“差分隐私” 和 iOS 10 : 探索与解析

这可能是苹果在 WWDC 的 Keynote 上最让人难以理解的部分。

在一些即将到来的 iOS 10 新特性描述的中间,Craig Federighi 的讨论突然出现了一点抽象的数学。他主要讲了一个叫做“差分隐私”的东西,一种基于统计学方法来保护用户隐私的重要工具。

这个系统的细节是很复杂的,长期以来都没有真正脱离学术圈的讨论而进入商业市场。但是本质上说,是在提供数据的时候通过混合大量用户数据并加入一些随机杂讯来最大限度降低隐私泄露风险的一种做法。一个比喻是这样的,两个发 emoji 表情的人不必使用规定的表情就能理解对方所发表情的意思。不过即使知道基本原理,我们可能还是不太容易理解这个系统本身,以及它对于 iOS 10 的意义。

 

四个 iOS 10 中使用新隐私系统的地方

在 WWDC 的首日主旨 Keynote 发布之后,苹果开始公开这这项技术的确切使用位置,让我们看到它如何改变 iOS 10 中的数据收集方式。苹果的数据收集一直不像 Google,Facebook,还有 Amazon 那样激进,但是新一代由数据驱动的人工智能服务至少会使得深一些层次的收集更有必要。所以在用户手机上收集的数据和苹果需要的那些“不包含关键隐私信息”的数据还有一定距离。“差分隐私”最开始就是用来解决这个的。

根据我们在 iOS 的测试版中看到的细节,“差分隐私”已经被用在了 iOS 10 的四个部分。两个部分是新的“信息”应用,新的信息应用相比于旧版本显著提高了预测输入的水平。新的把文字替换成 emoji 的程序会通过核心数据流在世界范围内的 iPhone 运行。如果很多人在把“桃子”替换成对应的 emoji,你就可以在你的信息应用里看到这个表情的推荐。同样的事情也可以在文本的输入预测中实现。苹果在传统意义上提取了短信的本地信息,但是这仅仅包含了所选的文字本身 (而不是全部信息或信息本身的内容)。有了更多的数据交流,新的输入预测会变得更加智能,并且凭借数据上的分析而做的更好。

其他两方面的应用则集中于搜索上。备忘录中的“线索查找” (Lookup Hints) 功能和 Spotlight 搜索都使用了新的隐私技术。自 iOS 9 起,Spotlight 搜索开始运行返回各种搜索建议以及可在 app 内执行的操作。举个例子来说:如果你在 Spotify 里听 Coldplay 的 A Head Full Of Dreams,那么在 iOS 9 的 Spotlight 中搜索 “dreams” 的时候,系统就可能在下面提供一个 A Head Full Of Dreams 专辑在 Spotify 里面的链接。这项功能基于开发者与系统间共享的信息,非常重要的一点就是,这些信息都只存储在本地,所以 NSA 并没有什么办法知道你是不是 Coldplay 听多了,除非他们有你的解锁密码或者手指。开发者们可以选择他们希望与系统分享的信息,为了增加自己 app 在 Spotlight 里的曝光率,开发者们通常会与系统共享尽可能多的信息。

而 iOS 10 则将整个系统变得更加全球化了,不过,在这里使用了“差分隐私”来保护用户的隐私。开发者可以选择性提交用户在 app 内采取的不同行为,这样,如果有足够多的 Coldplay 粉丝都选择听了 Viva La Vida 这张专辑的话,你也有可能会收到关于它的相关信息,即使是你没听过也没搜索过 Coldplay 的这张专辑。开发者们仍然有权选择分享什么信息,而且苹果会使用统计上的随机杂讯来混合开发者们提交的信息,使得无法还原任意一个独立的 Coldplay 粉丝的音乐喜好。

这些新技术使得个人隐私更难以被还原。每个使用“差分隐私”的场景下都伴随着大量被收集的个人数据。在大多数情况下,所涉及的数据都可能是相当敏感的。这一般都是在第三方应用程序中发生的比较私密的行为,也就是苹果直言不讳地声称要严加保护的那些数据。苹果不会说有了“差分隐私”就会随便收集各种隐私数据,但是很明显,苹果打算在有必要大规模收集这类数据用以分析之前就做好系统级别的防护。

其实还有很重要的一点,那就是你很难从外部信息来判断“差分隐私”这个系统有没有正常运作,或是足够安全。不同于那种非常简单的非黑即白的加密处理;“差分隐私”总是被苹果蒙在雾中,维持着有意义的整体信息与可还原的单一用户数据之间的微妙平衡。这就像你的存款,你把隐私托付给了苹果公司,心中有没有底则取决于你对银行,也就是苹果公司的信任。可以这么说,你我都没有在苹果公司工作,这就很难说他们到底有没有严格的保护你的隐私了。苹果公司坚称这是足够安全的做法,可以完全防止任何形式的对独立用户的重新识别,但我们还是决定持一定的保留态度。

 

总结

其实这种做法还是有很多的不确定性的。不过即使这样,看起来苹果的这些措施也不大有可能会重蹈 Google 和 Facebook 在隐私防护方面的疏漏。苹果和它的竞争对手 ( 通常都是一些提供互联网服务的公司 ) 不同,苹果不会那么“饥渴”地收集用户的隐私数据。这也是“差分隐私”在整个业界的首次大规模应用,它意味着能在最大程度上使得你个人的隐私被淹没在“大数据”的海洋里。这种做法也符合苹果处理用户数据的一贯风格:初期小心谨慎,后期常常另辟蹊径出奇制胜。

 

本文由编辑 PercyYu 与 Clerk 共同翻译。

Phil Schiller 专访: 2016 款 MacBook Pro 开发访谈

近日 Apple 发布了大家期待已久的新款 MacBook Pro,就此我们对 Apple 的全球营销高级副总裁 Phil Schiller 进行了一次专访。 在 Apple 的发布会中,Phil 是...

新传奇还是历史——EOS 5D Mark IV 发布简评

传奇会成为历史吗? 近日,佳能发布了 2016 年的另一款重磅新品,EOS 5D Mark IV。如果忽略中间插入的另一条高分辨率产品线 EOS 5Ds 的话,时隔四年佳能准时...

农企的翻身日常, AMD Zen 微架构初步解析

农企再也没有农业机械代号了,于是,就翻身了。 近日 AMD 邀请了部分媒体和分析师参与了 Zen 架构新处理器的进一步细节的讨论。这篇文章里我们将讨论架构问题...

衍射临界光圈是什么?它是怎么计算的呢?

当我们讨论各种镜头的成像问题时,若是能忽略像差,就可以大大降低讨论的难度。 如果只是从几何光学的定律来考虑问题的,那么只要适当选择适当的透镜,并且巧...

macOS Sierra, 除了其他一切就是Siri

我们非常想知道一点,那就是除了 Sierra 的 Siri 之外你还关注些什么。 今年秋季的时候,Apple 将要公开推送其最新一代桌面操作系统。它的名字将不再是“OS X”...

Hasselblad X1D,中级土豪玩家的新玩具之上手体验

一个只要9000刀的哈苏原装中画幅发布了,这下买得来了吧? 就在昨天,在经过长期预热之后哈苏终于发布了世界上第一台中画幅无反相机X1D。它的最大优势有两点...