Hur Differential Privacy Works
I åratal har Apple haft ett långt engagemang för integritet som inte delas av många av sina konkurrenter. Medan Google och Microsoft gärna suger upp personuppgifter som hackare och regeringen kan utnyttja, har Apple vägrade att göra det. Till exempel meddelade Apple på sin Worldwide Developers Conference att alla iOS-appar måste kryptera webbkommunikation i slutet av året.
Men Apple behöver data för att personifiera sina tjänster och veta vilka justeringar kunderna vill ha, så på tisdag Apples vice vd för mjukvaruutveckling Craig Federighi diskuterade ett koncept som heter differentiell sekretess som kommer att vara i IOS 10-programvara.
Enligt Apple kommer "differentiell integritet" att hjälpa till att upptäcka användningsmönster för ett stort antal användare utan att äventyra enskild integritet. "Tanken är att medan Apple kan se användardata för att förbättra sina tjänster, blir det omöjligt för någon att hitta data om någon användare. Detta inkluderar Apple själv, liksom hackare och regeringar.
Problemen med integritet
Hur är det möjligt att få data i aggregat men inte på individnivå? För att förstå att vi måste börja med utmaningarna bakom skyddet av användarskydd.
De flesta företag gör en ansträngning för att skydda din integritet, och de kommer ofta anonymisera dina uppgifter och vägrar att publicera personlig information. Men folk kan använda vilka data som avslöjas för att räkna ut dina personuppgifter.
Det kan jämföras med att hitta en Internetforumets användares identitet i verkligheten. Du kommer inte ha sitt riktiga namn eller telefonnummer, men du kan notera att forumanvändaren bor i New York och gick på ett datum på denna restaurang. Genom att använda fakta som dessa kan du begränsa den tills du kan upptäcka sin sanna identitet. Och som Wired påpekade, kunde forskare göra något så här under 2007 när Netflix publicerade en lista med "anonyma" kunder.
Detta visar att även om ett företag försöker dölja personlig information kan hackare använda den information de behöver för att samla in personuppgifter. Och om företaget försöker dölja all information som de har, då kan de inte använda den i slutet.
Men vad händer om all information är dold?
Tanken bakom Differential Privacy
Det är vad som skiljer sig åt olika sekretesspolicyer. Det fungerar genom att algoritmiskt dölja data med ljud så att hackare aldrig kan verkligen räkna ut vad någon person sa.
Många av idéerna bakom differentiell integritet är teoretiska, utarbetade av tekniska forskare och kryptologer. Men Cynthia Dwork, medfinnare av differentiell integritet enligt Engadget, ger ett exempel på hur det kan fungera, med hjälp av en landmätare som frågar någon om de har lurat på en tentamen:
Innan du svarar uppmanas personen att vända ett mynt. Om det är huvuden ska svaret vara ärligt men resultatet av myntet ska inte delas. Om myntet kommer upp svansar, måste personen vända ett andra mynt; Om den här är huvuden, ska svaret vara "ja". Om det andra är svans är det "nej".
Eftersom ett mynt över lång sikt ska komma upp huvud eller svans ungefär femtio procent av tiden, kan landmätaren grovt gissa hur många som faktiskt fuskade på sin examen över aggregatet. Men om en skadlig agentur upptäcker att en viss individ svarade "ja", har han ingen aning om det beror på att individen fuskade på provet eller eftersom han sa det efter att ha fått en svans och sedan huvudet på sin myntflip.
Faktiska algoritmer för differentiell integritet är mycket mer komplicerade men skulle likna myntet exempel. Genom att skapa matematiskt "brus" för att dölja enskilda data är det omöjligt för någon att känna till någon datapunkt även om han kände till algoritmen.
Potentiella problem
Differentiell integritet kan innebära att Apple och andra företag kan få data som hjälper dem samtidigt som de skyddar sina kunders integritet. Men faktum är att mycket av arbetet kring olika privatliv har varit i stort sett teoretiskt, och det har inte gjorts några småskaliga tester av hur det kan fungera.
Genomföra det i stor skala, som Apple planerar att göra med iOS, utan småskaliga försök är riskabelt.
Differensial integritet är dock inte så användbart i liten skala. Det matematiska bruset kommer tyngre att dölja data i en liten samplingsstorlek, vilket ökar risken för fullständigt felaktig data. Tänk på ovanstående mynt exempel. Om enkätundersökaren endast undersökte 10 personer är det möjligt att åtta personer kunde ha vunnit "svansar" och hans undersökning skulle vara värdelös. Men om han undersökte 10 000, är det mycket mindre troligt att 8 000 personer vred "svansar", och därmed kan han bättre lita på hans data.
Differentiell integritet är ett svårt att förstå koncept. Men om Apple lyckas, kan det på allvar förändra hur företag förvärvar data. Även om det kommer att finnas företag som är glada att ta med användardata, kan det faktum att det finns ett sätt att samla in data utan att påverka enskild integritet ha stora effekter mellan företag och kund.