Введение в дифференциальную конфиденциальность

Технологии позволяют компаниям собирать больше данных и больше подробностей о своих пользователях, чем когда-либо прежде. Иногда эти данные продаются третьим лицам, а иногда используются для улучшения продуктов и услуг.

Чтобы защитить конфиденциальность пользователей, можно использовать методы анонимизации, чтобы удалить любую часть данных, позволяющих установить личность, и предоставить аналитикам доступ только к тому, что строго необходимо. Однако, как показал конкурс Netflix в 2007 году, это может пойти наперекосяк. Богатство данных позволяет идентифицировать пользователей с помощью иногда удивительного сочетания переменных, таких как даты, когда человек смотрел определенные фильмы. Простое соединение между анонимными наборами данных и неанонимными (общедоступными) наборами данных может повторно идентифицировать анонимные данные.

Дифференциальная конфиденциальность формализует идею о том, что запрос не должен раскрывать, присутствует ли какой-либо человек в наборе данных, а тем более какие у него данные. Представьте себе два идентичных набора данных, один с вашей информацией, а другой без нее. Дифференциальная конфиденциальность гарантирует, что вероятность того, что запрос даст заданный результат, почти одинакова, независимо от того, выполняется ли он для первого или второго набора данных.

Говоря более формально, дифференциальная конфиденциальность требует, чтобы вероятность того, что запрос создаст какой-либо заданный вывод, изменялась не более чем на мультипликативный коэффициент при добавлении или удалении записи (например, отдельного лица) из ввода. Наиболее значимый мультипликативный коэффициент количественно определяет разницу в конфиденциальности.

Например, Apple использует локальную дифференциальную конфиденциальность, чтобы помочь защитить конфиденциальность действий пользователя в заданный период времени, в то же время получая информацию, которая улучшает интеллектуальность и удобство использования таких функций, как:

• Предложения QuickType

• Предложения смайликов

• Подсказки поиска

• Домены, истощающие энергию Safari

• Обнаружение намерений автозапуска Safari (macOS High Sierra)

• Домены сбоя Safari (iOS 11)

Что гарантирует дифференциальная конфиденциальность?

Дифференциальная конфиденциальность математически гарантирует, что любой, кто увидит результат дифференциально-приватного анализа, по существу сделает тот же вывод о частной информации любого человека, независимо от того, включена ли личная информация этого человека во входные данные для анализа.
Дифференциальная конфиденциальность обеспечивает математически доказуемую гарантию защиты конфиденциальности от широкого спектра атак на конфиденциальность (включая дифференциальную атаку, атаку связывания и атаку реконструкции).

Чего это не гарантирует?

Дифференциальная конфиденциальность может быть неприемлемой, если несколько примеров относятся к одному и тому же лицу (например, поисковые запросы, обзоры ресторанов).

Причины различий в конфиденциальности

Дифференциальная конфиденциальность обладает ценными свойствами, что делает ее богатой основой для анализа конфиденциальной личной информации и защиты конфиденциальности: