1. 极安网首页
  2. 网络安全新闻

个人隐私保护:数据匿名也有漏洞

因一场不可思议的隐私泄露,Netflix曾被一位同性恋用户起诉。

个人隐私保护:数据匿名也有漏洞-极安网

2006年,该公司公布了大约来自50万用户的一亿条租赁记录,其中包括用户的评分和评分日期,并悬赏百万美金,希望吸引工程师通过软件设计来提高其电影推荐系统的精准度。虽然Netflix做出此举前,已经对数据进行了匿名化处理,但是这名“匿名”同性恋用户还是被认出。

匿名化也保护不了隐私数据?在数据容易裸奔的科技时代,匿名化刚给大家吃了定心丸,“打脸”来得这么快?

事实上,匿名与隐私从理论概念上来讲完美融合,但是从技术及应对方案上来看,融合之路并非想象中那样简单。

匿名化的前世今生

数据匿名的社会意识应该是近几年才日渐扩散的,但其实来自技术层面的畅想与实践早就开始了。

实验室总是先走一步,1997年,美国学者Samarati和Sweeney提出了k-anonymity匿名模型,为后续各种技术解决方案的涌现开了先河。当然,届时,数据匿名这个话题更多是停留在技术圈内的狂欢。

随着大数据、智能技术近年的发展与渗透,数据泄露、隐私侵犯等问题日渐凸显,并且受影响的群体日渐几何级增长。一方面数据作为智能时代的基石,不可能因噎废食,完全放弃,另一方面,政府、企业、个人都因该问题而持续困扰,市场格局也容易产生波动,这于长远发展不利。

此时,匿名化技术成为可以折中的方案。不过,数据匿名化需要技术投入,如果仅靠企业主观驱动,效果有限。所以,整个匿名数据的发展中,真正打破僵局的是法律领域的关注。

最为代表的则是令互联网企业心有余悸的GDPR。2018年正式实行的GDPR,将个人数据的保护力度提至前所未有的高度,亦对数据处理企业等主体施加了甚为严苛的保护义务和法律责任。其中,有一条,GDPR提到:控制者在确定处理方式和处理过程中,应当采取适当技术和组织措施,诸如假名化(pseudonymisation)处理,将额外数据与个人数据分别保存,除非使用额外数据,否则个人数据无法指向特定数据主体。

显然,GDPR白纸黑字地将个人数据的保护上升到法律层面,这已经将此前数据使用过程中涉及的大部分暧昧地带清晰化。此外,真正具有威慑力的是其“残忍”的惩罚力度。众所周知,如果科技巨头越雷池一步, GDPR是真的会开出开天价罚单。

最有意思的案例即是,GDPR开始生效的第一天就“开门红”,一下起诉了两大科技巨头:Facebook和谷歌。两家公司被指控强迫用户同意共享个人数据,且分别面临39亿欧元和37亿欧元(共计约88亿美元)的罚款风险。

当然除了GDPR,各政府都相继出台了相关严厉的个人数据保护法。如英国更新了数据保护法案,加上了个人数据的重视力度,中国也出台了数据安全法草案,明确了保护责任。,FTC在2012年发布的隐私保护指南中更是扩大了个人数据的边界,突破了传统定义中的与具体的自然人相关联,扩展到了用户所使用设备标识等。

在这样的背景下,对于企业来说,天价罚单是割肉之痛,政府的监管是不可逾越的红线,此外,用户隐私保护意识的觉醒也是不可推辞的需求。

GDPR在对匿名化的界定中也提到:“匿名化是指将个人数据移除可识别个人信息的部分,并且通过这一方法,数据主体不会再被识别。匿名化数据不属于个人数据,因此无须适用条例的相关要求,机构可以自由的处理匿名化数据”。

数据匿名则成为了许多企业或者数据应用主体的重点投入方向。有业内专家表示,匿名数据的收集主要用于帮助公司发现产品错误,这是互联网通过分析非个人可识别信息来改善整体产品体验最常见的解决方案之一。

原创文章,作者: Admin ,转载请注明出处:https://secvery.com/2099.html