28、隐私保护数据集成：挑战与解决方案

隐私保护数据集成：挑战与解决方案

1. 隐私保护数据集成目标与背景

我们的目标是构建一个隐私保护的数据集成模型，它能提供类似于去标识化数据的保护水平，同时允许社会科学家灵活合并不同信息并谨慎管理错误，以支持计算社会科学的广泛研究。大型个人信息研究数据库通常需要在安全环境中进行严格保护，即使是未完全匿名的去标识化数据也是如此。

在支持计算社会科学研究的用例中，假设存在具有安全受控访问设置的数据基础设施，其中对数据执行的操作类型和对数据的访问都受到严格控制。访问所有数据都需要获得适当的机构审查委员会（IRB）批准，数据仅可在安全服务器上进行分析，且仅用于批准的目的。在这些条件下，很容易控制和监控对数据进行的分析。这种受控访问的假设在实际应用中能显著降低威胁模型，同时不会损失太多实用性。

2. 隐私保护记录链接的威胁模型

对于包含大量私人信息的大型数据集合，最常见的威胁模型是试图从数据中获取未经授权信息的攻击。例如，健康保险公司可能从研究数据源获取潜在客户的未经授权健康信息，然后基于此非法拒绝为该客户提供保险政策。

未经授权访问信息的攻击有两种类型：
1. 外部攻击 ：系统的未经授权用户可能会侵入数据集合。这些用户没有系统登录权限。对于此类攻击，大多数数据集合依赖于成熟的安全措施，如登录认证、定期更改密码的要求以及对系统的 24/7 监控。
2. 内部攻击 ：授权用户可能发起内部攻击，侵入他们无权访问的数据部分。这些用户有有效的登录权限，但绕过了系统上设置的访问权限。同样，防范这些威胁依赖于成熟的安全协议，如对系统的 24/7 监控。