الخصوصية التفاضلية[1] هي وسيلة لضمان خصوصية الأفراد المشتركين في استطلاعات الرأي، أو في أي قاعدة بيانات (طبية مثلا)، مقابل ما قد يمكن استنتاجه عنهم عبر التحليل الإحصائي لأستطلاع الرأي أو قاعدة البيانات.
تهدف الخصوصية التفاضلية لاستخلاص أكبر قدر ممكن من الدقة من الاستعلامات المطروحة على قواعد البيانات الإحصائية، مع التقليل في نفس الوقت من فرص التعرف على سجلاتها.
الوضع
ضع في الاعتبار طرف مؤتمن، متحصّل على قاعدة بيانات من المعلومات الحساسة (على سبيل المثال لا حصر: سجلات إحصائية، معلومات تسجيل الناخبين، أو استعمالات البريد الإلكتروني).
هذا الطرف يهدف إلى نشر معلومات إحصائية عامة عن تلك البيانات لعموم الناس، مع الحفاظ على خصوصية المستخدمين ممن كانت بياناتهم مسجلة في قاعدة البيانات. مثل هذا النظام يسمّى "قاعدة بيانات إحصائية".
مفهوم "لاقابلية التمييز" [2]، المسماة لاحقاً بـالخصوصية التفاضلية[1]، تُمنْهِج مفهوم "الخصوصية" في قواعد البيانات الإحصائية.
(لاقابلية التمييز = indistinguishability)
الخصوصية التفاضلية "ε"
الإجراءات المتخذة من قبل الخادم (الطرف) المؤتمن يمكن نمذجتها عن طريق خوارزمية عشوائية، نسميها هنا .
الخوارزمية العشوائية تملك الخصوصية التفاضلية "ε" إذا كان لكل زوج من قواعد البيانات
و
، مختلفين في عنصر واحد فقط، نجد المعادلة التالية متحققة لكل في مجال الخرج الخاص بالخوارزمية:
ملحوظة: الخصوصية التفاضل هو خاصية من خصائص آلية النشر (الخوارزمية العشوائية )، وليست من خصائص قاعدة البيانات في حد ذاتها.
معنى ما سبق أن آلية النشر () ستتصرف بنفس الطريقة تقريباً، لأي قاعدتي بيانات متجاورتين (مختلفان في عنصر واحد فقط)، على كلتاهما. هذا التعريف للخصوصية التفاضلية يضمن (بشدّة) أن وجود فردٍ معين من عدمه لن يؤثر على نتيجة الاستعلام بشكل ملحوظ.
على سبيل المثال، لو لدينا قاعدة بيانات لسجلات طبية () حيث كل سجل عبارة عن زوج (الاسم، س) وس، إما صفر (إذا كان معافى) أو واحد (إذا كان مصاباً بمرض السكّري).
الاسم | مصاب بالسكّري؟ (س) |
---|---|
سمير | 1 |
منى | 1 |
يوسف | 0 |
سميّة | 0 |
شريف | 1 |
تصوّر لو مستخدم خبيث (أحياناً يلقّب بالـ"خِصْم") يريد معرفة إن كان شريف مصاباً بالسكّري أم لا. هذا المستخدم يعرف أيضاً أن شريف يقبع في الصف الخامس من الجدول. لو الخِصْم بإمكانه الاستعلام بصورة معينة، ، حيث نتيجة الاستعلام عبارة عن مجموع "س" لأول صف، فبإمكان الخصم بكل بساطة أن يراجع قيمة الاستعلام لمعرفة إن كان شريف مصاباً بالسكّري من عدمه.
من اللافت للنظر ان هذا المثال يوضح ان معلومات الأفراد يمكن أن تُفضح حتى بدون الاستعلام عن الفرد بعينه.
المراجع
- Dwork, ICALP 2006.
- Dwork, McSherry, Nissim and Smith, 2006.