التخصيص على الجهاز - التخصيص مع حماية الخصوصية المحسّنة

تم تصميم هذه المقالة الفنية لشرح المشروع المفتوح المصدر لنظام Android (AOSP)، ومناقشة الدوافع وراء ميزة "التخصيص على الجهاز" (ODP) ومبادئ التصميم التي ترشِد تطويرها وخصوصيتها من خلال نموذج السرية وكيفية مساعدتها في ضمان تجربة خاصة يمكن التحقّق منها.

ونخطّط لتحقيق ذلك من خلال تبسيط نموذج الوصول إلى البيانات والتأكّد من أنّ جميع بيانات المستخدمين التي تغادر حدود الأمان تكون خصوصيتها مختلفة على مستوى (user، وadopter، وmodel_instance) (يتم اختصارها أحيانًا إلى مستوى المستخدم في هذا المستند).

إنّ جميع الرموز البرمجية ذات الصلة بإمكانية خروج بيانات المستخدمين النهائيين من أجهزتهم ستكون مفتوحة المصدر ويمكن للكيانات الخارجية التحقّق منها. في المراحل الأولى من اقتراحنا، نسعى إلى إثارة الاهتمام وجمع الملاحظات حول منصة تسهّل فرص الاستفادة من ميزة "التخصيص على الجهاز فقط". وندعو الجهات المعنية، مثل خبراء الخصوصية ومحلّلي البيانات وممارسي الأمان، إلى المشاركة معنا.

الرؤية

تم تصميم ميزة "التخصيص على الجهاز فقط" لحماية معلومات المستخدمين النهائيين من الأنشطة التجارية التي لم يتفاعلوا معها. يمكن للأنشطة التجارية مواصلة تخصيص منتجاتها وخدماتها للمستخدمين النهائيين (على سبيل المثال، باستخدام نماذج تعلُّم الآلة المناسبة والمجهولة الهوية والخصوصية التفاضلية)، ولكن لن تتمكّن من الاطّلاع على عمليات التخصيص الدقيقة التي تم إجراؤها لمستخدم نهائي (لا يعتمد ذلك فقط على قاعدة التخصيص التي أنشأها مالك النشاط التجاري، بل يعتمد أيضًا على الإعدادات المفضّلة للمستخدم النهائي الفردي) ما لم تكن هناك تفاعلات مباشرة بين النشاط التجاري والمستخدم النهائي. إذا كان النشاط التجاري يُنشئ أيًا من نماذج التعلم الآلي أو التحليلات الإحصائية، سيسعى فريق ODP إلى التأكّد من أنّه تتم إخفاء هوية هذه النماذج أو التحليلات بشكلٍ سليم باستخدام آليات الخصوصية التفاضلية المناسبة.

خطّتنا الحالية هي استكشاف ميزة "الإعلانات على شبكة البحث" في مراحل متعددة، تشمل الميزات والوظائف التالية. ندعو أيضًا الجهات المعنيّة إلى اقتراح أي ميزات أو سير عمل إضافية بشكل بنّاء لتعزيز هذا الاستكشاف:

  1. بيئة محمية يتم فيها تضمين كل منطق النشاط التجاري و تنفيذه، ما يسمح لمجموعة كبيرة من إشارات المستخدمين النهائيين بالدخول إلى البيئة المحمية مع الحد من النتائج.

  2. مخازن البيانات المشفّرة بالكامل بين الأطراف:

    1. عناصر التحكّم الخاصة بالمستخدم والبيانات الأخرى المتعلّقة بالمستخدم ويمكن أن يوفّر ذلك العميل أو تجمعه الأنشطة التجارية وتستنتجه، بالإضافة إلى عناصر التحكّم في مهلة الصلاحية (TTL) وسياسات محو البيانات وسياسات الخصوصية وغيرها.
    2. إعدادات النشاط التجاري يوفّر ODP خوارزميات لشدّد ضغط هذه البيانات أو تشويشها.
    3. نتائج معالجة النشاط التجاري يمكن أن تكون هذه النتائج:
      1. يتم استخدامها كمدخلات في الجولات اللاحقة من المعالجة.
      2. يتم تشويشها وفقًا لآليات الخصوصية التفاضلية المناسبة، ويتم تحميلها إلى نقاط النهاية المؤهَّلة.
      3. تم تحميلها باستخدام مسار التحميل الموثوق به إلى Trusted Execution Environments (TEE) التي تعمل بحمولات مفتوحة المصدر باستخدام آليات Privacy Differential المناسبة
      4. يتم عرضها للمستخدمين النهائيين.

  3. واجهات برمجة التطبيقات المصمّمة لإجراء ما يلي:

    1. عدِّل القسم 2(أ) بشكل مجمّع أو تدريجي.
    2. عدِّل القسم 2(ب) بشكل دوري، إما بشكل مجمّع أو تدريجي.
    3. تحميل 2(ج)، مع آليات التشويش المناسبة في البيئات الموثوق بها للتجميع وقد تصبح هذه النتائج 2(ب) في دورات المعالجة التالية.

المخطط الزمني

هذه هي الخطة الحالية لاختبار "الإعلانات على شبكة البحث" في الإصدار التجريبي. يخضع المخطط الزمني للتغيير.

الميزة النصف الأول من عام 2025 الربع الثالث من عام 2025
التدريب والاستنتاج على الجهاز يُرجى التواصل مع فريق "مبادرة حماية الخصوصية" لمناقشة الخيارات المحتملة للتجربة خلال هذا الإطار الزمني. بدء طرح الميزة على أجهزة Android T والإصدارات الأحدث المؤهَّلة

Design principles

هناك ثلاثة ركائز يسعى "الدليل التوجيهي لمعالجة البيانات" إلى تحقيق التوازن بينها: الخصوصية والعدالة والفائدة.

نموذج البيانات المُجمَّعة لحماية الخصوصية المحسَّنة

يتبع نموذج ODP مبدأ الخصوصية من خلال التصميم، ويهدف إلى حماية خصوصية المستخدم النهائي بشكل تلقائي.

يتناول نموذج ODP نقل معالجة التخصيص إلى جهاز المستخدم النهائي. يوازن هذا النهج بين الخصوصية والفائدة من خلال إبقاء البيانات على الجهاز قدر الإمكان ومعالجتها خارج الجهاز عند الضرورة فقط. يركز ODP على ما يلي:

  • التحكّم في بيانات المستخدم النهائي من الجهاز، حتى عند خروجها من الجهاز يجب أن تكون الوجهات بيئات تنفيذ موثوق بها معتمَدة يوفّرها مزوّدو الخدمات السحابية العامة الذين يشغّلون رمزًا برمجيًا من تأليف ODP.
  • إمكانية التحقّق من الجهاز بشأن ما يحدث لبيانات المستخدم النهائي إذا خرجت من الجهاز يوفّر ODP أعباء الحوسبة المفتوحة المصدر والموحّدة من أجل تنسيق تعلُّم الآلة والتحليل الإحصائي على جميع الأجهزة للمستخدِمين. سيشهد جهاز المستخدم النهائي على تنفيذ هذه الأعباء في بيئات التنفيذ الموثوق بها بدون أي تعديل.
  • الخصوصية الفنية المضمونة (على سبيل المثال، التجميع والتشويش والخصوصية التفاضلية) للمخرجات التي تتجاوز الحدّ الذي يمكن التحكّم فيه أو التحقّق منه على الجهاز

وبالتالي، سيكون التخصيص خاصًا بالجهاز.

بالإضافة إلى ذلك، تحتاج الأنشطة التجارية أيضًا إلى إجراءات الخصوصية التي يجب أن تعالج المنصة هذه الإجراءات. ويتطلّب ذلك الاحتفاظ ببيانات النشاط التجاري الأوّلية في الخوادم المعنية. لتحقيق ذلك، تتّبع ميزة "الإعلانات على شبكة البحث" نموذج البيانات التالي:

  1. سيتم تخزين كل مصدر بيانات خام إما على الجهاز أو على الخادم، ما يتيح التعلّم والاستنتاج على الجهاز.
  2. سنوفّر خوارزميات لتسهيل عملية اتخاذ القرار في ما يتعلّق بالعديد من مصادر البيانات، مثل الفلترة بين موقعَين جغرافيَّين مختلفَين للبيانات أو التدريب أو الاستنتاج من مصادر مختلفة.

في هذا السياق، يمكن أن يكون هناك برج للأنشطة التجارية وبرج للمستخدمين النهائيين:

برج الأنشطة التجارية وبرج المستخدم النهائي
يحتوي برج النشاط التجاري على البيانات التي ينشئها النشاط التجاري قبل إجراء التخصيص. يطلب برنامج "البيانات المفتوحة للأنشطة التجارية" من الأنشطة التجارية الاحتفاظ بملكية هذه المعلومات، ما يضمن عدم تمكّن سوى شركاء الأنشطة التجارية المعتمَدين من الوصول إليها.
يتألف "برج المستخدم النهائي" من البيانات التي يقدّمها المستخدم النهائي (مثل معلومات الحساب وعناصر التحكّم)، والبيانات التي يتم جمعها والمرتبطة بتفاعلات المستخدم النهائي مع جهازه، والبيانات المشتقة (مثل الاهتمامات والإعدادات المفضّلة) التي يستنتجها النشاط التجاري. لا تُحلِّ محل البيانات المستنتَجة أيّ بيانات مباشرة يقدّمها المستخدم.

على سبيل المقارنة، في البنية الأساسية المستندة إلى السحابة الإلكترونية، يتم نقل جميع البيانات الأولية من برج المستخدم النهائي إلى خوادم الأنشطة التجارية. في المقابل، في البنية الأساسية التي تركّز على الأجهزة، تبقى جميع البيانات الأولية من برج المستخدم النهائي في مكانها الأصلي، بينما تبقى بيانات النشاط التجاري مخزّنة على الخوادم.

تجمع ميزة "التخصيص على الجهاز" بين أفضل ما في الحالتَين من خلال تفعيل رمز برمجي مفتوح المصدر وموثوق به فقط لمعالجة البيانات التي يُحتمل أن تكون مرتبطة بالمستخدمين النهائيين في TEE باستخدام قنوات إخراج أكثر خصوصية.

مشاركة عامة شاملة لتوفير حلول عادلة

يهدف برنامج ODP إلى ضمان توفير بيئة متوازنة لجميع المشاركين في منظومة متكاملة متنوعة. ندرك تعقيد هذا النظام المتكاملة الذي يتألف من جهات مختلفة تقدّم خدمات ومنتجات مميّزة.

لإلهام الابتكار، يوفّر ODP واجهات برمجة تطبيقات يمكن للمطوّرين والأنشطة التجارية التي يمثّلونها تنفيذها. تسهِّل ميزة "التخصيص على الجهاز" دمج عمليات التنفيذ هذه بسلاسة أثناء إدارة الإصدارات، والمراقبة، وأدوات المطوّرين، وأدوات الملاحظات. لا تؤدي ميزة "التخصيص على الجهاز" إلى إنشاء أي منطق عمل ملموس، بل تعمل كمحفز للإبداع.

يمكن أن يوفّر نموذج ODP المزيد من الخوارزميات بمرور الوقت. إنّ التعاون مع المنظومة المتكاملة هو أمر أساسي لتحديد المستوى المناسب من الميزات وربما وضع حدّ أقصى معقول لموارد الأجهزة لكلّ نشاط تجاري مشارك. نتطلّع إلى تلقّي ملاحظات من المنظومة المتكاملة لمساعدتنا في التعرّف على حالات الاستخدام الجديدة وتحديد أولوياتها.

أداة مطوّرين لتحسين تجارب المستخدمين

باستخدام ميزة "المعالجة المحدودة للبيانات"، لا يتم فقدان بيانات الأحداث أو حدوث تأخيرات في عمليات المراقبة، لأنّه يتم تسجيل جميع الأحداث على مستوى الجهاز محليًا. لا تحدث أخطاء في الانضمام وتكون جميع الأحداث مرتبطة بجهاز معيّن. ونتيجةً لذلك، تشكل جميع الأحداث المرصودة بشكل طبيعي تسلسلاً زمنيًا يعكس تفاعلات المستخدِم.

وتُلغي هذه العملية المبسّطة الحاجة إلى دمج البيانات أو إعادة ترتيبها، ما يتيح إمكانية الوصول إلى بيانات المستخدمين في الوقت الفعلي تقريبًا بدون فقدان أي بيانات. وفي المقابل، قد يؤدي ذلك إلى تحسين الفائدة التي يلاحظها المستخدمون النهائيون عند التفاعل مع المنتجات والخدمات المستندة إلى البيانات، ما قد يؤدي إلى زيادة مستويات الرضا و تقديم تجارب أكثر وضوحًا. باستخدام ميزة "الإعلانات على شبكة البحث"، يمكن للأنشطة التجارية التكيّف بفعالية مع احتياجات المستخدمين.

نموذج الخصوصية: الخصوصية من خلال السرية

تتناول الأقسام التالية نموذج المستهلِك والمنتج كأساس لتحليل الخصوصية هذا، وخصوصية بيئة الحوسبة في مقابل دقة المخرجات.

نموذج المستهلك والمنتج كأساس لتحليل الخصوصية هذا

سنستخدم نموذج المستهلِك والمنتج لفحص ضمانات الخصوصية للخصوصية من خلال السرية. يتم تمثيل العمليات الحسابية في هذا النموذج على شكل عقد ضمن رسم بياني لاتّجاهي غير حلقي (DAG) يتألّف من العقد والرسومات البيانية الفرعية. تحتوي كل عقدة حسابية على ثلاثة مكوّنات: المدخلات المستخدَمة والمخرجات التي تم إنشاؤها وعمليات الربط الحسابية للمدخلات بالمخرجات.

رسم بياني يوضّح نموذج المستهلِك والمنتج
رسم بياني يوضّح نموذج المستهلِك والمنتج يحتوي هذا الرسم البياني على عقدتَي حساب. تسلسل التنفيذ هو العقدة 1 -> العقدة 2. العقدة 1 هي أول عقدة يتم تنفيذها. ويستهلك مدخلتَين أوليتين: المدخلة 1 والمدخلة 2. تُنشئ العقدة 1 الإخراج 1. تستهلك العقدة 2 ناتج العقدة 1 ومدخلًا أوليًا: المدخل 3. وتنتج "النتيجة 2". الناتج 2 هو أيضًا الناتج النهائي لهذا الرسم البياني.

في هذا النموذج، تنطبق حماية الخصوصية على جميع المكوّنات الثلاثة:

  • خصوصية الإدخال: يمكن أن تحتوي العقد على نوعَين من المدخلات. إذا تم توليد مدخل من خلال عقدة سابقة، سيكون لديه بالفعل ضمانات ملفوظة بشأن خصوصية المخرجات من تلك العقدة السابقة. بخلاف ذلك، يجب أن تُزيل المدخلات سياسات تدفق البيانات باستخدام محرك السياسات.
  • خصوصية النتائج: قد يكون من الضروري إخفاء النتائج، مثل تلك التي يوفّرها أسلوب "الخصوصية التفاضلية".
  • السرية في بيئة الحوسبة: يجب أن تتمّ العمليات الحسابية في بيئة محكمة الإغلاق، ما يضمن عدم تمكّن أيّ شخص من الوصول إلى الحالات الوسيطة ضمن عقدة. تشمل التقنيات التي تتيح ذلك الحوسبة الفيدرالية (FC) وبيئات التنفيذ الموثوقة (TEE) المستندة إلى الأجهزة والحوسبة الآمنة المتعدّدة الأطراف (sMPC) والتشفير التحويلي (HPE) وغيرها. تجدر الإشارة إلى أنّ الخصوصية من خلال إجراءات الحفاظ على السرية تحمي الحالات الوسيطة وجميع النتائج التي تخرج من حدود السرية، ولكن لا يزال من الضروري حمايتها من خلال آليات الخصوصية التفاضلية. هناك نوعان من الادّعاءات المطلوبة:
    • سرية البيئات، لضمان عدم مغادرة سوى النتائج المعلَن عنها من البيئة
    • الصحة، ما يتيح إجراء عمليات استنتاج دقيقة لمطالبات الخصوصية المتعلّقة بالنتائج من مطالبات الخصوصية المتعلّقة بالمدخلات تسمح السلامة بانتشار سمة الخصوصية في الرسم البياني التوجيهي اللاتسلسلي.

يحافظ النظام الخاص على خصوصية الإدخال وسرّية بيئة الحوسبة وخصوصية الإخراج. ومع ذلك، يمكن تقليل عدد تطبيقات آليات الخصوصية التفاضلية من خلال ختم المزيد من عمليات المعالجة داخل بيئة حسابية سرية.

يقدّم هذا النموذج ميزتَين رئيسيتين. أولاً، يمكن تمثيل معظم الأنظمة، سواء كانت كبيرة أو صغيرة، باستخدام مخطط DAG. ثانيًا، توفّر معالجة ما بعد جمع البيانات [الفقرة 2.1] و اللامة 2.4 في مقالة "مدى تعقيد الخصوصية التفاضلية" أدوات قوية لتحليل مفاضلة الخصوصية والدقة (في أسوأ الحالات) لجدول كثافة كامل:

  • تضمن مرحلة ما بعد المعالجة أنّه بعد خصوصية كمية معيّنة، لا يمكن "إلغاء خصوصيتها"، إذا لم يتم استخدام البيانات الأصلية مرة أخرى. ما دامت كل مدخلات العقدة خاصة، يكون ناتجها خاصًا، بغض النظر عن عملياته الحسابية.
  • تضمن ميزة "التركيب المتقدّم" أنّه إذا كان كل جزء من الرسم البياني من النوع DP، سيكون الرسم البياني العام كذلك، ما يحدّ بشكل فعّال من ε وδ للناتج النهائي للرسم البياني بمقدار ε√κ تقريبًا، على التوالي، بافتراض أنّ الرسم البياني يتضمّن κ وحدة ويكون الناتج لكل وحدة هو (ε, δ)-DP.

تؤدي هاتان السمتان إلى مبدأَي تصميم لكل عقدة:

  • السمة 1 (من المعالجة اللاحقة): إذا كانت مدخلات العقدة كلها بيانات معالجة ضوئية، يكون الناتج هو بيانات معالجة ضوئية، مما يتيح استخدام أي منطق تجاري عشوائي يتم تنفيذه في العقدة، وتلبية "الأسرار" الخاصة بالأنشطة التجارية.
  • السمة 2 (من ميزة "التأليف المتقدّم"): إذا لم تكن كل مدخلات العقدة متوافقة مع DP، يجب أن يكون المخرج متوافقًا مع DP. إذا كانت إحدى عقد الحوسبة هي عقدة تعمل على بيئات التنفيذ الموثوق بها وتنفِّذ أعمالًا وإعدادات مفتوحة المصدر مقدَّمة من "التخصيص على الجهاز"، يمكن فرض حدود أكثر صرامة لميزة "التخصيص على الجهاز". بخلاف ذلك، قد تحتاج ميزة "التخصيص على الجهاز فقط" إلى استخدام حدود وضع "المعالجة المحدودة للبيانات" في أسوأ الحالات. بسبب القيود المفروضة على الموارد، سيتم منح الأولوية في البداية لـ "بيئات التنفيذ الموثوق به" التي يوفّرها مقدّم خدمة السحابة الإلكترونية العامة.

خصوصية بيئة الحوسبة مقابل دقة الإخراج

من الآن فصاعدًا، ستركز ميزة "التخصيص على الجهاز" على تحسين أمان بيئات الحوسبة السرية والتأكّد من عدم إمكانية الوصول إلى الحالات الوسيطة. سيتم تطبيق عملية الأمان هذه، المعروفة باسم "التشفير"، على مستوى الرسم البياني الفرعي، ما يسمح بجعل عدة عقد متوافقة مع "المعالجة المحدودة للبيانات" معًا. وهذا يعني أنّ السمة 1 و السمة 2 المذكورتَين سابقًا تنطبقان على مستوى الرسم البياني الفرعي.

تقسيم رسم بياني يتضمّن 7 عقد إلى رسمَين بيانيَّين فرعيَّين وعقدة واحدة يحتوي كل رسم فرعي على 3 عقد في هذا المثال. إذا كان تنفيذ كل رسم فرعي مغلقًا أمام المهاجمين، يجب فقط تطبيق "التشفير من جهة العميل" على "الإخراج 3" و"الإخراج 6"، وهما نتيجة الرسمَين الفرعيين.
وبالطبع، يتم تطبيق "التشفير من جهة العميل" على "الإخراج 7"، وهو الإخراج النهائي للرسم البياني، لكل تركيبة. وهذا يعني أنّه سيكون هناك نقطتا بيانات نموذجية (DP) في هذا الرسم البياني، مقارنةً بثلاث نقاط بيانات نموذجية (محلية) في حال عدم استخدام عملية الإغلاق.

في الأساس، من خلال تأمين بيئة الحوسبة وإزالة فرص وصول الخصوم إلى مدخلات الرسم البياني أو الرسم البياني الفرعي والحالات الوسيطة، يتيح ذلك تنفيذ المعالجة المحدودة للبيانات المركزية (أي أنّ ناتج البيئة المُغلقة متوافق مع معالجة البيانات المحدودة)، ما يمكن أن يُحسِّن الدقة مقارنةً بالمعالجة المحدودة للبيانات المحلية (أي أنّ المدخلات الفردية متوافقة مع معالجة البيانات المحدودة). يشكّل هذا المبدأ أساسًا لمحاولة اعتبار تقنية FC وTEE وsMPC وHPE كتقنيات للخصوصية. يُرجى الرجوع إلى الفصل 10 في The Complexity of Differential Privacy.

ومن الأمثلة العملية الجيدة على ذلك تدريب النماذج والاستنتاج منها. تفترض المناقشات أدناه (1) أنّ مجموعة التدريب تتداخل مع مجموعة الاستنتاج، و (2) أنّ كلّ من الميزات والتصنيفات تشكّل بيانات المستخدمين الخاصة. يمكننا تطبيق DP على جميع المدخلات:

يمكن أن تطبِّق ميزة "التخصيص على الجهاز" ميزة "التخصيص على الجهاز" على تصنيفات المستخدمين وميزاتهم قبل إرسالها إلى الخوادم.
المعالجة المحدودة للبيانات: السمة 1 الخاصة + التصنيفات الخاصة -> النموذج الخاص (السمة 1) النموذج الخاص + الميزات الخاصة -> الاستنتاج الخاص.
يمكن أن تطبّق ميزة "التخصيص على الجهاز فقط" وضع "المعالجة المحدودة للبيانات" على تصنيفات المستخدمين وميزاتهم قبل إرسالها إلى الخوادم. لا يفرض هذا النهج أي متطلبات على بيئة تنفيذ الخادم أو منطق نشاطه التجاري.
في هذا السيناريو، يمكن لمالك النموذج نقله لإجراء الاستنتاج في مكان آخر.
التقسيم المركزي للبيانات: (السمة 2) بدلاً من ذلك، يمكنك تطبيق تقسيم البيانات أثناء تدريب النموذج مع الحفاظ على دقة السمات والعلامات. في هذا السيناريو، يمكن لمالك النموذج نقله لإجراء الاستنتاج في مكان آخر. ومع ذلك، للحفاظ على الخصوصية أثناء الاستنتاج، يجب أن تكون الميزات التي يتم إدخالها في النموذج الخاص متوافقة أيضًا مع "المعالجة المحدودة للبيانات"، وفقًا للخاصية 1.
تحسين دقة الاستنتاج من خلال ربط التدريب والاستنتاج
يمكنك تحسين دقة الاستنتاج بشكلٍ أكبر من خلال إغلاق التدريب والاستنتاج. ويتيح ذلك إدخال ميزات دقيقة إلى النموذج الخاص.
تأكيد الاستنتاج النهائي
يمكنك أيضًا اتخاذ خطوة إضافية وتأكيد الاستنتاج النهائي. في هذه الحالة، لا يمكن لمالك النموذج الوصول إلى الاستنتاج أيضًا.
هذا هو التصميم الحالي لميزة "التخصيص على الجهاز".

خصوصية يمكن إثباتها

تهدف ميزة "التخصيص على الجهاز" إلى توفير خصوصية يمكن التحقّق منها. ويركز على التحقّق مما يحدث خارج أجهزة المستخدمين. ستنشئ ODP الرمز الذي يعالج البيانات التي تغادر أجهزة المستخدمين النهائيين، وستستخدم بنية RFC 9334 Remote ATtestation procedures (RATS) الخاصة بمعهد NIST لإثبات أنّ هذا الرمز يتم تشغيله بدون تعديل في خادم مُفوَّض متوافق مع Confidential Computing Consortium. ستكون هذه الرموز مفتوحة المصدر ويمكن الوصول إليها من أجل التحقّق بشكل شفاف من أجل بناء الثقة. يمكن أن تمنح هذه الإجراءات الأفراد الثقة في أنّ بياناتهم محمية، ويمكن للأنشطة التجارية اكتساب سمعة جيدة استنادًا إلى أساس قوي لضمان الخصوصية.

إنّ تقليل كمية البيانات الخاصة التي يتم جمعها وتخزينها هو أحد العناصر المهمة الأخرى في ميزة "التخصيص على الجهاز". يلتزم هذا المبدأ من خلال اعتماد تقنيات مثل "الحوسبة الموحّدة" و"الخصوصية التفاضلية"، ما يتيح الكشف عن أنماط البيانات القيّمة بدون الكشف عن تفاصيل شخصية حساسة أو معلومات تحدّد الهوية.

إنّ الحفاظ على سجل تدقيق يسجّل الأنشطة ذات الصلة بمعالجة البيانات ومشاركتها هو جانب رئيسي آخر من جوانب الخصوصية التي يمكن التحقّق منها. يتيح ذلك إنشاء تقارير التدقيق وتحديد الثغرات، ما يُظهر التزامنا بالخصوصية.

نطلب من خبراء الخصوصية والهيئات والمؤسسات والأفراد التعاون معنا بشكل بناء لمساعدتنا في تحسين عملية التطوير والتنفيذ باستمرار.

يعرض الرسم البياني التالي مسار الرمز البرمجي لتجميع البيانات على جميع الأجهزة وإضافتها إلى الضوضاء وفقًا لميزة "الخصوصية التفاضلية".

بنية خدمة "الحوسبة الموحّدة"
بنية خدمة "الحوسبة الموحّدة" التي تعالج كلّ من "التعلّم الموحّد" و"الإحصاءات الموحّدة" تتم معالجة البيانات غير المشفَّرة وغير المشوشة على الجهاز فقط (الخط الأحمر). يتم تحميل نتائج المعالجة مشفّرة، سواء كانت محفوظة في أيّ من منتجاتنا أو أثناء نقلها بين تلك المنتجات (الخطوط ذات اللون الأزرق المخضر). لا يمكن الوصول إلى نتيجة الجهاز الأوّلية غير المشفّرة إلا من خلال عملية التجميع وإضافة التشويش المفتوحَين المصدرَين واللذين تم إنشاؤهما من خلال ميزة "التخصيص على الجهاز فقط"، وذلك بعد إثبات الهوية بنجاح مع منسّقي الجهات المتعددة. بعد تطبيق الضوضاء بشكل صحيح وفقًا لآليات الخصوصية التفاضلية داخل بيئة التنفيذ الموثوق بها، يمكن عدم تشفير جميع عمليات تدفق البيانات إلى أسفل (الخطوط البرتقالية).

التصميم العالي المستوى

كيف يمكن تنفيذ الخصوصية من خلال السرية؟ على مستوى عالٍ، يُعدّ محرّك السياسة الذي يُنشئه "المسؤول عن إدارة البيانات" والذي يعمل في بيئة مغلقة المكوّن الأساسي الذي يتولّى الإشراف على كل عقدة/رسم بياني فرعي أثناء تتبُّع حالة "إدارة البيانات" ل مدخلاتها ومخرجاتها:

  • من منظور محرّك السياسة، تتم معاملة الأجهزة والخوادم بالطريقة نفسها. تُعتبر الأجهزة والخوادم التي تعمل بمحرك السياسة نفسه متطابقة منطقيًا بعد أن يتم إثبات هوية محرّكات سياساتها بشكل متبادل.
  • على الأجهزة، يتم تحقيق العزل من خلال عمليات AOSP المعزولة (أو pKVM على المدى الطويل بعد أن يصبح مدى التوفّر مرتفعًا). في الخوادم، يعتمد العزل على "جهة موثوق بها"، وهي إما TEE بالإضافة إلى حلول فنية أخرى للحماية المفضّلة أو اتفاقية تعاقدية أو كليهما.

بعبارة أخرى، تُعدّ جميع البيئات المُغلقة التي تُثبِّت محرك سياسة منصّة التشغيل وتشغّله جزءًا من قاعدة الحوسبة الموثوق بها (TCB). يمكن أن تنتشر البيانات بدون أي تشويش إضافي باستخدام تقنية TCB. يجب تطبيق وضع "المعالجة المحدودة للبيانات" عندما تغادر data Trusted Computing Base (قاعدة Trusted Computing Base).

يجمع التصميم العالي المستوى لميزات "التخصيص على الجهاز" بشكل فعّال بين عنصرين أساسيين:

  • بنية عملية مقترنة لتنفيذ منطق العمل
  • السياسات ومحرّك السياسات لإدارة عمليات إدخال البيانات وإخراجها والعمليات المسموح بها

يقدّم هذا التصميم المتماسك للأنشطة التجارية بيئة متكافئة يمكنها فيها تنفيذ الرمز البرمجي المملوك لها في بيئة تنفيذ موثوقة، والوصول إلى بيانات المستخدمين التي اجتازت عمليات التحقّق المناسبة من السياسات.

ستوضّح الأقسام التالية هذين الجانبَين الأساسيَين.

بنية العملية المُقرَنة لتنفيذ منطق النشاط التجاري

توفّر ميزة "التخصيص على الجهاز فقط" بنية عملية مقترنة في AOSP لتحسين خصوصية المستخدم وأمان البيانات أثناء تنفيذ منطق النشاط التجاري. تتألف هذه البنية من:

  • ManagingProcess. تنشئ هذه العملية عمليات IsolatedProcesses وتديرها، وتحرص على أن تظل معزولة على مستوى العملية مع حصر إمكانية الوصول بها إلى واجهات برمجة التطبيقات المدرَجة في القائمة المسموح بها وعدم منح أذونات للشبكة أو القرص. تتعامل ManagingProcess مع جمع جميع بيانات النشاط التجاري وجميع بيانات المستخدم النهائي وسياسة إزالتها لرمز النشاط التجاري، وإرسالها إلى IsolatedProcesses للتنفيذ. بالإضافة إلى ذلك، يعمل هذا الإجراء كوسيط للتفاعل بين IsolatedProcesses والعمليات الأخرى، مثل system_server.

  • IsolatedProcess. تم تصنيف هذه العملية على أنّها معزولة (isolatedprocess=true في البيان)، وهي تتلقّى بيانات النشاط التجاري، و data المستخدم النهائي الذي تمّت الموافقة عليه وفقًا للسياسة، ورمز النشاط التجاري من ManagingProcess. وتسمح هذه السياسات لرمز النشاط التجاري بالعمل على بياناته وبيانات المستخدم النهائي التي تمت تصفيتها وفقًا للسياسة. تتواصل العملية IsolatedProcess حصريًا مع العملية ManagingProcess لكل من الدخول والخروج، بدون أي أذونات إضافية.

توفّر بنية العملية المزدوجة فرصة لإجراء عملية مستقلة لتأكيد صحة سياسات خصوصية بيانات المستخدم النهائي بدون مطالبة الأنشطة التجارية بفتح رمزها البرمجي أو منطق نشاطها التجاري. وبما أنّ عملية ManagingProcess تحافظ على استقلالية IsolatedProcesses، وبما أنّ IsolatedProcesses تنفِّذ منطق النشاط التجاري بكفاءة، تضمن هذه البنية الأساسية حلًا أكثر أمانًا وفعالية للحفاظ على خصوصية المستخدم أثناء التخصيص.

يعرض الشكل التالي بنية العملية المقترنة هذه.

قد يكون الكيان الذي ينشئ "تطبيق المستخدم النهائي" هو نفسه الكيان الذي ينشئ "ملف apk للمستخدم النهائي" في الرسم البياني، وقد لا يكون كذلك.
قد يكون الكيان الذي ينشئ "تطبيق المطوّر" هو الكيان نفسه الذي ينشئ "ملف apk للمطوّر" في الرسم البياني أو لا يكون. الكيان الذي ينشئ "Adopter apk" هو نفسه الكيان الذي يملك "Adopter Local Store" في الرسم البياني.

السياسات ومحرّكات السياسات لعمليات البيانات

توفّر ميزة "التخصيص على الجهاز" طبقة فرض سياسة بين ال منصّة ومنطق النشاط التجاري. والهدف من ذلك هو توفير مجموعة من الأدوات التي تربط عناصر التحكّم الخاصة بالمستخدم النهائي والنشاط التجاري بقرارات السياسة المركزية القابلة للتنفيذ. ويتم بعد ذلك فرض هذه السياسات بشكل شامل وموثوق على جميع عمليات المعالجة والأنشطة التجارية.

في بنية العملية المزوّدة بشريك، يتوفّر محرّك السياسة ضمن ManagingProcess، ويتولّى الإشراف على الدخول إلى بيانات المستخدم النهائي والنشاط التجاري والخروج منها. وسيقوم أيضًا بتوفير العمليات المدرَجة في القائمة المسموح بها إلى IsolatedProcess. تشمل أمثلة التغطية المجالات المتعلّقة باحترام عنصر التحكّم لدى المستخدم النهائي وحماية الأطفال ومنع مشاركة البيانات بدون موافقة وخصوصية النشاط التجاري.

تتألف بنية تنفيذ السياسة هذه من ثلاثة أنواع من مهام سير العمل التي يمكن الاستفادة منها:

  • سير العمل بلا إنترنت والمُشغَّل محليًا مع اتصالات بيئة التنفيذ الموثوقة (TEE):
    • عمليات تنزيل البيانات: عمليات التنزيل الموثوق بها
    • عمليات تحميل البيانات: المعاملات الموثوق بها
  • سير العمل على الإنترنت الذي يبدأ محليًا:
    • مسارات عرض الإعلانات في الوقت الفعلي
    • مسارات الاستنتاج
  • سير العمل بلا إنترنت والمُشغَّل محليًا:
    • عمليات التحسين: تدريب النماذج على الجهاز فقط من خلال التعلم الموحّد (FL)
    • عمليات إعداد التقارير: تجميع البيانات على جميع الأجهزة من خلال "إحصاءات موحّدة" (FA)

يعرض الشكل التالي البنية من منظور السياسات ومحرّكات السياسات.

يقع محرّك السياسات في مركز التصميم.
يقع محرّك السياسات في وسط التصميم. أمثلة (غير شاملة):
  • التنزيل: 1 -> 2 -> 4 -> 7 -> 10 -> 11 -> 3
  • التقديم: 1 + 3 -> 4 -> 6 -> 9 -> 11 -> 3
  • التحسين: 2 (يقدّم خطة تدريب) -> 1 + 3 -> 4 -> 5 -> 8 -> 11 -> 2
  • إعداد التقارير: 3 (توفّر خطة تجميع) -> 1 + 3 -> 4 -> 5 -> 8 -> 11 -> 2

بشكل عام، يؤدّي إدخال طبقة فرض السياسة ومحرك السياسة ضمن بنية العملية المقترنة لميزة "التخصيص على الجهاز فقط" إلى ضمان بيئة معزولة تحافظ على الخصوصية لتنفيذ منطق النشاط التجاري مع توفير إمكانية وصول خاضعة للرقابة إلى البيانات والعمليات اللازمة.

مساحات عرض واجهة برمجة التطبيقات المتعدّدة الطبقات

توفّر ميزة "التخصيص على الجهاز فقط" بنية واجهة برمجة تطبيقات متعدّدة الطبقات للأعمال المهتمة. تتألف الطبقة العليا من تطبيقات تم إنشاؤها لحالات استخدام معيّنة. يمكن للأنشطة التجارية المحتملة ربط بياناتها بهذه التطبيقات، المعروفة باسم واجهات برمجة التطبيقات في الطبقة العليا. يتم إنشاء واجهات برمجة التطبيقات في الطبقة العليا استنادًا إلى واجهات برمجة التطبيقات في الطبقة الوسطى.

مع مرور الوقت، نتوقع إضافة المزيد من واجهات برمجة التطبيقات ذات المستوى الأعلى. عندما لا تتوفّر واجهة برمجة تطبيقات للطبقة العليا لحالة استخدام معيّنة، أو عندما لا تكون واجهات برمجة التطبيقات الحالية للطبقة العليا مرنة بما يكفي، يمكن للأنشطة التجارية تنفيذ واجهات برمجة التطبيقات للطبقة الوسطى مباشرةً، والتي توفّر إمكانيات قوية ومرونة من خلال العناصر الأساسية للبرمجة.

الخاتمة

إنّ "التخصيص على الجهاز فقط" هو اقتراح بحثي في مرحلة مبكرة لجذب الاهتمام والملاحظات حول حلّ طويل الأمد يعالج مخاوف بشأن خصوصية المستخدمين النهائيين باستخدام أحدث وأفضل التقنيات التي من المتوقّع أن تحقّق فائدة عالية.

نريد التواصل مع الجهات المعنية، مثل خبراء الخصوصية وتحليلي البيانات والمستخدمين النهائيين المحتملين، لضمان أن تستوفي ميزة "المعالجة المحدودة للبيانات" احتياجاتهم وتعالج مخاوفهم.