隐私保护

本白皮书以促进数据要素价值高效和可持续释放为目标，针对数据流通过程中面临的困难挑战，围绕解决数据流通基础设施建设的关键性难题，分析数据可信流通的基础原则，提出了可信数据流通网络（简称可信数网，TrustedDatacirculationNetwork，TDN）的概念。通过分析业界实践和深入研讨，凝聚各方共识，对TDN的总体功能、网络结构、建设思路、关键技术、应用场景、规范保障等内容展开全面分析和研究论证，并予以详细阐述。本报告亮点如下：一是首次提出可信数据流通网络（TDN）的概念。TDN是以数据可信流通为基础原则，以“全国互联、数据可信、流通安全、全程可溯、贡献可量”的核心能力为目标，而构建的数据流通基础设施。TDN基于分层次的网状结构，通过建立顶级节点、枢纽节点和子节点，以实现数据、算力、网络等跨区域、跨行业的互联互通和价值共享。二是明晰TDN的可信数据流通关键技术范畴。从保障数据隐私安全、流通过程可控可信、跨节点跨平台跨技术互联互通等角度归纳、分析实现数据可信流通的关键技术方法。主要包括隐私保护、使用控制、信任保障、互联互通等四大类技术，在TDN的互联基础层、资源接入层、计算控制层、流通服务层等环节发挥着不可替代的关键作用。三是全面梳理TDN应用场景和标准体系。首先分析可信枢纽节点的建立对公共数据授权运营、企业数据流通、数据交易这三种典型的数据流通场景的作用及应用效果，进而提出在数据流通的各个环节、相关的技术要求、行业应用要求以及节点落地建设等方面需要统一的标准规范。由此TDN的建设思路不再是独立松散的模块组合，而是形成了一套体系化的可实操可落地的解决方案。四是展望TDN的未来发展方向并提出建议。为实现数据要素价值的全面释放，政产学研各界将切实的从技术创新、试点示范、服务生态、标准规范等方面加快推进可信数据流通网络的落地，奋力实现打通数字基础设施大动脉、畅通数据资源大循环和建立全国统一大市场的目标。

电力信息物理系统综合安全评估 面向云计算服务的信息伪装保护机制

配电智能网关具备异构终端快速接入、边缘计算及容器功能，本地计算在靠近物或数据源头的网络边缘侧，提供融合网络、计算、存储、应用核心能力的开放平台，就近提供本地化智能服务，满足数字电网在敏捷连接、实时业务、数据优化、应用智能、安全与隐私保护等方面的关键需求。 适用于国内配电网中配电房、台架型配变、户内外开关站、箱式配变、低压配电柜等配电设备的智能化建设改造，还可以应用到智慧工地、智慧园区等业务场景。获专利2项，软件著作权2项。 自2018年开始，配电智能网关已经在广东佛山、肇庆、海南乐城、广西南宁等地市试点应用。 后开展规模化运用， 全网共推广建设152个项目点。2019年作为南方电网标准设计和典型造价（v3.0）智能配网建设关键设备进行推广，在2020年全南网范围新建配网项目全面推广应用。实现了基于边缘技术架构，利用容器等虚拟化先进技术，集成路由器+交换机+数据采集+边缘计算一体化的模式，统一物理模型，结合简单易行的传输技术，实现配电智能网关计算、存储、网络等资源共享，满足多业务融合需求，使基于智能网关的智能配电房解决方案具备简单、经济、安全、有效的优点，极大优化了智能配电建设和运维模式。

虚拟电厂通过先进的通信、计量、控制等技术聚合不同的灵活性资源，实现资源综合协调优化控制，是提高电网安全水平、降低用户用能成本、促进新能源消纳的重要措施。而基于云服务的计算框架将虚拟电厂优化调度的求解转移至云端服务器完成，在降低本地计算压力和计算资源投资成本的同时也带来了新的隐私安全问题。为了应对云计算过程中云端服务器与园区之间信息交互存在的隐私泄漏风险，文章研究并提出了面向云服务的虚拟电厂优化调度过程中基线计算环节的信息伪装机制，利用基于线性映射的信息伪装算法将原优化问题的参数及变量信息进行伪装，在有效保证云端模型求解正确性的同时，可靠地保护园区数据隐私。通过对算例优化结果以及信息伪装特性的分析验证了所提模型和方法的有效性。

虚拟电厂采集存储了海量电力用户数据，涉及查询、交易、测试、共享等不同业务场景，给用户信息安全带来了巨大风险。现有的用户隐私保护方案大多采用传统的属性基加密(attribute-based encryption，ABE)，不需要为每个接收者单独进行加密操作，支持细粒度的访问控制需求。然而使用ABE方法需要访问者输入自身属性，数据共享的过程是公开的，用户的属性隐私、加密数据的访问策略和其他用户私人信息可能通过分析相关记录而被泄露。为此，文章提出基于零知识证明的用户属性隐私保护。该方案基于分布式属性基加密(distributed attribute-based encryption，DABE)技术，引入Merkel树聚合用户属性，使用Merkel根构建承诺，用于零知识证明验证，在不暴露用户属性和文件访问策略的前提下实现属性基加密的访问控制策略。同时，将属性与用户地址绑定，有效避免中间人攻击和重放攻击。通过安全性分析，证明本方案具有属性不可分辨性和属性防篡改性。将所提方案与现有方法进行实验比较，结果表明，所提方案在时间成本和空间占用方面性能更好。

为了实现兼具模型个性化和隐私保护个性化的电力负荷预测方案，文章提出了基于差分隐私的个性化联邦电力负荷预测方案。方案基于数据的缺失情况和时序特征进行集群式训练，得到适用于局部数据的本地个性化模型。在此基础上提出了个性化差分隐私保护方案，根据客户端到当前集群中心的距离调整隐私预算的分配，确保数据安全并实现客户端级别的隐私保护个性化。实验表明，算法在保证数据安全的同时，能训练得到效用较好的个性化模型。

从云计算到雾计算再到边缘计算，为了给用户提供极致的定制化服务体验，我们见证了无线网络与计算的不断融合与发展。然而，云计算会带来极高的传输延迟;而资源受限的边缘设备难以承担复杂的计算需求，且会给用户的数据隐私保护带来困难。所以可结合云端训练与边缘端推理，通过云网边端智能协同与剪裁技术实现按需的定制化服务，以支撑多种垂直行业的典型应用，这样不仅可以降低数据传输延迟，也可以保护用户的数据安全。由于面向典型行业的云网边端智能协同与剪裁技术目前还处于起步阶段，因此本白皮书旨在分析云网边端智能协同与剪裁的研究进展。

“个人信息安全工程”的概念取自“隐私工程”即“privacy engineering”，国际标准ISO/IEC TR 27550:2019《信息技术安全技术系统生命周期流程中的隐私工程》将隐私工程定义为“将隐私问题纳入系统和软件工程生命周期过程的工程实践”。作为将隐私保护要求嵌入系统工程乃至企业管理全流程的一套方法论，欧盟、美国等国家对其进行持续讨论和研究，对于隐私工程与隐私保护立法的关系、如何指导企业进行隐私工程实践等形成了较为体系化的结论和成果。相比之下，我国对于隐私工程的研究和实践仍处于初期。一方面，随着我国个人信息保护立法的不断完善，如何在落实个人信息保护合规要求的同时尽量减少对业务的负担成为企业无法回避的课题，越来越多的企业开始从技术和管理等多角度求解，但尚未形成较为系统和全面的方法论；另一方面，我国对数据要素市场的大力发展也促使企业主动探寻数据安全合规流通路径，尤其是个人信息的安全合规使用，以掌握参与数据要素市场建设的先机。为了加深企业对隐私工程的理解，帮助处在不同发展阶段的企业提升隐私保护能力，我们联合在隐私工程理论和实践方面有经验的企业共同撰写了《隐私工程白皮书》，对隐私工程的理论发展和我国企业的隐私工程实践经验进行介绍，希望能够为企业隐私保护能力建设提供参考，推动形成更适合我国企业的隐私工程体系。

本课题分析了当前算力交易平台的发展现状，总结了算力用户的需求，包括交易效率、交易模式、激励机制、资源调度机制、可监管、数据隐私安全以及行业标准等。针对以上需求，本课题需要研究的关键技术包括区块链、跨链技术、异构联盟链监管技术、数据访问控制、可信交易技术、隐私保护、智能合约、激励机制、资源调度、前沿密码学方法等。本课题的研究内容主要包括（1）基于区块链的算力交易技术；（2）算力交易激励与资源调度机制；（3）面向监管友好的算力交易数据隐私安全。研究目标是构建面向算力并网的高性能区块链算力交易平台，实现高效的算力交易方法、安全灵活的交易模式、多维度激励机制、合理的资源调度、可监管以及符合行业标准的技术方案。

针对现有多主体综合能源微网群协同运行中，集中式优化面临的主体隐私保护、参数难以共享问题，以及分布式优化面临的优化模型须大量简化近似、全局最优性难以保障的问题，提出了一种基于联邦学习的多主体综合能源微网群协调优化运行方法，以兼顾主体隐私性与全局最优性。首先，基于循环门控单元（gated recurrent unit，GRU）深度学习网络构建各综合能源微网的等值互动特性封装模型并上传至云端；其次，在不侵入各微网内部隐私数据的基础上，将各微网等效模型加密后于云端汇总并进行联邦学习；然后，依据云端联邦学习的结果对边端各综合能源微网互动特性封装模型进行修正和更新，迭代直至损失函数收敛，进而实现隐私保护下综合能源微网群的全局协同优化运行；最后，通过典型的综合能源微网群仿真算例验证了所提方法的可行性和有效性，结果表明，所提方法能实现综合能源微网群的快速高效优化运行，并有效保护各参与方的数据隐私。