אנונימיות וכינוי
1) תנאים והבדלי מפתח
אנונימיות: הפחתה בלתי הפיכה של מערכת לצורה בה לא ניתן לזהות את הנושא במישרין או בעקיפין במאמץ סביר. לאחר אנונימיות נכונה, הנתונים מפסיקים להיות נתונים אישיים.
חייזרים: החלפת זהויות ישירות (שם, טלפון, דוא "ל, מספר חשבון) עם חייזרים (אסימונים). התקשורת מאוחסנת בנפרד ומוגנת על ידי קריפטוגרפיה ונהלי גישה. מבחינה משפטית, זה עדיין מידע אישי.
זיהוי קוואזי: שילוב של תכונות לא מזיקות (תאריך לידה, אינדקס, מגדר, עיר, התקן), אשר באופן ייחודי יכול להצביע על אדם.
זיהוי מחדש: שיקום התקשורת עם הנבדק על ידי הדבקה למקורות חיצוניים או ניתוח שילובים נדירים של תכונות.
2) מטרות ודרישות אדריכליות
1. פרטיות כברירת מחדל: מזעור איסוף, אחסון רק בשדות הדרושים, TTL קפדני.
2. הפרדת קווי מתאר: זיהוי ייצור מופרד מקווי מתאר אנליטיים ו-ML; גישה לשולחנות קישור, לפי עקרון הצורך לדעת.
3. ביקורת חשבונות ויכולת מעקב: מי, מתי ולמה קיבל גישה לזיהוי מחדש.
4. מדיניות שימוש חוזר: נתונים הניתנים לשותפים/חוקרים חיצוניים חייבים ערבויות פרטיות רשמיות ורישיונות יישומים.
5. הערכת סיכונים: מדדים כמותיים (k-אנונימיים, הסתברות התאמה, סיבולת לפרטיות דיפרנציאלית) כ-SLOS הנדסי.
3) טכניקות דה-זיהוי
3. 1 שינוי (הפיך)
אחסון התאמות ב ”רישום האסימונים”.
צורות: דטרמיניסטי (קלט אחד = אסימון אחד), אקראי (קלט = אסימונים שונים עם מלח והקשר).
במקום המתאים: מזהים תשלומים, חשבונות, קשרים ארוכי שנים בין אירועים.
הצפנה בשימור פורמט (FPE) - הצפנה בשימור פורמט (לדוגמה, PAN = 16 ספרות). נוח למזימות משפטיות ואימות.
הצפנה דטרמיניסטית (HMAC/Determistic Encryption): נותנת כינוי יציב לג 'וינים, אך דורשת ניהול מפתחות ותחומי יישום (קשירת הקשר).
מקובלת רק במלח חזק ובהיעדר הצורך בהתהפכות. עבור תחומים נדירים (טלפון, דוא "ל), חשיש טהור פגיע לכוח מוחי.
3. 2 אנונימיות (בלתי הפיכה)
קיי-אנונימיות: כל ”דיוקן קוואזי” מתרחש פעמים. הושג באמצעות הכללה (age # age _ band) ודיכוי צירופים נדירים.
גיוון: בכל קבוצה קיי, לתכונה הרגישה יש ערכים שונים כדי להימנע מגילוי על פני אשכולות הומוגניים.
טי-קרבה מפיצה את התכונה הרגישה בקבוצת ה-K ”קרובה” לגלובלית (מגבלת דליפת מידע).
פרטיות דיפרנציאלית (DP): הוספת רעש מבוקר מתמטית לאגרגטים או מודלים להכשרה עם פרטיות (industrial-DP). נותן ערבויות רשמיות נגד ידע חיצוני שרירותי של התוקף.
מיסוך/פרמוטציה/ערבוב: מתאים לסביבות דמו/תמיכה.
נתונים סינתטיים: דור של ערכות פיתוח/מחקר ”דומות” ללא קשר לנושאים אמיתיים (GAN/VAEs/tabular synthesizers) עם בדיקות דליפה.
4) תבניות ארכיטקטוניות
4. שער הפרטיות 1 בכניסה
אשכול: Client # API Gateway # Privacy Gateway # Event/Storage Bus.
פונקציות:- נורמליזציה של מעגלים;
- הדגש על שדות רגישים (PII/PHI/Finance)
- יישום כללים: tokenization/FPE/masking;
- רישום מדיניות (policy_id, גרסת מפתח, סיבה לעיבוד).
4. 2 כספת אסימון
שירות/מסד נתונים נפרד עם HSM/KMS.
RBAC/ABAC מעל API; כל המבצעים ראויים לשמיעה.
הפרדת ”תחומים” (email/payment/user_id) כך שלא ניתן לבלבל בין אסימון אחד לקשרים.
סיבוב מפתח וגרסת אסימון (token _ v1, token _ v2) עם הגירה שקופה.
4. 3 ניתוחי לולאה כפולה
לולאה A (מבצעי): PII מאוחסן באופן מינימלי, לעסקים - אסימונים.
קונטור B (אנליטי): רק נתונים אנונימיים/אגרגטים; גישה למחברות מאובטחות; ייצוא מבחוץ - דרך שער DP.
4. מסוע 4 מ "ל עם פרטיות
שלבים: collection # pseudonimization = אנונימיזציה/DP aggregation ach training.
למודלים מותאמים אישית, מאפייני אחסון על אסימונים ומגבילים את הבהירות של התכונה (caps for cardinality, tail treming, DP regularization).
5) פרוטוקולים וזורמים (דוגמה)
פרוטוקול זהות בדוא "ל:1. API מקבל 'דואר אלקטרוני'.
2. Privacy Gateway abservate Joken Vault: "okenize (" דוא "ל," ערך ", הקשר =" "signup: v1" ").
3. היישום מאכסן את הדוא ”ל _ token 'instead של הדוא” ל.
4. להודעות - שירות נפרד שיש לו את הזכות ”לסלק” על ידי מקרה אחר מקרה, עם ביקורת.
דיווח על פרוטוקול אנונימיות:1. האנליסט מגיש בקשה להצגה (רק אסימונים/שדות חסרי רגישות).
2. מנוע מיישם k-אנונימיות על קוואזי-מזהים ('מדינה, age_band, device_class').
3. עבור אינדיקטורים עם סיכון של גילוי, רעש DP נוסף.
4. הייצוא מסומן "anonization _ profile _ id' ומסומן עם תקציב.
6) מדדי סיכון ואימות
k-אנונימיות: הגודל המינימלי של המעמד המקביל (מטרה: k- 5/10/20 בהתאם לתחום).
l-גיוון/t-סגירה: לשלוט בדליפה של ערכים רגישים בתוך k-כיתות.
ציון ייחודיות: החלק של דיוקנאות ייחודיים בין נכסים הוא לצמצם על ידי הכללה.
סיכון Linkability/Inference: הסתברות שהשיא יושווה לסט חיצוני (משוער על ידי סימולציות התקפה).
DP enderbudget: להתחיל ”תקציב פרטיות” בנושא/נתונים ולעקוב אחר הצריכה שלו.
סימולציות התקפה: ”פקודות אדומות” רגילות לזיהוי מחדש של חתכים.
7) מפתחות, מעגל מוצפן ומבצעי
KMS/HSM: דור מפתח ואחסון להצפנה/HMAC FPE/דטרמיניסטית.
Versioning: ”key _ id',” creed _ at ”,” status = פעיל ”extreme 'experience”. לאחסן 'ילד' בנתונים עבור תהפוכות.
סיבוב: מתוכנן (רבעון) ונאלץ (אירוע). תמכו בהצפנה כפולה למשך זמן ההגירה.
מדיניות גישה: איסור על הידוק המוני; RPS/volume מגביל 'purpose חובה'.
ביקורת: רישום לא שונה (WORM/append-only) עם חתימות.
8) אינטגרציה במיקרו-רווחים ופרוטוקולים
שדות Protobuf/JSON-Schema-Tag עם ”pii”: ישיר ”quasi” רגיש ”,” policy _ id'.
אירועים: שני סטים של נושאים - ”גולמי” (קונטור פנימי) ו ”לא אישי” (עבור אנליטיקה/שותפים).
שער שותף: egress service עם פרופילים אנונימיים (rule set + resident metrics + version).
יומנים/עקבות: לא כולל מח "ש; להשתמש באסימונים/חשיש, ולהשתמש FPE/HMAC בקורלציה.
9) אנטי דפוסים
PIIs מקור אחסון ליד אסימונים/מפתחות.
סמוך על ”גישה סופר” אחת בלי עקירה וכריתת עצים.
לחלק נתונים ”לא אישיים” ללא מדדי סיכון וללא ערבויות רשמיות.
הסתמכו רק על דוא "ל/טלפון ללא מלח/הקשר.
אנונימיות ”פעם אחת ולתמיד” ללא שינוי כאשר שינוי מקורות חיצוניים (הדלפות מגבירות את הסיכון של קישור).
קחו בחשבון ש-k-אנונימיות מספיקה לטקסטים/טיים סדרה/geo-tracks שם אתם צריכים dp/cropping וסינתטיים.
10) תיקי יישומים (כולל פינטק/תעשיית המשחקים)
תכונות אנטי-פראיד והתנהגות: אסימונים דטרמיניסטיים להפעלות הדבקה ומכשירים, ושדות רגישים נכנסים למעגל נפרד.
דיווח לפי אזור: k-anonymization של קוואזי-מזהים (קבוצות גיל, אזור-אשכול, סוג של שיטת תשלום), DP-noise למדדי הכנסות.
מבחני A/B ושיווק: אסימונים למשתמש, קהל רך באמצעות גזיר DP ויומני ביקורת מינימליים.
שיתוף נתונים עם ספקים: רק דרך שער יציאה עם פרופילים אנונימיים והגבלות משפטיות על שחזור אינקרמנטלי.
11) מתכונים מיני (פסאודו-קוד)
אסימון דטרמיניסטי (דוא "ל) עם מלח תחום
function email_token(email, domain_key, context):
norm = normalize (email )//lower, trim, punycode salt = HMAC (domain_key, context )//context bound to use-case return BASE32 (HMAC (salt, norm) )//stable, non-brute force tokenFPE עבור PAN (אישור)
cipher = FPE_AES_FF1(kid="pay_v2")
enc_pan = cipher. encrypt(pan, tweak=merchant_id)
store(enc_pan, kid="pay_v2")k-אנונימציה עם דיכוי של סלים נדירים
groups = groupBy(dataset, [age_band, region3, device_class])
filtered = filter(groups, count >= k)
suppressed = replaceRare(groups, with="")DP מדדים צבירה
function dp_sum(values, epsilon, sensitivity=1):
noise = Laplace(0, sensitivity/epsilon)
return sum(values) + noise12) בדיקות ויכולת תצפית
מבחני יחידה של מדיניות: רבייה של אסימונים, סיבוב נכון של ”ילד”, חוסר יכולת להתנתק ללא זכויות.
Privacy CI: עבור כל ניתוח יחסי ציבור - ניתוח סטטי של תוכניות וקוד לדליפות PII (בדיקת תג/רישום/יצוא).
Metrics: פרופורציה של עמודות עם תגי PII, מספר גמילה ממטרות, k-min על ידי סטים, hentble - צריכת.
התראות: נחשול בניסיונות הידוק, הופעת סלים ”דקים” (k נופל מתחת לסף), יצוא ללא פרופיל אנונימי.
13) מעגל משפטי-תהליך (ברמה גבוהה)
DPIA/TRA: הערכת פגיעה בפרטיות לזרמים חדשים.
שמירת נתונים: TTL ומדיניות הסרת תחליפים ורישומים.
הנושא מבקש: היכולת להוציא עותק של נתונים מבלי לחשוף מפתחות/לוגיקה פנימיים.
חוזים עם שותפים: איסור על זיהוי מחדש, הגבלות על ג 'ונים עם סטים חיצוניים, מדדי פרטיות מחייבים.
14) רשימת אדריכלים
1. מזהים מוגדרים ומסומנים בדיאגרמות?
2. שער הפרטיות של הכנסת חל על מדיניות דטרמיניסטית וגרסאות יומנים?
3. רישום טוקן מבודד (KMS/HSM, RBAC, ביקורת, גבולות)?
4. קווי המתאר מחולקים: מבצעית, אנליטית, אם-אל, יציאה?
5. האם מדדי סיכון (k, l, t, extrement) ו-SLOs סף מוגדרים?
6. יש לך תכנית מפתח והגירת סמלים הפיכה?
7. ייצוא חיצוני עובר דרך פרופיל אנונימיות ורעש DP?
8. היומנים/עקבות לא מכילים מח "ש?
9. סימולציות זיהוי רגילות של ”צוות אדום”?
10. תיעוד של תקרית דליפת מפתח/פשרה?
15) תבניות קטע ארכיטקטורה ופרוטוקולים קשורים
טוקניזציה וניהול מפתחות
בעת הצפנת מנוחה/במעבר
ניתוב גאו ומיקום
תצפית: יומנים, מדדים, עקבות (ללא PII)
SLO/SLA לפרטיות וציות
סיכום
אנונימיות ופסאודונימיזציה היא לא פעולה אחת בטור, אלא יכולת אדריכלית מערכתית: מדיניות, שירותים, מפתחות, ביקורת, מדדי סיכון ותרבויות פיתוח. על ידי שילוב פסאודונימיזציה חזקה לתהליכים עסקיים וערבויות פרטיות פורמליות (DP, k-/l-/t - קריטריונים) עבור אנליטיקה וחילופין, אתה הופך את הפרטיות מ ”בלם על חדשנות” ליתרון תחרותי ושכבת איכות חובה עבור הפלטפורמה שלך.