理解CIPT基础:数据脱敏与去标识化(2/3) - 重标记与K匿名详解
上一章我们讨论了数据匿名化和去标识化的几种可用方法,接下来我们分析匿名化数据的风险识别。
重标识
重标识(re-identification)指的是对匿名化/去标识化的数据重新关联到原始个人信息主体或一组个人信息主体的过冲,它是匿名化/去标识化的一个逆向操作。
重标识的伤害类型
重标识给数据主体带来的伤害有如下几种
1. 识别符曝光 - identity disclosure
指的是处理过程中对识别符字段的匿名化程度不够,导致对手可以直接获取到信息主体的直接/间接识别符。
例如:手机号码直接计算哈希值,然后将哈希值发布在数据集中,对手通过数据碰撞方式,获得了数据集中的全部或部分明文手机号码。
2. 属性曝光 - attributes disclosure
对手虽然无法从发布的数据集中获得信息主体的识别信息,但可以确定该主体的某个目标属性的属性值
如上例,基于其他数据我们知晓幸福里小区只有一位年龄大于85岁的老人,那从这个脱敏数据集中我们就能确定该老人接种过3针疫苗且是次密接。该数据集虽然没暴露她/他的个人识别信息,但通过与其他数据集的组合还是暴露了该自然人的隐私健康信息。
3. 推断信息暴露 - inference disclosure
通过数据集中反映的规律来推断用户的某项属性,比如脱敏后数据集显示居住在天通苑的50-60岁男性有100人,其中90人接种了3针疫苗,10人接种了2针疫苗,如果我们知道某自然人是居住在天通苑的男士且年龄在50-60岁间,我们就可确定他已经接种疫苗。
常见的重标识方法
筛选:基于是否能唯一确定一个个人信息主体,将属于一个个人信息主体的记录筛选出来。 即从记录中识别出哪条数据该特定自然人,通过直接破解识别符,或者是多个识别符的唯一组合,从数据集中隔离出特定自然人的记录,从而获得该自然人的敏感信息。如下图,整个数据集中只有一个用户使用的是171开头的手机号码,我们就可以知道了这个特定自然人(天通苑1栋住户中使用171手机的人)是密接。
推断:通过数据集中其他属性的值的组合以一定概率推断出一个属性的值。在上图中,通过分析规律可知,如果是居住在天通苑1栋的30-40岁男性有很高几率是次密接。
关联 (linkage):将不同数据集中关于可能是相同主体的个人信息组合,确认并关联回特定信息主体。 将当前数据集中筛选出来的特定自然人记录,去关联上其他数据集的信息,来曝光出自然人的敏感信息。
对于重标记的风险,最为简单的评估一般是使用唯一性指标进行度量,如果单个属性或者多个属性组合的值在数据集中是唯一的,那么就很可能被用于筛选并与其他数据集关联进行识别。对于推断也是如此,如果用户属性组合越多,结果分布越均匀,推断的准确率就越低。K-匿名模型及其扩展正式基于该理论帮助我们控制重标记风险。
K-匿名模型
K-匿名模型(k-anonymity)是一种用于评估匿名化/去特征化后数据的信息安全的模型。它要求脱敏后的数据集中识别符组合形成的等价类要至少有K条不同的记录,这样就增加了从数据集中直接筛选出记录并进行关联攻击的难度。
如果等价类不好理解,你可以认为它是 基于已有的识别符组合能切分出的最小人群包。比如下面这个例子中,利用住址+性别+年龄的组合最多能分为四个不同的群组,其中第一个群组(等价类)是住在天通苑20-30岁的男性。
上例中,微数据中每个等价类中最少有2条记录,所以通过与其他微数据的组合(linkage),最多也只有50%(1/2)的几率关联上正确的信息主体。在实际应用中,K选3-5比较合适。
K匿名可以降低筛选和关联带来的重标识风险,但它却不能阻止利用推断带来的属性暴露风险。还是看如上例子,天通苑20-30岁的女性虽然有2人,但他们的目标属性(疫苗注射情况/密接/次密接)的属性值是一样的,虽然我们无法确定出两个信息主体分别的个人识别信息,但不妨碍我们获取到这两位的敏感健康信息。
为了解决这种确定性推断带来的风险,可以引入L多样性(l-diversity)模型,它指的是同一个等价类中它的目标属性的属性值超过L个。
脱敏后数据如果满足多样性l值大于1,可以有效防止确定性推断带来的属性暴露风险
如果脱敏后的数据集不满足预定的k和l值,可以通过重新调整适用的匿名化技术手段,对数据进行再次处理。
K匿名的限制
数据集在满足K匿名及L多样性的前提下,也并不能完全避免对手通过组合其他信息来完成关联,请见下例。
医院A和B发布的数据都满足K匿名(k=3)和L多样性(l=3),但当对手同时获取了这两份数据且通过额外手段得到某自然人(张三)的其他信息时,即可把该匿名记录关联回张三并且获得张三的健康信息。
匿名数据的重标识风险一方面取决去数据本身的匿名化程度,同时也和对手的攻击能力与动机高度相关,这部分我们将在下一章继续介绍。
参考资料:
1. CIPT官方教程 - 《An Introduction to Privacy for Technology Professionals》
2. PDPC - Introduction to Basic Data Anonymisation Concepts
推荐阅读
-
理解CIPT基础:数据脱敏与去标识化(2/3) - 重标记与K匿名详解
-
理解CIPT基础:数据脱敏与去标识化详解(1/3) - 方法与实施步骤
-
F#探险之旅(二):函数式编程(上)-函数式编程范式简介 F#主要支持三种编程范式:函数式编程(Functional Programming,FP)、命令式编程(Imperative Programming)和面向对象(Object-Oriented,OO)的编程。回顾它们的历史,FP是最早的一种范式,第一种FP语言是IPL,产生于1955年,大约在Fortran一年之前。第二种FP语言是Lisp,产生于1958,早于Cobol一年。Fortan和Cobol都是命令式编程语言,它们在科学和商业领域的迅速成功使得命令式编程在30多年的时间里独领风骚。而产生于1970年代的面向对象编程则不断成熟,至今已是最流行的编程范式。有道是“*代有语言出,各领风骚数十年”。 尽管强大的FP语言(SML,Ocaml,Haskell及Clean等)和类FP语言(APL和Lisp是现实世界中最成功的两个)在1950年代就不断发展,FP仍停留在学院派的“象牙塔”里;而命令式编程和面向对象编程则分别凭着在商业领域和企业级应用的需要占据领先。今天,FP的潜力终被认识——它是用来解决更复杂的问题的(当然更简单的问题也不在话下)。 纯粹的FP将程序看作是接受参数并返回值的函数的集合,它不允许有副作用(side effect,即改变了状态),使用递归而不是循环进行迭代。FP中的函数很像数学中的函数,它们都不改变程序的状态。举个简单的例子,一旦将一个值赋给一个标识符,它就不会改变了,函数不改变参数的值,返回值是全新的值。 FP的数学基础使得它很是优雅,FP的程序看起来往往简洁、漂亮。但它无状态和递归的天性使得它在处理很多通用的编程任务时没有其它的编程范式来得方便。但对F#来说这不是问题,它的优势之一就是融合了多种编程范式,允许开发人员按照需要采用最好的范式。 关于FP的更多内容建议阅读一下这篇文章:Why Functional Programming Matters(中文版)。F#中的函数式编程 从现在开始,我将对F#中FP相关的主要语言结构逐一进行介绍。标识符(Identifier) 在F#中,我们通过标识符给值(value)取名字,这样就可以在后面的程序中引用它。通过关键字let定义标识符,如: let x = 42 这看起来像命令式编程语言中的赋值语句,两者有着关键的不同。在纯粹的FP中,一旦值赋给了标识符就不能改变了,这也是把它称为标识符而非变量(variable)的原因。另外,在某些条件下,我们可以重定义标识符;在F#的命令式编程范式下,在某些条件下标识符的值是可以修改的。 标识符也可用于引用函数,在F#中函数本质上也是值。也就是说,F#中没有真正的函数名和参数名的概念,它们都是标识符。定义函数的方式与定义值是类似的,只是会有额外的标识符表示参数: let add x y = x + y 这里共有三个标识符,add表示函数名,x和y表示它的参数。关键字和保留字关键字是指语言中一些标记,它们被编译器保留作特殊之用。在F#中,不能用作标识符或类型的名称(后面会讨论“定义类型”)。它们是: abstract and as asr assert begin class default delegate do donedowncast downto elif else end exception extern false finally forfun function if in inherit inline interface internal land lazy letlor lsr lxor match member mod module mutable namespace new nullof open or override private public rec return sig static structthen to true try type upcast use val void when while with yield 保留字是指当前还不是关键字,但被F#保留做将来之用。可以用它们来定义标识符或类型名称,但编译器会报告一个警告。如果你在意程序与未来版本编译器的兼容性,最好不要使用。它们是: atomic break checked component const constraint constructor continue eager event external fixed functor global include method mixinobject parallel process protected pure sealed trait virtual volatile 文字值(Literals) 文字值表示常数值,在构建计算代码块时很有用,F#提供了丰富的文字值集。与C#类似,这些文字值包括了常见的字符串、字符、布尔值、整型数、浮点数等,在此不再赘述,详细信息请查看F#手册。 与C#一样,F#中的字符串常量表示也有两种方式。一是常规字符串(regular string),其中可包含转义字符;二是逐字字符串(verbatim string),其中的(")被看作是常规的字符,而两个双引号作为双引号的转义表示。下面这个简单的例子演示了常见的文字常量表示: let message = "Hello World"r"n!" // 常规字符串let dir = @"C:"FS"FP" // 逐字字符串let bytes = "bytes"B // byte 数组let xA = 0xFFy // sbyte, 16进制表示let xB = 0o777un // unsigned native-sized integer,8进制表示let print x = printfn "%A" xlet main = print message; print dir; print bytes; print xA; print xB; main Printf函数通过F#的反射机制和.NET的ToString方法来解析“%A”模式,适用于任何类型的值,也可以通过F#中的print_any和print_to_string函数来完成类似的功能。值和函数(Values and Functions) 在F#中函数也是值,F#处理它们的语法也是类似的。 let n = 10let add a b = a + blet addFour = add 4let result = addFour n printfn "result = %i" result 可以看到定义值n和函数add的语法很类似,只不过add还有两个参数。对于add来说a + b的值自动作为其返回值,也就是说在F#中我们不需要显式地为函数定义返回值。对于函数addFour来说,它定义在add的基础上,它只向add传递了一个参数,这样对于不同的参数addFour将返回不同的值。考虑数学中的函数概念,F(x, y) = x + y,G(y) = F(4, y),实际上G(y) = 4 + y,G也是一个函数,它接收一个参数,这个地方是不是很类似?这种只向函数传递部分参数的特性称为函数的柯里化(curried function)。 当然对某些函数来说,传递部分参数是无意义的,此时需要强制提供所有参数,可是将参数括起来,将它们转换为元组(tuple)。下面的例子将不能编译通过: let sub(a, b) = a - blet subFour = sub 4 必须为sub提供两个参数,如sub(4, 5),这样就很像C#中的方法调用了。 对于这两种方式来说,前者具有更高的灵活性,一般可优先考虑。 如果函数的计算过程中需要定义一些中间值,我们应当将这些行进行缩进: let halfWay a b = let dif = b - a let mid = dif / 2 mid + a 需要注意的是,缩进时要用空格而不是Tab,如果你不想每次都按几次空格键,可以在VS中设置,将Tab字符自动转换为空格;虽然缩进的字符数没有限制,但一般建议用4个空格。而且此时一定要用在文件开头添加#light指令。作用域(Scope)作用域是编程语言中的一个重要的概念,它表示在何处可以访问(使用)一个标识符或类型。所有标识符,不管是函数还是值,其作用域都从其声明处开始,结束自其所处的代码块。对于一个处于最顶层的标识符而言,一旦为其赋值,它的值就不能修改或重定义了。标识符在定义之后才能使用,这意味着在定义过程中不能使用自身的值。 let defineMessage = let message = "Help me" print_endline message // error 对于在函数内部定义的标识符,一般而言,它们的作用域会到函数的结束处。 但可使用let关键字重定义它们,有时这会很有用,对于某些函数来说,计算过程涉及多个中间值,因为值是不可修改的,所以我们就需要定义多个标识符,这就要求我们去维护这些标识符的名称,其实是没必要的,这时可以使用重定义标识符。但这并不同于可以修改标识符的值。你甚至可以修改标识符的类型,但F#仍能确保类型安全。所谓类型安全,其基本意义是F#会避免对值的错误操作,比如我们不能像对待字符串那样对待整数。这个跟C#也是类似的。 let changeType = let x = 1 let x = "change me" let x = x + 1 print_string x 在本例的函数中,第一行和第二行都没问题,第三行就有问题了,在重定义x的时候,赋给它的值是x + 1,而x是字符串,与1相加在F#中是非法的。 另外,如果在嵌套函数中重定义标识符就更有趣了。 let printMessages = let message = "fun value" printfn "%s" message; let innerFun = let message = "inner fun value" printfn "%s" message innerFun printfn "%s" message printMessages 打印结果: fun value inner fun valuefun value 最后一次不是inner fun value,因为在innerFun仅仅将值重新绑定而不是赋值,其有效范围仅仅在innerFun内部。递归(Recursion)递归是编程中的一个极为重要的概念,它表示函数通过自身进行定义,亦即在定义处调用自身。在FP中常用于表达命令式编程的循环。很多人认为使用递归表示的算法要比循环更易理解。 使用rec关键字进行递归函数的定义。看下面的计算阶乘的函数: let rec factorial x = match x with | x when x < 0 -> failwith "value must be greater than or equal to 0" | 0 -> 1 | x -> x * factorial(x - 1) 这里使用了模式匹配(F#的一个很棒的特性),其C#版本为: public static long Factorial(int n) { if (n < 0) { throw new ArgumentOutOfRangeException("value must be greater than or equal to 0"); } if (n == 0) { return 1; } return n * Factorial (n - 1); } 递归在解决阶乘、Fibonacci数列这样的问题时尤为适合。但使用的时候要当心,可能会写出不能终止的递归。匿名函数(Anonymous Function) 定义函数的时候F#提供了第二种方式:使用关键字fun。有时我们没必要给函数起名,这种函数就是所谓的匿名函数,有时称为lambda函数,这也是C#3.0的一个新特性。比如有的函数仅仅作为一个参数传给另一个函数,通常就不需要起名。在后面的“列表”一节中你会看到这样的例子。除了fun,我们还可以使用function关键字定义匿名函数,它们的区别在于后者可以使用模式匹配(本文后面将做介绍)特性。看下面的例子: let x = (fun x y -> x + y) 1 2let x1 = (function x -> function y -> x + y) 1 2let x2 = (function (x, y) -> x + y) (1, 2) 我们可优先考虑fun,因为它更为紧凑,在F#类库中你能看到很多这样的例子。 注意:本文中的代码均在F# 1.9.4.17版本下编写,在F# CTP 1.9.6.0版本下可能不能通过编译。 F#系列随笔索引页面