Открыть сервис

Деидентификация

Деидентификация — это процесс или результат обработки данных, при котором из набора информации удаляются или видоизменяются персональные данные (идентификаторы), позволяющие прямо или косвенно установить личность субъекта данных. Целью деидентификации является снижение рисков раскрытия конфиденциальной информации, сохранение приватности при использовании данных для анализа, исследований, статистики или машинного обучения, а также соблюдение требований законодательства о защите персональных данных.

Цели и задачи деидентификации

Основная задача деидентификации — преобразовать исходные данные таким образом, чтобы они перестали быть персональными, но сохранили свою полезность для последующей обработки. Ключевые цели включают:

Методы деидентификации

Существует несколько основных подходов к деидентификации, применяемых как по отдельности, так и в комбинации.

Маскирование (маскировка)

Замена некоторых или всех символов в идентифицирующих полях на другие, часто случайные, символы. Например, номер телефона «+7-912-345-67-89» может стать «+7-XXX-XXX-XX-89». Данный метод прост в реализации, но может быть недостаточен для защиты от сложных атак.

Псевдонимизация

Замена прямых идентификаторов (имя, фамилия, номер паспорта) на псевдонимы — уникальные, но не раскрывающие личность коды или идентификаторы. Важным отличием от анонимизации является то, что псевдонимы хранятся в связке с исходными данными (например, в отдельной зашифрованной таблице), что позволяет при необходимости восстановить личность субъекта. Метод широко применяется в клинических исследованиях и маркетинговых базах данных.

Анонимизация

Безвозвратное удаление всех прямых и косвенных идентификаторов, делающее восстановление личности невозможным или практически невозможным. Анонимизированные данные не считаются персональными и не попадают под действие законодательства о защите персональных данных. К методам анонимизации относятся:

Синтетические данные

Создание полностью искусственного набора данных на основе статистических свойств реального набора. Синтетические записи не соответствуют реальным людям, но сохраняют корреляции и распределения исходных данных, что позволяет использовать их для моделирования и анализа без риска раскрытия приватности.

Классификация рисков и атак

Даже после применения методов деидентификации сохраняется риск реидентификации — обратного восстановления личности субъекта. Основные типы атак включают:

Успешность атак зависит от объёма и качества доступных внешних данных, а также от того, насколько тщательно была проведена деидентификация.

Правовые и этические аспекты

Подходы к деидентификации различаются в зависимости от юрисдикции.

Этическая дилемма деидентификации заключается в балансе между пользой от использования данных (научные открытия, улучшение услуг) и правом человека на неприкосновенность частной жизни. Даже при формально корректной анонимизации нельзя полностью исключить риск реидентификации, особенно с ростом вычислительных мощностей и доступности «больших данных».

Применение

Деидентификация находит широкое применение в различных отраслях:

Критика и ограничения

Основной критики в адрес деидентификации связан с тем, что единого стандарта «безопасной» анонимизации не существует, а многие методы признаются недостаточными. Исследования неоднократно показывали возможность реидентификации записей в, казалось бы, хорошо обезличенных наборах данных (например, анонимные данные о поездках такси в Нью-Йорке были успешно увязаны с конкретными водителями и пассажирами путём анализа маршрутов). Это приводит к призывам к более строгим правовым рамкам и развитию методов дифференциальной приватности. Кроме того, чрезмерная деидентификация (например, слишком сильное обобщение) может сделать данные бесполезными для анализа.

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →