[发明专利]用于在安全个人数据市场中使用的系统和方法

说明书

相关申请的交叉引用

本申请请求于2014年9月30日提交的题为“SECURE PERSONAL DATA MARKETPLACE”的临时申请序列号No.62/057,513和于2015年3月2日提交的题为“TRUSTED ACTIVE MAILBOX APPARATUS AND METHOD”的临时申请序列号No.62/127,169的优先权，这两篇申请通过引用整体合并于此。

背景技术

个人数据(诸如客户数据)的交易是新兴产业。对于个人数据最常见的是以间接的方式来获利。人们使用免费服务，并且由于他们使用这些免费服务，他们生成关于他们的兴趣和意图的数据。然后该数据被服务供应商使用，例如向用户提供有针对性的广告。反过来用户获得免费服务，以共享关于他们的偏好和活动的数据，并且服务供应商通过销售广告接洽来获得收入。来自供应商(诸如谷歌、雅虎和脸书)的免费在线服务以这种方式来运作。

除了这些广告推动服务之外，数据代理积累并分析个人数据并以不同等级及出于不同的目的来将其销售给个人和组织机构。这些服务通常不与他们所处理的数据所有人存在任何直接接触。他们从公共记录收集数据并执行各种类型的数据收集，主要在在线环境下。

由于通常人们不知道哪些数据已经被收集并被存储或者数据正如何被使用，可能包括用户隐私，因此增加了对这些模式的关注。来自立法者的压力增加了透明度并给定个人对关于他们数据的更多控制。可能期望开发管理个人数据的新类型的解决方案和服务。

隐私信息的保护在客户和市民调查环境中是重要的。用于处理调查的一种方法是集中式方法，在该方法中数据拥有者(例如，人口统计局)收集关于特殊用户集的所有数据并且是所收集数据的拥有者。匿名化通常通过如上所述的具有对所有数据特性的完全访问的数据拥有者来处理。数据拥有者负责计算统计值(例如，平均收入)并以保护匿名者的方式公布结果。这种传统方法是静态的并且对集中的数据的拥有者乐意支持的查询存在限制。

彻底的匿名化过程必须考虑被披露的数据字段的多样性。如果恶意组织机构可以利用公共可用数据来链接匿名数据，则简单的方法(诸如忽略身份相关字段以及用随机标识符替代敏感数据字段)可能受到重新识别攻击的伤害。数据泄露的一个示例是以下的情况：其中大约135,000的马萨诸塞州员工的家庭会员的匿名健康保险数据出于研究目的被收集。然而，很快检测到可以通过使用来自公共可用选民注册列表的使用信息来将认为已匿名的数据与真实身份连接。

这种情况导致匿名化的更精密构想。匿名过程据说提供k匿名化，在关于包括在数据集中的每个用户的信息无法与其信息也出现在数据集中的至少k-1个用户区分的情况下。通过使用k匿名化原则，可以核查某些标识属性以使得个人不容易被恶意组织机构重新识别。例如，使用k＝10的k匿名化，需要给定数据集中存在至少十个可行身份备选。在一些示例中，这可以通过用出生年替代出生日或通过将ZIP代码区合并至较大的地区区域来实现。

然而，即使数据集是k匿名的，其仍旧无法一直提供真正的匿名化。对k匿名的数据集的攻击在以下中描述：ACM Transactions on Knowledge Discovery from Data(TKDD)2007年第一卷第一期，A.Machanavajjhala,D.Kifer,J.Gehrke和M.Venkitasubramaniam,"L-diversity:Privacy beyond k-anonymity"。

这种攻击是基于数据集的特定字段的同质性或允许攻击者重新识别匿名的数据集中的人的背景知识。为了帮助缓解这些威胁，称为l多样性的另一概念被采用。敏感属性应该是多样的。例如，如果存在包含诊断信息和标识属性的健康数据库已经被k匿名化，那么在所有病例具有相同诊断的情况下，则是没有帮助的。

即使l多样性概念具有其限制性，但是称为t紧密度的更全面的匿名化度量(metric)已经被设计。具有相同匿名数据的记录集据说具有t紧密度，在该集中的敏感属性的分布和整个表格中属性的分布之间的距离不大于阈值t间距的情况下。表格据说具有t紧密度，在具有相同匿名数据的所有记录集具有t紧密度的情况下。仍然，在出于数据挖掘的目的保留数据集的有用性的同时，从来无法保证匿名化过程将保护免受所有重新识别攻击。

发明内容