O modelo de negócios do Google depende de saber o máximo possível sobre seus usuários. Mas, à medida que o público cada vez mais desperta para seus direitos de privacidade , esse imperativo gerou mais atrito . Uma proteção na qual o Google investiu é o campo da ciência de dados conhecido como ” privacidade diferencial ” , que estrategicamente adiciona ruído aleatório às informações do usuário armazenadas em bancos de dados para que as empresas ainda possam analisá-las sem conseguir identificar as pessoas. E agora a empresa está lançando uma ferramenta para ajudar outros desenvolvedores a atingir o mesmo nível de defesa de privacidade diferencial.
Agora, o Google está anunciando um novo conjunto de bibliotecas de privacidade diferenciadas de código aberto que não apenas oferecem as equações e modelos necessários para definir limites e restrições na identificação de dados, mas também incluem uma interface para tornar mais fácil para mais desenvolvedores realmente implementarem as proteções. A ideia é possibilitar que as empresas explorem e analisem suas informações de banco de dados sem perfis de identidade invasivos ou rastreamento. As medidas também podem ajudar a mitigar as consequências de uma violação de dados, porque os dados do usuário são armazenados com outros ruídos de confusão.
“É realmente tudo sobre proteção de dados e sobre como limitar as consequências da liberação de dados”, diz Bryant Gipson, gerente de engenharia do Google. “Dessa forma, as empresas ainda podem obter insights sobre dados valiosos e úteis para todos, sem fazer nada para prejudicar esses usuários.”
“Se você quer que as pessoas usem corretamente, você precisa colocar uma interface que possa ser usada por seres humanos reais.”
LEA KISSNER, HUMU
Atualmente, o Google usa bibliotecas de privacidade diferenciadas para proteger todos os diferentes tipos de informações, como dados de localização, gerados por seus clientes móveis do Google Fi. E as técnicas também surgem em recursos como os medidores do Google Maps, que mostram o quão ocupadas as diferentes empresas estão ao longo do dia. O Google construiu intencionalmente suas bibliotecas de privacidade diferenciadas para serem flexíveis e aplicáveis ao maior número possível de recursos e produtos de banco de dados.
A privacidade diferencial é semelhante à criptografia no sentido de que é extremamente complicada e difícil de fazer da maneira certa. E, como acontece com a criptografia, os especialistas desencorajam fortemente os desenvolvedores a tentar “criar seu próprio” esquema de privacidade diferencial ou projetar um do zero. O Google espera que sua ferramenta de código aberto seja fácil de usar para ser um balcão único para desenvolvedores que, de outra forma, poderiam se meter em problemas.
“O código diferencial subjacente de criação de ruído de privacidade é muito, muito geral”, diz Lea Kissner, diretora de privacidade da startup de comportamento no local de trabalho Humu e ex-líder global de tecnologia de privacidade do Google. Kissner supervisionou o projeto de privacidade diferencial até sua saída em janeiro. “A interface colocada na frente também é bastante geral, mas é específica para o caso de uso de alguém fazendo consultas a um banco de dados. E essa interface é importante. Se você quiser que as pessoas a usem corretamente, você precisa colocar uma interface é que pode ser usado por seres humanos reais que não têm um PhD na área. ” (O que Kissner faz.)
Os desenvolvedores podem usar as ferramentas do Google para proteger todos os tipos de consultas de banco de dados. Por exemplo, com privacidade diferencial em vigor, os funcionários de uma empresa de compartilhamento de scooters podem analisar devoluções e coletas em horários diferentes, sem também saber especificamente quem andou em qual scooter. E a privacidade diferencial também tem proteções para evitar que dados agregados revelem muito. Pegue a duração média da viagem de scooter: mesmo se os dados de um usuário forem adicionados ou removidos, isso não mudará o número médio de viagens o suficiente para explodir a cobertura matemática desse usuário. E a privacidade diferencial é construída em muitas dessas proteções para preservar conclusões mais amplas sobre tendências, não importa o quão granular alguém faça suas consultas de banco de dados.
Parte da razão pela qual é tão difícil implementar seu próprio diferencial de privacidade é que essas ferramentas, como esquemas de criptografia, precisam ser examinadas pelo maior número possível de pessoas para detectar todas as falhas e questões conceituais que poderiam passar despercebidas. Gipson do Google diz que é por isso que era uma prioridade tornar a ferramenta de código aberto; ele espera que as comunidades acadêmicas e técnicas em todo o mundo ofereçam feedback e sugestões sobre como melhorar a oferta do Google.
O Uber também lançou uma ferramenta de privacidade diferencial de código aberto em 2017 em colaboração com pesquisadores da UC Berkeley e a atualizou em 2018. A Apple, por sua vez, usa um esquema de privacidade diferencial proprietário. A empresa está na vanguarda da implementação da tecnologia, mas pesquisadores independentes descobriram que a abordagem pode não oferecer as garantias de privacidade que a Apple afirma.
O Google diz que uma coisa nova que sua solução oferece é que não presume que nenhum indivíduo em um banco de dados esteja associado apenas a um registro, no máximo, como a maioria dos outros esquemas fazem. Isso é verdade em um censo ou banco de dados de registros médicos, mas geralmente não se aplica a um conjunto de dados sobre pessoas que visitam locais específicos ou usam seus telefones celulares em vários lugares do mundo. Todo mundo é pesquisado uma vez para o censo, mas as pessoas costumam visitar o mesmo restaurante ou usar a mesma torre de celular muitas vezes. Portanto, a ferramenta do Google permite a possibilidade de uma pessoa contribuir com vários registros para um banco de dados ao longo do tempo, um recurso que ajuda a manter as garantias de privacidade em uma ampla gama de situações.
Junto com a ferramenta em si, o Google também está oferecendo uma metodologia de teste que permite aos desenvolvedores executar auditorias de sua implementação de privacidade diferencial e ver se está realmente funcionando conforme o esperado.
“De nossa perspectiva, quanto mais pessoas fizerem privacidade diferenciada, dentro ou fora do Google, melhor”, diz Gipson, do Google. “Levar isso para o mundo mais amplo é o valor real aqui, porque mesmo com muitos olhos em algo você ainda pode perder falhas de segurança flagrantes. E 99,9% diferencialmente privado não é diferencialmente privado.”
Como acontece com qualquer técnica, a privacidade diferencial não é uma panacéia para todos os problemas de segurança das grandes tecnologias. Mas, considerando a quantidade de problemas que precisam ser corrigidos, vale a pena ter o maior número possível de pesquisadores perseguindo o último décimo de por cento.
Texto de Lily Hay Newman