ISO/IEC 27555:2022 隐私增强技术——全面指南

一、标准背景与概述

ISO/IEC 27555:2022 为隐私增强技术（PET）提供了全面指南——这是一组旨在保护个人信息同时实现数据驱动价值创造的多样化工具、技术和系统。随着组织越来越依赖数据分析、人工智能和跨境数据流动，对强大的技术隐私控制的需求从未如此迫切。该标准通过提供可用 PET 的系统分类、针对不同处理场景的部署指南以及组织采纳策略，填补了一个关键空白。与专注于单一技术（如差分隐私或加密）的标准不同，27555 采取广阔视角，涵盖从基于加密的 PET 和匿名化技术到高级密码协议和系统级隐私架构的一切内容。该标准充当了隐私工程师的基本”PET 分类法”，通过将 PET 能力映射到特定的隐私风险和运营需求来实现明智的技术选择。

ISO/IEC 27555 充当了隐私工程师的基本”PET 分类法”，通过将 PET 能力映射到特定的隐私风险和运营需求来实现明智的技术选择。

二、PET 分类与技术全景

标准根据主要隐私功能将 PET 分为四大类。数据掩码和匿名化 PET——转换静态数据以降低可识别性，包括泛化、抑制、扰动、k-匿名性、l-多样性、t-接近性和差分隐私等技术。基于加密的 PET——保护传输中和静态数据，包括字段级加密、格式保留加密、数据库的保序加密以及支持对加密数据查询的可搜索加密。高级密码 PET——支持在不解密的情况下对受保护数据进行计算——同态加密（部分和完全）、安全多方计算（MPC）和具有远程证明的可信执行环境（TEE）。系统级隐私 PET——包括隐私保护认证、匿名通信网络（Tor、混合网络）、私有信息检索（PIR）协议以及将数据保留在源头的联合分析/学习架构。标准还对每类 PET 的技术成熟度进行了评估，帮助组织区分哪些技术已准备就绪可投入生产、哪些仍处于研究阶段。

PET 类别	技术	隐私保证	成熟度	性能影响
数据掩码	泛化、k-匿名、差分隐私	统计隐私	高（生产就绪）	低-中
基于加密	AES-256、可搜索加密、OPE	机密性+有限可查询性	高	低-高（因技术而异）
高级密码	同态加密、MPC、TEE	加密数据上的计算	中（FHE 仍然较慢）	非常高（FHE: 10⁶倍减速）
系统级	Tor、PIR、联邦学习	通信隐私、数据本地性	中-高	中-高（延迟、带宽）

标准中的一个关键洞见：没有单一的 PET 能解决所有隐私挑战。有效的隐私工程需要分层部署——结合传输中加密、已发布数据的匿名化和系统级访问控制。

三、部署策略与组织采纳

ISO/IEC 27555 提供了按数据处理阶段组织的结构化部署指南：收集、存储、处理、共享和处置。对于每个阶段，标准推荐了特定的 PET 和配置。在收集阶段，应在数据离开用户设备之前应用客户端差分隐私和最小披露协议等 PET。在存储阶段，具有硬件支持密钥管理的静态加密是基线，辅以结构化数据库的令牌化或假名化。在处理阶段，标准引导读者了解完全同态加密（最大安全性、非常高的计算成本）、安全飞地（强安全性且性能实用）和联合计算（平衡方法）之间的权衡。标准还涉及了组织采纳挑战：PET 专业知识稀缺、与遗留系统的集成、性能预算以及隐私工程角色的需求。它推荐了一种成熟度模型方法，组织随着其隐私计划的成熟，从基本的仅加密部署逐步演进到全面的多 PET 架构。

该标准的部署决策树已被多个国家数据保护机构采纳，作为受监管行业中隐私合规数据处理的参考架构。

四、常见问题

问1：在发布统计数据时，如何在差分隐私和匿名化之间进行选择？
标准建议：当数据将用于聚合统计查询且隐私预算可管理时，使用差分隐私。当数据将作为完整数据集发布且必须支持数据接收者的临时分析时，首选匿名化（k-匿名性等）。

问2：同态加密是否已准备好用于生产环境？
部分同态加密（PHE）和 somewhat 同态加密（SHE）对于加密支付处理等特定用例已生产就绪。完全同态加密（FHE）对于大多数应用仍然计算成本过高，尽管性能正在快速改善。

问3：云端数据处理推荐使用哪些 PET？
标准推荐分层方法：(1) 传输中加密（TLS 1.3），(2) 使用客户管理密钥（CMK）的静态加密，(3) 在云上传前对 PII 字段进行令牌化或假名化，(4) 使用机密计算（TEE/AMD SEV/Intel SGX）进行内存数据处理。

问4：联邦学习在 PET 全景中如何定位？
联邦学习被归类为系统级 PET。它通过将原始数据保留在本地设备上来降低隐私风险，但并非完整的隐私解决方案——模型更新仍可能泄露信息，因此标准建议将联邦学习与差分隐私（DP-FL）和安全聚合相结合。

一、标准背景与概述

二、PET 分类与技术全景

三、部署策略与组织采纳

四、常见问题

发表回复取消回复

Trending now