研究 | 大数据隐私：隐私原理与模型的挑战

原文以BigDataPrivacy:ChallengestoPrivacyPrinciplesandModels，发表于Springer旗下期刊DataScienceandEngineering  

作者：JordiSoria-Comas,JosepDomingo-Ferrer  

真实案例  

我们先来看一个真实的案例：美国零售百货集团Target曾经研发出一个模型，用来预测消费者是否怀孕，从而根据该模型的预测结果向潜在客户发送其婴儿产品相关的打折券。这个模型应用不久，一位父亲质问Target是否在鼓励他的女儿怀孕，因为他发现自己还在读高中的女儿收到了此类婴儿服装打折券。但没过多久，事实浮出水面，他的女儿确实已经怀孕了，只是这位父亲当时没有发现。上述案例中，这位女儿的隐私便没有得到适当的保护。

“大数据”是近几年来科技界的高频词汇，然而大数据时代下隐私保护的缺失也成为我们面临的严峻挑战。我们知道，多数情况下，数据的收集并不是由数据产生者，即数据主体（如消费者）直接提供的，而是伴随交易过程（如网上购物）产生，或者由一些免费服务平台（如免费邮箱、社交网络等）提供，再就是一些服务要求的必要的数据输入（如GPS导航系统为了提供周边交通信息，需要使用者提供当前目地理位置的数据）。这些数据的收集和使用会产生一定的价值，然而数据隐私的保护却尚未得到管理。  

在BigDataPrivacy:ChallengestoPrivacyPrinciplesandModels这篇文章中，作者详细的描述了大数据和隐私保护之间的冲突源头，指出匿名化是目前缓解这一冲突的可行解决办法，提出了衡量一个隐私模型能否满足大数据要求的三大特性：可组合，低计算代价，可联系。最后应用这一标准对两种主要的匿名化方法，k-匿名和ε-差分匿名进行了评价，给出它们能够很好地满足大数据隐私需求的结论。本文发表于Springer旗下期刊DataScienceandEngineering  

用于保护个人可识别信息（PII）的若干原则  

目前尚未有完善的方法来保护大数据数据主体的隐私。作者提出，抛开大数据名头不谈，先来看看以下这些应用于若干条例、用于保护个人可识别信息（PII）的一些原则：合法、有许可、目的受限、必要且数据最小化、透明并开放、保障个人权利、信息安全、可信、及设计和默认提供的数据保护。  

合法：数据收集必须得到数据发生主体的同意，或是它的处理必须源于合同或法律的需要，符合数据主体的利益，公众的利益，或者是满足数据处理商的需要并且和主体的利益相一致。  

有许可：主体给定的许可必须简洁，具体，信息充分明了。  

目的受限：在收集数据前，确保数据收集的目是合法的并且是具体说明的。  

必要且数据最小化：只收集与使用目的相关的数据。除此之外，数据只能在必要情况下保留。  

透明并开放：以数据发生主体可以接受和理解的方式，告知其数据的收集和处理过程。  

保障个人权利：主体应拥有使用，修改甚至删除数据的基本权利。  

信息安全：必须保证数据不会受到未经授权情况下对数据的使用、篡改、做其他处理、甚至丢失或销毁等这些情况的发生。  

可信：数据收集者或者处理者应明确并遵循上述原则。  

设计和默认提供的数据保护：数据的隐私保护从一开始就是系统内置的，而不是后期才添加的功能。  

潜在冲突  

如果没有匿名化处理，上述原则和大数据使用之间存在以下潜在冲突：  

目的受限：隐私保护要求的是目的具体，而在大数据方面，却常常存在数据二次使用情况，甚至在收集期间，可能目的性就并不明确。  

许可：要求主体发出的许可简洁，具体。而大数据方面，如果数据收集目的不是明确的，那么主体连许可都不可能发出。  

合法：若大数据在目的限制性和许可两方面都存在问题的话，法律性就更是个问题。  

必要和数据最小化：要求的是仅收集必要的数据并尽可能的不收集不必要的数据，而且数据保留有时间限制。可是大数据本身就是为了潜在需要，不间断的收集并积累大量数据。  

个人权利：要求主体有权使用、修改和删除数据。可是在大数据情况下，主体可能连他的数据或者数据已经被收集都不知道，更别说主体会想到使用、修改和删除数据了。   

现有的几种观点  

针对上述冲突，作者列举了几种现有观点:有人提出，为了避免阻挠科技进步，隐私保护应该只注重可能泄露隐私的部分数据而不是数据收集过程。相反，也有人提出，正是数据的收集过程存在隐私泄露隐患，因为一旦数据被收集了，许多潜在的威胁就会显现，例如数据遭破坏，内部员工滥用数据，数据二次使用，公司改变数据的使用意图，政府任意调用数据等。  

用于大数据分析的匿名技术  

文章进一步指出，匿名技术也许是解决隐私保护和大数据冲突的可行办法。一旦数据被匿名化处理，就不再是个人隐私数据了，那么上文提到的关于保护个人可识别信息（PII）的原则就不必考虑了。作者同时提出，虽然匿名化处理技术对隐私保护有效，同时它也面对着很多挑战。一方面，过少的匿名处理（如仅仅去掉直接的数据主体身份）可能不足以确保数据不被辨识出出自哪个主体。另一方面，过度的匿名化处理，将为关联出自同一（或相似）数据主体的各种源数据造成困难，从而削弱大数据带来的优势。但是当目标是足够大的群体，或者是全体人口时，匿名化技术仍然能够支持大部分的数据分析需求。  

大数据隐私模型的特性  

大数据的环境下，一个有用的数据隐私模型必须适应3V的要求。为了衡量一个模型是否有用，作者提出了以下三大特性：（1）可组合：当模型重复地独立应用时，模型的隐私仍然能够得到保证。（2）低计算代价：为了满足隐私模型要求而进行的数据转换代价要低，因此要选择恰当的转换方法。（3）可联系：匿名化的数据集中建立个别数据之间联系的可能性必须低于原有数据集。  

论文以上述三大特性为标准对k-匿名和ε-差分匿名方法分别给出了评价、分析和对比，指出它们在满足大数据隐私要求方面各自的长处和相对不足，感兴趣的读者可以阅读论文的第4、第5两小节。