Hvordan Differential Privacy Works
I årevis har Apple hatt en lang forpliktelse til privatliv, ikke delt av mange av sine konkurrenter. Mens Google og Microsoft er glade for å suge opp personlige data som hackere og regjeringen kan utnytte, har Apple nektet å gjøre det. For eksempel annonserte Apple på sin Worldwide Developers Conference at alle iOS-appene må kryptere webkommunikasjon innen årets slutt.
Men Apple trenger data for å kunne tilpasse sine tjenester og vite hvilke tilpasninger kundene vil ha, så på tirsdag Apples senioradministrerende direktør for software engineering Craig Federighi diskuterte et konsept som heter differensial personvern som vil være i IOS 10-programvare.
Ifølge Apple vil differensial personvern "bidra til å oppdage bruksmønstrene til et stort antall brukere uten å gå på bekostning av privatlivets fred." Ideen er at mens Apple kan se brukerdata samlet sett for å forbedre sine tjenester, vil det være umulig for alle å finne data om en bruker. Dette inkluderer Apple selv, samt hackere og regjeringer.
Problemene med personvernet
Hvordan er det mulig å få data samlet, men ikke på individnivå? For å forstå at vi må starte med utfordringene bak beskyttelsen av brukerens personvern.
De fleste bedrifter gjør noe for å beskytte ditt privatliv, og de vil ofte anonymisere dataene dine og nekte å publisere personlig informasjon. Men folk kan bruke hvilke data som blir avslørt for å finne ut dine personlige data.
Det kan sammenlignes med å finne ut en Internettforum brukerens virkelige identitet. Du har ikke sitt virkelige navn eller telefonnummer, men du kan legge merke til at forumbrukeren bor i New York og gikk på en dato på denne restauranten. Ved å bruke fakta som disse kan du begrense det til du kan oppdage deres sanne identitet. Og som Wired påpekte, kunne forskere gjøre noe slikt i 2007 da Netflix publiserte en liste over "anonyme" kunder.
Dette viser at selv om et selskap forsøker å skjule personlig informasjon, kan hackere bruke den informasjonen de trenger for å hente personopplysninger. Og hvis selskapet prøver å skjule all informasjonen de har, kan de ikke bruke den på slutten.
Men hva om all informasjonen er skjult?
Ideen bak Differensiell personvern
Det er hva ulik personvern setter ut for å gjøre. Det virker ved algoritmisk å skjule dataene med støy, slik at hackere aldri kan finne ut hva en person sa.
Mange ideer bak forskjell i personvern er teoretiske, utarbeidet av tekniske forskere og kryptologer. Men Cynthia Dwork, medoppfinder av differensial personvern ifølge Engadget, gir et eksempel på hvordan det kan fungere, ved hjelp av en landmåler som spør noen om de har utro på en eksamen:
Før du svarer, blir personen bedt om å vende en mynt. Hvis det er hodet, bør svaret være ærlig, men utfallet av mynten skal ikke deles. Hvis mynten kommer opp haler, må personen vende en andre mynt; hvis den ene er hodene, bør svaret være "ja". Hvis det andre er haler, er det "nei".
Siden en mynt over lang tid skal komme opp hodet eller haler om femti prosent av tiden, kan landmåleren grovt gjette på hvor mange folk faktisk jukset på sin eksamen over aggregatet. Men hvis en ondsinnet byrå finner ut at en bestemt person svarte «ja», har han ingen anelse om det er fordi individet ble utrodd på prøve eller fordi han sa det etter at han fikk en haler og deretter hoveder på sin myntflip.
Faktiske differensialitetsalgoritmer er mye mer kompliserte, men vil lignes på myntflip-eksemplet. Ved å lage matematisk "støy" for å skjule individuelle data, er det umulig for alle å kjenne et datapunkt selv om han visste algoritmen.
Potensielle bekymringer
Differensiell personvern kan bety at Apple og andre selskaper kan få data som hjelper dem samtidig som de beskytter kundenes personvern. Men faktum er at mye av arbeidet som omgir forskjellig personvern har vært stort sett teoretisk, og det har ikke vært noen småskala tester av hvordan det kan fungere.
Implementere det i stor skala, som Apple planlegger å gjøre med iOS, uten småforsøk er risikabelt.
Differensial personvern er imidlertid ikke like nyttig i liten skala. Den matematiske støyen vil tydeligere skjule dataene i en liten prøvestørrelse, noe som øker sjansene for helt unøyaktige data. Tenk på ovenstående mynteksempel. Hvis landmåleren bare undersøkte 10 personer, er det mulig at åtte personer kunne ha vendt "haler", og hans undersøkelse ville være verdiløs. Men hvis han undersøkte 10 000, er det langt mindre sannsynlig at 8 000 mennesker vendte "haler", og dermed kan han bedre stole på sine data.
Differensielt personvern er et vanskelig å forstå konsept. Men hvis Apple er vellykket, kan det på alvor endre hvordan bedrifter skaffer seg data. Selv om det blir selskaper som er glade for å ta brukerdata, kan det være stor effekt mellom firma og kunde at det er en måte å samle inn data uten å påvirke individuell personvern.