匿名和别名
1)术语和关键差异
匿名:将集合不可逆转地带到无法通过合理努力直接或间接识别对象的形式。正确匿名后,数据不再是PDn。
别名:用别名(令牌)替换直接标识符(名称、电话、电子邮件、帐户号)。通信是单独存储的,并受到密码学和访问程序的保护。从法律上讲,这些仍然是个人数据。
准标识符:无害特征(出生日期,索引,性别,城市,恶魔)的组合,它们可以捆绑在一起明确地指向一个人。
重新识别:通过与外部来源进行滑动或分析罕见的特征组合来恢复与受试者的联系。
2)建筑目标和要求
1.默认私有性:最大限度地减少收集,仅存储必要的字段,严格TTL。
2.分离轮廓:生产标识符与解析轮廓和ML轮廓分离;访问链接表-基于无知原则。
3.审核和可追溯性:谁,何时以及为什么可以访问re-ID。
4.重用政策:给予合作伙伴/外部研究人员的数据必须有正式的隐私保障和申请许可证。
5.风险评估:作为工程SLO的量化指标(k匿名,匹配概率,差异隐私ε)。
3)识别技术
3.1别名(可逆)
令牌化:将对应项存储在"令牌注册表"中。
形式:确定性(一个输入→一个令牌),随机化(输入→具有盐和上下文的不同令牌)。
在适当的情况下:支付标识符,帐户,事件之间的长期联系。
FPE(格式保护加密):保留格式的加密(例如16位PAN → 16位密文)。方便使用legasi方案和验证。
HMAC/Deterministic Encryption:为joins提供稳定的别名,但需要密钥和应用域管理(context binding)。
哈希:只有用强盐和无需可逆性才能接受。对于稀有域(电话,电子邮件),纯散列容易被打断。
3.2匿名(不可逆转)
k匿名:每个记录的"准肖像"被发现≥千次。通过概括(age→age_band)和抑制稀有组合来实现。
l-diversity:在每个k组中,敏感属性具有不同值的≥ l,以避免在齐次群集中显示。
t-closeness: k组中敏感属性的分布接近全局(信息泄漏限制)。
差分隐私(DP):在聚合物中添加数学控制的噪声,或训练具有隐私性的模型(ε -DP)。提供针对攻击者任意外部知识的正式保证。
蒙面/二叠纪/混合:适合演示/札幌环境。
合成数据:生成"类似"的开发集/研究集,而无需与实际受试者(GAN/VAEs/表合成器)进行泄漏检查。
4)建筑模式
4.1个入口处的隐私网关
线程:客户端→ Gateway → Privacy Gateway API →事件/存储总线。
功能:- 计划正常化;
- 敏感字段分配(PII/PHI/财务);
- 规则应用:令牌化/FPE/伪装;
- 策略编写(policy_id、密钥版本、处理原因)。
4.2代币注册表(Token Vault)
带有HSM/KMS 的单独服务/DB。
RBAC/ABAC在API之上;所有操作都是可审核的。
分离令牌化的"域"(email/payment/user_id)一个令牌不能与上下文混淆。
带有透明迁移的密钥轮换和令牌版本("token_v1","token_v2")。
4.3两环分析
轮廓A(运营):PII存储最少,对于企业而言,代币。
路径B(分析):仅匿名日期/聚合;通过secure notebooks访问;向外出口-通过DP门。
4.4个ML输送机与隐私
阶段:收集→清除→化名→ 匿名/DP聚合→培训。
对于个性化模型,将菲奇存储在令牌上,并限制菲奇的"亮度"(基本性,尾巴修剪,DP正则化)。
5)协议和线程(示例)
电子邮件别名协议:1.API收到"电子邮件"。
2.Privacy Gateway вызывает Token Vault: `tokenize("email", value, context="signup:v1")`.
3.应用程序保留"email_token"而不是电子邮件。
4.对于通知,是一个单独的服务,有权通过案例对案例进行"分解",并进行审核。
匿名报告协议:1.分析师生成对店面的查询(仅令牌/不敏感字段)。
2.Engine在准标识符('国家,age_band,device_class'))上应用k匿名。
3.对于有披露风险的指标,将添加DP噪声。
4.导出标记为"anonymization_profile_id"和ε预算。
6)风险指标和验证
k匿名:等效类的最小大小(目标:k≥5/10/20取决于域)。
l-diversity/t-closeness:控制k类内部敏感值的泄漏。
Uniqueness得分:资产中独特肖像的比例通过概括来降低。
Linkability/Inference风险:使用外部设置对记录进行混淆的可能性(由攻击模拟评估)。
DP ε-预算:为实体/数据中心建立"隐私预算"并计算其支出。
Attack simulations:测试切片上的常规"红色命令"。
7)密钥、加密和操作轮廓
KMS/HSM:生成和存储FPE/确定性加密/HMAC的密钥。
转化:"key_id","created_at","status=active" retiring "retired"。在数据中存储"kid"以实现可逆性。
轮换:计划(季度)和强迫(事件)。在迁移期间支持"双重加密"。
准入政策:禁止大规模排毒;RPS/容量限制;强制指定"purpose"。
审核:带有签名的不可更改日志(WORM/append-only)。
8)集成到微服务和协议
合同方案(Protobuf/JSON-Schema):用"pii:direct" quasi "sensitive","policy_id"标签标记字段。
事件:两组主题是"原始"(内部轮廓)和"非个人化"(针对分析/合作伙伴)。
合作伙伴门:带匿名配置文件的egress服务(规则集+风险指标+版本)。
Logs/Traces:排除PII;使用令牌/哈希,在共振中应用FPE/HMAC。
9)反模式
将源PII存储在令牌/密钥旁边。
信任一个"超级访问"而无需多因素的应用程序和日志。
向外提供"非人格化"的数据表,没有风险指标,也没有正式的保证。
仅依靠没有盐/上下文的电子邮件/电话散列。
匿名"一劳永逸",而无需在外部来源发生变化时进行修订(泄漏会增加偷工减料的风险)。
假设k匿名性足以容纳文本/时间序列/地理轨道-那里需要DP/修剪和合成。
10)应用桉例(包括金融科技/游戏行业)
防冻和行为技巧:确定性令牌,用于剪切会话和魔法,敏感字段进入单独的轮廓。
按地区报告:准标识符(年龄组,区域集群,支付方法类型)的k匿名,DP噪声到收入指标。
A/B测试和营销:用户令牌,通过DP修剪的"软"受众和最低限度的审计日志。
与提供商共享数据:仅通过带有匿名配置文件和增量重建法律限制的egress门。
11)迷你食谱(伪代码)
具有域盐的确定性令牌(电子邮件)
function email_token(email, domain_key, context):
norm = normalize (email )//lower, trim, punycode salt = HMAC (domain_key, context )//context bound to use-case return BASE32 (HMAC (salt, norm) )//stable, non-brute force token
cipher = FPE_AES_FF1(kid="pay_v2")
enc_pan = cipher. encrypt(pan, tweak=merchant_id)
store(enc_pan, kid="pay_v2")通过抑制稀有篮子进行k匿名
groups = groupBy(dataset, [age_band, region3, device_class])
filtered = filter(groups, count >= k)
suppressed = replaceRare(groups, with="")度量的DP聚合
function dp_sum(values, epsilon, sensitivity=1):
noise = Laplace(0, sensitivity/epsilon)
return sum(values) + noise12)测试和可观察性
单位测试策略:令牌的可重复性,"kid"的正确旋转,没有权利就无法进行分解。
Privacy CI:对于每个PR-对PII泄漏(标签/标志/导出检查)的电路和代码进行静态分析。
指标:PII标记栏的比例,按目标排列的次数,按集合排列的k-min,ε流量。
Alerts:排毒尝试激增,"薄"篮子的出现(k低于阈值),出口没有匿名配置文件。
13)法律处理回路(高水平)
DPIA/TRA:对新流量的隐私影响评估。
数据保留:TTL以及删除代理和注册表的策略。
主体查询:在不泄露内部密钥/令牌逻辑的情况下发布数据副本的能力。
合作伙伴合同:禁止重新识别,限制带有外部套件的乔伊纳斯,强制性隐私指标。
14)建筑师支票清单
1.是否定义了PII/准标识符并在电路中标记?
2.输入隐私网关是否以确定性方式应用策略并编写版本?
3.代币注册表是隔离的(KMS/HSM, RBAC,审计,限制)?
4.轮廓是分开的: 操作,分析,ML, egress?
5.设置了风险指标(k, l, t, ε)和阈值SLO?
6.是否有轮换密钥和可逆令牌迁移的计划?
7.向外输出是否通过匿名配置文件和DP噪音?
8.记录/跟踪不包含PII?
9.正常的"红色团队"re-ID模拟?
10.是否记录了泄漏/钥匙犯罪事件的运行手册?
15)"体系结构和协议"部分的相关模式"
令牌化和密钥管理
加密At Rest/In Transit
Geo路由和本地化
可观察性: 逻辑、度量、跟踪(无PII)
SLO/SLA隐私和合规性
结论
匿名和别名不是列上的单个操作,而是系统的体系结构能力:策略,服务,密钥,审计,风险指标和开发文化。通过将业务流程的可持续别名化与分析和交换的正式隐私保障(DP,k-/l-/t标准)结合起来,您将隐私从"创新刹车"转变为竞争优势和平台的强制性质量层。