大數(shù)據(jù)時(shí)代��,即便匿名����,也可能被人識(shí)別出來(lái)
大數(shù)據(jù)研究是否會(huì)侵犯?jìng)€(gè)人隱私?這個(gè)問(wèn)題一直飽受爭(zhēng)議���。一方面�����,加強(qiáng)個(gè)人信息安全的呼聲從未減少����;但另一方面�,越來(lái)越多掌握海量個(gè)人數(shù)據(jù)的機(jī)構(gòu)開始向公眾開放數(shù)據(jù)源,以推動(dòng)學(xué)術(shù)研究����,提升企業(yè)的商業(yè)表現(xiàn),或是為用戶的日常生活提供便利���。
脆弱的匿名:僅僅四個(gè)數(shù)據(jù)點(diǎn)便能識(shí)別個(gè)體����?
為了保障個(gè)人信息不被泄露���,數(shù)據(jù)提供方常使用隨機(jī)ID代替?zhèn)€人身份信息��。敏感的個(gè)人身份識(shí)別信息——如名字�,住址,手機(jī)號(hào)碼等——因而得以隱藏��。但是����,匿名ID并不是萬(wàn)全之策,更何況在大多數(shù)情況下���,公開數(shù)據(jù)只能做到某種程度上的匿名����。通過(guò)極其少量的外部確認(rèn)信息�����,比如時(shí)空數(shù)據(jù)點(diǎn)�,數(shù)據(jù)使用者就能夠反向識(shí)別某個(gè)具體的個(gè)人。
在最近發(fā)表的一項(xiàng)研究中��,MIT的Yves-Alexandre
de
Montjoye等學(xué)者分析了100多萬(wàn)用戶在3個(gè)月內(nèi)的信用卡消費(fèi)數(shù)據(jù)�����。他們發(fā)現(xiàn)�����,僅僅需要4個(gè)外部確認(rèn)信息,數(shù)據(jù)使用者就能以超過(guò)90%的幾率識(shí)別特定用戶�����。所謂外部確認(rèn)信息��,也就是跟用戶相關(guān)的時(shí)空數(shù)據(jù)點(diǎn)�����,比如帶有定位信息的Twitter��,在Google上對(duì)某地的評(píng)價(jià)��,Netfliex上的電影評(píng)分等等����。
反向識(shí)別的大致流程是這樣的:比如說(shuō)�����,數(shù)據(jù)使用者想找到用戶S的消費(fèi)記錄���。他們由外部確認(rèn)信息得知�����,S曾經(jīng)在9月23號(hào)在某甜品店消費(fèi)���,并于9月24號(hào)在某餐館就餐�����。經(jīng)過(guò)在信用卡數(shù)據(jù)集中的篩選���,只有一位ID為“7abc1a23”的用戶完全符合上述條件。于是����,只通過(guò)兩條外部確認(rèn)信息,研究者們就在海量的信用卡數(shù)據(jù)中找到了S�����,并通過(guò)ID獲取了ta的所有相關(guān)記錄���。
盡管上訴個(gè)例略顯極端�,但是也為我們敲響了警鐘:大數(shù)據(jù)時(shí)代,個(gè)人的日常生活軌跡極易被各個(gè)平臺(tái)記錄在案���,它們可以互相參照����,并成為其它數(shù)據(jù)集的外部確認(rèn)信息���。心懷不軌的攻擊者�����,可以輕易地使用不同數(shù)據(jù)集進(jìn)行比對(duì)�����,并定位目標(biāo)個(gè)體。
數(shù)據(jù)和隱私:從歷史到今天
在不同類型的數(shù)據(jù)中���,個(gè)體被識(shí)別的可能性差別很大����。相對(duì)而言�����,財(cái)經(jīng)類數(shù)據(jù),比如研究者們所使用的信用卡消費(fèi)信息�,能更準(zhǔn)確地對(duì)個(gè)體進(jìn)行反向識(shí)別。這些數(shù)據(jù)不僅僅包含了時(shí)間�����,地點(diǎn)�,還額外加上了一重識(shí)別信息:消費(fèi)金額。除此之外�����,手機(jī)移動(dòng)數(shù)據(jù)信息��、網(wǎng)絡(luò)瀏覽信息�����、交通通勤信息等等�����,也都屬于風(fēng)險(xiǎn)較大的類別�����。對(duì)于生活在網(wǎng)絡(luò)時(shí)代的我們來(lái)說(shuō),只要曾在生活中留下過(guò)電子痕跡�,個(gè)體隱私便難免遭受侵犯,甚至連匿名都無(wú)法提供足夠的保護(hù)���。
事實(shí)上��,關(guān)于身份信息的記錄早已有之���,包括人口普查、選民登記�����、醫(yī)療信息等等���。而這些數(shù)據(jù)常常在經(jīng)過(guò)簡(jiǎn)單匿名處理之后���,就直接向公眾開放����。1997年���,MIT的學(xué)者Latanya
Sweeney就曾質(zhì)疑馬薩諸塞州保險(xiǎn)委員會(huì)公布的匿名醫(yī)療記錄無(wú)法保護(hù)個(gè)人隱私。她借助該州的選民信息��,成功反向識(shí)別了病患身份���,并將研究結(jié)果發(fā)給州長(zhǎng)加以警示����。所以����,匿名個(gè)體遭到定位的風(fēng)險(xiǎn)倒并非今天所獨(dú)有。
然而���,計(jì)算機(jī)技術(shù)的成熟以及大數(shù)據(jù)時(shí)代的到來(lái)�,讓情況變得更加糟糕�����。許多提供匿名用戶數(shù)據(jù)的公司���,都在隱私保護(hù)方面栽過(guò)跟頭�����。2006年����,美國(guó)在線(AOL)公布了65萬(wàn)用戶在三個(gè)月內(nèi)的匿名搜索數(shù)據(jù)。紐約時(shí)報(bào)依據(jù)外部信息進(jìn)行對(duì)比�����,成功識(shí)別了部分用戶的身份���。在隨后的法律訴訟中����,AOL被迫付出了500萬(wàn)美元的賠償金�。
Netflix在2008年也曾陷入類似的爭(zhēng)議。Netflix在2006年舉辦了著名的算法競(jìng)賽�,獎(jiǎng)勵(lì)能預(yù)測(cè)用戶觀影偏好的最佳算法。大量的匿名用戶評(píng)分?jǐn)?shù)據(jù)因而被公布����,并由參賽者任意使用。來(lái)自德克薩斯州大學(xué)奧斯汀分校的Arvind
Narayanan 和 Vitaly
Shmatikov兩位學(xué)者����,將Netflix的數(shù)據(jù)和IMBD的數(shù)據(jù)進(jìn)行匹配,并由此識(shí)別了一些用戶的身份���,以及包括政治偏好在內(nèi)的敏感信息���。一年后,四位用戶以侵犯隱私權(quán)為由將Netflix告上了法庭����。
見招拆招:更復(fù)雜的匿名技術(shù)還是更完備的法律?
意識(shí)到匿名ID的脆弱和不可靠��,學(xué)界和業(yè)界也在不斷發(fā)明新的方法���,以提升個(gè)人身份被識(shí)別的難度��。Yves-Alexandre
de
Montjoye等研究者提供的一種解決方案是降低數(shù)據(jù)精度����,比如將特定咖啡館轉(zhuǎn)換為某一區(qū)域內(nèi)的餐館��,將具體時(shí)間轉(zhuǎn)換為某個(gè)時(shí)間范圍。但是他們承認(rèn)����,如果有足夠多的外部確認(rèn)信息,即便數(shù)據(jù)精度較低���,某些個(gè)體仍舊很容易被辨識(shí)��。
上文提到的Latanya
Sweeney教授���,則早在2002年就提出了k-匿名(k-anonymity)隱私保護(hù)模型。其它的方法還包括
l-多樣化(l-diversity)���、t-closeness�、 差分隱私(differential
privacy)����、同態(tài)加密(homomorphic encryption)、零知識(shí)證明(zero-knowledge
proof)等等��。但是這些匿名方法都不可避免地存在局限性�����,無(wú)法完全阻止反向識(shí)別的實(shí)施。
比如說(shuō)���,所謂差分隱私��,就是向原始數(shù)據(jù)中加入噪聲,在增加識(shí)別難度的同時(shí)�,保持?jǐn)?shù)據(jù)的原有屬性。一個(gè)例子是�����,Chrome
瀏覽器會(huì)首先對(duì)用戶上傳的數(shù)據(jù)進(jìn)行隨機(jī)化修改(randomized
response)�����,通過(guò)使用布隆過(guò)濾器加入噪聲��,再上傳給服務(wù)器���。蘋果在2016年的世界開發(fā)者大會(huì)(WWDC)上也宣布使用類似的差分隱私方法���。不過(guò),差分隱私還是無(wú)法避免多個(gè)相關(guān)數(shù)據(jù)上報(bào)而導(dǎo)致的隱私泄露����。更何況����,道高一尺魔高一丈����,匿名方法推陳出新的同時(shí),攻擊者們也會(huì)采用更為強(qiáng)力的識(shí)別工具�。
唯一可以讓我們稍許感到寬慰的是,學(xué)者們的不斷努力提醒了政府���,并推動(dòng)了相關(guān)領(lǐng)域的立法行動(dòng)——Latanya Sweeney就醫(yī)療隱私做出的警告����,使得美國(guó)政府在2003年更新了健康保險(xiǎn)便利和責(zé)任法案(HIPAA)�����,進(jìn)一步限制了醫(yī)療數(shù)據(jù)的披露�����。
現(xiàn)有體系的缺陷:隱私保護(hù)向何處去�?
但即使在美國(guó)��,立法方面的進(jìn)展仍舊遠(yuǎn)遠(yuǎn)落于實(shí)踐之后�����。美國(guó)現(xiàn)有法律強(qiáng)調(diào)����,只要數(shù)據(jù)被提前模糊化����,個(gè)人的身份信息得以隱藏�,便可以被視為“安全”的匿名數(shù)據(jù)集,從而數(shù)據(jù)擁有者可以開放其使用權(quán)限����。
至于數(shù)據(jù)被公開之后的使用限制,在現(xiàn)有法律框架中基本無(wú)跡可尋���。更令人擔(dān)憂的是��,并不是所有數(shù)據(jù)公司都有保護(hù)隱私的良知��,或者掌握了完備的匿名處理方法�����。很多時(shí)候����,匿名數(shù)據(jù)被公開之后,公司就無(wú)法再通過(guò)后續(xù)手段加強(qiáng)其安全性�。相比之下,攻擊者能夠不斷升級(jí)技術(shù)手段���,并收集其他數(shù)據(jù)來(lái)進(jìn)行對(duì)比��。
隨著技術(shù)的普及和大數(shù)據(jù)的發(fā)展��,使用者從公開資料中挖掘出個(gè)人敏感信息的難度不斷降低����。2014年�����,一名在Neustar實(shí)習(xí)的數(shù)據(jù)科學(xué)家在獲取了紐約出租車轎車協(xié)會(huì)提供的出租車行車記錄后��,結(jié)合八卦信息網(wǎng)上找到的名人出行街拍圖����,成功識(shí)別了多位名人的上下車地點(diǎn)���、車費(fèi)、行車路徑���,以及其他一些出行記錄�����,一時(shí)引發(fā)了輿論的關(guān)切��。
越來(lái)越多的事例及研究表明,匿名能給個(gè)人隱私提供的保護(hù)十分脆弱���,反向識(shí)別正變得愈發(fā)普遍�����。但是在當(dāng)前的司法體系下��,數(shù)據(jù)提供者依舊沒(méi)有義務(wù)上報(bào)可能遭受了反向識(shí)別的數(shù)據(jù)集��。攻擊者們也甚少被追究責(zé)任�。于是,公眾很難得知�����,某個(gè)公開數(shù)據(jù)的匿名性是否已被攻破�����。無(wú)論是技術(shù)層面還是法律層面���,大數(shù)據(jù)時(shí)代的隱私保護(hù)都還任重道遠(yuǎn)�����。
CDA數(shù)據(jù)分析師考試相關(guān)入口一覽(建議收藏):
? 想報(bào)名CDA認(rèn)證考試����,點(diǎn)擊>>>
“CDA報(bào)名”
了解CDA考試詳情�;
? 想學(xué)習(xí)CDA考試教材,點(diǎn)擊>>> “CDA教材” 了解CDA考試詳情��;
? 想加入CDA考試題庫(kù)��,點(diǎn)擊>>> “CDA題庫(kù)” 了解CDA考試詳情;
? 想了解CDA考試含金量��,點(diǎn)擊>>> “CDA含金量” 了解CDA考試詳情�����;
京公網(wǎng)安備 11010802034615號(hào)
經(jīng)營(yíng)許可證編號(hào):京B2-20210330