你可以信任哪些匿名化技术?
假设我们有一些敏感数据,比如人们访问医院的数据。我们希望以匿名方式与合作伙伴分享:目标是确保发布的数据不会泄露任何个人信息。有哪些技术可以用于这个用例?
随机化标识符
显然,如果我们在数据中留下姓名或公共用户标识符(如电话号码或电子邮件地址),那将不是匿名的。所以第一个想法是:让我们隐藏这些信息!通过将姓名替换为随机数,身份就不再明显了。这叫假名化(有时叫令牌化):标识符被替换为假名(或令牌)。这些假名是一致的:相同的原始身份总是被替换为相同的假名。

不幸的是,"不再明显"与"不可能弄清楚"非常不同。随机化标识符通常无法保护数据中人们的隐私。这可能是因为随机化过程本身就不安全。纽约出租车数据库就是个很好的例子。随机化过程以一种天真的方式完成……这使得研究人员能够从假名中逆向工程车牌号码。
但这类方案不安全的更根本原因是:不可能确切知道什么可以用来重新识别某人的身份。直接标识符并不是唯一可以用来查明某人身份的东西。AOL 搜索查询的发布就是著名例子。AOL 数据科学家随机化了所有标识符。但数据本身就有问题:你搜索的内容会暴露很多关于你的信息!记者只用了几天时间就通过搜索查询重新识别了人们的身份。
更糟的是,原本无害的数据在与额外信息结合时可能变得具有可识别性。Netflix 奖数据集提供了这一事实的惊人例子。Netflix 发布了仅包含电影评分的假名化数据。这些看起来不具有可识别性……然而,研究人员可以将它们与公开评论结合起来并恢复用户的身份。
完全删除标识符
如果假名化不起作用,那去标识化呢?我们可以不完全删除直接标识符,而不是用随机数替换它们。这种技术有时叫掩蔽,非常常见。

不幸的是,掩蔽提供的额外保护很少。之前的问题仍然适用:我们怎么知道要删除什么信息、保留什么信息?数据所有者一次又一次地低估了其数据的可重新识别性。
马萨诸塞州政府给了我们这种现象的第一个例子。在 1990 年代,他们发布了关于医院就诊的医疗数据,删除了姓名。但患者数据包含关键的人口统计信息:邮政编码、出生日期和性别。而这些足以识别人口的大部分!包括当时的马萨诸塞州州长…… 这可不是一般的尴尬。随着更多人口统计属性的加入,重新识别风险飙升至高达 99.98%。
"这不是显而易见的吗?" — Wired,2007
除了人口统计信息之外,很多数据都被证明是具有可识别性的。信用卡元数据、位置信息或社交互动都可能具有同样多的揭示性。问题是深刻的:没有办法知道恶意人员可能使用什么来重新识别我们数据中的记录。唯一安全的选择是删除所有数据,而这并没有太大用处。
应用基于规则的技术
既然更简单的技术失败了,我们可以尝试更复杂的启发式方法。文献中出现了许多这样的方法,至今仍在使用:
- 对单个值添加一些随机扰动;
- 降低某些属性的粒度;
- 抑制具有稀有值的记录;
- 以及其他无数方法。
这些技术可能看起来不那么天真,但它们仍然不能提供可靠的保证。

最令人震惊的例子可能是澳大利亚 Medicare 记录的发布。为了限制重新识别风险,该组织比简单地删除标识符更进一步:他们对一些属性进行了扰动,并将所有日期随机偏移了一个随机量。剩下的唯一数据是医疗信息,这看起来不像是攻击者可能知道的东西!但对于名人来说,比如政治家或运动员,其中一些数据可能是公开的!这允许重新识别,并获取额外的私人医疗数据。
即使是科学文献中的隐私概念也可能无法保护敏感数据。其中最著名且最著名的定义可能是 \(k\)-匿名。它的直觉似乎令人信服:每个人"隐藏在"具有相同特征的其他人的"群体"中。遗憾的是,尽管有这种直觉,\(k\)-匿名未能提供良好的保护级别:降维编码攻击成功地重新识别了数据发布中的人员。
聚合数据
看起来试图查看每条单独记录来找出要删除或随机化什么的方法行不通。如果我们把多条记录聚合在一起呢?发布跨多人的统计数据应该是安全的?

可悲的是,情况仍然不是这样:有多种方式可以从聚合数据中检索个人信息。其中一种方式利用数据中存在的相关性。考虑一个统计特定区域内随时间推移有多少人的数据集。这看起来不太具有可识别性……但人类移动数据往往是可预测的:人们在两个点之间大致沿相同方向移动。这就产生了相关性,攻击者可以利用这些相关性:研究人员成功地从这样一个聚合数据集中检索个人轨迹。
还有另一个复杂性:通常可以组合多个统计数据并检索个人记录。这种技术叫重建攻击。最突出的例子是美国人口普查局对 2010 年十年一度的人口普查所做的。结果不言自明!更糟的是,重建攻击正在随着时间推移而改进……所以它们在未来可能成为更大的风险。
这些攻击有什么共同点?
让我们退一步,看看所有这些不良匿名化技术的失败。有没有我们可以辨别的主题?
- 数据通常比看起来更具可识别性。 即使是几个看起来无害的信息片段也可能足以识别某人。而且人们倾向于低估哪些数据可以用来重新识别数据集中的人员。
- 辅助数据是一个危险的未知变量。 看似秘密的信息对于某些个人可能是公开的,或者可能因不相关的数据泄露而被攻击者获知。
- 即使是"显然安全"的数据发布也有风险。 即使在看起来保护良好的数据集(如聚合统计数据)上也会发生成功的攻击。
- 攻击以不可预测的方式随着时间推移而改进。 仅缓解已知攻击或执行经验性隐私检查是不够的:使用例如更新的 AI 技术或更强大的硬件可以破解遗留保护。
那么该怎么办?
这些遗留技术的失败证明我们需要更好的东西。那么,一个匿名化方法何时才值得我们的信任?它至少应该解决上一节中的四个要点:
- 它应该避免对数据中什么是可识别的或什么是秘密的做出假设;
- 它应该抵抗辅助数据——无论攻击者可能已经知道什么,其保证都应该成立;
- 它应该提供不依赖主观直觉的数学保证;
- 它应该防御可能的未来攻击,而不仅仅是今天已知的攻击。
事实证明,这正是差分隐私所提供的。
- 它对潜在攻击者可能在数据中使用什么不做任何假设。
- 它的保证不取决于攻击者可以访问什么辅助数据。
- 它提供了关于最坏情况隐私风险的可量化、可证明的保证。
- 而且这个保证对所有可能的攻击都成立,所以这个保证是面向未来的。
它还有一系列其他好处。例如,它可以量化多次数据发布的总隐私成本。它还提供了更大的灵活性:许多类型的数据转换和分析都可以使用差分隐私来执行。

浙公网安备 33010602011771号