隱私保護技術和規範 學習筆記 （二）

上一篇《隱私保護技術和規範-學習筆記-1》主要介紹的是軟件產品隱私/個人數據的政策和規範方面。現在我們來淺淺地看看隱私保護/處理的一些技術細節。

隱私保護的形勢

• 2016年5月25日 EU 正式發佈 《通用數據保護條例》,GDPR，會在2018年正式生效。對泄露了個人信息/隱私的處罰可達到 €20,000,000 或該企業全球營業額的4% 。

• （再次）隱私與個人信息的區別：前者主要是法律上的定義，也是個人主觀的概念；後者是技術上的、比較客觀的概念。

• 網絡隱私與網絡安全 的領域差異：

<—————— 網絡隱私關注領域 ——————–>

—- 不可關聯性 ——— 透明性 ——– 可干預/可控性 ——— 保密性 ——– 整全性 ——– 可用性 —-

…	<————- 網絡安全關注領域 ————>

• 不可關聯性(unlinkability)：不可從數據/系統的信息中關聯到用戶的個人信息。

三種數據泄漏的風險

• 直接識別風險（從數據中）
• 鏈接攻擊風險：通過比對不同數據庫的信息，可以關聯出更多、更全面的個人信息。
• 推理攻擊風險：通過更多的知識、更多的計算和檢索，可以推理出用戶的個人信息。

幾種隱私保護技術的風險抵禦 之比較

Y：可以抵禦；N：不能；可以無：視怎麼使用/使用程度

技術 ———- 直接識別風險 ——— 鏈接攻擊風險 ——– 推理攻擊風險

假名化 ———– Y ———– Y ———— Y

加噪 ———- Y ———-可以無 ——— 可以無

置換 ———- Y ——— Y ——— 可以無

K-匿名 ———- N ——— Y，風險爲 1/K ——– Y

L-多樣性 ——— N ———- Y ————可以無

差分隱私 ——— 可以無 ——- 可以無 ——–可以無

哈希/標誌化 —— Y ———- Y ———– 可以無

三類技術

• 數據屏蔽（data masking）

  • 靜態數據屏蔽（static data masking, SDM)：主要用於非生產環境
    1. 中間庫方式（in-place）：把數據克隆到中間庫 —-> 脫敏 —-> 導出到test庫
    2. 原地脫敏（at-source)：在原庫脫敏後離開生產端 —-> 導出到test庫
  • 動態屏蔽（dynamic data masking, DDM)：用於生產環境；查詢數據時基於其使用權限對相應數據進行實時脫敏（即重定向）。
    1. 基於視圖view的模式：預先靜態生成好已脫敏的版本（只支持關係型數據庫）；
    2. 基於代理的屏蔽：所有數據請求都須警告代理設備，被代理攔截並進行透明替換（支持非關係型數據庫）
  • 屏蔽算法（與之前介紹的如掩碼、加噪等技術相同）

• 等價類匿名技術 (equivalence class)

  • 著名的 Latanya Sweeney 攻擊 MA 匿名醫學信息庫，1997 案例，即後來的 K-anonymity 原則/理論
    • Sweeney發現：87% 的美國人具有唯一的 出生日期、性別、郵編的組合……（然後你就懂了）
    • （點到爲止吧，筆者也在學習中，請點擊相關WIKI鏈接深入學習～）

  • L-多樣性原則：L-diversity

  • T-關閉：T-closeness

• 差分隱私 (Differential Privacy) 技術

  • Differential Privacy
  • 隨機化回應原理 Randomized Response

(後續補充……)

參考資源

GDPR

1. http://ec.europa.eu/justice/data-protection/reform/files/regulation_oj_en.pdf
2. https://en.wikipedia.org/wiki/General_Data_Protection_Regulation
3. http://www.eugdpr.org/
4. https://gdpr-info.eu/
5. https://www.tripwire.com/state-of-security/security-awareness/gdpr-the-good-the-bad-and-the-ugly/

Latanya Sweeney and K-anonymity

1. https://en.wikipedia.org/wiki/K-anonymity
2. https://en.wikipedia.org/wiki/Latanya_Sweeney
3. https://www.cs.cmu.edu/~jblocki/Slides/K-Anonymity.pdf
4. http://latanyasweeney.org/index.html
5. https://epic.org/privacy/reidentification/Sweeney_Article.pdf
6. http://www.cse.psu.edu/~ads22/courses/privacy598d/www/lec-notes/K-Anonymity%20and%20Other%20Cluster-Based%20Method1.pdf
7. https://dataprivacylab.org/projects/identifiability/paper1.pdf
8. https://iapp.org/media/pdf/knowledge_center/Re-Identification_of_Welds_Medical_Information.pdf
9. https://dataprivacylab.org/dataprivacy/talks/indexOLD.html
10. https://www.eff.org/deeplinks/2009/09/what-information-personally-identifiable

Other things

1. http://www.cs.purdue.edu/homes/ninghui/papers/t_closeness_icde07.pdf
2. http://www.cs.cornell.edu/~vmuthu/research/ldiversity.pdf