55、位置访问行为对重新识别风险的影响

位置访问行为对重新识别风险的影响

1. 背景知识

过去，人们普遍认为，只要数据特征中不包含姓名、地址或社保号码等明确标识符，特定个人的数据集合就可以在一定程度上自由共享。然而，越来越多类似数据侦探的调查表明，通过临时保护模型得到的“去标识化”数据集合，通常可以与包含明确标识符的其他数据集合关联起来，从而以个人姓名唯一且正确地重新识别已披露的信息。

1.1 相关工作

• 传统重新识别 ：像斯威尼对{出生日期、性别、5 位邮政编码}字段的分析显示，这些字段曾同时出现在去标识化数据库和公开的已标识数据（如选民登记名单）中，大约能唯一代表 87%的美国人口。
• 轨迹重新识别 ：它扩展了传统重新识别，展示了人们访问的位置模式（轨迹）如何用于关联。人们在不同位置会留下类似的去标识化信息，各位置会分别收集和共享去标识化数据以及明确标识的数据。单个位置的数据看似无法关联，但多个位置共享数据后，就能构建出个人访问位置的轨迹，通过去标识化和已标识数据轨迹的相似模式进行关联。轨迹重新识别攻击与匿名通信中研究的其他攻击（如交互攻击）相关。

1.2 正式重新识别模型的要素

设 L 为收集数据的位置集合，每个位置的数据组织成数据库，可建模为行列形式的表格。每列对应一个属性，每行包含特定实体的属性值。数据库用 τ(A1, A2, …, Ap)表示，其中属性集 Aτ = {A1, A2, …, Ap}，每个属性有其特定值的域。数据库的大小用元组数量（基数 |τ|）表示。
若 Aτ 包含明确标识属性，则数据库 τ 为已标识；否则为去标识