基于隱私保護的經濟統計信息發布

[摘 要] 目前我國在經濟統計信息的隱私保護方面還做得不夠。主要表現為：信息發布時存在損失，丟掉了一些重要信息，不能很好地反映原有的涵義；信息共享時沒有對統計數據進行隱私保護，存在隱私泄露。本文從用戶對查詢結果要求準確這一前提出發，提出一種基于交互的序列表發布模型，保證敏感信息不泄露，同時又能最大程度地減少經濟統計信息的損失。實驗結果表明，該模型對于大數據集的隱私具有較好的保護，丟失的重要信息少，能夠滿足經濟統計信息發布的需要。

[關鍵詞] 統計數據； 隱私保護； 敏感信息； 序列表

[中圖分類號] C816； F222； TP311 [文獻標識碼] A [文章編號] 1673 - 0194（2013）03- 0078- 03

1 引 言

21世紀以來，隨著信息技術的進步和互聯網的廣泛應用，信息共享已成為人們日常工作、生活和學習中的普遍行為。政府部門、社會團體和個人的統計信息大量涌現，信息數據收集的種類和數量呈指數級增長。與此同時，國家和有關部門制定了有關信息安全的法規及相關制度，輿論媒體對統計數據的關注度和要求也越來越高，但有關國民經濟的各種統計數據因存在虛假和泄露隱私受到質疑的情況卻時有發生。大量的隱私數據發布和共享已經對隱私和信息安全構成威脅，隱私數據的泄露已成為急待解決的問題[1]。如何保證隱私數據在發布或使用時不被對應到特定人和特定部門已成為一個研究熱點。

統計信息通過分析統計數據得到，統計數據按屬性可分為4類：① 能直接識別個體身份信息的顯式標志符（EID），如身份證號、姓名、社會保險代碼等；② 有助識別個體信息身份的準標志符（QID），如一些組合屬性；③ 敏感屬性（SA），即隱私信息；④ 非敏感屬性（NSA），即非上述3類的其他屬性。本文所述的隱私保護主要是指對統計數據中個人敏感信息的安全保護，是防止不法分子對個人敏感信息非法竊取的私有信息保護[2]。隱私攻擊者除了能訪問發布的統計數據表外，還可能通過文獻資料、技術文檔等獲得發布的統計數據表中所采用的隱私模型和實現算法等。我們假定攻擊者可能獲得的數據信息統稱為背景知識。通常攻擊者都是從背景知識中獲得目標對象的QID屬性（如出生日期、性別、出生地、郵政編碼等）。

用戶對經濟統計數據的第一要求是查詢結果必須準確。從這個前提出發，本文提出一種基于交互的序列表發布模型，它能保證敏感信息不泄露，同時又能最大程度地減少統計數據的信息損失，提高統計數據的效用。實驗結果表明，該模型對于大數據集的隱私能很好地進行保護，而且丟失的重要信息少，能夠滿足統計數據發布的需要。

2 隱私保護模型

為了解決隱私保護問題，國內外研究者提出了很多方法，這些方法主要有：① 匿名保護。為了保護個人信息，在數據發布時，對能夠直接標識個人身份的標識符進行刪除或加密。② 擾亂、隨機化數據技術。通過對數據的隨機化處理，增加數據“噪聲”，使得數據不再反映真實的世界，從而無法被濫用而侵犯個人隱私。當然，關鍵的技術是要從處理后的數據中獲得有效的分析結果。③ 分布式的隱私保護技術。雙方或多方進行數據分析挖掘時，由于某種原因，參與者不愿將數據與他人共享而只愿共享數據分析挖掘結果。這需要運用密碼學技術來解決實際的隱私問題。如安全兩方或多方計算問題等。④ k-匿名技術。它要求在公布后的數據中保留一定數量的個體特征，從而防止匿名處理后的數據被鏈接攻擊，造成個人隱私泄露。

研究者們根據隱私保護方法建立了很多隱私信息保護發布模型，如k-匿名模型[3]、L-多樣性模型[4]、t-closness框架[5]和個性化匿名模型[6]等。這些隱私保護模型都是針對可能存在隱私泄露建立的。

3 基于統計應用的交互序列發布模型及算法

3.1 序列發布模型

隱私保護模型實際是利用好的數據發布方法來保護隱私，使用最多的算法是泛化或有損連接（降低QID和SA兩者之間的聯系）[7]。在一些統計分析中，需要進行聯合查詢，用戶對統計數據進行查詢最重要的要求是查詢結果準確，這樣發布的數據才有較高的應用價值。而匿名化技術將發布的數據表中涉及個體的標志屬性刪除了，因此降低了QID屬性和SA之間的聯系，無法得到用戶關心的準確查詢結果。在對應用查詢的實際需求和大量實際數據集的QID屬性的統計中發現，應用查詢中所涉及的QID屬性數目一般只有3個左右，而原始數據集中一般都存在大量滿足匿名要求的數據記錄，且所占比例跟QID的數目存在密切的關系。例如一個人口統計的實際數據集共有14 種屬性，記錄約4萬條，其中QID的全部組合數目為9。在k-匿名模型中，當k = 20，QID數目為3時，其平均滿足k-匿名的記錄比例可高達85%，而QID數目為全部組合時滿足k-匿名的記錄比例只有5%左右；當k = 2，QID數目為全部組合時，滿足k-匿名的記錄比例只有40%左右。由此可見，如果將所有的QID屬性捆綁在一起進行匿名，必然會導致大量記錄的QID屬性和SA被割斷。

本文提出一種基于用戶應用查詢的序列發布模型，將滿足k-匿名的記錄按照QID數目由高到低分成一組序列表進行發布。首先發布屬性包含了全部QID組合和SA的記錄，然后將QID數減少一個，發布屬性包含QID組合和SA的剩余記錄。如此類推，直到最后QID的數目減少為3，再將這些剩余記錄按照屬性為3個QID和SA泛化發布，從而提高泛化表的查準率。