面向GDPR隐私政策合规性的智能化检测方法

• Published in: 网络与信息安全学报 Vol. 9; no. 6; pp. 127 - 139
• Main Authors: 李昕, 唐鹏, 张西珩, 邱卫东, 回红
• Format: Journal Article
• Language: Chinese
• Published: 上海交通大学网络空间安全学院,上海 200240%上海交通大学网络安全技术研究院,上海 200240 25.12.2023
• Subjects: hierarchical structure; 合规性检测; 通用数据保护条例; privacy policy; 层级结构; 隐私政策; GDPR; compliance checking
• ISSN: 2096-109X
• DOI: 10.11959/j.issn.2096-109x.2023088

TP393; 欧盟《通用数据保护条例(GDPR,general data protection regulation)》自2018 年施行以来,已开出罚单300多起,其中不乏谷歌这类知名企业未能提供透明易懂的隐私政策而遭受巨额处罚.这项严格的数据保护法律使得各国企业在提供跨境服务特别是向欧盟地区提供服务时变得尤为谨慎.同时其管辖范围规定,GDPR适用于任何为欧盟公民提供服务的企业,无论其是否在欧盟境内注册,这意味着世界各地涉及海外业务的企业都要考虑其隐私政策面向 GDPR 的合规性,国内企业也不例外.面向这一需求,构建了一套智能化检测方法,自动提取各在线服务企业的隐私政策,并采用机器学习和自动化技术,将其转化为具有结构层次的标准格式.之后进行基于自然语言处理的文本分类,识别其中涵盖的相应的 GDPR 概念,并以搭建的GDPR知识图谱为依据,检验隐私政策是否缺少部分GDPR要求披露的概念,从而实现面向GDPR的隐私政策合规性智能化检测,为国内企业向欧盟用户提供跨境服务提供支撑.对语料库中样本的分析结果进一步揭示了主流在线服务企业普遍未达到GDPR合规要求的现状.