Деидентификация
Деидентификация — это процесс или результат обработки данных, при котором из набора информации удаляются или видоизменяются персональные данные (идентификаторы), позволяющие прямо или косвенно установить личность субъекта данных. Целью деидентификации является снижение рисков раскрытия конфиденциальной информации, сохранение приватности при использовании данных для анализа, исследований, статистики или машинного обучения, а также соблюдение требований законодательства о защите персональных данных.
Цели и задачи деидентификации
Основная задача деидентификации — преобразовать исходные данные таким образом, чтобы они перестали быть персональными, но сохранили свою полезность для последующей обработки. Ключевые цели включают:
- Обеспечение конфиденциальности: защита субъектов данных от нежелательного раскрытия их личной информации.
- Соблюдение нормативных требований: выполнение предписаний законов, таких как Федеральный закон № 152-ФЗ «О персональных данных» в России, Общий регламент по защите данных (GDPR) в Европейском союзе, Закон о переносимости и подотчётности медицинского страхования (HIPAA) в США и других юрисдикциях.
- Возможность вторичного использования данных: предоставление возможности исследователям, аналитикам и разработчикам работать с наборами данных, которые в исходном виде были бы закрыты из-за наличия персональной информации.
- Уменьшение угрозы утечки: минимизация ущерба в случае несанкционированного доступа к базе данных, так как в ней не содержится прямых идентификаторов.
Методы деидентификации
Существует несколько основных подходов к деидентификации, применяемых как по отдельности, так и в комбинации.
Маскирование (маскировка)
Замена некоторых или всех символов в идентифицирующих полях на другие, часто случайные, символы. Например, номер телефона «+7-912-345-67-89» может стать «+7-XXX-XXX-XX-89». Данный метод прост в реализации, но может быть недостаточен для защиты от сложных атак.
Псевдонимизация
Замена прямых идентификаторов (имя, фамилия, номер паспорта) на псевдонимы — уникальные, но не раскрывающие личность коды или идентификаторы. Важным отличием от анонимизации является то, что псевдонимы хранятся в связке с исходными данными (например, в отдельной зашифрованной таблице), что позволяет при необходимости восстановить личность субъекта. Метод широко применяется в клинических исследованиях и маркетинговых базах данных.
Анонимизация
Безвозвратное удаление всех прямых и косвенных идентификаторов, делающее восстановление личности невозможным или практически невозможным. Анонимизированные данные не считаются персональными и не попадают под действие законодательства о защите персональных данных. К методам анонимизации относятся:
- Удаление идентификаторов (suppression): полное стирание таких полей, как имя, адрес, телефон.
- Обобщение (generalisation): замена точных значений на более общие. Например, возраст «32 года» заменяется на возрастную группу «30-39 лет»; точный адрес — на почтовый индекс или название города.
- Миксагрегирование: объединение нескольких записей в одну усреднённую группу.
- Добавление шума (noise addition): внесение небольших случайных искажений в численные данные (например, к зарплате добавляется случайное значение в пределах ±5%).
- Перестановка (permutation): случайное перемешивание значений какого-либо признака между разными записями.
Синтетические данные
Создание полностью искусственного набора данных на основе статистических свойств реального набора. Синтетические записи не соответствуют реальным людям, но сохраняют корреляции и распределения исходных данных, что позволяет использовать их для моделирования и анализа без риска раскрытия приватности.
Классификация рисков и атак
Даже после применения методов деидентификации сохраняется риск реидентификации — обратного восстановления личности субъекта. Основные типы атак включают:
- Атака связывания (linkage attack): злоумышленник объединяет деидентифицированные данные с другой доступной общественной или частной информацией (например, с социальными сетями), чтобы сопоставить псевдоним или набор косвенных идентификаторов с конкретным человеком.
- Атака по встроенной информации (embedded information attack): извлечение метаданных, скрытых в файлах (например, GPS-координаты в EXIF-данных фотографии).
- Атака на основе статистических закономерностей: использование уникальных комбинаций признаков (так называемых квази-идентификаторов), таких как комбинация «почтовый индекс — пол — дата рождения», которая может сделать человека уникальным в пределах популяции.
Успешность атак зависит от объёма и качества доступных внешних данных, а также от того, насколько тщательно была проведена деидентификация.
Правовые и этические аспекты
Подходы к деидентификации различаются в зависимости от юрисдикции.
- Российская Федерация: Федеральный закон № 152-ФЗ «О персональных данных» делит обработку на обработку персональных данных и обработку обезличенных данных. Обезличивание признаётся одним из способов обработки, однако требования к методам обезличивания устанавливаются Роскомнадзором. После обезличивания данные перестают считаться персональными, и на них не распространяются многие требования закона.
- Европейский союз (GDPR): проводит чёткое различие между псевдонимизацией (статья 4(5)) и анонимизацией. Псевдонимизированные данные продолжают считаться персональными, так как могут быть восстановлены. Анонимные данные, как указано в регламенте, не относятся к персональным, и на них действие GDPR не распространяется. GDPR явно поощряет псевдонимизацию как меру по снижению рисков.
- США (HIPAA): устанавливает два стандарта деидентификации защищённой медицинской информации (PHI): метод экспертного определения (expert determination) и метод Safe Harbor (удаление 18 конкретных идентификаторов).
Этическая дилемма деидентификации заключается в балансе между пользой от использования данных (научные открытия, улучшение услуг) и правом человека на неприкосновенность частной жизни. Даже при формально корректной анонимизации нельзя полностью исключить риск реидентификации, особенно с ростом вычислительных мощностей и доступности «больших данных».
Применение
Деидентификация находит широкое применение в различных отраслях:
- Здравоохранение: публикация обезличенных данных клинических испытаний и медицинских записей для исследований в области эпидемиологии, разработки лекарств и анализа эффективности лечения.
- Финансовый сектор: экспорт банковских транзакций для анализа мошеннических схем и построения скоринговых моделей без раскрытия клиентских данных.
- Маркетинг и аналитика: изучение поведения пользователей на сайтах и в мобильных приложениях, проведение маркетинговых исследований на основе агрегированных и обезличенных данных.
- Государственное управление: публикация открытых данных (например, о транспортных потоках, экологии) для общественного контроля и разработки решений.
- Машинное обучение: обучение моделей ИИ на обезличенных данных для минимизации рисков запоминания моделью личной информации (privacy-preserving AI).
Критика и ограничения
Основной критики в адрес деидентификации связан с тем, что единого стандарта «безопасной» анонимизации не существует, а многие методы признаются недостаточными. Исследования неоднократно показывали возможность реидентификации записей в, казалось бы, хорошо обезличенных наборах данных (например, анонимные данные о поездках такси в Нью-Йорке были успешно увязаны с конкретными водителями и пассажирами путём анализа маршрутов). Это приводит к призывам к более строгим правовым рамкам и развитию методов дифференциальной приватности. Кроме того, чрезмерная деидентификация (например, слишком сильное обобщение) может сделать данные бесполезными для анализа.
Источники
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (Российская Федерация).
- Regulation (EU) 2016/679 of the European Parliament and of the Council (General Data Protection Regulation — GDPR).
- Health Insurance Portability and Accountability Act of 1996 (HIPAA), Privacy Rule (США).
- «De-identification of Personal Information». National Institute of Standards and Technology (NIST).
- Narayanan, A., Shmatikov, V. (2008). «Robust De-anonymization of Large Sparse Datasets». IEEE Symposium on Security and Privacy.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →