(zhuǎn)授權(quán)。這些都是大數(shù)據(jù)時(shí)代新的隱私保護(hù)難點(diǎn)。分析機(jī)密性可以看出，數(shù)據(jù)泄露可以看作是非授權(quán)的數(shù)據(jù)共享，數(shù)據(jù)的過(guò)度共享同樣可以看作是非授權(quán)的數(shù)據(jù)共享。

大數(shù)據(jù)環(huán)境下關(guān)于完整性面臨的安全威脅主要是基于訪問(wèn)控制進(jìn)行的研究[11]，本文不做贅述。但是可以認(rèn)為對(duì)原授權(quán)操作數(shù)據(jù)的進(jìn)一步寫(xiě)操作，是產(chǎn)生了新的數(shù)據(jù)，該新數(shù)據(jù)沒(méi)有原始擁有者，可以認(rèn)為執(zhí)行主體是其當(dāng)前的擁有者，該新數(shù)據(jù)產(chǎn)生以后被其數(shù)據(jù)擁有者同時(shí)共享出去。

大數(shù)據(jù)環(huán)境下關(guān)于可用性面臨的安全威脅同樣可以歸結(jié)為非授權(quán)共享的問(wèn)題，可用性的控制主要是通過(guò)應(yīng)用場(chǎng)景或時(shí)間段來(lái)控制。比如某用戶將自己的個(gè)人信息授權(quán)給某APP采集使用，但是僅限于在該APP內(nèi)使用，若該APP將用戶信息轉(zhuǎn)授權(quán)給其他APP則違背了事先約定的條件約束，授權(quán)應(yīng)該被收回。

實(shí)際上，大數(shù)據(jù)環(huán)境下信息數(shù)據(jù)的流動(dòng)都可以歸結(jié)為數(shù)據(jù)共享的授權(quán)行為，初次信息數(shù)據(jù)收集，可以歸結(jié)為數(shù)據(jù)的擁有者將數(shù)據(jù)共享給了數(shù)據(jù)的收集者。數(shù)據(jù)收集者獲得數(shù)據(jù)授權(quán)后，通過(guò)分析得到的增值數(shù)據(jù)可以視為在原授權(quán)基礎(chǔ)上的屬性擴(kuò)展，視作新數(shù)據(jù)并對(duì)外共享。數(shù)據(jù)收集者將獲得的數(shù)據(jù)對(duì)外共享，可以視為非授權(quán)過(guò)度共享，過(guò)度共享可以是一次，也可是多次。

從這個(gè)角度，無(wú)論是“信息”還是“數(shù)據(jù)”， “個(gè)人”還是“組織”，均可以是被動(dòng)研究的對(duì)象，本文統(tǒng)一命名為“客體”，屬于被操作的對(duì)象。執(zhí)行操作的對(duì)象有可能是平臺(tái)、個(gè)人、組織，有可能是有意或是無(wú)意的，本文統(tǒng)一命名為“主體”。主體對(duì)客體執(zhí)行的命令，稱之為“權(quán)力”，比如“讀”“新增”“刪除”“修改”等。一個(gè)主體、一個(gè)客體和該主體對(duì)該客體的權(quán)力組成了一個(gè)權(quán)限，權(quán)限組成權(quán)限集合。這里主客體并不是一成不變，某個(gè)場(chǎng)景下主體A對(duì)客體B執(zhí)行操作C，另外的場(chǎng)景下可能主體A變?yōu)榭腕w被訪問(wèn)操作。

由此，隱私保護(hù)的問(wèn)題可以歸結(jié)為非授權(quán)的數(shù)據(jù)共享問(wèn)題，數(shù)據(jù)共享分為初次共享和過(guò)度共享。數(shù)據(jù)的收集行為反過(guò)來(lái)考慮也就是數(shù)據(jù)擁有者對(duì)數(shù)據(jù)收集者的共享行為，視為初次共享。過(guò)度共享則是數(shù)據(jù)收集者對(duì)收集的數(shù)據(jù)再次共享的過(guò)程。如何保護(hù)隱私，也就是如何控制非授權(quán)數(shù)據(jù)共享的問(wèn)題。例如，數(shù)據(jù)擁有者將該數(shù)據(jù)的某權(quán)力授權(quán)給數(shù)據(jù)收集者后，如何控制該數(shù)據(jù)收集者不能隨意將該權(quán)力非授權(quán)的共享出去。顯然，數(shù)據(jù)的初次共享可以通過(guò)授權(quán)的方式解決，但是數(shù)據(jù)的過(guò)度共享已無(wú)法單單通過(guò)授權(quán)的方式解決。

3 后職責(zé)使用控制模型的定義及安全策略形式化描述

除了授權(quán)，實(shí)際上還可以通過(guò)兩種方式控制權(quán)力的流動(dòng)也就是非授權(quán)的數(shù)據(jù)過(guò)度共享。一是基于操作，如果數(shù)據(jù)收集者收集到數(shù)據(jù)后執(zhí)行了某種不應(yīng)執(zhí)行的操作，則撤銷該數(shù)據(jù)共享的權(quán)限?；蛘邞?yīng)該執(zhí)行某種操作而未執(zhí)行該操作，同樣撤銷該數(shù)據(jù)共享的權(quán)限;二是基于場(chǎng)景，如果超出了某使用場(chǎng)景，也撤銷該數(shù)據(jù)共享權(quán)限。再加上初次共享的授權(quán)控制行為，控制數(shù)據(jù)共享的先決條件可以歸結(jié)為授權(quán)（Authorization）、職責(zé)（oBligation）和條件（Condition），在此基礎(chǔ)上研究訪問(wèn)控制模型更應(yīng)該基于使用控制模型（UCONABC）[15，16]，而有關(guān)的形式化描述定義，可參考文獻(xiàn)[17]。

在此基礎(chǔ)上，本文提出一種職責(zé)后使用的控制模型，主要通過(guò)職責(zé)謂詞和條件謂詞來(lái)控制數(shù)據(jù)的過(guò)度共享。例如某主體s獲得某客體o的某權(quán)力r之后，如果執(zhí)行了某種操作action，則該權(quán)限p（s，o，r）被撤銷收回?；蛘甙l(fā)現(xiàn)某應(yīng)用場(chǎng)景條件c已改變，則該權(quán)限p（s，o，r）同樣被撤銷。

屬性更新操作根據(jù)使用進(jìn)程的階段包括preupdate（attribute）、onupdate（attribute）和postupdate（attribute），分別表示使用進(jìn)程前執(zhí)行的屬性更新、使用進(jìn)程執(zhí)行過(guò)程中的屬性更新和使用進(jìn)程執(zhí)行結(jié)束后的屬性更新，屬性值包括主體屬性、客體屬性和系統(tǒng)屬性。

職責(zé)操作是諸如點(diǎn)擊按鈕、打開(kāi)窗口等操作，用ob（sb，ob）表示，ob表示職責(zé)操作的名稱，sb指職責(zé)主體，ob指職責(zé)客體。

首先，用戶提出了使用請(qǐng)求，此時(shí)檢驗(yàn)授權(quán)謂詞、條件謂詞和職責(zé)操作是否都滿足，都滿足的情況下才會(huì)授予相關(guān)的權(quán)限。如果有屬性更新，則更新相關(guān)屬性值。使用決策在檢驗(yàn)時(shí)如果發(fā)現(xiàn)有授權(quán)謂詞、條件謂詞和職責(zé)操作任意一個(gè)不滿足，執(zhí)行拒絕請(qǐng)求操作。只有允許請(qǐng)求成立，系統(tǒng)狀態(tài)才會(huì)轉(zhuǎn)入使用中階段，這個(gè)階段如果有屬性更新，則隨時(shí)更新屬性值。同上，如果使用中階段發(fā)現(xiàn)授權(quán)謂詞、條件謂詞和職責(zé)操作有任意一個(gè)不滿足，則撤銷請(qǐng)求的操作執(zhí)行，并且檢測(cè)是否有屬性更新。用戶自己提出終止使用決策，則使用進(jìn)程自動(dòng)終止。正常使用決策終止，系統(tǒng)狀態(tài)自動(dòng)進(jìn)入終止請(qǐng)求階段。同樣，若有屬性更新，更新相關(guān)屬性值。

UCONABC模型可以分為24個(gè)子模型，本文只研究基于職責(zé)操作的數(shù)據(jù)過(guò)度共享控制，也就是在使用決策執(zhí)行過(guò)程中和使用決策執(zhí)行以后對(duì)權(quán)限的控制，所以只給出職責(zé)中和職責(zé)后子模型的基本描述。

3.1 職責(zé)中子模型

職責(zé)中分布式使用控制子模型安全策略的描述。

3.2 職責(zé)后子模型

職責(zé)后分布式使用控制子模型安全策略的描述。

這時(shí)候系統(tǒng)狀態(tài)已經(jīng)轉(zhuǎn)入post階段，必須在滿足某些謂詞的前提下執(zhí)行一些職責(zé)操作，若有屬性更新則更新主客體屬性集和系統(tǒng)屬性集，最后正式終止這次使用進(jìn)程。

postB子模型的定義主要是針對(duì)數(shù)據(jù)收集者獲得數(shù)據(jù)權(quán)限以后的過(guò)度共享。比如網(wǎng)上下載的電影必須在24小時(shí)內(nèi)刪除，這里刪除的職責(zé)操作就顯的尤為重要，如果沒(méi)有執(zhí)行這個(gè)刪除的職責(zé)操作，則認(rèn)為用戶可能傳播該視頻，這就違反了最初使用控制的初衷。另外，屬性更新的操作也顯的非常重要，因?yàn)槿绻黧w最后真的沒(méi)有執(zhí)行這個(gè)職責(zé)的操作，那么必須更新相應(yīng)的主客體屬性值和系統(tǒng)屬性值，更新這些屬性集以后，下次主體再執(zhí)行此次使用請(qǐng)求，系統(tǒng)將均予以拒絕。本文用一個(gè)例子來(lái)表達(dá)此子模型的表達(dá)能力。

4 結(jié)束語(yǔ)

本文將大數(shù)據(jù)環(huán)境下的數(shù)據(jù)流動(dòng)歸結(jié)為數(shù)據(jù)的共享問(wèn)題，將隱私保護(hù)問(wèn)題歸結(jié)為如何控制非授權(quán)的數(shù)據(jù)共享，通過(guò)職責(zé)操作和條件約束來(lái)控制數(shù)據(jù)共享的過(guò)度授權(quán)，提出職責(zé)后使用控制模型并給出其形式化的描述。

大數(shù)據(jù)環(huán)境下，更重視數(shù)據(jù)利用還是更重視隱私保護(hù)是相互矛盾的。從長(zhǎng)期來(lái)看，應(yīng)該尋找多種價(jià)值目標(biāo)的最佳結(jié)合點(diǎn)，達(dá)到一個(gè)平衡。隱私保護(hù)必須加大力度，但是大數(shù)據(jù)的價(jià)值大部分來(lái)源于數(shù)據(jù)共享，不允許數(shù)據(jù)共享，大數(shù)據(jù)將無(wú)從談起。如果只強(qiáng)調(diào)隱私保護(hù)而采取過(guò)于嚴(yán)苛的措施，則可能不切實(shí)際。

基金項(xiàng)目：

江蘇省教育科學(xué)十三五規(guī)劃2016年度資助專項(xiàng)課題：基于大數(shù)據(jù)時(shí)代的高校學(xué)生精準(zhǔn)資助工作探究（項(xiàng)目編號(hào)：X-a/2016/08）。

參考文獻(xiàn)

[1] 國(guó)務(wù)院關(guān)于印發(fā)促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)綱要的通知.[EB/OL].2015-09-05/2019-08-05.http：//www.gov.cn/zhengce/content/2015-09/05/content_10137.

[2] 未來(lái)數(shù)據(jù)資源比土地更值錢[N].新華日?qǐng)?bào)， 2019-04-11（2）.

[3] 大數(shù)據(jù)安全標(biāo)準(zhǔn)化白皮書(shū).[EB/OL].2018-04-16/2019-08-05.http：//www.cesi.ac.cn/201804/3789.html.

[4] 馮登國(guó)，張敏，李昊.大數(shù)據(jù)安全與隱私保護(hù)[J].計(jì)算機(jī)學(xué)報(bào)，2014，37（1）：246-258.

[5] 劉玉琢.歐盟個(gè)人信息保護(hù)對(duì)我國(guó)的啟示[J].網(wǎng)絡(luò)空間安全，2018，9（7）：42-46.

[6] 王春暉. GDPR個(gè)人數(shù)據(jù)權(quán)與《網(wǎng)絡(luò)安全法》個(gè)人信息權(quán)之比較[J]. 中國(guó)信息安全，2018，（7）：41-44.

[7] 劉雅輝，張鐵贏，靳小龍.大數(shù)據(jù)時(shí)代的個(gè)人隱私保護(hù)[J].計(jì)算機(jī)研究與發(fā)展，2015，52（1）：1-19.

[8] 黃劉生，田苗苗，黃河.大數(shù)據(jù)隱私保護(hù)密碼技術(shù)研究綜述[J].軟件學(xué)報(bào)，2015，26（4）：945-959.

[9] 曹珍富，董曉蕾，周俊等.大數(shù)據(jù)安全與隱私保護(hù)研究進(jìn)展[J].計(jì)算機(jī)研究與發(fā)展，2016.，53（10）：2137-2151.

[10] 孟小峰，張嘯劍.大數(shù)據(jù)隱私管理[J].計(jì)算機(jī)研究與發(fā)展，2015，52（2）：265-281.

[11] 李昊，張敏，馮登國(guó)等.大數(shù)據(jù)訪問(wèn)控制研究[J].計(jì)算機(jī)學(xué)報(bào)，2017，40（1）：72-91.

[12] 王利明.數(shù)據(jù)共享與個(gè)人信息保護(hù)[J].新華文摘，2019，11：17-20.

[13] 劉佳，張琳.個(gè)人客戶信息保護(hù)的法律法規(guī)及標(biāo)準(zhǔn)綜述[J].網(wǎng)絡(luò)空間安全，2018，9（10）：34-38.

[14] 孫舒揚(yáng).大數(shù)據(jù)應(yīng)用中的個(gè)人信息利用問(wèn)題研究[J].網(wǎng)絡(luò)空間安全，2018，9（12）：80-84.

[15] PARK.J， SANDHU R. The UCONABC usage control model[J]. ACM Transactions on Information and System Security， 2004， 7（1）：128-174.

[16] ZHANG Xinwen. Formal model and analysis of usage control[D]. Virginia： George Mason University， 2006.

[17] Xie Lili， Zhai Zhigang. Formal Specification of Concurrent Enforcement UCON Model with CTL Logic[A]. In：International Conference on Artificial Intelligence and Security（ICAIS 2019）[C]. Berlin： Springer， LNCS vol（11633） 2019：627-641.