什么是“差分隐私”?它对有什么 iOS 10意义
- 08 月 23 日
- CorpsX
- 8162
在一些即将到来的 iOS 10 新特性描述的中间,Craig Federighi 的讨论突然出现了一点抽象的数学。他主要讲了一个叫做“差分隐私”的东西,一种基于统计学方法来保护用户隐私的重要工具。
这个系统的细节是很复杂的,长期以来都没有真正脱离学术圈的讨论而进入商业市场。但是本质上说,是加入独立的随机数据来进行伪装而不影响主要的数据本身。一个不错的比喻就是两个发 emoji 表情的人不必使用规定的表情就能理解对方所发表情的意思。不过即使知道基本原理,我们可能还是不太容易理解这个系统本身,以及它对于 iOS 10 的意义。
四个 iOS 10 中使用新隐私系统的地方
在 WWDC 的首日主旨 Keynote 发布之后,苹果开始公开这这项技术的确切使用位置,让我们看到它如何改变 iOS 10 中的数据收集方式。苹果的数据收集一直不像 Google,Facebook,还有 Amazon 那样激进,但是新一代由数据驱动的人工智能服务至少会使得深一些层次的收集更有必要。所以在用户手机上收集的数据和苹果需要的那些“不包含关键隐私信息”的数据还有一定距离。“差分隐私”最开始就是用来解决这个的。
根据我们在 iOS 的测试版中看到的细节,“差分隐私”已经被用在了 iOS 10 的四个部分。两个部分是新的“信息”应用,新的信息应用相比于旧版本显著提高了预测输入的水平。新的把文字替换成 emoji 的程序会通过核心数据流在世界范围内的 iPhone 运行。如果很多人在把“桃子”替换成对应的 emoji,你就可以在你的信息应用里看到这个表情的推荐。同样的事情也可以在文本的输入预测中实现。苹果在传统意义上提取了短信的本地信息,但是这仅仅包含了所选的文字本身 (而不是全部信息或信息本身的内容)。有了更多的数据交流,新的输入预测会变得更加智能,并且凭借数据上的分析而做的更好。
其他两方面的应用则集中于搜索上。备忘录中的“线索查找” (Lookup Hints) 功能和 Spotlight 搜索都使用了新的隐私技术。自 iOS 9 起,Spotlight 搜索开始运行返回各种搜索建议以及可在 app 内执行的操作。举个例子来说:如果你在 Spotify 里听 Coldplay 的 A Head Full Of Dreams,那么在 iOS 9 的 Spotlight 中搜索 “dreams” 的时候,系统就可能在下面提供一个 A Head Full Of Dreams 专辑在 Spotify 里面的链接。这项功能基于开发者与系统间共享的信息,非常重要的一点就是,这些信息都只存储在本地,所以 NSA 并没有什么办法知道你是不是 Coldplay 听多了,除非他们有你的解锁密码或者手指。开发者们可以选择他们希望与系统分享的信息,为了增加自己 app 在 Spotlight 里的曝光率,开发者们通常会与系统共享尽可能多的信息。
而 iOS 10 则将整个系统变得更加全球化了,不过,在这里使用了“差分隐私”来保护用户的隐私。开发者可以选择性提交用户在 app 内采取的不同行为,这样,如果有足够多的 Coldplay 粉丝都选择听了 Viva La Vida 这张专辑的话,你也有可能会收到关于它的相关信息,即使是你没听过也没搜索过 Coldplay 的这张专辑。开发者们仍然有权选择分享什么信息,而且苹果会使用统计上的随机杂讯来混合开发者们提交的信息,使得无法还原任意一个独立的 Coldplay 粉丝的音乐喜好。
这些新技术使得个人隐私更难以被还原。每个使用“差分隐私”的场景下都伴随着大量被收集的个人数据。在大多数情况下,所涉及的数据都可能是相当敏感的。这一般都是在第三方应用程序中发生的比较私密的行为,也就是苹果直言不讳地声称要严加保护的那些数据。苹果不会说有了“差分隐私”就会随便收集各种隐私数据,但是很明显,苹果打算在有必要大规模收集这类数据用以分析之前就做好系统级别的防护。
其实还有很重要的一点,那就是你很难从外部信息来判断“差分隐私”这技术有没有正常运作,或是足够安全。不同于那种非常简单的非黑即白的加密处理;“差分隐私”总是被苹果蒙在雾中,维持着有意义的整体信息与可还原的单一用户数据之间的微妙平衡。这就想你的存款,你把隐私托付给了苹果公司,心中有没有底则取决于你对银行,也就是苹果公司的信任。可以这么说,你我都没有在苹果公司工作,这就很难说他们到底有没有严格的保护你的隐私了。苹果公司坚称这是足够安全的做法,可以完全防止任何形式的对独立用户的重新识别,但我们还是决定持一定的保留态度。
总结
其实这种做法还是有很多的不确定性的。不过即使这样,看起来苹果的这些措施也不大有可能会重蹈 Google 和 Facebook 在隐私防护方面的疏漏。苹果和它的竞争对手 ( 通常都是一些提供互联网服务的公司 ) 不同,苹果不会那么“饥渴”地收集用户的隐私数据。这也是“差分隐私”在整个业界的首次大规模应用,它意味着能在最大程度上使得你个人的隐私被淹没在“大数据”的海洋里。这种做法也符合苹果处理用户数据的一贯风格:初期小心谨慎,后期常常另辟蹊径出奇制胜。