עִםiOS 10, הטלפון שלך יציע באיזה ביטוי או כתובת תרצה להשתמש בהמשך בהודעה. אפליקציית המפות שלך תציג לך מסעדות בקרבת מקום שבוודאי תרצה לבקר בהם, ואפליקציית התמונות תזהה פרצופים וסצינות.

נשמע נחמד - עד שתפסיק לחשוב איך הטלפון שלך (או, בקרוב, ה-Mac שלך) יודע את כל זה, וכיצד הוא תואם לפרטיות שלך.

כדי להיות מסוגל לבצע תחזיות מסוג זה, לאפל חייבת להיות מידע רב עליך ועל ההרגלים שלך, והיא חייבת לאחסן את הנתונים האלה איפשהו. ההיגיון מרמז שאם אתה רוצה שהנתונים שלך יהיו בטוחים לחלוטין מעיניים סקרניות, אתה יכול לשכוח שהטלפון שלך מסיים את המשפט שלך. אתה לא יכול לקבל את העוגה שלך וגם לאכול אותה.

אבל אולי אתה יכול.

במהלך ההרצאה המרכזית של ה-WWDC ביום שני, סמנכ"ל הנדסת התוכנה הבכיר של אפל, קרייג פדריגי, הזכיר מושג שנקרא "פרטיות דיפרנציאלית", שאפל מכניסה לשימוש ב-iOS 10. זוהי טכניקה המאפשרת לנתח את נתוני המשתמשים תוך הגנה על פרטיותם באמצעות מתמטיקה, ולמרות שישמעולם לא היה בשימושבקנה מידה גדול מאוד, אפל נראית בטוחה שהיא תעבוד על בסיס המשתמשים העצום שלה.

גישה דו-כיוונית לפרטיות

על פי פדריגי, פרטיות דיפרנציאלית היא שימוש ב"האשינג, תת-דגימה והזרקת רעש" כדי לוודא שנתוני המשתמשים נשארים פרטיים. "אפל עשתה עבודה סופר חשובה בתחום הזה כדי לאפשר פריסת פרטיות דיפרנציאלית בקנה מידה", אמר במהלך ההרצאה המרכזית.

"אפל עשתה עבודה סופר חשובה בתחום הזה כדי לאפשר פריסה של פרטיות דיפרנציאלית בקנה מידה גדול"

פדריגי התפאר באישורו של אהרון רוט מאוניברסיטת פנסילבניה, מומחה לנושא, שככל הנראה שיבח את עבודתה של אפל בתחום הפרטיות הדיפרנציאלית (ניתן לקרוא את ספרו של רוט, הנקראהיסודות האלגוריתמיים של פרטיות דיפרנציאלית, בחינםכָּאן).

"שילוב פרטיות דיפרנציאלית באופן רחב בטכנולוגיה של אפל היא בעלת חזון, וממצבת את אפל כמובילת הפרטיות הברורה בקרב חברות הטכנולוגיה כיום", צוטט רוט.

ישנו היבט חשוב נוסף במאמצי הפרטיות של אפל - הרבה מהתהליכים הללו לעולם אינם עוזבים את המכשיר של המשתמש. אפל מכנה זאת "מודיעין במכשיר".

"iOS 10 משתמשת במודיעין במכשיר כדי לזהות את האנשים, האובייקטים והסצנות בתמונות, ומספקת הצעות QuickType. שירותים כמו Siri, Maps ו-News שולחים נתונים לשרתים של אפל, אבל הנתונים האלה אינם משמשים לבניית פרופילי משתמשים", אפלאומרבתיעוד התצוגה המקדימה של iOS 10.

אמנם החיסרון הברור של זה הוא העובדה שהאייפון או ה-Mac שלך צריכים לעשות עבודה חישובית נוספת, אבל זה מנחם לדעת שחלק מהנתונים שמאפשרים לאפל לבצע תחזיות חכמות לא נמצאים על השרתים של אפל. זה עשוי להיות גורם חשוב אם ה-FBI שובשואלת אפללמסור נתונים של משתמש -- אפל לא תוכל לציית אם פשוט אין לה את זה.

הנה דוגמה היפותטית לאופן שבו השילוב של פרטיות דיפרנציאלית ואינטליגנציה במכשיר יכול לעבוד עבור משתמשי אפל. תארו לעצמכם שלושה בעלי אייפון: בוב, סו ומרי. כל בוקר, בוב אוהב לשתות את הקפה שלו בסטארבקס ליד ביתו; סו ומרי שולחות אחת לשנייה הרבה הודעות. אפל הייתה רוצה להיות מסוגלת להראות לבוב את כל חנויות סטארבקס הסמוכות כאשר הוא פותח את אפליקציית המפות באייפון שלו. אפל גם רוצה להציע לסו ומרי הצעות בזמן שהן שולחות הודעות זו לזו, כמו מספרי טלפון וכתובות של עסקים שהם חיפשו לאחרונה באינטרנט.

אפל בעצם תקשה עליה הרבה יותר לאסוף מידע שימושי.

אבל בוב, סו ומרי כנראה לא רוצים שהממשלה, האקר או אפילו אפל ידעו לאן הם אוהבים ללכת למשקאות, עם מי הם מדברים או מה הם מחפשים באינטרנט. אז אפל לא תיקח את כל הנתונים שלהם ותנתח אותם בשרתים שלה; במקום זאת, חלק מהניתוח יתרחש בטלפונים של המשתמשים.

למרות זאת, אפל בהחלט תצטרך לתפוס חלק מהנתונים הללו ולנתח אותם - ולו מסיבה אחרת, מלבד היכולת לבנות תכונות חדשות כמו אלה שתוארו לעיל. כאן נכנסת לתמונה הפרטיות הדיפרנציאלית. אם הנתונים מחולצים ומסתירים (על ידי הוספת ביטים אקראיים, למשל) בצורה הנכונה, זה לא יאפשר לאפל לקבל מידע ספציפי על סו, מרי או בוב. למעשה, אפל בעצם תקשה עליה הרבה יותר לאסוף מידע שימושי. אפל - או כל אדם אחר שמקבל את הנתונים האלה - לא יידע איפה בוב אוהב לשתות קפה; עם זאת, על ידי שילוב של הרבה פיסות של נתונים של משתמשים בודדים, אפל אמורה להיות מסוגלת להבין היכן אנשים באזור מסוים בדרך כלל לוקחים קפה בבקרים.

ניתן למצוא ניתוח מדהים של איך זה עובד, על דוגמה אמיתית של נסיעות במוניתכָּאן.

זה שונה מהותית מאנונימיזציה

אם אתה אחד מאותם אנשים שבאמת קוראים תנאים והגבלות שונים כשאתה נרשם לשירות מקוון, ייתכן ששמעת משהו דומה בעבר. בדרך כלל, תתבקש לשלוח נתונים אנונימיים כדי לעזור לחברה זו או אחרת לשפר את השירות, וייאמר לך שכל המידע המאפשר זיהוי אישי - שמות, כתובות, מיילים - הוסר מהנתונים.

אבל אנונימיזציה לא תמיד עובדת טוב במיוחד. בספרו, רוט טוען כי "לא ניתן להפוך נתונים אנונימיים לחלוטין ולהישאר שימושיים" והוא מספק את הדוגמה של נטפליקס, שרשומות המנויים האנונימיות שלה היו ב-2007 בהצלחהצָמוּדלאנשים בפועל על ידי השוואת הנתונים של נטפליקס לנתונים מה-IMDb.

במילים פשוטות, אולי אני לא יודע את שמך או כתובת הרחוב שלך, אבל אם אני יודע את עשרת הסרטים האהובים עליך, ואם אני יכול להשוות את זה לרישומים בשירות אחר, שבו השם שלך קיים, אני יכול בקלות לחבר את הנקודות.

אמנם לא חף מאתגרים (כגון כאשר מתמודדים עם הרבה נתונים המגיעים ממספר קטן מאוד של משתמשים), פרטיות דיפרנציאלית מתקנת זאת, ומוודאת שלא ניתן לאתר דפוס במערך נתונים גדול למשתמש בודד.

בעיות אפשריות

למרות הטענות הגרנדיוזיות של אפל - או אולי בגללן - חלק מהמומחים נשארים סקפטיים. מומחה האבטחה ג'ונתן זדז'יארסקי צייץ בטוויטר שאפל לא צריכה לאסוף כל כך הרבה נתונים על המשתמשים שלה מלכתחילה.

ומומחה ההצפנה מתיו גרין סקפטי שאפל יכולה ליישם פרטיות דיפרנציאלית - מושג אקדמי למדי - בקנה מידה גדול.

הרעיון של פרטיות דיפרנציאלית נשמע כמו בעיה מתמטית לא ברורה שמעניינת רק קומץ מומחים. אבל זה פוטנציאלי פותר בעיית פרטיות מכרעת - כזו שרק תלך ותהיה ברורה יותר בעתיד, מכיוון שחברות כמו גוגל ואפל דורשות כמות הולכת וגדלה של נתוני משתמשים כדי לספק שירות טוב יותר. כפי שמנסח זאת רוט בספרו, "פרטיות דיפרנציאלית מתייחסת לפרדוקס של לא ללמוד דבר על אדם תוך לימוד מידע שימושי על אוכלוסייה." אם אפל הצליחה לגרום לטכנולוגיה לעבוד בקנה מידה גדול, ההשלכות על הפרטיות שלנו עשויות להיות עמוקות.

יש לך מה להוסיף לסיפור הזה? שתפו אותו בתגובות.