12、个人数据的五十种色调：部分重新识别与 GDPR 及谷歌苹果暴露通知系统解析

个人数据的五十种色调：部分重新识别与 GDPR 及谷歌苹果暴露通知系统解析

个人数据部分重新识别与成本效益分析

在数据安全领域，攻击者进行重新识别攻击时，即便不能将候选名单精确到单一元素，攻击也未必失败。例如，出于经济动机的攻击者，若能将名单缩小到 g 人，其中包含一位知名政治家，且初步数据分析显示候选名单中有成员频繁前往红灯区，即便未直接观察到政治家在此区域，攻击者也可进行猜测，猜对的概率为 1/g。若攻击者决定以价格 p 敲诈该政治家，且假设猜对时受害者会付款，那么攻击者在这场经济博弈中的预期收益仍有 p/g 货币单位。

从这里我们能得到两个重要启示：
1. 重新识别不一定要完全成功才能促成成功的攻击。
2. 攻击者在重新识别数据主体方面的成功取决于其愿意投入的努力。

因此，为了充分分析攻击者的行为，仅考虑单一特定投资金额的攻击场景是不够的，需要评估所有可能的投资和回报范围。

从攻击者的角度来看，攻击涉及各种成本，包括直接的现金和时间支出以及潜在的惩罚。为了简化，我们将所有成本都以货币单位衡量，这样便于将成本与攻击的潜在收益进行比较。

为了评估这些收益，我们需要量化重新识别攻击的结果。文献中提出了不同的衡量方法，本文采用 Benitez 和 Malin 的方法。他们从匿名健康数据集入手，根据社会人口统计参数将其与选民名单的（半）公共记录进行匹配，进而估计重新识别的预期数量 R 和分析所需的成本 C（在他们的案例中，即购买选民登记名单的访问权限）。C/R 这个比率显示了每次重新识别的预期成本。

我们还需进行收益分析。并非每次重新识别对攻击者都具有同等价值，一些知名人士可能会为攻击者带来比大多数人高得