ตัวระบุเสมือน
ตัวระบุเสมือนคือชิ้นส่วนของข้อมูลที่ไม่ใช่ตัวระบุเฉพาะตัวแต่มีความสัมพันธ์กับเอนทิตีได้ดีพอที่จะสามารถรวมเข้ากับตัวระบุเสมือนอื่นๆ เพื่อสร้างตัวระบุเฉพาะตัวได้[ 1 ]
ดังนั้น เมื่อรวมข้อมูลกึ่งระบุตัวตนเข้าด้วยกัน ข้อมูล เหล่านี้จึงสามารถกลายเป็นข้อมูลระบุตัวตนส่วนบุคคล ได้กระบวนการนี้เรียกว่าการระบุตัวตนซ้ำตัวอย่างเช่นLatanya Sweeneyได้แสดงให้เห็นว่า แม้ว่าเพศวันเกิดหรือรหัสไปรษณีย์ จะไม่ สามารถระบุตัวตนของแต่ละบุคคลได้อย่างเฉพาะเจาะจง แต่การรวมกันของทั้งสามอย่างนี้ก็เพียงพอที่จะระบุตัวตนของบุคคลได้ถึง 87% ในสหรัฐอเมริกา[ 2 ]
คำนี้ได้รับการแนะนำโดย Tore Dalenius ในปี 1986 [ 3 ]ตั้งแต่นั้นมา ตัวระบุเสมือนได้กลายเป็นพื้นฐานของการโจมตีข้อมูลที่เผยแพร่หลายครั้ง ตัวอย่างเช่น Sweeney เชื่อมโยงบันทึกสุขภาพกับข้อมูลที่เปิดเผยต่อสาธารณะเพื่อค้นหาบันทึกโรงพยาบาลของผู้ว่าการรัฐแมสซาชูเซตส์ในขณะนั้นโดยใช้ตัวระบุเสมือนที่ระบุตัวตนเฉพาะ[ 4 ] [ 5 ]และ Sweeney, Abu และ Winn ใช้บันทึกผู้มีสิทธิเลือกตั้งสาธารณะเพื่อระบุตัวตนผู้เข้าร่วมในโครงการจีโนมส่วนบุคคลอีกครั้ง[ 6 ]นอกจากนี้ Arvind Narayanan และVitaly Shmatikovได้หารือเกี่ยวกับตัวระบุเสมือนเพื่อระบุเงื่อนไขทางสถิติสำหรับการเปิดเผยข้อมูลที่ Netflix เผยแพร่[ 7 ]
Motwani และ Ying เตือนเกี่ยวกับการละเมิดความเป็นส่วนตัวที่อาจเกิดขึ้นจากการเผยแพร่ข้อมูลภาครัฐและธุรกิจจำนวนมากที่มีข้อมูลระบุตัวตนแบบกึ่งๆ[ 8 ]