標籤:

隱私保護的學術和現實意義?

12-27

現代社會,雖然每個公司都在口口聲聲說要充分保護用戶的隱私,但實際上真正落到實處的應該很少很少吧,在利益面前隱私彷彿不值一提了。

在學術界隱私保護跟安全防護一直都是很火的話題,安全防護現在已經出現了很多的產品和實用技術,但隱私保護這塊好像除了公司發布的一些隱私政策文檔外幾乎沒有什麼成型普及的技術和產品?

請教各位分析下為啥,隱私保護這塊未來該如何發展?

第三次更新
-------------------------------
第二次更新
--------------------------------
謝謝邀請。做隱私保護有一段時間了,正好借這個機會跟同行討論一下。最近事情比較多,所以每天抽空更新一下,談談一些感受吧 (先把大的提綱列出來)。

1. 什麼是privacy
隱私通常指不願告訴他人的或不願公開的個人的事,歸結起來為就是不願意告訴他人(Who)在什麼時間(When)什麼地點(Where)做什麼事情(What)。

  • 如果我們僅考慮露身份(who),就是我們通常說的身份隱私,也就是我們常說的匿名。通常採用的技術包括假名、群簽名、盲簽名、k匿名等技術。比較成熟的「產品」包括tor,onion route等等。
  • 如果我們同時考慮身份(who)和地點(where),即是我們說的位置隱私。學術界提出來保護用戶位置隱私的技術包括k匿名、mix zone、添加雜訊數據,以及安全多方計算等等。
  • 如果我們同時考慮身份(who),時間(when)和地點(where)。把你所有去過的地點和時間聯繫在一起,那麼就是你的一個軌跡,即是學術界裡邊研究的軌跡隱私。對應的隱私保護方法包括generalization,perturbation等等。
  • 將身份(who)和事情(what)聯繫在一起,我個人覺得就是data privacy。隱私保護技術包括differential privacy,k anonymity,secure muti-party computation等等。
  • 再進一步,如果把說有因素都考慮進來,那麼就是我們通常說的隱私的概念。

2. 威脅用戶privacy潛在攻擊對象
下面接著討論威脅用戶privacy的潛在對象,這跟題主關心的問題有直接的相關性。privacy範圍太廣,這裡討論的僅限於題主涉及廠商或者服務提供商的case。在這種情景下,有三種角色:用戶、服務提供商(公司)和第三方(attacker),用戶使用服務提供商提供的服務,在此過程中會向服務提供商提交一些數據(如在基於位置服務中,需要把自己的當前位置告訴服務提供商),或者伺服器會記錄用戶的相關行為或數據(如online shopping的record,user profile等等)。

公司、企業都是以追求最大化利益為木匾,因此一項技術或者研究方向能不能得到工業界的重視,依賴於該技術能否為公司帶來利益。回到我們討論的話題,威脅用戶privacy的對象有兩個:第三方和服務提供商。

  • 第三方:attacker可以通過惡意代碼植入等手段compromise用戶端的app,或者直接通過attack服務提供商獲取用戶的數據(這其實就是題主所說的安全防護要研究的內容,其實安全防護是保護用戶隱私的手段,下面如果有時間我也會談談安全與隱私之間的關係)。這會直接影響公司的用戶量的數據,公司的安全以及聲譽等等,因此公司有很強的motivation去開發更為安全的app,建立更為安全、更為魯棒的後台系統。這就解釋了為啥現在安全防護很火,而且工業界已經有很多成熟產品。
  • 服務提供商:服務提供商是威脅用戶隱私的另一個對象。按照學術界yy的情景,服務提供商可能會通過分析用戶的數據推測用戶的行為習慣、宗教信仰、政治偏向等等private information。如何保護用戶的privacy不被服務提供商獲取,狹義上講就是學術界講的隱私保護(注意defense第三方,更多的是安全防護)。然而工業界(服務提供商)沒有太多的motivation去保護用戶的這塊隱私。為什麼呢?第一,用戶的數據對於服務提供商來說很值錢,比如在基於位置服務提供商可以根據用戶的位置做target ads,美國有一家公司叫sense network就是在做這方面工作的。因此服務提供商才不會傻傻地自己提出一套機制來讓自己獲取不到用戶的數據,或者得到一些不精確的數據。第二,攻擊者誰願意搞一套機制來防止自己呢。

當然了,你可能會說,對於來自服務提供商的attack,他們自己不會提相應隱私保護機制,但是專註於安全的公司(如360,綠盟等)可以來做這一塊兒呀。我個人覺得,目前安全公司更願意專註於防護來自於第三方的attack(即安全防護),而不會關注來自於服務提供商的attack,原因有二:其一,不願意得罪服務提供商,不讓服務提供商獲取用戶數據,或者讓服務提供商拿到不準確的數據,就相當於摔了人家的飯碗;其二,與防止來自第三方的attack相比,防止服務提供商的attack更難。防止第三方的attack,可以做惡意代碼分析,build殺毒軟體,開發一個產品就可以檢測不同APP是否安全,開發一個防火牆就可以部署到所有企業。但是對於服務提供商的attack,大部分都跟行業背景相關,location privacy的attack跟gene privacy的attack不一樣,location privacy又跟trajectory privacy不一樣,因此defense這些attack需要結合相關背景,太過於複雜。因此這類隱私保護也就學術界研究研究。

In summary, 工業界沒有太大的motivation這類的隱私保護,所以也就沒有相應的產品,僅學術界關注。

3. security跟privacy之間的關係

4. 為啥很多廠商不關心privacy

5. privacy以後的趨勢

都說瀏覽器設置刪cookie刪瀏覽記錄能保護個人隱私,早就行不通了,只是你自己看不到而已,連繫統日誌上都清清楚楚寫著你刪掉的東西。網上經常會出現「感興趣的」,這就是因為信息泄露。現在做什麼都會泄露隱私,大部分使用互聯網的人隱私都無所遁形
我不是專業人士,但我認為今後肯定會解決之前說的問題,至少每個人80%的隱私都能保護到。但是任重而道遠啊

推薦閱讀:

大數據是否侵犯了個人隱私?
做大數據方向還是做互聯網方向的開發好?求職業規劃
如天眼查,企查查,啟信寶等查詢人企關聯的網站是否侵犯個人隱私?
採集餐飲業大數據,有哪些商業價值?
文科生轉身學習IT技術,推薦什麼入門書?主要想了解整體趨勢,從俄語人成為半個IT人。

TAG:科技 | 學術 | 信息安全 | 隱私保護 | 大數據 |