全球一些隐私法规赋予数据主体(用户)自由访问、修改和删除个人数据等权利,相应地,要求企 业必须在规定的时间内对用户提出的请求进行响应,比如向用户提供收集个人数据明细及使用目的报告。
合规条款
GDPR规定企业“必须在一个月内对所有的请求进行响应和处理,若请求过于复杂,可延长至 两个月”(第 12 至 22 条)。
Ø 《网络安全
法》:如 3.1.2 节所述,法规赋予了用户一定程度的“删除权”和“修改权”,但未
具体到响应时间的规定。但在国家标准《个人信息安全
规范》(GB/T 35273-2020),明确规 定从请求到响应的时间是 30 天内(第 43 条)。
问题挑战
据 Gartner 调查,多数企业无法应对数据主体权利请求(Subject Rights Request, SRR)带来挑战, 约有三分之二企业对单个 SRR 的回复需要超过两周以上的时间,且这些流程通常是人工完成,平均成 本约高达 1400 美元 [11]。因此,对于拥有一定用户数量规模的企业(比如社交、电商网站),企业如何 做好应对准备⸺多个用户并发请求的随时响应,对于传统的手工处理是一个巨大挑战。比如说,企业 一天有 1000
个用户请求,采取手动操作,查询相关系统并手工制作 1000 个用户的个人信息数据报告, 这给运营团队人员带来极大的负担同时增加高额的运营成本,且一旦人工操作错误将引入新的法规风险。
应对技术:流程自动化(参见 3.4 节)
差分隐私 (Differential Privacy, DP) 技术由于无需假设攻击者能力或背景知识,安全性可通过数学 模型证明,作为一种前沿的隐私保护技术近年来受到了学术界和工业界的广泛关注。
差分隐私最早由微软研究者 Dwork 在 2011 年提出 [12],它可以确保数据库插入或删除一条记录不会 对查询或统计的结果造成显著性影响,数学化描述如下:
Pr(f (D)=C)
≤eε
Pr(f (D′)=C)
其中,D和 D′ 分别指相邻的数据集(差别只有一条记录), f (g)是某种操作或算法(比如查询、求平均、 总和等)。对于它的任意输出 C ,两个数据集输出这样结果的概率几乎是接近的,即两者概率比值小 于 eε ,那么称为满足 ε − 隐私。如何实现这个目标呢? 一般来说,通过在查询结果中加入噪声,比如 Laplace 类型的噪声,使得查询结果在一定范围内失真,并且保持两个相邻数据库概率分布几乎相同。
ε 参数通常被称为隐私预算(Privacy budget)[13], ε 越小,两次查询(相邻数据集 D和 D′ )的结果越接近,即隐私保护程度越高。一般将 ε 设置为一个较小的数,比如 0.01,0.1。但设置更小的数意味需 要加入更高强度的噪声,数据可用性会相应下降,这实际应用中需通过调节 ε 参数(反映在噪声强度的 调节上),以平衡隐私性与数据可用性。
早期差分隐私应用场景中,数据存储在数据库中,通过供具有差分隐私功能的查询接口给查询者 使用,通常称该方案为中心化的差分隐私模型(Centralized Differential Privacy,CDP)。随着研究与 发展,出现了另一种模式⸺本地差分隐私(Local Differential Privacy, LDP)。LDP 在用户侧进行差分 隐私处理,具体来说,用户终端的数据采集时都会运行一个差分隐私算法,采集输出的数据经过特殊的 处理,因此服务器也无法获得用户侧的真实隐私信息。其实现的核心思想应用了随机化算法,比如随机 应答(Randomized Response),每一个采集端的数据都加入了噪声。虽然服务器侧无法获得每一个用 户侧的真实数据,但采集足够多的加入噪声的数据,它恢复得到总体数据分布,满足差分隐私模型的近 似结果定义。两种差分隐私技术的区别见表 3-1 所示。
表 3-1 中心化差分隐私与本地化差分隐私对比
模式 | 中心化差分隐私 | 本地化差分隐私 |
---|---|---|
场景 | 数据库查询的隐私保护 | 数据采集的隐私保护 |
运行位置 | 服务器侧 | 用户侧 |
主要原理 | 数据查询的结果后加入噪声 | 原始数据经过随机化算法处理 |
主要机制 | 加噪(如拉普拉斯、高斯噪声) | 随机化算法(如随机应答) |
防护范围 | 查询者无法获得单个用户的隐私数据 | 第三方也无法获得单个用户隐私数据 |
在 CDP 应用中,微软开发了 PINQ(Privacy Integrated Queries)系统 [14],它基于差分隐私技术 供隐私敏感数据的查询 API接口,在不泄露隐私情况下可实现一般的数据查询功能。在 LDP应用中, Google 开发了应用 Rappor,将其应用在 Chrome 浏览器中收集用户的行为数据;Apple 在 iPhone 手机 上的进行应用,即可采集得到敏感的数据分布与趋势,同时保护每一位 iPhone 用户的确切隐私 [15]。如图 3-1 是 iPhone 供的一个应用示例,通过本地化差分隐私技术采集和聚合手机用户使用表情的频率分布。 |
图 3-1 iPhone 差分隐私技术应用(图引自 [15])