TTAF 137—2022 基于差分隐私的用户个人信息保护技术要求.pdf

ICS33.050

CCSM30

团体标准

T/TAF137—2022

基于差分隐私的用户个人信息保护技术要求

TechnicalrequirementsforDifferentialPrivacy-baseduserpersonal

informationprotection

2022-11-25发布2022-11-25实施

电信终端产业协会发布

T/TAF137—2022

基于差分隐私的用户个人信息保护技术要求

1范围

本文件规范了基于差分隐私的用户个人信息保护技术要求，包括差分隐私系统技术架构、差分隐

私能力要求、差分隐私保护分级、差分隐私保护效果评定。

本文件适用于应用在移动智能终端的差分隐私技术，也适用于评估机构基于本文件开展差分隐私

产品保护个人信息的评估工作。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文

件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适

用于本文件。

GB/T25069-2022信息安全技术术语

GB/T35273-2020信息安全技术个人信息安全规范

3术语和定义

下列术语和定义适用于本文件。

3.1

差分隐私differentialprivacy

一种个人信息的数据保护技术，通过随机响应或对原始数据加入噪声的方式，使得对数据集的计

算处理结果对于具体某个记录的变化是不敏感的，单个记录在或不在数据集中，对计算结果的影响微

乎其微，并能保护个人信息不被泄露。

注：差分隐私保护重在提供可度量的数据隐私保护方法。

3.2

隐私预算privacybudget

衡量差分隐私保护效果的参数，在一定程度上给出了隐私保护效果的度量。

注：隐私预算越小，对数据的隐私保护程度越强，但是数据的可用性越差；隐私预算越大，数据的可用性越好，

但是隐私保护能力越差。

3.3

本地差分隐私localdifferentialprivacy

不依赖于可信第三方，直接在终端进行数据的隐私化处理，处理后的数据满足差分隐私保护要求。

1

T/TAF137—2022

3.4

中心化差分隐私centralizeddifferentialprivacy

将原始终端数据集中到一个可信第三方,由第三方对数据进行处理，处理后的数据满足差分隐私保

护要求。

3.5

编码器encoder

智能终端上对原始个人信息进行编码、加噪等处理的组件。

3.6

数据管理器datacurator

对从智能终端接收到的数据进行解密、存储、聚合等操作，并根据查询请求进行数据处理和添加

噪声，对查询进行隐私预算管理，最终发布满足差分隐私要求结果的组件。

3.7

数据信道datachannel

实现数据在终端（编码器）、数据管理器和查询处理器之间流转的组件。

3.8

查询处理器queryprocessor

发起数据查询请求并接受结果的实体。

3.9

数据采集者datacollector

在过程中负责采集数据的实体，可以为数据管理器或查询处理器。

4缩略语

下列缩略语适用于本文件。

LDP:本地差分隐私（LocalDifferentialPrivacy）

TLCP:传输层密码协议（TransportLayerCryptographicProtocol）