隐私定义

物理上的隐私：搜查个人住宅或者个人财产、搜身、监控或者提取生物特征信息等

信息性的隐私：个人控制、编辑、管理和删除关于自己信息的能力和决定如何与他人沟通自己这些信息的能力。

个人数据

与一个身份已经被识别或者身份可以被识别的自然人（即数据主体）相关的任何信息，身份可识别的自然人是指其身份可以通过诸如姓名、身份证号、位置数据等识别码，或者通过一个或者多个与自然人的身体、生理、精神、经济或者文化、社会身份相关的特定因素来直接或者间接被识别。

常见个人数据

敏感个人数据

在个人基本权力和自由方面极其敏感，一旦泄露可能会造成人身损害、财物损失、名誉损害、身份盗窃或欺诈、歧视性待遇等的个人数据。

常见敏感个人数据

隐私保护的法律手段--欧盟GDPR

general data protection regulation ，一般数据保护条例。2018年5月生效，史上最严格数据保护条例。

GDPR的保护对象和管线范围

个人数据，不涉及个人数据以外的其他数据。

管辖范围：数据控制者和处理者的业务范围涉及到欧盟的数据主体的所有企业。

GDPR的三种角色

数据主体

可以直接/间接被识别的自然人。

数据控制者

单独或者与他人共同确定个人数据处理的目的、条件、和手段的自然人、法人、公共机构、政府部门或其他机构。

数据处理者

代表数据控制者处理个人数据的自然人、法人、公共机构、政府部门或其它机构。

数据主体的权力

个人数据处理的基本原则

1、合法、正当、透明

2、目的限制

3、数据最小化

4、准确性

5、存储期限最小化

6、完整性和保密性

7、可归责

个人数据实用过程中的隐私风险

直接识别个体

根据数据主体的唯一标识从数据集中直接识别出具体的自然人

链接攻击

对于在相同或者不同的数据集中的两条记录，如果攻击者可以确定两条记录中与一个或者一组数据主体之间的对应关系，则实现了链接攻击。

推理攻击

根据数据集中的一组属性的值以及已经获取到的背景知识，来推断出某个数据主体的敏感属性值。

隐私保护匿名化技术

是降低隐私风险的重要手段。

技术分类

隐私风险

数据屏蔽技术

Data masking,也称为数据脱敏，按照架构可以分为两大类，SDM和DDM

静态数据屏蔽（SDM)

应用在非生产环境中（如测试环境、开发环境）、非实时的数据屏蔽

方式1：中间库方式（in-place方式）

方式2：原地脱敏方式（at-source方式）

动态数据屏蔽（DDM)

通过实时的数据屏蔽，可以应用于生产环境和非生产环境。
 

数据屏蔽算法

泛化技术

标识符:可以直接关联到个人的属性

准标识符：单个属性无法直接关联到个人，但是通过多个属性可以关联到个人的属性

敏感属性：个人的敏感属性信息

等价类：准标识符都相同的一组记录。

泛化技术--K-匿名化

目的是保证公开的数据中包含的个人信息至少k-1条不能通过其他个人信息确定出来，即公开数据中的任意quasi-identifier信息，相同的组合都需要出现至少k次。

K-匿名化的优势和风险

优势：

攻击者无法推断出某个人是否在公开数据中

攻击者无法确认某个人是否有某项敏感属性

攻击者无法确认某条数据对应的是谁

风险：

未排序匹配攻击

补充数据攻击

敏感数据缺乏多样性

L--多样性