| 26 сен 2016 — 8:40 PT
Обновление (28.09.2016 14:54 PDT): Apple подтвердила, что когда пользователь соглашается отправлять данные диагностики и использования, он также автоматически соглашается отправлять данные, которые затем обрабатываются методами дифференциальной приватности.
Когда Apple впервые объявила об использовании дифференциальной приватности в iOS 10, это не обошлось без некоторой доли критики. Скептики со всех сторон начали задаваться вопросом, насколько приватной действительно может быть дифференциальная приватность при массовом внедрении, как это планировалось в iOS 10.
Apple уточнила, что использование дифференциальной приватности для сбора данных пользователей будет осуществляться по принципу «opt-in», то есть, если пользователь не хотел участвовать в системе, он мог отказаться. Apple никогда не указывала, где находится этот раздел для согласия и что произойдет, если вы откажетесь…
Когда iOS 10 была официально выпущена для общественности несколько недель назад, я решил начать с нуля, а не восстанавливать из резервной копии. Не из-за каких-либо опасений, что что-то из прошлых резервных копий iOS может помешать работе iOS 10, а просто чтобы увидеть, как iOS 10 будет выглядеть для нового пользователя. Единственное, что я искал критически важно, — это указание на то, где я могу согласиться на использование дифференциальной приватности Apple, и вот тут-то все и стало туманно.
Будучи начинающим iOS-разработчиком, я привык настраивать устройства и всегда соглашаюсь на предоставление информации о диагностике и использовании. Я понимаю важность получения отчетов о сбоях от пользователей, чтобы разработчик мог быстро устранять проблемы. Чего я не учел, так это того, где именно в iOS 10 были реализованы опции дифференциальной приватности. Ситуация стала мне еще более очевидной благодаря Александре Короловой, доценту, занимающемуся вопросами конфиденциальности в Школе инженерии Витерби Университета Южной Калифорнии.
2/ Opt-in text for differentially private data collection missing info needed for meaningful choice: privacy parameter values used by iOS 10
— Aleksandra Korolova (@korolova) September 13, 2016
Королова и ее студент Джун Танг обнаружили, что Apple объединила упоминание дифференциальной приватности в двух разных разделах диагностики в iOS 10. В iOS 10 согласие на автоматическую отправку данных диагностики и использования разработчикам приложений означает, что пользователи также автоматически подвергаются сбору данных с использованием дифференциальной приватности. Похоже, что если пользователь хочет отправлять диагностические данные разработчикам, но не хочет подвергаться сбору этих новых данных, то ему не повезло.
Здесь нам придется немного разделить разговор. Разработчики приложений не будут получать ваши данные с дифференциальной приватностью при отправке данных диагностики и использования. Данные собираются для Apple и ею же в настоящее время. Ранее Apple заявляла, что использование дифференциальной приватности — это способ построить «коллективное обучение, сохраняя при этом полную конфиденциальность данных отдельных пользователей». Затем Apple добавила, что использование дифференциальной приватности будет ограничено четырьмя конкретными сценариями использования:
Новые слова, добавляемые пользователями в их локальные словари, эмодзи, вводимые пользователем (чтобы Apple могла предлагать замены эмодзи), глубокие ссылки, используемые внутри приложений (при условии, что они помечены для публичного индексирования) и подсказки при поиске в заметках.
3/ Diagnostics so far: algorithms CountMedianSketch, OneBitHistogram, SequenceFragmentPuzzle+CountMedianSketch; epsilon 1, 1, 4 (ht JunTang)
— Aleksandra Korolova (@korolova) September 13, 2016
Конечно, сбор данных в iOS не нов. Пользователи могли отправлять свою информацию о диагностике и использовании в iOS 9 и более ранних версиях, если они выбирали «opt-in». Согласно условиям «Диагностика и конфиденциальность» iOS 10, «ни одна из собранных данных не идентифицирует вас лично». Собранные личные данные (четыре конкретных сценария использования, перечисленных выше) «либо вообще не регистрируются», либо «подвергаются методам сохранения конфиденциальности, таким как дифференциальная приватность». Тогда возникает вопрос: насколько приватным является это использование данных? Мне нравится идея, что Apple предлагает мне замены эмодзи, но не за счет риска раскрыть мои данные о том, как я в настоящее время использую свое устройство.
Откажетесь ли вы от дальнейшего сбора данных, если это означает, что разработчики приложений не будут получать ваши отчеты о сбоях?
Дифференциальная приватность призвана создать гарантию, беря мои данные и делая их конфиденциальными, но как я могу быть уверен? Похоже, что Apple использует различные алгоритмы для анонимизации данных (см. твиты Короловой с изображениями диагностических журналов выше), но нет ясности в том, насколько конфиденциальны эти данные. Чтобы пользователь мог сделать лучший выбор относительно того, разрешать ли сбор своих данных с использованием дифференциальной приватности, ему необходимо лучше информировать о том, насколько конфиденциальны его данные после применения каких-либо конкретных алгоритмов.
Чтобы отказаться от автоматической отправки данных диагностики и использования разработчикам в iOS 10, и, следовательно, прекратить сбор данных:
Шаг 1. Откройте «Настройки» > «Конфиденциальность» > «Диагностика и использование»
Шаг 2. Выберите Не отправлять. (Также может появиться уведомление: «Это также отключит сбор данных на ваших Apple Watch».)
Мы связались с Apple с просьбой о дальнейших разъяснениях и обновим пост, если получим ответ. Ответ Apple был добавлен в верхнюю часть поста.