В течение многих лет компания Apple придерживалась принципа конфиденциальности, которого не разделяли многие ее конкуренты. В то время как Google и Microsoft рады перехватывать персонализированные данные, которые могут использовать хакеры и правительство, Apple отказывается это делать. Например, Apple объявила на Всемирной конференции разработчиков заявил, что все приложения iOS должны шифровать веб-коммуникации к концу года.
Но Apple нужны данные, чтобы персонализировать свои услуги и знать, каких изменений хотят их клиенты, поэтому во вторник старший вице-президент Apple по разработке программного обеспечения Крейг Федериги обсудил концепцию под названием дифференцированная конфиденциальность, которая будет реализована в Программное обеспечение iOS 10.
По мнению Apple, дифференциальная конфиденциальность «поможет выявить модели использования большого количества пользователей без ущерба для личной конфиденциальности». Идея состоит в том, что, хотя Apple может видеть данные пользователей в совокупности для улучшения своих услуг, никто не сможет найти данные о каком-либо отдельном пользователе. Сюда входит сама Apple, а также хакеры и правительства.
Проблемы с конфиденциальностью
Как можно получить данные в совокупности, а не на индивидуальном уровне? Чтобы понять это, нам нужно начать с проблем, связанных с защитой конфиденциальности пользователей.
Большинство компаний прилагают определенные усилия для защиты вашей конфиденциальности и часто анонимизируют ваши данные и отказываются публиковать личную информацию. Но люди могут использовать полученные данные, чтобы выяснить ваши личные данные.
Это сравнимо с выяснением личности реального пользователя интернет-форума. Их настоящего имени и номера телефона вы не узнаете, но можете отметить, что пользователь форума живет в Нью-Йорке и ходил на свидание в этот ресторан. Используя подобные факты, вы можете сузить круг вопросов до тех пор, пока не обнаружите их истинную сущность. Как отметил Wired, исследователи смогли сделать нечто подобное в 2007 году, когда Netflix опубликовал список «анонимных» клиентов.
Это показывает, что даже если компания пытается скрыть личную информацию, хакеры могут использовать имеющуюся у нее информацию для сбора личных данных. А если компания попытается скрыть всю имеющуюся у них информацию, то они не смогут использовать ее со своей стороны.
А что, если вся информация скрыта?
Идея дифференцированной конфиденциальности
Именно это и призвана обеспечить дифференцированная конфиденциальность. Он работает путем алгоритмического затемнения данных шумом, поэтому хакеры никогда не смогут по-настоящему понять, что сказал какой-либо человек.
Многие идеи, лежащие в основе дифференциальной конфиденциальности, являются теоретическими и разработаны учеными-технологами и криптологами. Но Синтия Дворк, соавтор дифференцированной конфиденциальности согласно Engadget , приводит пример того, как это может работать, используя опросника, который спрашивает кого-то, списывал ли он на экзамене:
Прежде чем ответить, человека просят подбросить монетку. Если выпал орел, ответ должен быть честным, но результат выпадения монеты не должен разглашаться. Если монета выпала решкой, человеку нужно подбросить вторую монету; если это решка, ответ должен быть «да». Если второе — решка, то «нет».
Поскольку в долгосрочной перспективе монета должна выпасть орел или решка примерно в пятидесяти процентах случаев, исследователь может примерно предположить, сколько человек на самом деле обманули на экзамене в целом. Но если злонамеренное агентство узнает, что один конкретный человек ответил «да», он понятия не имеет, произошло ли это из-за того, что человек сжульничал на тесте, или потому, что он сказал это после того, как при подбрасывании монеты выпала решка, а затем орел.
Реальные алгоритмы дифференциальной конфиденциальности намного сложнее, но они аналогичны примеру с подбрасыванием монеты. Создавая математический «шум» для сокрытия отдельных данных, никто не может узнать ни одну точку данных, даже если бы он знал алгоритм.
Потенциальные проблемы
Дифференцированная конфиденциальность может означать, что Apple и другие компании смогут получать данные, которые помогут им защитить конфиденциальность своих клиентов. Но дело в том, что большая часть работ, связанных с дифференциальной конфиденциальностью, была в основном теоретической, и не проводилось никаких мелкомасштабных испытаний того, как это может работать.
Внедрять его в больших масштабах, как Apple планирует сделать с iOS, без небольших испытаний рискованно.
Однако дифференциальная конфиденциальность не столь полезна в небольших масштабах. Математический шум будет сильнее скрывать данные при небольшом размере выборки, увеличивая вероятность получения совершенно неточных данных. Подумайте о приведенном выше примере с монетой. Если бы геодезист опросил только 10 человек, вполне возможно, что восемь человек могли бы выбросить решку, и его опрос был бы бесполезен. Но если он опросил 10 000 человек, то гораздо менее вероятно, что 8 000 человек выпали «решкой», и поэтому он может лучше доверять своим данным.
Дифференциальная конфиденциальность – это сложная для понимания концепция. Но если Apple добьется успеха, это может серьезно изменить способ сбора данных компаниями. Хотя найдутся компании, которые будут рады получить пользовательские данные, тот факт, что существует способ сбора данных, не затрагивая личную конфиденциальность, может иметь огромные последствия для компании и клиента.