《位置大資料隐私管理》—— 1.3 LBS中的個人隐私與挑戰

本節書摘來自華章出版社《位置大資料隐私管理》一 書中的第1章，第1.3節，作者潘曉、霍 峥、孟小峰，更多章節内容可以通路雲栖社群“華章計算機”公衆号檢視。

     隐私是指個人或機構等實體不願意被外界獲知的私密資訊。在具體應用中，隐私即資料所有者不願意被披露的敏感資訊，包括敏感資料以及資料所表征的特性，如病人的患病記錄、财務資訊等。資訊隐私是由個人、組織或機構定義的何時、何地、用何種方式與他人共享資訊，以及共享資訊的内容。個人隐私即不願意被披露的個人敏感資訊，如個人的收入水準、健康狀況、興趣愛好等。由于人們對隐私的限定标準不同，對隐私的定義也有所差異。一般來說，任何可以确認特定某個人的，但個人又不願意披露的資訊都可以稱為個人隐私。

     很多調查研究顯示，消費者非常關注個人隐私保護問題。歐洲委員會通過的《隐私與電子通信法》中對于電子通信處理個人資料時的隐私保護問題給出了明确的法律規定[33]。在2002年制定的指令中，對位置資料的使用進行了規範，其中條款9明确指出位置資料隻有在匿名或使用者同意的前提下為有效并必要的服務使用，這突顯了位置隐私保護的重要性與必要性。此外，在營運商方面，全球最大的移動通信營運商沃達豐（vodafone）制定了一套隐私管理業務條例，要求所有為沃達豐客戶提供服務的第三方必須遵守，這展現了營運商方面對于隐私保護的重視。

     那麼，基于位置服務中的隐私内容是什麼呢？在基于位置的服務中，敏感資料可以是有關使用者的時空資訊，可以是查詢請求内容中涉及醫療或金融的資訊，可以是推斷出的使用者的運動模式（如經常走的道路以及經過頻率）、使用者的興趣愛好（如喜歡去哪個商店、哪種俱樂部、哪個診所等）等個人隐私資訊。下面用一個例子說明lbs中的隐私保護内容。

     張某利用帶有gps的手機提出“尋找距離我現在所在位置最近的中國銀行”。形式化地表示該基于位置服務中的查詢請求：（id, loc, query）

     其中，id表示提出位置服務請求的使用者辨別，例子中id=“張某”；loc表示提出位置服務時使用者所在的位置坐标(x, y)，例子中loc=醫院經緯度；query表示查詢内容，例子中即“距離我最近的中國銀行”。

     一般來講，基于位置服務中的隐私内容包括兩個方面。第一，位置資訊，即隐藏查詢使用者的确切位置，如近鄰搜尋中的使用者需要送出他們的目前位置，導航服務中的使用者需要送出他們的目前位置和目的位置。大量研究表明，暴露使用者的确切位置将導緻使用者行為模式、興趣愛好、健康狀況和政治傾向等個人隐私資訊的洩露[2]。在上面的例子中，張某不想讓人知道現在他所在的位置（如醫院）即位置資訊保護。第二，敏感資訊，即隐藏與使用者個人隐私相關的敏感資訊，如推斷使用者曾經通路的地點或提出某敏感服務。使用者不想讓任何人知道自己提出了某方面的查詢，如張某不想讓人知道自己将去銀行進行與金錢相關的交易，即敏感資訊保護。其中，位置資訊在基于位置服務的隐私保護中具有至關重要的作用。位置不僅是查詢處理的必要對象，而且可以作為僞辨別符重新識别使用者[8]，導緻使用者敏感資訊洩露。

     位置隐私管理中面臨的挑戰包括以下3個方面。

     第一，隐私保護與代價是一對沖突。隐私保護是建立在消耗一定代價的前提下的，這種代價可能是資料可用性、網絡帶寬、使用者或服務提供商付出的努力。例如，在基于資料失真的位置隐私保護技術中代價展現為資料可用性。資料的精确性越高，可用性就越強，但隐私度卻越低。再如，隐私保護後由保護後的位置或備援的查詢結果造成的多餘網絡通信代價也是需要考慮的重要原因之一。是以，隐私保護技術需要在代價和隐私保護之間保持平衡。

     第二，位置是時序多元資訊。與一般的一維資料不同，在位置隐私中，移動對象的位置資訊是多元的，每一維之間互相影響，無法單獨處理。是以，需要根據位置資訊的多元性特點設計隐私保護方法。此外，位置資訊經常發生動态更新，更新位置之間根據時間t互相依賴。攻擊者可以根據已知位置或運動模式，預測未知或未來的位置。互相依賴的位置資訊為攻擊者獲得使用者在某特定時刻的位置提供了更多的背景知識。單點位置上成立的位置隐私保護技術，在面對連續查詢的隐私保護或軌迹隐私保護時，不再适用。

     第三，位置隐私保護中的即時性特點。基于位置服務是一種線上應用，處理器通常面臨着海量移動對象、連續的服務請求以及頻繁更新的位置，服務提供商處理的資料量巨大而且資料頻繁地變化。在位置大資料的背景下，如何提供高效的位置隐私保護方法？如何在保證攻擊者不可區分使用者提出的查詢情況下，最大化基于位置服務的查詢性能，設計和使用不同的索引技術實作不同查詢的高效處理？線上環境下，處理器的性能和響應時間是使用者滿意度的重要衡量标準。