Så säkerställs människors integritet i maskininlärning

6 december 2021
Artikel från Högskolan i Skövde
Ämne: Natur & teknik

Maskininlärning för att analysera persondata inom verksamheter som e-handel, sjukvård och inom finansiella tjänster. Men känsliga personuppgifter kan läcka i processen. Forskare vid Högskolan i Skövde, föreslår nu bättre sätt att anonymisera data

Att publicera personuppgifter digitalt, utan att använda några dataskyddsmekanismer, kan kränka individernas integritet. Därför tillämpar de som är ansvariga för personuppgifter olika dataskyddsmekanismer, till exempel dataanonymisering, innan personuppgifter publiceras. Men det är viktigt att säkerställa att resultaten av dessa dataanalysmetoder också bevarar de bakomliggande individernas integritet.

Risk att känslig information om persondata läcker ut

Maskininlärning (machine learning, ML) är en av de mest använda dataanalysmetoderna som tränar datorer i att känna igen och lära sig mönster från data för att lösa komplexa uppgifter. Det används inom en mängd olika verksamheter, där insamlade personuppgifter används för att träna ML-modellerna. Men ny forskning visar att ML-modellerna, genom sin utdata, kan läcka integritetskänslig information om den persondata som används.

Det innebär att ML-modeller medför integritetssårbarheter som kan utnyttjas för att få fram känslig information om de individer vars data används för modellträning. Därför är det mycket viktigt att förstå integritetssårbarheterna i ML innan personuppgifter används för modellträning.

Modell visar risken för attacker mot integriteten

Navoda Senavirathne, doktorand vid Högskolan i Skövde, vill bredda vår förståelse av integritetssårbarheterna i ML. Samtidigt föreslår hon i sin avhandling lämpliga begränsningsstrategier för dessa sårbarheter.

Hon har tagit fram en integritetsattackmodell som överträffar de befintliga attackmodellerna som utnyttjar integritetssårbarheterna i ML. Det visar att dessa begynnande integritetsrisker inte längre är teoretiska utan också praktiska.

GDPR gäller sedan 2018

EU:s dataskyddsförordning General Data Protection Regulation, GDPR, trädde i kraft 2018. Den innebär bland annat hårdare krav på hantering av personuppgifter. Dataskyddsförordningen gäller för alla organisationer och branscher som sparar eller på något sätt hanterar personlig och känslig information om sina anställda eller sina kunder.

Anonymisering av data har fördelar – men kan bli bättre

– Jag har även studerat dataanonymisering som en potentiell begränsningsstrategi för befintliga integritetsattackmodeller, samtidigt som jag betonar fördelarna med dataanonymisering för både organisationer och individer. Dessutom uppmärksammar jag vissa områden av GDPR som är vaga och i konflikt med användbarhets- och integritetsaspekten i ML. Därför måste lagstiftarna ompröva dem, säger Navoda Senavirathne.

Navoda Senavirathne analyserar också utmaningarna med att anpassa de vanligaste anonymiseringsmetoderna och föreslår en förfinad dataanonymiseringsmetod som fungerar i ML-sammanhang. Genom systematiska experiment visar hon att befintliga dataanonymiseringsmetoder minskar integritetsriskerna för ML-modeller endast under vissa förutsättningar.

Underlättar för de som hanterar personuppgifter

– Dessa fynd inspirerade mig att ta fram ett tillvägagångssätt för sekretessbevarande ML-modellval. Jag tror att min forskning kommer underlätta för de som arbetar med personuppgifter att träna användbara ML-modeller för kunskapsutvinning, samtidigt som de säkerställer individernas integritet, säger Navoda Senavirathne.

Avhandling:

Towards Privacy Preserving Micro-Data Analysis: A Machine Learning Based Perspective under Prevailing Privacy Regulations

Kontakt:

Navoda Senavirathne, Institutionen för informationsteknologi, Högskolan i Skövde, navoda.senavirathne@his.se

Mer forskning om

Artificiell intelligens

Kaka	Varaktighet	Beskrivning
ASP.NET_SessionId	session	Issued by Microsoft's ASP.NET Application, this cookie stores session data during a user's website visit.
AWSELB	session	Associated with Amazon Web Services and created by Elastic Load Balancing, AWSELB cookie is used to manage sticky sessions across production servers.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.

Kaka	Varaktighet	Beskrivning
BIGipServerpp-prod-front-su-https	10 minutes	No description
loglevel	never	No description available.
ppwp_wp_session	30 minutes	No description
pum-113142	1 month	No description

Kaka	Varaktighet	Beskrivning
loc	1 year 1 month	AddThis sets this geolocation cookie to help understand the location of users who share the information.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Kaka	Varaktighet	Beskrivning
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
at-rand	never	AddThis sets this cookie to track page visits, sources of traffic and share counts.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
EPi_NumberOfVisits	1 year	This cookie is set by the provider Epicor. The main purpose of the cookie is WCMS system level. The cookie is used for creating and analyzing the number of visits in websites.
uvc	1 year 1 month	Set by addthis.com to determine the usage of addthis.com service.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Kaka	Varaktighet	Beskrivning
__cf_bm	30 minutes	This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.
PBSECURESUSID	session	This cookie is set by the provider Podbean. This is a session cookie used to verify that the users are on secure sessions. It helps iin implementing audio files on the website.

Tema

Så säkerställs människors integritet i maskininlärning

Risk att känslig information om persondata läcker ut

Modell visar risken för attacker mot integriteten

GDPR gäller sedan 2018

Anonymisering av data har fördelar – men kan bli bättre

Underlättar för de som hanterar personuppgifter

Avhandling:

Kontakt:

Mer forskning om

Relaterade artiklar

Läs också

Så säkerställs människors integritet i maskininlärning