Hvordan Differential Privacy fungerer
I årevis har Apple haft en lang forpligtelse til privatliv, som ikke deles af mange af sine konkurrenter. Mens Google og Microsoft er glade for at suge op personlige data, som hackere og regeringen kunne udnytte, har Apple nægtet at gøre det. For eksempel annoncerede Apple på sin verdensomspændende udviklerkonference, at alle iOS-apps skal kryptere webkommunikation inden årets udgang.
Men Apple har brug for data for at kunne tilpasse sine tjenester og vide, hvilke tilpasninger deres kunder vil have. Således tirsdag blev Apples senior vicepræsident for software engineering Craig Federighi diskuteret et koncept, der hedder differentieret privatliv, som vil være i iOS 10-software.
Ifølge Apple vil differentieret privatliv "hjælpe med at opdage brugen af et stort antal brugere uden at gå på kompromis med individets privatliv." Ideen er, at mens Apple kan se brugerdata samlet set for at forbedre sine tjenester, vil det være umuligt for nogen at finde data om en enkelt bruger. Dette omfatter Apple selv, såvel som hackere og regeringer.
Problemerne med privatlivets fred
Hvordan er det muligt at få data samlet, men ikke på individniveau? For at forstå, at vi skal starte med udfordringerne bag beskyttelsen af brugerens privatliv.
De fleste virksomheder gør en indsats for at beskytte dit privatliv, og de vil ofte anonymisere dine data og nægte at offentliggøre personlige oplysninger. Men folk kan bruge, hvilke data der afsløres for at finde ud af dine personlige data.
Det kan sammenlignes med at finde ud af en internetforumbrugers ægte identitet. Du har ikke deres rigtige navn eller telefonnummer, men du kan bemærke, at forumbrugeren bor i New York og gik på en dato på denne restaurant. Ved at bruge fakta som disse kan du indsnævre det, indtil du kan opdage deres sande identitet. Og som Wired påpegede, var forskere i stand til at gøre sådan noget i 2007, da Netflix offentliggjorde en liste over "anonyme" kunder.
Dette viser, at selvom et firma forsøger at skjule personlige oplysninger, kan hackere bruge de oplysninger, de skal opsamle personoplysninger. Og hvis firmaet forsøger at skjule alle de oplysninger, de har, så kan de ikke bruge det til deres ende.
Men hvad nu hvis al informationen er skjult?
Tanken bag Differential Privacy
Det er, hvad der er forskelligt privatlivets fred at gøre. Det virker ved algoritmisk at skjule dataene med støj, så hackere aldrig kan finde ud af, hvad en person sagde.
Mange ideer bag forskelligt privatliv er teoretiske, udarbejdet af teknikforskere og kryptologer. Men Cynthia Dwork, co-opfinder af differentieret privatliv ifølge Engadget, giver et eksempel på, hvordan det kunne fungere, ved hjælp af en landmåler, der spørger nogen om de har snydt på en eksamen:
Før du svarer, bliver personen bedt om at vende en mønt. Hvis det er hovedet, skal svaret være ærligt, men resultatet af mønten bør ikke deles. Hvis mønten kommer op haler, skal personen vende en anden mønt; hvis den ene er hoveder, skal svaret være "ja". Hvis det andet er haler, er det "nej".
Da en mønt på lang sigt skulle komme op på hovedet eller halerne omkring halvtreds procent af tiden, kan landmanden groft gætte, hvor mange mennesker der faktisk snydte på deres eksamen i forhold til aggregatet. Men hvis et ondsindet agentur finder ud af, at et bestemt individ svarede "ja", har han ingen anelse om, at det skyldes at den enkelte snydt på prøve eller fordi han sagde det, efter at han fik en haler og derefter hoveder på sin møntflip.
Faktiske differentierede privatlivets algoritmer er meget mere komplicerede, men ville ligner møntspidseksemplet. Ved at skabe matematisk "støj" for at skjule individuelle data er det umuligt for nogen at kende et datapunkt, selvom han kendte algoritmen.
Potentielle bekymringer
Forskellige privatliv kan betyde, at Apple og andre virksomheder kunne få data, der hjælper dem, samtidig med at deres kunders privatliv beskyttes. Men faktum er, at meget af arbejdet omkring differentieret privatliv har været stort set teoretisk, og der har ikke været nogen småskala test af, hvordan det kan fungere.
Implementering af det i stor skala, som Apple planlægger at gøre med iOS, uden småforsøg er risikabelt.
Differentiel privatliv er imidlertid ikke lige så nyttig i en mindre skala. Det matematiske støj vil tydeligere skjule dataene i en lille prøvestørrelse, hvilket øger chancerne for fuldstændig unøjagtige data. Tænk på ovenstående mønteksempel. Hvis landmanden kun undersøgte 10 personer, er det muligt, at otte mennesker kunne have vendt "haler", og hans undersøgelse ville være værdiløs. Men hvis han undersøgte 10.000, er det langt mindre sandsynligt, at 8.000 mennesker vendte "haler", og dermed kan han bedre stole på hans data.
Differentiel privatliv er et vanskeligt at forstå koncept. Men hvis Apple lykkes, kan det alvorligt ændre, hvordan virksomheder erhverver data. Mens der vil være virksomheder, der er glade for at tage brugerdata, kan det faktum, at der er en måde at indsamle data på uden at påvirke individets privatliv, have enorme effekter mellem firma og kunde.