Lawful and Accountable Personal Data Processing with GDPR-based Access and Usage Control in Distributed Systems

作者: L. Thomas van Binsbergen, Marten C. Steketee, Milen G. Kebede, Heleen L. Janssen, Tom M. van Engers

发布时间: 2025-03-11

来源: arxiv

研究方向: 数据隐私与保护，分布式系统，法律与规范推理

主要内容

本文针对欧盟通用数据保护条例（GDPR）在分布式系统中处理个人数据的合规性问题，提出了一种基于GDPR的自动规范推理方法。该方法通过定义形式化的本体和语义，实现了对数据处理活动合法性的自动论证，并通过扩展XACML架构标准，将规范推理集成到现有的分布式数据处理系统中。

1. 分析了GDPR的目的限制原则，并基于此定义了一个形式化的本体和语义，用于自动规范推理。

2. 讨论了将规范推理集成到分布式数据处理系统中的不同方法，并展示了如何使用XACML架构实现。

3. 提出了一个结合人类专家和软件组件的分布式数据处理系统，以实现合规性和效率。

4. 定义了政策管理角色和技术执行角色，以及它们在分布式数据处理系统中的作用和职责分配。

5. 讨论了规范推理在事后审计场景中的应用，如数据主体请求信息和隐私当局审计请求。

1. 形式化本体和语义

2. 扩展XACML架构标准

3. 规则和逻辑推理

4. 逻辑编程语言

5. eFLINT领域特定语言

本文通过定义形式化的本体和语义，实现了对数据处理活动合法性的自动论证，并通过扩展XACML架构标准，将规范推理集成到现有的分布式数据处理系统中。实验结果表明，该方法能够有效地提高数据处理活动的合规性，并降低合规成本。

未来的工作将包括：进一步扩展GDPR的规范推理，以考虑“联合控制”和特殊类别个人数据；评估该方法的用户体验和效率；探索自动确定处理目的的可能性；开发支持搜索的语言，以帮助查找法律依据。