การปรับเปลี่ยนในแบบของคุณในอุปกรณ์ - การปรับเปลี่ยนในแบบของคุณพร้อมการคุ้มครองความเป็นส่วนตัวที่มีประสิทธิภาพมากขึ้น

บทความอธิบายทางเทคนิคนี้มีไว้เพื่อนำไปใช้ในโครงการโอเพนซอร์ส Android (AOSP) โดยกล่าวถึงแรงจูงใจเบื้องหลังการปรับให้เหมาะกับผู้ใช้แต่ละรายในอุปกรณ์ (ODP) หลักการออกแบบที่ชี้นำการพัฒนา ความเป็นส่วนตัวผ่านรูปแบบการรักษาข้อมูลเป็นความลับ และวิธีที่ช่วยให้มั่นใจได้ว่าผู้ใช้จะได้รับประสบการณ์การใช้งานที่ยืนยันความเป็นส่วนตัวได้

เราวางแผนที่จะบรรลุเป้าหมายนี้ด้วยการลดความซับซ้อนของรูปแบบการเข้าถึงข้อมูลและตรวจสอบว่าข้อมูลผู้ใช้ทั้งหมดที่ออกจากขอบเขตการรักษาความปลอดภัยเป็นแบบ Differential Privacy ที่ระดับ (user, adopter, model_instance) (บางครั้งจะย่อเป็นระดับผู้ใช้ในเอกสารนี้)

โค้ดทั้งหมดที่เกี่ยวข้องกับการส่งออกข้อมูลผู้ใช้ปลายทางที่เป็นไปได้จากอุปกรณ์ของผู้ใช้ปลายทางจะเป็นโอเพนซอร์สและตรวจสอบได้โดยบุคคลภายนอก ในระยะเริ่มต้นของข้อเสนอ เราต้องการสร้างความน่าสนใจและรวบรวมความคิดเห็นสำหรับแพลตฟอร์มที่เปิดโอกาสให้ปรับเปลี่ยนในอุปกรณ์ เราเชิญผู้มีส่วนเกี่ยวข้อง เช่น ผู้เชี่ยวชาญด้านความเป็นส่วนตัว นักวิเคราะห์ข้อมูล และผู้เชี่ยวชาญด้านความปลอดภัยให้เข้าร่วมกับเรา

การมองเห็น

การปรับตามโปรไฟล์ในอุปกรณ์ออกแบบมาเพื่อปกป้องข้อมูลของผู้ใช้ปลายทางจากธุรกิจที่ผู้ใช้ไม่ได้โต้ตอบด้วย ธุรกิจอาจปรับแต่งผลิตภัณฑ์และบริการสำหรับผู้ใช้ปลายทางต่อไปได้ (เช่น ใช้โมเดลแมชชีนเลิร์นนิงที่ลบข้อมูลระบุตัวบุคคลและเก็บข้อมูลที่แตกต่างกันอย่างเหมาะสม) แต่ธุรกิจจะไม่เห็นการปรับแต่งที่แน่นอนสำหรับผู้ใช้ปลายทาง (ซึ่งไม่เพียงขึ้นอยู่กับกฎการปรับแต่งที่เจ้าของธุรกิจสร้างขึ้นเท่านั้น แต่ยังขึ้นอยู่กับความต้องการของผู้ใช้ปลายทางแต่ละรายด้วย) เว้นแต่จะมีการสื่อสารโดยตรงระหว่างธุรกิจกับผู้ใช้ปลายทาง หากธุรกิจสร้างรูปแบบการเรียนรู้ของเครื่องหรือการวิเคราะห์ทางสถิติ ODP จะพยายามทำให้ข้อมูลเหล่านั้นไม่ระบุตัวบุคคลอย่างเหมาะสมโดยใช้กลไก Differential Privacy ที่เหมาะสม

แผนปัจจุบันของเราคือการสำรวจ ODP ในหลายระยะ ซึ่งครอบคลุมฟีเจอร์และฟังก์ชันต่อไปนี้ นอกจากนี้ เรายังเชิญชวนให้ผู้ที่สนใจช่วยแนะนำฟีเจอร์หรือเวิร์กโฟลว์เพิ่มเติมเพื่อนำไปใช้ในการพัฒนาต่อไป

  1. สภาพแวดล้อมที่ใช้แซนด์บ็อกซ์ซึ่งมีตรรกะทางธุรกิจทั้งหมดอยู่และดําเนินการ โดยอนุญาตให้สัญญาณของผู้ใช้ปลายทางจํานวนมากเข้าสู่แซนด์บ็อกซ์ได้ขณะที่จํากัดเอาต์พุต

  2. พื้นที่เก็บข้อมูลที่เข้ารหัสจากต้นทางถึงปลายทางสำหรับรายการต่อไปนี้

    1. การควบคุมของผู้ใช้และข้อมูลอื่นๆ ที่เกี่ยวข้องกับผู้ใช้ ซึ่งอาจเป็นข้อมูลท้ายผู้ใช้ที่ระบุหรือข้อมูลที่ธุรกิจรวบรวมและอนุมาน รวมถึงการควบคุมการอยู่รอดของข้อมูล (TTL), นโยบายการลบข้อมูล, นโยบายความเป็นส่วนตัว และอื่นๆ
    2. การกําหนดค่าธุรกิจ ODP มีอัลกอริทึมในการบีบอัดหรือสร้างความสับสนให้กับข้อมูลเหล่านี้
    3. ผลลัพธ์ของการประมวลผลธุรกิจ ผลลัพธ์เหล่านี้อาจเป็นสิ่งต่อไปนี้
      1. ใช้เป็นแหล่งข้อมูลในรอบการประมวลผลถัดไป
      2. มีการสร้างความสับสนตามกลไก Differential Privacy ที่เหมาะสม และอัปโหลดไปยังปลายทางที่ตรงตามข้อกําหนด
      3. อัปโหลดโดยใช้ขั้นตอนการอัปโหลดที่เชื่อถือได้ไปยังสภาพแวดล้อมการทํางานที่เชื่อถือได้ (TEE) ที่ใช้เวิร์กโหลดแบบโอเพนซอร์สที่มีกลไก Differential Privacy กลางที่เหมาะสม
      4. แสดงต่อผู้ใช้ปลายทาง

  3. API ที่ออกแบบมาเพื่อดำเนินการต่อไปนี้

    1. อัปเดต 2(ก) เป็นกลุ่มหรือทีละรายการ
    2. อัปเดต 2(ข) เป็นระยะ โดยอัปเดตทีละกลุ่มหรือทีละรายการ
    3. อัปโหลด 2(ค) ที่มีกลไกการสร้างสัญญาณรบกวนที่เหมาะสมในสภาพแวดล้อมการรวบรวมข้อมูลที่เชื่อถือได้ ผลลัพธ์ดังกล่าวอาจกลายเป็น 2(ข) สำหรับรอบการประมวลผลถัดไป

ไทม์ไลน์

นี่คือแผนปัจจุบันสำหรับการทดสอบ ODP ในรุ่นเบต้า ไทม์ไลน์นี้อาจมีการเปลี่ยนแปลง

ฟีเจอร์ ครึ่งปีแรก 2025 ไตรมาส 3 ปี 2025
การฝึกอบรมและการอนุมานในอุปกรณ์ โปรดติดต่อทีม Privacy Sandbox เพื่อพูดคุยเกี่ยวกับตัวเลือกที่เป็นไปได้ในการนําร่องในช่วงนี้ เริ่มเปิดตัวในอุปกรณ์ Android T ขึ้นไปที่มีสิทธิ์

หลักการออกแบบ

ODP มีเสาหลัก 3 ประการที่มุ่งสร้างสมดุล ได้แก่ ความเป็นส่วนตัว ความเป็นธรรม และประโยชน์

รูปแบบข้อมูลที่เพิ่มประสิทธิภาพการคุ้มครองความเป็นส่วนตัว

ODP เป็นไปตามการออกแบบเพื่อความเป็นส่วนตัว และออกแบบมาเพื่อปกป้องความเป็นส่วนตัวของผู้ใช้ปลายทางโดยค่าเริ่มต้น

ODP สำรวจการย้ายการประมวลผลการปรับเปลี่ยนในแบบของคุณไปยังอุปกรณ์ของผู้ใช้ปลายทาง แนวทางนี้ช่วยรักษาสมดุลระหว่างความเป็นส่วนตัวและประโยชน์ใช้สอยโดยเก็บข้อมูลไว้ในอุปกรณ์มากที่สุดเท่าที่จะเป็นไปได้ และประมวลผลข้อมูลนอกอุปกรณ์เมื่อจำเป็นเท่านั้น ODP จะมุ่งเน้นที่สิ่งต่อไปนี้

  • การควบคุมอุปกรณ์เกี่ยวกับข้อมูลผู้ใช้ปลายทาง แม้ว่าข้อมูลดังกล่าวจะออกจากอุปกรณ์แล้วก็ตาม ปลายทางต้องเป็นสภาพแวดล้อมการทํางานที่เชื่อถือได้ที่ได้รับการรับรองซึ่งให้บริการโดยผู้ให้บริการระบบคลาวด์สาธารณะที่ใช้โค้ดที่เขียนโดย ODP
  • ความสามารถในการยืนยันของอุปกรณ์เกี่ยวกับสิ่งที่จะเกิดขึ้นกับข้อมูลผู้ใช้ปลายทางหากออกจากอุปกรณ์ ODP มีเวิร์กโหลดแบบรวมศูนย์แบบโอเพนซอร์สเพื่อประสานงานแมชชีนเลิร์นนิงข้ามอุปกรณ์และการวิเคราะห์ทางสถิติสำหรับผู้นำมาใช้ อุปกรณ์ของผู้ใช้ปลายทางจะยืนยันว่ามีการเรียกใช้เวิร์กโหลดดังกล่าวในสภาพแวดล้อมการดำเนินการที่เชื่อถือได้โดยไม่มีการแก้ไข
  • ความเป็นส่วนตัวทางเทคนิคที่รับประกัน (เช่น การรวมข้อมูล การรบกวน ความเป็นส่วนตัวแบบ Differential Privacy) ของเอาต์พุตที่ออกจากขอบเขตที่ควบคุม/ยืนยันได้ของอุปกรณ์

ดังนั้น การปรับตามโปรไฟล์ของคุณจะอิงตามอุปกรณ์

นอกจากนี้ ธุรกิจยังต้องใช้มาตรการด้านความเป็นส่วนตัวด้วย ซึ่งแพลตฟอร์มควรจัดการ ซึ่งรวมถึงการดูแลรักษาข้อมูลธุรกิจดิบในเซิร์ฟเวอร์ที่เกี่ยวข้อง ODP ใช้โมเดลข้อมูลต่อไปนี้เพื่อให้บรรลุเป้าหมายนี้

  1. แหล่งข้อมูลดิบแต่ละแหล่งจะจัดเก็บไว้ในอุปกรณ์หรือฝั่งเซิร์ฟเวอร์ ซึ่งช่วยให้สามารถเรียนรู้และอนุมานได้ภายในเครื่อง
  2. เราจะจัดหาอัลกอริทึมเพื่ออำนวยความสะดวกในการตัดสินใจในแหล่งข้อมูลหลายแห่ง เช่น การกรองระหว่างตำแหน่งข้อมูล 2 แห่งที่แตกต่างกัน หรือการฝึกหรือการอนุมานจากแหล่งที่มาต่างๆ

ในบริบทนี้ อาจมีอาคารธุรกิจและอาคารผู้ใช้ปลายทาง ดังนี้

อาคารธุรกิจและอาคารผู้ใช้ปลายทาง
หอคอยธุรกิจมีข้อมูลที่ธุรกิจสร้างขึ้นก่อนที่จะมีการปรับเปลี่ยนในแบบของคุณ ODP ขอให้ธุรกิจรักษาสิทธิ์การเป็นเจ้าของข้อมูลนี้ เพื่อให้มั่นใจว่ามีเพียงพาร์ทเนอร์ทางธุรกิจที่ได้รับอนุญาตเท่านั้นที่เข้าถึงข้อมูลนี้ได้
หอคอยผู้ใช้ปลายทางประกอบด้วยข้อมูลที่ได้จากผู้ใช้ปลายทาง (เช่น ข้อมูลและการควบคุมบัญชี) ข้อมูลที่เก็บรวบรวมซึ่งเกี่ยวข้องกับการโต้ตอบของผู้ใช้ปลายทางกับอุปกรณ์ และข้อมูลที่ได้จากข้อมูลอื่นๆ (เช่น ความสนใจและค่ากําหนด) ที่ธุรกิจอนุมาน ข้อมูลที่อนุมานจะไม่เขียนทับการประกาศโดยตรงของผู้ใช้

ในการเปรียบเทียบ โครงสร้างพื้นฐานที่เน้นระบบคลาวด์จะโอนข้อมูลดิบทั้งหมดจากหอคอยผู้ใช้ปลายทางไปยังเซิร์ฟเวอร์ของธุรกิจ ในทางกลับกัน ในโครงสร้างพื้นฐานที่เน้นอุปกรณ์ ข้อมูลดิบทั้งหมดจากหอคอยผู้ใช้ปลายทางจะยังคงอยู่ที่ต้นทาง ขณะที่ข้อมูลของธุรกิจจะยังคงจัดเก็บอยู่ในเซิร์ฟเวอร์

การปรับโฆษณาตามโปรไฟล์ของผู้ใช้บนอุปกรณ์จะรวมข้อดีของทั้ง 2 โลกเข้าด้วยกันโดยเปิดใช้เฉพาะโค้ดแบบโอเพนซอร์สที่ได้รับการรับรองเพื่อประมวลผลข้อมูลที่อาจเกี่ยวข้องกับผู้ใช้ปลายทางใน TEE โดยใช้ช่องทางเอาต์พุตที่ปลอดภัยมากขึ้น

การมีส่วนร่วมของสาธารณะอย่างครอบคลุมเพื่อหาวิธีแก้ปัญหาที่เท่าเทียม

ODP มีเป้าหมายเพื่อให้ผู้เข้าร่วมทุกคนได้รับประสบการณ์การใช้งานที่สมดุลภายในระบบนิเวศที่หลากหลาย เราตระหนักดีถึงความซับซ้อนของระบบนิเวศนี้ ซึ่งมีผู้เล่นหลายรายที่ให้บริการและผลิตภัณฑ์ที่แตกต่างกัน

ODP มี API ที่นักพัฒนาซอฟต์แวร์และธุรกิจที่นักพัฒนาซอฟต์แวร์เป็นตัวแทนสามารถนำมาใช้งานได้ เพื่อจุดประกายให้เกิดนวัตกรรม การปรับตามโปรไฟล์ของผู้ใช้ในอุปกรณ์ช่วยให้ผสานรวมการใช้งานเหล่านี้ได้อย่างราบรื่นขณะจัดการรุ่นต่างๆ การตรวจสอบ เครื่องมือสําหรับนักพัฒนาซอฟต์แวร์ และเครื่องมือความคิดเห็น การปรับเปลี่ยนในอุปกรณ์ไม่ได้สร้างตรรกะทางธุรกิจที่แน่ชัด แต่ทําหน้าที่เป็นตัวกระตุ้นความคิดสร้างสรรค์

ODP อาจเสนออัลกอริทึมเพิ่มเติมในอนาคต การทํางานร่วมกับระบบนิเวศมีความสําคัญอย่างยิ่งในการกําหนดระดับฟีเจอร์ที่เหมาะสมและอาจกําหนดขีดจํากัดทรัพยากรอุปกรณ์ที่เหมาะสมสําหรับธุรกิจที่เข้าร่วมแต่ละราย เราหวังว่าจะได้รับความคิดเห็นจากระบบนิเวศเพื่อช่วยให้เรารู้จักและจัดลําดับความสําคัญของกรณีการใช้งานใหม่ๆ

ยูทิลิตีสําหรับนักพัฒนาซอฟต์แวร์เพื่อปรับปรุงประสบการณ์ของผู้ใช้

เมื่อใช้ ODP ข้อมูลเหตุการณ์จะไม่สูญหายหรือเกิดความล่าช้าในการสังเกตการณ์ เนื่องจากระบบจะบันทึกเหตุการณ์ทั้งหมดไว้ในเครื่องในระดับอุปกรณ์ ไม่มีข้อผิดพลาดในการเข้าร่วมและเหตุการณ์ทั้งหมดเชื่อมโยงกับอุปกรณ์หนึ่งๆ ด้วยเหตุนี้ เหตุการณ์ทั้งหมดที่สังเกตได้จึงจัดเรียงตามลําดับเวลาตามการโต้ตอบของผู้ใช้

กระบวนการที่ง่ายขึ้นนี้ทำให้คุณไม่ต้องรวมหรือจัดเรียงข้อมูลใหม่อีกต่อไป ซึ่งช่วยให้เข้าถึงข้อมูลผู้ใช้ได้แบบเรียลไทม์เกือบทั้งหมดและไม่มีการสูญเสียข้อมูล ซึ่งอาจช่วยเพิ่มประโยชน์ที่ผู้ใช้ปลายทางรับรู้เมื่อมีส่วนร่วมกับผลิตภัณฑ์และบริการที่ขับเคลื่อนโดยข้อมูล ซึ่งอาจส่งผลให้ผู้ใช้มีความพึงพอใจมากขึ้นและได้รับประสบการณ์ที่มีประโยชน์มากขึ้น ODP ช่วยให้ธุรกิจปรับตัวตามความต้องการของผู้ใช้ได้อย่างมีประสิทธิภาพ

รูปแบบความเป็นส่วนตัว: ความเป็นส่วนตัวผ่านการรักษาข้อมูลลับ

ส่วนต่อไปนี้จะกล่าวถึงรูปแบบผู้บริโภค-ผู้ผลิตเป็นพื้นฐานของการวิเคราะห์ความเป็นส่วนตัวนี้ และความเป็นส่วนตัวของสภาพแวดล้อมการประมวลผลเทียบกับความแม่นยำของเอาต์พุต

รูปแบบผู้บริโภค-ผู้ผลิตเป็นพื้นฐานของการวิเคราะห์ความเป็นส่วนตัวนี้

เราจะใช้รูปแบบผู้บริโภค-ผู้ผลิตเพื่อตรวจสอบการรับรองความเป็นส่วนตัวผ่านการรักษาข้อมูลลับ การคํานวณในโมเดลนี้จะแสดงเป็นโหนดภายในกราฟแบบมีทิศทางที่ไม่มีวงวน (DAG) ซึ่งประกอบด้วยโหนดและกราฟย่อย โหนดการประมวลผลแต่ละโหนดประกอบด้วย 3 ส่วน ได้แก่ อินพุตที่ใช้ ผลลัพธ์ที่ผลิต และการแมปการประมวลผลอินพุตกับเอาต์พุต

กราฟที่แสดงรูปแบบผู้บริโภค-ผู้ผลิต
กราฟแสดงรูปแบบผู้บริโภค-ผู้ผลิต กราฟนี้มีโหนดการประมวลผล 2 โหนด ลําดับการดําเนินการคือโหนด 1 -> โหนด 2 โหนด 1 จะทํางานก่อน ซึ่งใช้อินพุตเริ่มต้น 2 รายการ ได้แก่ อินพุต 1 และอินพุต 2 โหนด 1 แสดงผลลัพธ์ 1 โหนด 2 ใช้เอาต์พุตของโหนด 1 และอินพุตเริ่มต้น: อินพุต 3 ผลลัพธ์คือเอาต์พุต 2 เอาต์พุต 2 ยังเป็นเอาต์พุตสุดท้ายของกราฟนี้ด้วย

ในโมเดลนี้ การป้องกันความเป็นส่วนตัวจะมีผลกับคอมโพเนนต์ทั้ง 3 รายการต่อไปนี้

  • ความเป็นส่วนตัวของอินพุต โหนดอาจมีอินพุต 2 ประเภท หากอินพุตสร้างขึ้นโดยโหนดก่อนหน้า อินพุตดังกล่าวจะมีการรับประกันความเป็นส่วนตัวของเอาต์พุตของโหนดก่อนหน้าอยู่แล้ว มิฉะนั้น อินพุตต้องล้างนโยบายการรับข้อมูลโดยใช้เครื่องมือนโยบาย
  • ความเป็นส่วนตัวของเอาต์พุต ผลลัพธ์อาจต้องได้รับการทำให้เป็นส่วนตัว เช่น ผลลัพธ์ที่ได้จาก Differential Privacy (DP)
  • การรักษาข้อมูลที่เป็นความลับของสภาพแวดล้อมการประมวลผล การคํานวณต้องเกิดขึ้นในสภาพแวดล้อมที่ปิดผนึกอย่างปลอดภัย เพื่อให้มั่นใจว่าไม่มีใครเข้าถึงสถานะสื่อกลางภายในโหนดได้ เทคโนโลยีที่ช่วยให้การดำเนินการนี้เป็นไปได้ ได้แก่ การประมวลผลแบบรวมศูนย์ (FC), สภาพแวดล้อมการดำเนินการที่เชื่อถือได้ (TEE) ที่ใช้ฮาร์ดแวร์, การประมวลผลแบบหลายฝ่ายที่ปลอดภัย (sMPC), การเข้ารหัสแบบโฮโมมอร์ฟิค (HPE) และอื่นๆ โปรดทราบว่าความเป็นส่วนตัวผ่านการป้องกันการรักษาข้อมูลลับในรัฐสื่อกลางและเอาต์พุตทั้งหมดที่ส่งออกนอกขอบเขตการรักษาข้อมูลลับยังคงต้องได้รับการปกป้องโดยกลไกความเป็นส่วนตัวแบบต่างระดับ การอ้างสิทธิ์ 2 รายการที่ต้องระบุมีดังนี้
    • การรักษาความลับของสภาพแวดล้อม เพื่อให้มั่นใจว่ามีเพียงเอาต์พุตที่ประกาศไว้เท่านั้นที่จะออกจากสภาพแวดล้อม และ
    • ความถูกต้อง ซึ่งช่วยให้สามารถอนุมานการอ้างสิทธิ์ด้านความเป็นส่วนตัวของเอาต์พุตได้อย่างแม่นยำจากข้อมูลอ้างสิทธิ์ด้านความเป็นส่วนตัวของอินพุต ความถูกต้องช่วยให้สามารถนำไปใช้กับ DAG ได้

ระบบส่วนตัวจะรักษาความเป็นส่วนตัวของอินพุต การรักษาความปลอดภัยของสภาพแวดล้อมการประมวลผล และความเป็นส่วนตัวของเอาต์พุต อย่างไรก็ตาม จำนวนการใช้งานกลไกความเป็นส่วนตัวแบบที่แตกต่างกันจะลดลงได้ด้วยการปิดผนึกการประมวลผลเพิ่มเติมภายในสภาพแวดล้อมการประมวลผลข้อมูลที่เป็นความลับ

รูปแบบนี้มีข้อดีหลักๆ 2 ข้อ ประการแรก ระบบส่วนใหญ่ไม่ว่าจะเล็กหรือใหญ่ ก็สามารถแสดงเป็น DAG ได้ ประการที่ 2 คุณสมบัติของ DP ในการ ประมวลผลข้อมูลหลังการประมวลผล [ส่วนที่ 2.1] และการประกอบ เลมมา 2.4 ในบทความ "ความซับซ้อนของ Differential Privacy" จะเป็นเครื่องมือที่มีประสิทธิภาพในการวิเคราะห์การแลกเปลี่ยนความเป็นส่วนตัวและความแม่นยำ (กรณีที่เลวร้ายที่สุด) ของทั้งกราฟ ดังนี้

  • กระบวนการหลังการประมวลผลจะรับประกันว่าเมื่อทำให้ข้อมูลเป็นส่วนตัวแล้ว ข้อมูลดังกล่าวจะ "เลิกเป็นส่วนตัว" ไม่ได้ หากไม่ได้ใช้ข้อมูลเดิมอีก ตราบใดที่อินพุตทั้งหมดของโหนดเป็นข้อมูลส่วนตัว เอาต์พุตของโหนดก็จะเป็นข้อมูลส่วนตัว ไม่ว่าจะมีการคำนวณอย่างไรก็ตาม
  • การคอมโพสิชันขั้นสูงรับประกันว่าหากแต่ละส่วนของกราฟเป็น DP กราฟโดยรวมก็จะเป็น DP ด้วย ซึ่งจะจำกัด ε และ δ ของเอาต์พุตสุดท้ายของกราฟได้อย่างมีประสิทธิภาพโดยประมาณ ε√κ ตามลำดับ โดยสมมติว่ากราฟมีหน่วย κ และเอาต์พุตของแต่ละหน่วยคือ (ε, δ)-DP

พร็อพเพอร์ตี้ 2 รายการนี้แปลเป็นหลักการการออกแบบ 2 ข้อสําหรับแต่ละโหนด ดังนี้

  • พร็อพเพอร์ตี้ 1 (จากขั้นตอนหลังการประมวลผล) หากอินพุตของโหนดเป็น DP ทั้งหมด เอาต์พุตของโหนดจะเป็น DP ซึ่งรองรับตรรกะทางธุรกิจแบบใดก็ได้ที่ดำเนินการในโหนด และรองรับ "ซอสลับ" ของธุรกิจ
  • พร็อพเพอร์ตี้ 2 (จากคอมโพซิชันขั้นสูง) หากอินพุตของโหนดไม่ใช่ DP ทั้งหมด ผลลัพธ์ของโหนดต้องเป็นไปตามข้อกำหนด DP หากโหนดการประมวลผลเป็นโหนดที่ทำงานในสภาพแวดล้อมการทํางานที่เชื่อถือได้ (Trusted Execution Environments) และดําเนินการกับเวิร์กโหลดและการกําหนดค่าที่มาจากการปรับให้เหมาะกับผู้ใช้ในอุปกรณ์แบบโอเพนซอร์ส ก็อาจมีขอบเขต DP ที่เข้มงวดมากขึ้น มิฉะนั้น การปรับเปลี่ยนในอุปกรณ์อาจต้องใช้ขอบเขต DP ที่เลวร้ายที่สุด เนื่องจากข้อจำกัดด้านทรัพยากร ระบบจะให้ความสำคัญกับสภาพแวดล้อมการประมวลผลที่เชื่อถือได้ซึ่งให้บริการโดยผู้ให้บริการระบบคลาวด์สาธารณะในขั้นต้น

ความเป็นส่วนตัวของสภาพแวดล้อมการประมวลผลเทียบกับความแม่นยำของเอาต์พุต

นับจากนี้ไป การปรับให้เหมาะกับผู้ใช้ในอุปกรณ์จะมุ่งเน้นที่การปรับปรุงความปลอดภัยของสภาพแวดล้อมการประมวลผลข้อมูลที่เป็นความลับ และตรวจสอบว่าสถานะกลางจะยังคงเข้าถึงไม่ได้ กระบวนการรักษาความปลอดภัยนี้เรียกว่าการปิดผนึก ซึ่งจะใช้ในระดับซับกราฟ ซึ่งช่วยให้สร้างโหนดหลายโหนดให้เป็นไปตามข้อกำหนดของ DP ได้พร้อมกัน ซึ่งหมายความว่า พร็อพเพอร์ตี้ 1 และพร็อพเพอร์ตี้ 2 ที่กล่าวถึงก่อนหน้านี้จะมีผลที่ระดับกราฟย่อย

การแยกกราฟที่มี 7 โหนดออกเป็นกราฟย่อย 2 รายการและ 1 โหนด ตัวอย่างนี้กราฟย่อยแต่ละรายการมี 3 โหนด หากการดําเนินการของกราฟย่อยแต่ละรายการถูกปิดผนึกจากผู้ไม่ประสงค์ดี ก็จะต้องมีเฉพาะเอาต์พุต 3 และเอาต์พุต 6 ซึ่งเป็นผลลัพธ์ของกราฟย่อยเท่านั้นที่ต้องเข้ารับการคุ้มครองข้อมูล
แน่นอนว่าเอาต์พุตกราฟสุดท้าย ซึ่งเป็นเอาต์พุต 7 จะต้องเข้ารับการคุ้มครองข้อมูลตามการคอมโพสิชัน ซึ่งหมายความว่าจะมี DP ทั้งหมด 2 รายการสำหรับกราฟนี้ เมื่อเทียบกับ DP ทั้งหมด 3 รายการ (ในเครื่อง) หากไม่ได้ใช้การปิดผนึก

โดยพื้นฐานแล้ว การรักษาความปลอดภัยของสภาพแวดล้อมการประมวลผลและลดโอกาสที่คู่แข่งจะเข้าถึงอินพุตและสถานะกลางของกราฟหรือกราฟย่อยจะช่วยให้สามารถติดตั้งใช้งานDP แบบรวมศูนย์ได้ (กล่าวคือ เอาต์พุตของสภาพแวดล้อมที่ปิดผนึกเป็นไปตามข้อกำหนดของ DP) ซึ่งจะช่วยเพิ่มความแม่นยำได้เมื่อเทียบกับDP แบบรวม (กล่าวคือ อินพุตแต่ละรายการเป็นไปตามข้อกำหนดของ DP) หลักการนี้เป็นพื้นฐานของการพิจารณา FC, TEE, sMPC และ HPE เป็นเทคโนโลยีด้านความเป็นส่วนตัว โปรดดูหัวข้อที่ 10 ในความซับซ้อนของ Differential Privacy

ตัวอย่างที่ใช้งานได้จริงและมีประโยชน์คือการฝึกโมเดลและการอนุมาน การพูดคุยด้านล่างนี้ จะถือว่า (1) ประชากรที่ใช้ฝึกและประชากรที่ใช้อนุมานทับซ้อนกัน และ (2) ทั้งฟีเจอร์และป้ายกำกับถือเป็นข้อมูลส่วนตัวของผู้ใช้ เราใช้ DP ได้กับอินพุตทั้งหมด ดังนี้

การปรับให้เหมาะกับผู้ใช้ในอุปกรณ์สามารถใช้ DP ในพื้นที่กับป้ายกำกับและฟีเจอร์ของผู้ใช้ก่อนที่จะส่งไปยังเซิร์ฟเวอร์
DP ในพื้นที่: ฟีเจอร์ส่วนตัวของ property 1 + ป้ายกำกับส่วนตัว -> โมเดลส่วนตัว (พร็อพเพอร์ตี้ 1) โมเดลส่วนตัว + ฟีเจอร์ส่วนตัว -> การอนุมานแบบส่วนตัว
การปรับเปลี่ยนในอุปกรณ์สามารถใช้ DP ในเครื่องกับป้ายกำกับและฟีเจอร์ของผู้ใช้ก่อนที่จะส่งไปยังเซิร์ฟเวอร์ แนวทางนี้ไม่ได้กำหนดข้อกำหนดใดๆ เกี่ยวกับสภาพแวดล้อมการเรียกใช้เซิร์ฟเวอร์หรือตรรกะทางธุรกิจ
ในกรณีนี้ เจ้าของโมเดลสามารถโอนโมเดลเพื่อใช้การทำนายในที่อื่นได้
DP แบบรวมศูนย์: (พร็อพเพอร์ตี้ 2) หรือจะใช้ DP ในระหว่างการฝึกโมเดลโดยที่ยังคงรักษาฟีเจอร์และป้ายกำกับให้แม่นยำก็ได้ ในกรณีนี้ เจ้าของโมเดลสามารถโอนโมเดลเพื่อใช้การทำนายในที่อื่นได้ อย่างไรก็ตาม ฟีเจอร์ที่ป้อนลงในโมเดลส่วนตัวต้องเป็นไปตามข้อกำหนดของ DP ด้วยตามพร็อพเพอร์ตี้ 1
เพื่อรักษาความเป็นส่วนตัวในระหว่างการอนุมาน
ปรับปรุงความแม่นยำในการอนุมานโดยการปิดผนึกการฝึกอบรมและอนุมาน
คุณสามารถเพิ่มความแม่นยำในการอนุมานได้โดยการปิดผนึกการฝึกอบรมและอนุมาน ซึ่งช่วยให้ส่งฟีเจอร์ที่แม่นยำไปยังโมเดลส่วนตัวได้
การสรุปผลสุดท้าย
นอกจากนี้ คุณยังปิดผนึกการอนุมานขั้นสุดท้ายได้ด้วย ในกรณีนี้ เจ้าของโมเดลจะเข้าถึงการอนุมานไม่ได้เช่นกัน
นี่คือการออกแบบการปรับเปลี่ยนในอุปกรณ์ในปัจจุบัน

ยืนยันความเป็นส่วนตัวได้

การปรับอุปกรณ์ตามการใช้งานของผู้ใช้มีจุดมุ่งหมายเพื่อความเป็นส่วนตัวที่ยืนยันได้ โดยมุ่งเน้นที่การยืนยันสิ่งที่เกิดขึ้นนอกอุปกรณ์ของผู้ใช้ ODP จะเขียนโค้ดที่ประมวลผลข้อมูลที่ออกจากอุปกรณ์ของผู้ใช้ปลายทาง และใช้สถาปัตยกรรม RFC 9334 Remote ATtestation procedureS (RATS) ของ NIST เพื่อรับรองว่าโค้ดดังกล่าวทำงานโดยไม่มีการแก้ไขในเซิร์ฟเวอร์ที่ยกเลิกสิทธิ์ระดับผู้ดูแลระบบอินสแตนซ์ซึ่งเป็นไปตามข้อกำหนดของกลุ่มความร่วมมือด้านคอมพิวเตอร์แบบไม่เปิดเผยข้อมูล รหัสเหล่านี้จะเป็นโอเพนซอร์สและเข้าถึงได้เพื่อการยืนยันที่โปร่งใสเพื่อสร้างการไว้วางใจ มาตรการดังกล่าวช่วยให้ผู้ใช้มั่นใจได้ว่าข้อมูลของตนได้รับการปกป้อง และธุรกิจสามารถสร้างชื่อเสียงจากรากฐานที่มั่นคงของการรับรองความเป็นส่วนตัว

การลดปริมาณข้อมูลส่วนตัวที่เก็บรวบรวมและจัดเก็บไว้เป็นอีกแง่มุมที่สําคัญของการปรับอุปกรณ์ตามการใช้งานของผู้ใช้ โดยยึดมั่นในหลักการนี้ด้วยการใช้เทคโนโลยีต่างๆ เช่น การคํานวณแบบรวมศูนย์และ Differential Privacy ซึ่งช่วยให้สามารถเปิดเผยรูปแบบข้อมูลที่มีค่าได้โดยไม่ต้องเปิดเผยรายละเอียดที่ละเอียดอ่อนของบุคคลหรือข้อมูลที่ระบุตัวบุคคลได้

การดูแลรักษาร่องรอยการตรวจสอบที่บันทึกกิจกรรมที่เกี่ยวข้องกับการประมวลผลและการแชร์ข้อมูลเป็นอีกแง่มุมที่สําคัญของความเป็นส่วนตัวที่ตรวจสอบได้ ซึ่งช่วยให้สร้างรายงานการตรวจสอบและระบุช่องโหว่ได้ ซึ่งแสดงให้เห็นถึงความมุ่งมั่นของเราในด้านความเป็นส่วนตัว

เราต้องการความร่วมมือที่สร้างสรรค์จากผู้เชี่ยวชาญด้านความเป็นส่วนตัว หน่วยงานภาครัฐ อุตสาหกรรม และบุคคลต่างๆ เพื่อช่วยเราปรับปรุงการออกแบบและการใช้งานอย่างต่อเนื่อง

กราฟต่อไปนี้แสดงเส้นทางโค้ดสําหรับการรวมข้อมูลข้ามอุปกรณ์และการสร้างความสับสนตามความเป็นส่วนตัวแบบที่แตกต่างกัน

โครงสร้างของบริการ Compute แบบรวมศูนย์
โครงสร้างของบริการประมวลผลแบบรวมศูนย์ซึ่งจัดการทั้งการเรียนรู้แบบรวมศูนย์และการวิเคราะห์แบบรวมศูนย์ ระบบจะประมวลผลเฉพาะข้อมูลที่ไม่มีการเข้ารหัสและไม่มีสัญญาณรบกวนบนอุปกรณ์เท่านั้น (เส้นสีแดง) ระบบจะอัปโหลดผลการประมวลผลที่เข้ารหัสทั้งในระหว่างการรับส่งและขณะจัดเก็บไว้ (เส้นสีน้ำเงินเทอร์ควอยต์) เฉพาะการรวมข้อมูลข้ามอุปกรณ์แบบโอเพนซอร์สที่เขียนขึ้นเพื่อปรับเปลี่ยนในอุปกรณ์และงานที่มีการสร้างสัญญาณรบกวนเท่านั้นที่จะมีสิทธิ์เข้าถึงผลลัพธ์ดิบของอุปกรณ์ที่ไม่ได้เข้ารหัส หลังจากการรับรองกับผู้ประสานงานหลายฝ่ายสําเร็จ หลังจากใช้สัญญาณรบกวนอย่างเหมาะสมตามกลไก Differential Privacy ภายในสภาพแวดล้อมการทํางานที่เชื่อถือได้ ข้อมูลทั้งหมดที่ส่งผ่านไปยังปลายทางจะไม่มีการเข้ารหัส (เส้นสีส้ม)

การออกแบบระดับสูง

ความเป็นส่วนตัวผ่านการรักษาข้อมูลเป็นความลับสามารถนำมาใช้งานได้อย่างไร ในระดับสูง เครื่องมือนโยบายที่เขียนโดย ODP ซึ่งทํางานในสภาพแวดล้อมที่ปิดสนิทจะทำหน้าที่เป็นคอมโพเนนต์หลักที่ดูแลแต่ละโหนด/กราฟย่อยขณะติดตามสถานะ DP ของอินพุตและเอาต์พุต

  • จากมุมมองของเครื่องมือนโยบาย ระบบจะถือว่าอุปกรณ์และเซิร์ฟเวอร์เหมือนกัน ระบบจะถือว่าอุปกรณ์และเซิร์ฟเวอร์ที่ใช้เครื่องมือนโยบายเดียวกันเหมือนกันโดยปริยาย เมื่อเครื่องมือนโยบายได้รับการตรวจสอบร่วมกันแล้ว
  • ในอุปกรณ์ การแยกจะดำเนินการผ่านกระบวนการแยกของ AOSP (หรือ pKVM ในระยะยาวเมื่อความพร้อมใช้งานสูง) ในการแยกเซิร์ฟเวอร์ จะใช้ "บุคคลที่เชื่อถือได้" ซึ่งอาจเป็น TEE พร้อมโซลูชันการปิดผนึกทางเทคนิคอื่นๆ ที่แนะนำ ข้อตกลงในสัญญา หรือทั้ง 2 อย่าง

กล่าวคือ สภาพแวดล้อมแบบปิดทั้งหมดที่ติดตั้งและเรียกใช้เครื่องมือนโยบายแพลตฟอร์มจะถือว่าเป็นส่วนหนึ่งของฐานการคำนวณที่เชื่อถือได้ (TCB) ข้อมูลจะแพร่กระจายได้โดยไม่มีความผิดพลาดเพิ่มเติมด้วย TCB ต้องใช้ DP เมื่อข้อมูลออกจาก TCB

การออกแบบระดับสูงของการปรับเปลี่ยนในอุปกรณ์จะผสานรวมองค์ประกอบสําคัญ 2 อย่างเข้าด้วยกันอย่างมีประสิทธิภาพ

  • สถาปัตยกรรมแบบคู่สําหรับการดําเนินการตรรกะทางธุรกิจ
  • นโยบายและเครื่องมือนโยบายสำหรับจัดการการรับส่งข้อมูลและการดำเนินการที่ได้รับอนุญาต

การออกแบบที่เชื่อมโยงกันนี้ช่วยให้ธุรกิจต่างๆ แข่งขันได้อย่างเท่าเทียมกัน โดยสามารถเรียกใช้โค้ดที่เป็นกรรมสิทธิ์ของตนในสภาพแวดล้อมการดำเนินการที่เชื่อถือได้ และเข้าถึงข้อมูลผู้ใช้ที่ผ่านการตรวจสอบนโยบายที่เหมาะสมแล้ว

ส่วนต่อไปนี้จะอธิบายแง่มุมหลัก 2 ประการนี้

สถาปัตยกรรมกระบวนการแบบจับคู่สําหรับการดําเนินการตรรกะทางธุรกิจ

การปรับให้เหมาะกับผู้ใช้ในอุปกรณ์จะเปิดตัวสถาปัตยกรรมกระบวนการที่จับคู่กันใน AOSP เพื่อเพิ่มความเป็นส่วนตัวของผู้ใช้และความปลอดภัยของข้อมูลในระหว่างการดําเนินการตรรกะทางธุรกิจ สถาปัตยกรรมนี้ประกอบด้วย

  • ManagingProcess กระบวนการนี้จะสร้างและจัดการ IsolatedProcesses เพื่อให้แน่ใจว่า IsolatedProcesses จะยังคงแยกระดับกระบวนการอยู่โดยมีสิทธิ์เข้าถึงที่จำกัดไว้สำหรับ API ในรายการที่อนุญาตและไม่มีสิทธิ์เข้าถึงเครือข่ายหรือดิสก์ ManagingProcess จะจัดการการเก็บรวบรวมข้อมูลทางธุรกิจทั้งหมด ข้อมูลผู้ใช้ปลายทางทั้งหมด และล้างนโยบายสําหรับรหัสธุรกิจ แล้วส่งไปยัง IsolatedProcesses เพื่อดําเนินการ นอกจากนี้ ยังเป็นตัวกลางในการโต้ตอบระหว่าง IsolatedProcesses กับกระบวนการอื่นๆ เช่น system_server

  • IsolatedProcess กระบวนการนี้ได้รับการระบุว่าแยกต่างหาก (isolatedprocess=true ในไฟล์ Manifest) โดยจะได้รับข้อมูลทางธุรกิจ ข้อมูลผู้ใช้ปลายทางที่ผ่านนโยบาย และรหัสธุรกิจจาก ManagingProcess ซึ่งช่วยให้โค้ดธุรกิจสามารถดําเนินการกับข้อมูลของตนและข้อมูลผู้ใช้ปลายทางที่ได้รับอนุมัติตามนโยบาย โดย IsolatedProcess จะสื่อสารกับ ManagingProcess เพียงอย่างเดียวสําหรับทั้งการรับและส่งข้อมูล โดยไม่มีคําสิทธิ์เพิ่มเติม

สถาปัตยกรรมกระบวนการแบบจับคู่เปิดโอกาสให้ยืนยันนโยบายความเป็นส่วนตัวของข้อมูลผู้ใช้ปลายทางได้อย่างอิสระโดยไม่ต้องให้ธุรกิจเปิดซอร์สโค้ดหรือตรรกะทางธุรกิจ สถาปัตยกรรมนี้ช่วยให้มั่นใจได้ว่าโซลูชันจะรักษาความเป็นส่วนตัวของผู้ใช้ในระหว่างการปรับให้เหมาะกับบุคคลได้อย่างปลอดภัยและมีประสิทธิภาพมากขึ้น เนื่องจาก ManagingProcess รักษาอิสระของ IsolatedProcesses และ IsolatedProcesses ทำงานตามตรรกะทางธุรกิจได้อย่างมีประสิทธิภาพ

รูปภาพต่อไปนี้แสดงสถาปัตยกรรมกระบวนการแบบจับคู่นี้

บุคคลที่เขียน "Adopter App" อาจหรือไม่อาจเป็นคนเดียวกับที่เขียน "Adopter apk" ในกราฟ
เอนทิตีที่เขียน "Adopter App" อาจหรือไม่อาจเป็นคนเดียวกับที่เขียน "Adopter apk" ในกราฟ เอนทิตีที่เขียน "Adopter apk" เป็นคนเดียวกับที่เป็นเจ้าของ "Adopter Local Store" ในกราฟ

นโยบายและเครื่องมือนโยบายสําหรับการดําเนินการกับข้อมูล

การปรับเปลี่ยนในอุปกรณ์จะเพิ่มเลเยอร์การบังคับใช้นโยบายระหว่างแพลตฟอร์มกับตรรกะทางธุรกิจ เป้าหมายคือมอบชุดเครื่องมือที่เชื่อมโยงการควบคุมของผู้ใช้ปลายทางและธุรกิจเข้ากับการตัดสินใจด้านนโยบายแบบรวมศูนย์และนําไปใช้ได้จริง จากนั้นระบบจะบังคับใช้นโยบายเหล่านี้อย่างครอบคลุมและเชื่อถือได้ในขั้นตอนต่างๆ และธุรกิจต่างๆ

ในสถาปัตยกรรมแบบคู่กระบวนการ เครื่องมือจัดการนโยบายจะอยู่ใน ManagingProcess ซึ่งจะควบคุมการรับส่งข้อมูลผู้ใช้ปลายทางและข้อมูลธุรกิจ และจะระบุการดำเนินการในรายการที่อนุญาตไปยัง IsolatedProcess ด้วย ตัวอย่างขอบเขตที่ครอบคลุม ได้แก่ การปฏิบัติตามการควบคุมของผู้ใช้ปลายทาง การคุ้มครองเด็ก การป้องกันไม่ให้มีการแชร์ข้อมูลโดยไม่ได้รับความยินยอม และความเป็นส่วนตัวทางธุรกิจ

สถาปัตยกรรมการบังคับใช้นโยบายนี้ประกอบด้วยเวิร์กโฟลว์ 3 ประเภทที่ใช้ประโยชน์ได้ ดังนี้

  • เวิร์กโฟลว์แบบออฟไลน์ที่เริ่มต้นจากเครื่องที่มีการติดต่อกับสภาพแวดล้อมการดำเนินการที่เชื่อถือได้ (TEE) ดังนี้
    • ขั้นตอนการดาวน์โหลดข้อมูล: การดาวน์โหลดที่เชื่อถือได้
    • ขั้นตอนการอัปโหลดข้อมูล: ธุรกรรมที่เชื่อถือได้
  • เวิร์กโฟลว์ออนไลน์ที่เริ่มต้นจากในเครื่อง
    • ขั้นตอนการแสดงโฆษณาแบบเรียลไทม์
    • โฟลว์การอนุมาน
  • เวิร์กโฟลว์แบบออฟไลน์ที่เริ่มต้นจากในเครื่อง
    • ขั้นตอนการเพิ่มประสิทธิภาพ: การฝึกโมเดลในอุปกรณ์ที่ติดตั้งใช้งานผ่าน Federated Learning (FL)
    • ขั้นตอนการรายงาน: การใช้การรวมข้อมูลข้ามอุปกรณ์ผ่าน Federated Analytics (FA)

รูปภาพต่อไปนี้แสดงสถาปัตยกรรมจากมุมมองของนโยบายและเครื่องมือนโยบาย

เครื่องมือนโยบายอยู่ตรงกลางของการออกแบบ
เครื่องมือนโยบายเป็นหัวใจสำคัญของการออกแบบ ตัวอย่าง (โดยสังเขป)
  • ดาวน์โหลด: 1 -> 2 -> 4 -> 7 -> 10 -> 11 -> 3
  • การแสดงผล: 1 + 3 -> 4 -> 6 -> 9 -> 11 -> 3
  • การเพิ่มประสิทธิภาพ: 2 (ระบุแผนการฝึกอบรม) -> 1 + 3 -> 4 -> 5 -> 8 -> 11 -> 2
  • การรายงาน: 3 (ระบุแผนการรวมข้อมูล) -> 1 + 3 -> 4 -> 5 -> 8 -> 11 -> 2

โดยรวมแล้ว การนำเลเยอร์การบังคับใช้นโยบายและเครื่องมือนโยบายมาใช้ในสถาปัตยกรรมกระบวนการแบบคู่ของการปรับแต่งในอุปกรณ์ช่วยให้มั่นใจได้ว่าจะมีสภาพแวดล้อมที่แยกส่วนและรักษาความเป็นส่วนตัวสำหรับการดำเนินการตามตรรกะทางธุรกิจ ในขณะเดียวกันก็ให้สิทธิ์เข้าถึงข้อมูลที่จําเป็นและการดำเนินการที่มีการควบคุม

แพลตฟอร์ม API แบบเป็นชั้น

การปรับโฆษณาตามโปรไฟล์ของผู้ใช้บนอุปกรณ์มีสถาปัตยกรรม API แบบเป็นชั้นสําหรับธุรกิจที่สนใจ เลเยอร์บนสุดประกอบด้วยแอปพลิเคชันที่สร้างขึ้นสําหรับ Use Case ที่เฉพาะเจาะจง ธุรกิจที่มีโอกาสจะเติบโตสามารถเชื่อมต่อข้อมูลกับแอปพลิเคชันเหล่านี้ได้ ซึ่งเรียกว่า Top-Layer API API ชั้นบนสร้างขึ้นจาก API ชั้นกลาง

เราคาดว่าจะเพิ่ม API ระดับบนสุดอื่นๆ ในอนาคต เมื่อไม่มี API ระดับบนสุดสําหรับ Use Case บางรายการ หรือเมื่อ API ระดับบนสุดที่มีอยู่มีความยืดหยุ่นไม่เพียงพอ ธุรกิจสามารถใช้ Mid-Layer API ได้โดยตรง ซึ่งจะมอบประสิทธิภาพและความยืดหยุ่นผ่านรูปแบบการเขียนโปรแกรมพื้นฐาน

บทสรุป

การปรับให้เหมาะกับผู้ใช้ในอุปกรณ์เป็นข้อเสนอการวิจัยระยะเริ่มต้นเพื่อขอความสนใจและความคิดเห็นเกี่ยวกับโซลูชันระยะยาวที่จัดการกับข้อกังวลด้านความเป็นส่วนตัวของผู้ใช้ปลายทางด้วยเทคโนโลยีล่าสุดและดีที่สุดที่คาดว่าจะมีประโยชน์สูง

เราต้องการมีส่วนร่วมกับผู้มีส่วนเกี่ยวข้อง เช่น ผู้เชี่ยวชาญด้านความเป็นส่วนตัว นักวิเคราะห์ข้อมูล และผู้ใช้ปลายทางที่อาจเกิดขึ้น เพื่อให้มั่นใจว่า ODP จะตอบสนองความต้องการและข้อกังวลของผู้มีส่วนเกี่ยวข้อง