计算中的隐私课件.pptVIP

10.2.7 政府和隐私(续) (5) 培训：保证有权访问数据的人能够知道要保护什么和怎么保护。 (6) 质量保证：综合考虑哪些数据该被收集、数据怎样被存储、它的生命周期以及决定哪些是有用数据的相关因素。 (7) 严格使用：审查数据的所有使用，以决定这些使用是否与这些数据被收集的目的和处理方式相符。 (8) 数据留位：尽可能地让数据同原始所有者在一起。 (9) 策略：确立明确的策略来保护数据隐私。 精品 10.2.8 身份窃取 身份窃取就是盗用别人的身份。 例如，使用一张新的信用卡，而卡冒用别人的名字就是身份窃取。很少有独特的技术可以遏制身份盗窃。也很少有公司和机构被建立，用以专门去解决身份鉴别的问题。 精品 10.3 认证和隐私 认证：我们有一个身份，还有一些认证的数据，我们咨询待认证的数据与给定的身份是否相匹配。鉴别：只有认证数据，并询问哪个身份与认证者一致。对于第一种，可以说样本与数据库里的模版匹配程度达到一定百分比，基于这个百分比来决定匹配或者不匹配。对于第二种问题，我们甚至不知道这个主体是否在数据库里。于是，即使我们找到一些可能在很多方面的匹配，也不知道在数据库里的模版之外是否还有更好的匹配。 精品 10.3.1 认证意味着什么 认证可以涉及3个不同的事物：我们认证个体、身份或者属性。个体是一个唯一的人。身份是一个字符串或者相似的描述符，但是并不需要与一个特定的人相关，也不需要每个人只能有一个名字。当我们证实一个人具有某属性时，就鉴别了其属性。属性是一种特性。例如，一些地方要求人需要年满21岁才能喝酒精饮料；一个俱乐部的门卫检查一个人是否已经满足年龄要求，然后在这个人的手上印上标记来表示他已经年满21岁。 当我们把这些不同的鉴别混淆起来后，隐私问题就浮现出来了。当一个数据值有两个或者更多的用途时，拥有它的人能把它用做其他目的。此外，将一个身份与一个人关联起来需慎重对待。 精品 10.3.1 认证意味着什么(续) 个人认证 现在还非常缺乏识别一个人的有效方法。 身份认证 一个人一天可能发现有10到20个不同的方式用于鉴别自己的身份。从隐私的立场上，也许有或者没有方法连接这些不同的身份。有时，我们不想将一个行为与我们的身份相关联。例如，一个匿名的消息或是告密者的电话可以匿名揭发非法或不正当的活动。但随着数据的积累，使得联系成为可能。理论上，这些数据与无数其他数据没有什么区别，但一些人只要研究一下那个消息的时间就能将这些行为关联起来。因此，为了保护隐私，我们将阻止关联这些记录的尝试。 精品 10.3.1认证意味着什么(续) 匿名的记录 隐私的一部分是联系，例如，某人叫Erin，某人患有糖尿病。这两个事实都不敏感。但如果将Erin和患有糖尿病联系起来就变得敏感了。医疗研究者希望通过研究人口来决定疾病发生率、普遍因素、趋势和模式。为了保护隐私，研究者经常处理匿名记录，这些数据的身份信息被删除了。删除足够的信息去阻止身份的暴露是很困难的，并且还会限制研究。实践表明，实现数据的有效匿名是非常困难的。例如，在身份确认上，研究表明使用5位邮政编码、性别和出生日期的组合就能鉴别出87%的美国人。 精品 10.3.2 结论 认证和鉴别产生这种混淆的原因，部分是由于人们没有真正地区别它们的内涵。认证依赖某些东西去证实一个属性。这些诸如鉴别号码、生日或者姓名通常又被用作数据库关键字，而这对隐私产生负面影响。我们已经讨论了不愿意被识别的情况。在一定场合，可以用匿名和假名。但是，利用计算机在一定程度上能够实现数据收集和关联，这使得匿名和假名的愿望破灭。 精品 10.4 数据挖掘10.4.1 政府数据挖掘 许多的政府数据收集和分析都是私底下进行的。一些步骤没有公开，其他的是有意地加以掩饰。因此，人们往往对缺乏监督的政府有种恐惧心理。而数据挖掘的不完整性或不完美性更加增加了人们的忧虑。 精品 10.4.2 隐私保持的数据挖掘 一种原始且低效的方法是，从将要被挖掘的数据库中去除所有识别信息。然而有时，这些识别信息正是数据挖掘的目标所在。更重要的是，即使从数据库中把明显的识别信息删除，还是存在识别的可能。 关联的隐私 关联包括普通领域数据库的连接。致力于保持关联的隐私就是试图控制这个联系。数据扰乱的一种形式就是交换数据域去阻止数据连接。交换所有数据值将妨碍有用的分析，但有限的交换能取得隐私和准确性之间的平衡。在一个已经很弱的关联进行交换之后，它就有可能由于太微弱而不明显。开始时的强关联也许仍然明显，但是强度已经减弱。值-交换是一种在数据挖掘过程中，有助于获得某种程度的隐私和准确性的技术。 精品 10.4.2 隐私保持