■ 数据集对外发布的隐私保护技术：主要包括匿名化（含K -匿名）、假名化（使用假名替换真名）等去标识化手段，将数据集清洗后提供给第三方，目的是让第三方无法从发布的数据集定位到真实的自然人，保护自然人的隐私。

■ 针对统计聚合数据添加噪声的差分隐私技术，主要用于对外开放的交互式统计查询接口、用户侧数据统计等场景。

所谓匿名化，就是通过一定的算法，不可逆地去除数据集中的身份标识信息，使得无法从中定位到任何自然人。

根据这个定义，匿名化是一个目标，匿名化之后，无法定位到任何自然人，也就不会泄露个人数据了，可以不再看成是个人数据。

但是也要意识到，在实践中，往往很难做到真正的匿名化并同时保持数据的可用性，而需要在数据的可用性与隐私保护之间进行权衡。也就是说，匿名化是一个非常难以达成的目标。

我们假设原始记录包含如表所示的原始数据（数据为虚构）。

其中的姓名、身份证号和家庭住址，很容易直接关联到该患者本人，且这几个字段对于学术研究用处不大，应首先排除。这样，数据集就简化成表。

是不是这样就可以保证患者隐私不泄露了呢？其实不然。在2000年，来自卡内基梅隆大学的Latanya Sweeney教授（现为哈佛大学教授）发表了一篇报告“Simple Demographics often Identify People Uniquely”（简单的人口统计往往能识别出人的独特性）报告，报告指出：少数特征的组合结合在一起即可唯一地识别部分自然人。他基于美国选举人公共注册信息，统计出：

■ 87%的美国人基于（邮编、性别、出生日期）可被唯一确定。

■ 53%的美国人通过（地址、性别、出生日期）可被唯一确定。

■ 18%的美国人通过（县、性别、出生日期）可被唯一确定。

也就是说，上述简化后的数据集，有大概87%的记录可唯一定位到个人。

可见这样简化后的数据也是不能发布的，简单地删除敏感字段或假名化（姓名替换为假名），并不足以保护个人隐私。

2006年8月，为了学术研究，美国在线（AOL）公开了匿名的搜索记录。纽约时报通过这些搜索纪录，找到了ID匿名为4417749的用户在真实世界中对应的个人。因为隐私泄露事件，AOL遭到了起诉（诉讼请求包括赔偿受影响用户每人5000美元）。

假名化，就是对可标识的用户身份信息用假名替换。但是需要了解的是，假名化的数据，仍是有很大概率找出对应的自然人，难以达到去标识化的目的，所以假名化的数据仍将被视为个人数据，需要跟明文数据一样加以保护。

上面提到的删除姓名或使用假名，虽然无法直接标识用户，但攻击者还是有可能通过多个属性值，结合其他已知的背景知识，识别出真实的个人，从而导致自然人的隐私数据泄露。

K -匿名（k-anonymity）是由Pierangela Samarati和Latanya Sweeney提出的隐私保护模型，它通过引入等价类的概念，保障每条隐私数据都能找到相似的数据，从而降低了单条数据的识别度。K -匿名的使用场景主要是数据集发布或数据集提供给第三方研究机构。

K -匿名要求发布的数据中k条记录为一组，其中的每一条记录都要与其他至少k-1条记录不可区分（这k条记录相似，称为一个等价类）。

这里，参数k为一个整数，表示隐私保护的强度：

怎么理解呢？我们来看一个最简单的k=2的场景，处理后的数据如表所示。

当研究者拿到K -匿名处理后的数据时，将至少得到k个不同人的记录，进而无法做出准确的判断；也就是说，任何一条记录，都可以再找到k-1条相似的记录。

但这仍然是存在缺陷的，如果一个等价类中的多个样本都是同一种疾病（比如乙型肝炎），则所涉及的几位自然人的隐私就泄露了，可能会被周围认识的人高度怀疑其患了该病，称之为一致性攻击，如表所示。

为了防止一致性攻击，L-Diversity（L -多样性）隐私保护模型在K -匿名的基础上，要求保证任意一个等价类中的敏感属性都至少有L个不同的值。

上面的数据样本，如果在一个等价类中，疾病种类小于L，则这个等价类中的记录就不能使用了。因为，只有一个人患该病的话，也会造成该患者的隐私泄露，至少需要在一个等价类中为其找到L-1个病友（行记录），才能降低其中每一患者隐私泄露的风险。

不过，就算满足L-Diversity，仍有可能导致隐私泄露，假如有一个敏感字段为HIV筛查结果（阳性、阴性），可以达成2-Diversity，但这个多样性其实没有意义，无论结果是阴性还是阳性，记录出现在这个数据集本身就造成部分隐私信息泄露。

此外，L-Diversity还存在没有考虑敏感字段的总体分布、语义等方面的缺陷。

为解决L-Diversity模型的缺陷，引入T-Closeness模型，保证在一个等价类中，敏感信息的分布情况与整个数据集的敏感信息分布情况接近（close），不超过阈值t。不过，这也并不能防止隐私信息泄露。结合背景知识和数据集披露的信息，攻击者仍可能获取更多的信息。由于在实践中使用较少，这里仅做概念介绍，不再展开。

K -匿名在实践中，总是不断地被发现存在缺陷以及不断地改进；基于当前知识判断不会造成隐私泄露，也不能排除将来有攻击者从中找出真实的自然人的隐私，因此直接提供数据集的方式所面临的风险还是非常高的

麻省理工学院学者Yves-Alexandre de Montjoye的一份研究中表明，仅仅需要4个跟用户相关的外部信息，比如运动轨迹或定位、点评或评分、消费记录等，攻击者就有超过90%的概率识别出特定的用户。因此，尽量不要直接对外提供数据集。

为了防止攻击者利用减法思维获取到个人隐私，差分隐私提出了一个重要的思路：在一次统计查询的数据集中增加或减少一条记录，可获得几乎相同的输出。

也就是说任何一条记录，它在不在数据集中，对结果的影响可忽略不计，从而无法从结果中还原出任何一条原始的记录。

假设原始数据集为D（可以理解为一张表），在其基础上增加或减少一条记录构成D'，这时D和D’为临近数据集；假设某个差分隐私算法为A()，对数据集D运算并添加噪声的结果为A(D) = V；对数据集D’运算并添加噪声的结果为A(D') = V'; V和V’就是统计运算的结果，差分隐私要求对临近数据集的运算结果基本一致，即V= V'。

选用不同的输入（D），输出（V）也会不同，我们用P()表示A(D) = V的概率，则对于所有的输出V，要求：

差分隐私从数学上证明了，即使攻击者已掌握除某一条指定记录之外的所有记录信息（即最大背景知识假设），它也无法确定这条记录所包含的隐私数据。差分隐私同时也对隐私保护水平给出了严谨的定义和量化评估方法。差分隐私的这些优势，使其一出现便成为隐私保护研究的热点。

差分隐私噪声添加机制

数值型差分隐私

数值型差分隐私的局限性