Динамическая приватность: новая парадигма

Предлагались многие способы защиты и шифрования персональных данных; однако ни один из них не отвечал требованиям мультимодальных, постоянно развивающихся данных высокого разрешения, собираемых в настоящее время. Мы же разработали идею динамической приватности, чтобы превратить алгоритмически невозможную задачу анонимизации данных в решаемую задачу безопасности; наше решение позволяет отвечать на вопросы, не давая доступ к данным в чистом виде.

Представьте себе сервис, который персонализирует опыт пользователя на основе того, бежит он в данный момент или нет. В соответствии с действующей моделью, такое приложение собирало бы данные о местоположении и/или данные акселерометра мобильного телефона пользователя и загружало их на удаленный сервер, чтобы вычислить соответствующий тип информации – бежит пользователь или нет. По системе механизма openPDS / динамической приватности, фрагмент кода инсталлируется в хранилище данных (PDS) пользователя. Установленный код использует конфиденциальные данные о местоположении и данные акселерометра, чтобы вычислить соответствующую часть информации в безопасной среде PDS. Только эта информация отправляется на удаленный сервер.

В сочетании с владением данных эта простая разработка позволяет людям пользоваться возможностями персонализированных приложений без необходимости делиться исходными данными, такими как исходные показания акселерометра или GPS-координаты. Другими словами, вы делитесь кодом, а не данными. Хотя это само по себе не является полным решением, моментальное снижение разномерности и объема данных делает обмен более безопасным, так как отсылается только тот минимум информации, который необходим для выполнения конкретной задачи. Такой механизм также позволяет пользователям безопасно предоставлять и отзывать доступ к своим данным, делиться данными анонимно, без необходимости участия доверенной третьей стороны, а также контролировать и отслеживать то, как данные используются. Механизм группового вычисления дополнительно расширяет этот контроль, позволяя пользователям анонимно вносить данные для использования в совокупной форме с целью ответа на такие вопросы, как «Сколько пользователей находится сейчас в этом регионе?».

Опыт взаимодействия: Предположим, Элис хочет установить и использовать Android-приложение вроде Foursquare – системы, работающей по принципу геолокационной регистрации, – без использования хранилища PDS. Элис загружает приложение на свой телефон и открывает Foursquare доступ к сетевым коммуникациям своего телефона, персональной информации и управлению функциями телефона; пользователи уже сталкиваются с этой проблемой при установке любого нового приложения на телефон Android. Элис создает учетную запись и начинает свои взаимоотношения с сервисом Foursquare с чистого листа.

Foursquare будет хранить всю информацию об Элис, собираемую приложением, на сервере баз данных. У Элис не будет возможности получить доступ к этим данным или увидеть, какие сведения Foursquare использует, чтобы делать выводы о ней с течением времени. Кроме того, любая интеграция между различными сервисами происходит без участия пользователя. Если Foursquare захочет получить доступ к данным сервисов Twitter или Facebook, Элис должна будет пройти аутентификацию для привязки этих аккаунтов, но сумма внешних данных, которые Foursquare будет использовать, останется неизвестной для Элис.

Если Элис выберет для загрузки версию Foursquare с поддержкой PDS, она установит его так же, как и любое другое приложение для Android. При первом запуске Android-приложение предложит ей связать приложение Foursquare с ее хранилищем PDS. Приложение PDS предоставит подробное описание того, к каким данным PDS Foursquare получит доступ и какая именно релевантная совокупная информация будет отправляться на серверы Foursquare, и это позволит Элис понять, как установка данного приложения повлияет на ее приватность.

Вместо того чтобы размещать личные данные Элис на серверах Foursquare, приложение Foursquare с поддержкой PDS получит разрешение на доступ и обработку данных хранилища PDS. Элис могла бы перед этим установить или купить PDS, чтобы оно располагалось на сервере ее любимого провайдера «облачных» технологий или же ее собственном. Постепенно ее PDS наполнится информацией, собранной ее смартфоном, вместе с информацией о ее музыкальных вкусах, контактах и потоком другой сенсорной информации, которая будет накапливаться по мере течения ее повседневной жизни. Элис будет иметь полный контроль над этими данными и сможет четко видеть, какие сведения о ней со временем собирает ее телефон, а также другие датчики и услуги.

Поскольку приложение Foursquare PDS работает в рамках вычислительной инфраструктуры, которой владеет Элис, она сможет в любой момент проследить исходящие данные, дабы убедиться, что никакая неожиданная информация не покидает границы ее PDS. Таким образом, на основе PDS могут быть построены насыщенные функциями приложения и сервисы, которые будут задействовать все эти разрозненные источники данных, в то время как Элис по-прежнему останется владельцем базовых данных, лежащих в корне этих вычислений, и сможет принять меры для защиты своего личного пространства.

Пример применения: Психическое здоровье. Психические заболевания занимают высокую позицию в списке самых острых проблем в области здравоохранения во всем мире ввиду ущерба, который они наносят обществу, хотя во многих случаях они излечимы. Депрессия, например, является основой причиной инвалидности в странах с развитой рыночной экономикой. Вынесение диагнозов психических расстройств чаще всего основано на факте самостоятельного обращения пациента, учителя, члена семьи или соседа за помощью.

Многие симптомы психических расстройств затрагивают шаблоны физической активности, передвижений и общения – все то, что может быть измерено посредством данных мобильных телефонов. Акселерометры могут выявить суетливость, нервное хождение из одного угла в другой, как и прочие резкие и лихорадочные движения. Отслеживание местоположения может выявить изменения в посещаемых местах и маршрутах, а также общую степень физической подвижности. Частота и шаблоны общения индивида с другими людьми, вместе с содержанием и манерой их речи, могут также отражать ключевые признаки различных психических расстройств. Более того, ценность этих данных умножается в сочетании с возможностью периодически задавать вопросы о том, как человек себя чувствует или чем он занимается в тот момент, когда его поведение начинает вселять беспокойство.

Если бы мы могли пассивно и автоматически измерять эти «честные сигналы» психических расстройств, то медицинский персонал теоретически мог бы связаться с человеком прежде, чем его жизнь вышла бы из-под контроля. И, что еще более важно, если бы его друзья могли получать подсказки о том, что что-то идет не так, они могли бы выйти на связь как раз в тот момент, когда поддержка со стороны друзей имеет огромную терапевтическую силу. Но здесь, конечно, присутствует проблема приватности.

Мои наблюдения, связанные с тем, как состояние психического здоровье можно оценивать посредством «честных» сигналов поведения, которые могут измеряться при помощи датчиков мобильных телефонов, а также с тем, какую пользу может принести пользователям обмен этими сигналами с друзьями, стали основой для включения системы openPDS в программу по Обнаружению и компьютерному анализу психологических сигналов (DCAPS) Агентства по перспективным оборонным научно-исследовательским разработкам США (DARPA).

В DCAPS смартфоны образуют повсеместно распространенную платформу, обеспечивающую непрерывное считывание и мониторинг сигналов в естественных условиях при минимуме необходимых усилий со стороны ветеранов. Эти устройства могут записывать интонацию голоса пользователя, частоту взаимодействий с другими людьми, общие уровни движения и активности, а также другие, менее очевидные, «честные» социальные сигналы. Действительно, значительная доля симптомов, перечисленных в четвертом издании «Руководства по диагностике и статистике психических расстройств» (DSM–IV), которые используются для диагностики различных нарушений психического здоровья, фокусируются на изменениях в поведении, которые в точности соответствуют типам измерений, которые можно эффективно производить при помощи мобильных телефонов (руководство DSM–IV, которое скоро будет дополнено и переиздано как DSM–V, является наиболее авторитетным и широко применяемым руководством по диагностике психического здоровья).

Наши системы openPDS и Funf обеспечивают безопасную, надежную в отношении конфиденциальности, масштабируемую сенсорную платформу, которая при помощи мобильных телефонов собирает данные о «честных» сигналах, которые затем могут анализироваться на предмет наличия признаков психических расстройств и стресса. Данные могут надежно храниться в openPDS, и это позволит каждому смотреть и комментировать статус общего состояния своего психического здоровья.

Рисунок 21 показывает интерфейс приложения DCAPS для мобильного телефона, разработанный моей лабораторией в МТИ (другие подрядчики DCAPS создали собственные интерфейсы). На этой странице люди могут видеть три параметра, в рамках которых их поведение оценивалось в течение предыдущего дня. Эти параметры включают: уровень активности, уровень социализации и уровень внимания в ходе разных видов деятельности. Все эти три параметра соответствуют критериям для выявления депрессии и посттравматического стрессового расстройства (ПТСР) по DSM–IV, но также являются вполне разумными параметрами повседневной жизни, поэтому их смысл понятен как пользователям, так и медицинскому персоналу. На рис. 21 центральный блок отображает поведение пользователя по итогам предыдущего дня; он окружен кольцом, которое показывает максимальное и минимальное значения активности, фокусировки внимания и социализации друзей пользователя. В этом случае пользователь явно отстает от своих приятелей, и это должно стимулировать как самого пользователя, так и его друзей к тому, чтобы обдумать возможность совместного обсуждения причин этой ситуации.

Рис. 21. Защищенное и конфиденциальное измерение психического здоровья с помощью мобильного телефона