个人信息去标识化探讨.pptx

个人信息去标识化探讨推进互联网+ 智慧医疗《网络安全法》要求第十八条 国家鼓励开发网络数 据安全保护和利用技术，促进 公共数据资源开放，推动技术 创新和经济社会发展。第四十二条 网络运营者不得泄露、篡改、毁损其收集的 个人信息；未经被收集者同意，不得向他人提供个人信息。 但是，经过处理无法识别特定个人且不能复原的除外。“匿名化”出现6次“去标识化”总计出现12次去标识化与脱敏的区别ISO/IEC 20889Information technology - Security techniques -- Privacy enhancing data de-identification techniquesISO/IEC 27038Information technology — Security techniques — Specification for digital redaction遮蔽删除……去标识化de-identification脱敏redaction标识信息敏感信息去标识化核心任务降低区分度断开和个人信息主体的关联识别是特定人的信息识别是同一个人的信息 不能识别是同一个人的信息个人信息主体常用去标识化技术和模型统计加密抑制假名泛化随机合成K匿名差分隐私统计技术（Statistical techniques）数据抽样（Sampling）因为是部分数据，无法确定主体是否被抽中数据聚合（Aggregation）统计结果，无个体信息密码技术（Cryptographic techniques）确定性加密（Deterministic encryption）保序加密（Order-preserving encryption）保留格式加密（Format-preserving encryption）同态加密（Homomorphic encryption）同态秘密共享（Homomorphic secret sharing）抑制技术（Suppression techniques）屏蔽（Masking）局部抑制（Local suppression）记录抑制（Record suppression）440524188*****0014假名化技术（Pseudonymization techniques）独立于标识符的假名创建基于密码技术的标识符派生假名创建泛化技术（Generalization techniques）取整（Rounding）如果取整基数为10，观察值为7，应将7向上取整至10，概率为0.7，若向下取整至0，概率为0.3。顶层与底层编码（Top and bottom coding）如果一个人的薪水非常高，则可将该用户的薪水值设置为“高于X元”随机化技术（Randomization techniques）噪声添加（Noise addition）置换（Permutation）微聚集（Microaggregation）数据合成技术（Synthetic data）根据需要，按照原始数据的特征生成数据按特征 生成数 据配置数据特 征分析数据输入K-匿名模型（K-anonymity model）K-匿名模型要求发布的数据中，指定标识符（直接标识 符或准标识符）属性值相同的每一等价类至少包含K个记 录，使攻击者不能判别出个人信息所属的具体个体，从 而保护了个人信息安全。L-多样性（L-diversity）T-接近性（T-closeness）差分隐私模型（Differential privacy model）差分隐私确保数据集中任何特定的个人信息主体的存在与否无法从去标识化数据集或系统响应中推导出。服务器模式（Server model）本地模式（Local model）姓名年龄心脏病Alice31YesCici72NoDave46YesEmily78Yes………心 脏 病 人 数4心 脏 病 人 数 45443333332222211112030 4050607080年龄2030 4050607080年龄选择去标识化模型技术是否需要对重标识风险进行量化；聚合数据是否够用；数据是否可删除；是否需要保持唯一性；是否需要满足可逆性；是否需要保持原有数据值顺序；是否需要保持原有数据格式，如数据类型、长度等保持不变；是否需要保持统计特征，如平均值、总和值、最大值、最小值等；是否需要保持关系型数据库中的实体完整性、参照完整性或用户自定义完整性；是否可以更改数据类型，比如在针对字符串类型的“性别”（男/女）进行去标识化时，是 否可以变成数字类型表示（1/0）；是否需要满足至少若干个属性值相同，以加强数据的不可区分性；是否可以对属性值实施随机噪声添加，对属性值做微小变化；去标识化的成本约束。……参数设置美国加拿大重标识阈值一般：0.33默认值：0.2HIP