Nya integritetslagar som Europas allmänna dataskyddsförordning (GDPR) och California Consumer Privacy Act (CCPA) har skapat en ny industri av företag och plattformar som annonserar att de kan anonymisera dina uppgifter och följa lagen.

Men MIT-forskaren Aloni Cohen säger att han har sina tvivel om dessa påståenden, och hans teams senaste arbete visar att det finns anledning att vara skeptisk.

Specifikt, en ny tidskriftsartikel från Cohen och professor Kobbi Nissim hävdar att en anonymitetsteknik som kallas k-anonymitet – som används av många företag som gör sådana påståenden – inte hindrar en användare från att pekas ut och avanonymiseras genom att titta på plattformens bredare data. Forskarna studerar en ny typ av attack som de kallar "predicate singing out, " modellerad efter en typ av GDPR-integritetskränkning som kallas att särskilja.

"Jag tycker att det är rimligt att säga att många av påståendena från dessa "anonymitet-som-en-tjänst"-företag är misstänkta, säger Cohen, vars artikel med Nissim publicerades online idag i PNAS . "Det här dokumentet är ett steg i att testa det och visa hålen i deras tillvägagångssätt."

Teamet hävdade att företag som använder k-anonymitet för att anonymisera data istället kan använda differentiell integritet, en nyare teknik som involverar exakt kontrollerad randomisering för att maskera närvaron eller frånvaron av en viss individ i en datauppsättning. Forskarna visar att differentiell integritet förhindrar predikat att peka ut attacker.

Differentiell integritet växer i bruk i miljöer där mer traditionella metoder för anonymisering anses otillräckliga. US Census Bureau använder differentiell integritet för att tillhandahålla konfidentialitet för 2020 års folkräkning. Antagandet av GDPR sporrade också Facebook att använda differentierad integritet för att hjälpa samhällsvetare som studerar desinformation online.

"Medan vi visar differentiell integritet förhindrar predikat att peka ut attacker, det är inte nödvändigtvis fullfjädrad anonymisering enligt lagen, " säger Cohen. "Å andra sidan visar detta arbete att, som en generell regel, du bör vara skeptisk till alla företag som säger till dig att deras användning av k-anonymitet ger dig "GDPR-efterlevnad."

Uppsatsen representerar också ett spännande nytt exempel på hur matematik och datorkod kan användas för att kvantifierbart avgöra om företag faktiskt följer lagen.

"Vi känner att bevisa att något är PSO-säkert inte bara är ett matematiskt koncept, men en som kan användas för att stödja en juridisk slutsats, och det borde faktiskt få rättsliga konsekvenser, säger Cohen.