در سال ۲۰۱۶ شرکت اپل در اطلاعیهای اعلام کرد برای جمعآوری بعضی از اطلاعات کاربران از حریم خصوصی تفاضلی استفاده میکند. در حالی که درباره پیادهسازی آن حدس و گمانهایی زده میشد، جزئیات پیادهسازی اپل منتشر نشد و سوالات زیادی درباره مدیریت حریم خصوصی و بودجه آن بیپاسخ ماند. در این مقاله با ترکیب تجربیات و تحلیل ایستا و پویای کد، بعضی از جوانب پیادهسازی اپل روشن میشود. جریانهای داده و عاملهای حریم خصوصی تفاضلی برای هر نوع و تکه از داده بررسی خواهند شد. این بررسیها نشان میدهند که در ارسال دادهها برای سرورهای اپل، حریم خصوصی تفاضلی نقض میشود و مقدار آن برای هر نوع داده قابل محاسبه است.
بودجه حریم خصوصی تفاضلی
اپل دادههایی را که جمعآوری میکند به چند بخش تقسیم کرده است و برای هر بخش بودجه حریم خصوصی در نظر گرفته است. بودجه حریم خصوصی این بخشها در فواصل زمانی منظم آپدیت میشوند و افزایش پیدا میکنند. در جدول زیر مشاهده میکنید که به ازای گذشتن مقدار زمان مشخصی برای هر بخش (session seconds) به میزان session-Amount به بودجه آن بخش اضافه میشود. در نظر داشته باشید که اختلاف زمان بین آخرین بروزرسانی بودجه حریم خصوصی و زمان حال در نظر گرفته میشود. یعنی اگر در ده روز گذشته، هفت روز کامپیوتر کاربر خاموش باشد، این خاموشی در نظر گرفته نمیشود و به اندازه ۱۰ روز به بودجه حریم خصوصی تفاضلی اضافه میشود.
با توجه به اهمیت هر بخش، اپل در فایلهای پیکربندی، تعداد مشخصی را برای جمع آوری اطلاعات هر بخش در طول روز در نظر گرفته است. هدف از این کار جلوگیری از افشا اطلاعات خصوصی و نقض حریم خصوصی تفاضلی میباشد. هرچند که با اضافه شدن روزانه بودجه حریم خصوصی، بدون در نظر گرفتن وجود یا عدم وجود داده مربوطه و حجم آنها، باعث نقض حریم خصوصی میشود. در مثال بالا فرض کنید کاربر به مدت هفت روز از کامپیوتر خود استفاده نکرده است و قاعدتا از بودجه حریم خصوصی «تایپ شکلک با کیبرد» استفاده نکرده است. در اولین روز روشن شدن کامپیوتر به تعداد روزهای خاموشی آن به بودجه حریم خصوصی اضافه میشود. در این صورت تمام شکلکهای استفاده شده توسط کاربر در روز اول با حریم خصوصی و نویز کمتر به سمت سرور ارسال میشوند.
در جدول زیر اطلاعات کلی از زیربخشها و الگوریتمهای مورد استفاده برای حفظ حریم خصوصی را مشاهده میکنید.
Tang, J., Korolova, A., Bai, X., Wang, X., & Wang, X. (2017). Privacy loss in apple’s implementation of differential privacy on macos 10.12. arXiv preprint arXiv:1709.02753.