漸擴(kuò)散的,但其實來自技術(shù)層面的暢想與實踐早就開始了。
實驗室總是先走一步,1997年,美國學(xué)者Samarati和Sweeney提出了k-anonymity匿名模型,為后續(xù)各種技術(shù)解決方案的涌現(xiàn)開了先河。當(dāng)然,屆時,數(shù)據(jù)匿名這個話題更多是停留在技術(shù)圈內(nèi)的狂歡。
隨著大數(shù)據(jù)、智能技術(shù)近年的發(fā)展與滲透,數(shù)據(jù)泄露、隱私侵犯等問題日漸凸顯,并且受影響的群體日漸幾何級增長。一方面數(shù)據(jù)作為智能時代的基石,不可能因噎廢食,完全放棄,另一方面,政府、企業(yè)、個人都因該問題而持續(xù)困擾,市場格局也容易產(chǎn)生波動,這于長遠(yuǎn)發(fā)展不利。
此時,匿名化技術(shù)成為可以折中的方案。不過,數(shù)據(jù)匿名化需要技術(shù)投入,如果僅靠企業(yè)主觀驅(qū)動,效果有限。所以,整個匿名數(shù)據(jù)的發(fā)展中,真正打破僵局的是法律領(lǐng)域的關(guān)注。
為代表的則是令互聯(lián)網(wǎng)企業(yè)心有余悸的GDPR。2018年正式實行的GDPR,將個人數(shù)據(jù)的保護(hù)力度提到更高的高度,亦對數(shù)據(jù)處理企業(yè)等主體施加了甚為嚴(yán)苛的保護(hù)義務(wù)和法律責(zé)任。其中,有一條,GDPR提到:控制者在確定處理方式和處理過程中,應(yīng)當(dāng)采取適當(dāng)技術(shù)和組織措施,諸如假名化(pseudonymisation)處理,將額外數(shù)據(jù)與個人數(shù)據(jù)分別保存,除非使用額外數(shù)據(jù),否則個人數(shù)據(jù)無法指向特定數(shù)據(jù)主體。
顯然,GDPR白紙黑字地將個人數(shù)據(jù)的保護(hù)上升到法律層面,這已經(jīng)將此前數(shù)據(jù)使用過程中涉及的大部分曖昧地帶清晰化。此外,真正具有威懾力的是懲罰力度。眾所周知,如果科技巨頭越雷池一步,GDPR是真的會開出開天價罰單。
有意思的案例即是,GDPR開始生效的第一天就“開門紅”,一下起訴了兩大科技巨頭:Facebook和谷歌。兩家公司被指控強迫用戶同意共享個人數(shù)據(jù),且分別面臨39億歐元和37億歐元(共計約88億美元)的罰款風(fēng)險。
當(dāng)然除了GDPR,各政府都相繼出臺了相關(guān)嚴(yán)厲的個人數(shù)據(jù)保護(hù)法。如英國更新了數(shù)據(jù)保護(hù)法案,加上了個人數(shù)據(jù)的重視力度,中國也出臺了數(shù)據(jù)安全法草案,明確了保護(hù)責(zé)任。,FTC在2012年發(fā)布的隱私保護(hù)指南中更是擴(kuò)大了個人數(shù)據(jù)的邊界,突破了傳統(tǒng)定義中的與具體的自然人相關(guān)聯(lián),擴(kuò)展到了用戶所使用設(shè)備標(biāo)識等。
在這樣的背景下,對于企業(yè)來說,天價罰單是割肉之痛,政府的監(jiān)管是不可逾越的紅線,此外,用戶隱私保護(hù)意識的覺醒也是不可推辭的需求。
GDPR在對匿名化的界定中也提到:“匿名化是指將個人數(shù)據(jù)移除可識別個人信息的部分,并且通過這一方法,數(shù)據(jù)主體不會再被識別。匿名化數(shù)據(jù)不屬于個人數(shù)據(jù),因此無須適用條例的相關(guān)要求,機(jī)構(gòu)可以自由的處理匿名化數(shù)據(jù)”。
數(shù)據(jù)匿名則成為了許多企業(yè)或者數(shù)據(jù)應(yīng)用主體的重點投入方向。有業(yè)內(nèi)專家表示,匿名數(shù)據(jù)的收集主要用于幫助公司發(fā)現(xiàn)產(chǎn)品錯誤,這是互聯(lián)網(wǎng)通過分析非個人可識別信息來改善整體產(chǎn)品體驗常見的解決方案之一。
數(shù)據(jù)匿名的“bug”
那么,常見的數(shù)據(jù)匿名方式有哪些?廣義上可以分為兩類:一是擾動方式,即讓原始數(shù)據(jù)值失真,如數(shù)據(jù)屏蔽脫敏、噪聲添加等,二是非擾動方式,即使數(shù)據(jù)集不完整,通過按照在記錄個體層面維持?jǐn)?shù)據(jù)真實性的方式改變在凈化數(shù)據(jù)集中報告數(shù)據(jù)值的粒度來工作,如數(shù)據(jù)抑制和數(shù)據(jù)泛化。前文提到的k-anonymity匿名模型則是非擾動的一種重要方法。它要求發(fā)布的數(shù)據(jù)中存在一定數(shù)量(至少為k)的在準(zhǔn)標(biāo)識符上不可區(qū)分的記錄,使攻擊者不能判別出隱私信息所屬的具體個體,從而保護(hù)了個人隱私。
數(shù)據(jù)匿名一直在發(fā)展,問題也逐漸顯露。所謂,“道高一尺魔高一丈”,匿名化一一定程度上保護(hù)了隱私,但“有心人”依舊可以從匿名數(shù)據(jù)中進(jìn)行身份確認(rèn)。
2016年,一位德國研究員在曾第33屆Chaos Computer Club會議上公布了自己的研究成果:盡管是已經(jīng)匿名化的點擊流,也可以順藤摸瓜找到用戶清晰畫像,數(shù)量少于十個的不同域名就足以讓你暴露。披著匿名的外衣,這些數(shù)據(jù)被稱為“Dark Data”,是非常容易滋生邪惡的新孕育地。
此外,去年,英國Nature Communications雜志發(fā)表的一項研究表示,英國科學(xué)家利用一種新開發(fā)的統(tǒng)計方法發(fā)現(xiàn),一個人的身份可以從一個不完整的匿名化數(shù)據(jù)庫中被識別出來。研究人員開發(fā)了一個機(jī)器學(xué)習(xí)模型,使用郵編、性別、出生日期三個信息,有81%的概率可以在“匿名”數(shù)據(jù)集中準(zhǔn)確地追蹤到某一個人。
事實證明,數(shù)據(jù)匿名方法不僅面臨自身技術(shù)迭代更新的壓力,也有新技術(shù)不斷帶來的沖擊,如人工智能相關(guān)算法可能利用零星數(shù)據(jù)可以訓(xùn)練出較為精準(zhǔn)的用戶畫像。
基于差分隱私的方案
道阻且長,行之將至。目前法律、市場、技術(shù)各方面都為數(shù)據(jù)匿名做好了一定的基礎(chǔ)建設(shè),接下來則是需要更多的投入與更新。首先,從此那個參與角色的角度來看,依舊需要政府組織牽頭,從法律層面為整個業(yè)態(tài)施加強行規(guī)范化的壓力,企業(yè)則需要更多資源投入匿名化建設(shè),而個人則需從日常細(xì)節(jié)上提升網(wǎng)絡(luò)隱私意識,如有意識地使用匿名化瀏覽器、及時清理清除cookie和Web數(shù)據(jù)等,
另外,則是來自技術(shù)角度的迭代更新,針對安全性不足的數(shù)據(jù)匿名現(xiàn)狀,已經(jīng)出現(xiàn)了基于差分隱私的數(shù)據(jù)匿名化隱私保護(hù)模型研究。差分隱私(differential privacy)是密碼學(xué)中的一種手段,旨在提供一種當(dāng)從統(tǒng)計數(shù)據(jù)庫查詢時,最大化數(shù)據(jù)查詢的準(zhǔn)確性,同時最大限度減少識別其記錄的機(jī)會。
實際上,差分隱私也利用了統(tǒng)計學(xué)。該技術(shù)可以實現(xiàn):向一個人的使用習(xí)慣樣本中增加噪聲,保證數(shù)據(jù)相對模糊與匿名,隨著越來越多人呈現(xiàn)出相同的使用習(xí)慣,開始識別總結(jié)出共性。一個人的數(shù)據(jù)可能不準(zhǔn)確,但是大量用戶的數(shù)據(jù)可以得出相對準(zhǔn)確的結(jié)論。這種情況下,即使有人攻擊了數(shù)據(jù)庫,也只能看到系統(tǒng)化的共性信息,不能精確識別具體的個人信息。蘋果、Facebook、華為都在用該技術(shù)來來幫助發(fā)掘其大量用戶的使用習(xí)慣。
值得一提的是,《MIT科技評論》評選的2020年十大突破技術(shù)中,差分隱私榜上有名。
不過,由于差分隱私是一項仍在探索中的技術(shù)。門檻較高,所以投入成本也想要較高。其處理過程對于人才資源的需求較大,同時也帶來新的問題,多人的介入與隱私保護(hù)也會出現(xiàn)一定的沖突。為解決此問題,市面上一些企業(yè)注入了自動化機(jī)器學(xué)習(xí)的方法。
顯然,隱私保護(hù)問題的解決一定是多學(xué)科、多技術(shù)流派融合的。
唯一不變的就是變化,“安全是動態(tài)話題”已經(jīng)是老生常談,數(shù)據(jù)隱私的安全也是一樣。匿名數(shù)據(jù)只是為目前的數(shù)據(jù)裸奔問題提供了一個相對明朗可行的解決方法,并不是絕對安全的保護(hù)屏障。我們能做的只有隨變化而變化,甚至是走在變化的前面。