联合国网络安全落地案例精选 | 分享3个极具推广价值的隐私计算应用实践！-pg电子官方

波士顿妇女劳动力委员会(bwwc)为了审查“缩小工资差距”的政策落地实施情况，每1-2年会利用大波士顿地区约六分之一员工的真实工资信息来衡量全市的工资差距。

由每个组织提供一份包含600多个数据单元的电子表格，经过计算bwwc收到所有参与组织的每个单元的总和。在不泄露员工个人隐私数据的前提下，bwwc获取按性别、种族、民族等不同维度划分的平均工资。

波士顿妇女劳动委员会担任计算方和输出接收方的角色

1. 数据提供方为100个来自大波士顿地区大大小小的公司和非盈利组织。为了方便输入方使用，波士顿大学设计了一个网络应用程序，供数据提供方提供数据，用于规范输入格式，以及检查常见类型的数据输入错误。输入方对数据预处理后再发送给波士顿大学，波士顿大学既看不到输入，也看不到输出。

2. 信任前提：“波士顿大学”和“波士顿妇女劳动委员会”不会共谋，且行为是半诚实的，具有审核和验证代码的能力。

计算效率低和法规政策不健全，是导致“隐私计算技术”难以被产品化的两大原因。在计算效率方面，该案例中，波士顿妇女劳动力委员会每1-2年测量一次工资差距，方案的应用频次低，对协议效率的要求不高。另外，协议中只涉及简单的公钥加解密以及加和运算，不存在复杂的运算和交互，计算效率高。

一直以来，没有清晰的标准法规是“隐私计算技术”难以落地使用的最大障碍之一。但该案例中的隐私计算协议，之所以能产品化，是因为其并没有使用复杂的数学问题设计，而是由传统的密码技术构造而成，计算流程简单易懂，容易被客户理解和认可。

【小编观点】：该pg电子平台网站的解决方案有一个很难复制的门槛在于对信任前提要求高，只有在“波士顿大学”和“波士顿妇女劳动委员会”不会共谋，且行为是半诚实的前提下，方案才会成立。该案例说到底解决的是隐私分类加和（向量加）的问题，当该pg电子平台网站的解决方案平移应用于其他应用场景时，不容易找到像“波士顿大学”和“波士顿妇女劳动委员会”这样的信任关系。

美国人口普查局每十年都要“统计每个州的总人口数”，这一统计结果决定了每个州的国会席位数量以及联邦资金的分配。除此之外，统计局还会基于美国人口普查结果进行不同的调查，用以衡量社会经济、公共卫生和教育指标。

但现实中，一方面，人口普查信息包含了许多敏感属性，不允许直接披露；另一方面，数据使用者希望使用更准确、更透明、更容易获得的统计数据。为了解决两方面的矛盾，该案例设计了基于差分隐私的信息免披露系统。

差分隐私（differential privacy,dp）技术是dwork在2006年针对数据库的隐私泄露问题提出的一种新型密码学手段。该机制是在源数据或计算结果上添加特定分布的噪音，确保各参与方无法分析出数据集中是否包含某一特定实体，同时不会破坏数据的统计特性。

在执行差分隐私的过程中，首先对原始不同类别的数据进行统计分析，这可能包括计算数据的平均值、中位数、标准差等统计信息，以便了解数据的分布和特征。这种统计分析有助于了解哪些数据是敏感的，哪些不是，以及如何在添加噪声时平衡数据的可用性和隐私保护。然后，根据计算出的披露风险和隐私损失预算，向每个单元添加噪声。下图展示了从最大的地理单元(国家)到最小的地理单元(人口普查区域)噪声处理的方法。

【小编观点】：需要注意的是，差分隐私虽然是一种强大的隐私保护技术，但它并不能完全消除所有风险。在数据发布和分析过程中，仍然存在一些潜在的安全威胁和隐私泄露风险。因此，在使用差分隐私技术时，需要仔细权衡数据可用性和隐私保护之间的关系。

印尼旅游部每个月都会根据移动网络运营商(mnos)的数据来编制旅游统计报告。

通常情况下，一段时间内用户可能在不同运营商的网络中交叉漫游，如果仅使用一家移动网络运营商的定位数据，可能难以获得关于跨境旅游的及时和精准的统计数据。然而，定位信息属于客户的敏感信息和运营商的机密业务信息，不可能无条件共享出来。

为此，该案例利用sharemind hi平台提供的可信执行环境(intel sgx)，实现了在不显示共享数据的情况下分析用户在各个运营商的交叉漫游情况以及旅游数据分析。

两个移动网络运营商(mnos)作为数据提供方，将数据输入到可信执行环境中进行分析，最终将分析结果输出到印尼旅游部。

【小编观点】：印尼旅游部每个月统计一次旅游报告，方案的应用频次低、对效率的要求不高。并且，tee运行效率高，能够满足该应用场景的效率要求。方案设计中，在可信执行环境中利用哈希增加一层对数据的保护，缓解了由于标准法规不健全，运营商对数据安全的担忧。