Untuk menjaga privasi dan keamanan data, Layanan Agregasi menggunakan framework yang mendukung privasi diferensial (DP). Alat dan mekanisme dirancang untuk mengukur dan membatasi jumlah informasi yang diungkapkan oleh pengguna individu. Mari kita bahas beberapa perlindungan privasi ini.
Menambahkan derau ke laporan ringkasan
Saat teknologi iklan mengelompokkan laporan agregat, Layanan Agregasi akan membuat laporan ringkasan. Laporan ringkasan adalah gabungan dari semua kontribusi dari semua kunci domain standar dengan derau statistik yang ditambahkan.
Derau yang ditambahkan ke laporan tidak bergantung pada jumlah laporan yang digabungkan, nilai laporan individual, atau nilai laporan gabungan.
Derau diambil dari versi diskret distribusi Laplace yang diskalakan ke anggaran kontribusi (sensitivitas L1) yang diterapkan oleh klien bergantung pada API pengukuran yang sesuai dan parameter privasi epsilon. Baca selengkapnya tentang derau.
Batas Kontribusi
Bervariasi bergantung pada API klien pengukuran (Attribution Reporting API atau Private Aggregation API) yang digunakan, jumlah kontribusi yang diteruskan dalam panggilan terikat dengan batas pembatas kontribusi tertentu untuk mengontrol sensitivitas laporan ringkasan.
Untuk memahami lebih lanjut anggaran kontribusi per API, Anda dapat menemukannya di bagian berikut dari setiap API:
Aturan "Tidak ada duplikat"
Aturan ini menyatakan bahwa laporan gabungan, yang diidentifikasi secara unik oleh report_id, hanya dapat muncul sekali dalam satu batch. Jika laporan agregat muncul lebih dari sekali per batch, laporan pertama akan disertakan dalam agregasi dan laporan berikutnya dengan report_id yang sama akan dihapus. Batch akan berhasil diselesaikan.
Aturan ini juga menyatakan bahwa laporan yang sama tidak boleh muncul di lebih dari satu batch. Jika laporan telah dikelompokkan dalam batch sebelumnya yang berhasil, laporan yang sama tidak dapat berada dalam batch berikutnya. Batch yang terakhir akan diakhiri dengan kegagalan.
Tanpa aturan ini, penyerang dapat memperoleh insight tentang konten batch tertentu dengan memanipulasi konten batch dengan menyertakan salinan duplikat laporan dalam satu batch atau beberapa batch.
Konsep lain yang diperkenalkan oleh Layanan Agregasi adalah salah satu batch yang terpisah-pisah. Artinya, dua batch atau lebih tidak boleh memiliki laporan yang memiliki ID bersama yang sama.
ID bersama adalah kombinasi data yang dikumpulkan dari kolom shared_info dalam laporan agregat. Contoh kolom shared_info dapat dilihat di bawah ini. Kita dapat melihat API, version, attribution_destination (untuk Attribution Reporting), reporting_origin, scheduled_report_time, dan source_registration_time (untuk Attribution Reporting). Semua kolom ini kecuali report_id berkontribusi pada ID bersama.
"shared_info": {
"API": "attribution-reporting",
"attribution_destination": "https://privacy-sandbox-demos-shop.dev",
"report_id": "5b052748-f5fb-4f14-b291-de03484ed59e",
"reporting_origin": "https://privacy-sandbox-demos-dsp.dev",
"scheduled_report_time": "1707786751",
"source_registration_time": "0",
"version": "0.1"
}
Karena source_registration_time dipotong berdasarkan hari dan scheduled_report_time dipotong berdasarkan jam, akan ada laporan yang akan memiliki ID bersama yang sama.
Lihat bagaimana dua laporan dapat memiliki ID bersama yang sama. Kami memiliki contoh kolom Info Bersama berikut dari Report1 dan Report2.
Kedua laporan memiliki API, versi, attribution_destination, reporting_origin, dan source_registration_time yang sama. Karena report_id bukan bagian dari ID bersama, kita dapat mengabaikan perbedaan ini. Satu-satunya perbedaan lainnya adalah scheduled_report_time. Jika kita melihat lebih lanjut, scheduled_report_time untuk Report1 adalah February 19, 2024 9:08:10 PM dan untuk Report2 adalah February 19, 2024 9:55:10 PM. Karena scheduled_report_time dipotong menjadi jam, kita dapat melihat bahwa kedua laporan memiliki February 19, 2024 9 PM sebagai scheduled_report_time. Dan karena semua kolom sama, kita dapat mengonfirmasi bahwa kedua laporan memiliki ID bersama yang sama.
Amati scheduled_report_time.
| Info yang Dibagikan Report1 | Report2 Info Bersama |
|---|---|
| "shared_info": { | "shared_info": { |
| "API": "attribution-reporting", | "API": "pelaporan-atribusi", |
| "attribution_destination": "https://shop.dev", | "attribution_destination": "https://shop.dev", |
| "report_id": "5b052748-...", | "report_id": "1a1b25aa-...", |
| "reporting_origin": "https://dsp.dev", | "reporting_origin": "https://dsp.dev", |
| "scheduled_report_time": "1708376890", | "scheduled_report_time": "1708379710", |
| "source_registration_time": "0", | "source_registration_time": "0", |
| "versi": "0.1" | "versi": "0.1" |
| } | } |
Setelah dikonfirmasi bahwa kedua laporan memiliki ID bersama yang sama, kedua laporan harus disertakan dalam batch yang sama.
Jika Report1 dikelompokkan dalam batch yang sebelumnya berhasil dan Report2 diproses dalam batch berikutnya, batch dengan Report2 akan gagal dengan error PRIVACY_BUDGET_EXHAUSTED. Jika hal ini terjadi, hapus laporan dengan ID bersama yang telah berhasil dikelompokkan dalam batch sebelumnya, lalu coba lagi.
Untuk mengetahui pengelompokan lebih lanjut, buka panduan strategi pengelompokan.
Mendeklarasikan kunci agregasi sebelumnya
Saat mengirimkan batch ke Layanan Agregasi, Anda harus menyertakan laporan gabungan yang diterima dari asal pelaporan dan file domain output. Domain output berisi kunci atau bucket yang akan diambil dari laporan agregat.
Dari sudut pandang privasi, derau akan ditambahkan ke semua kunci yang telah dideklarasikan sebelumnya di domain output, meskipun tidak ada laporan nyata yang cocok dengan kunci tertentu. Menentukan domain output akan melindungi dari serangan saat keberadaan kunci dalam output akan mengungkap sesuatu tentang satu pengguna / peristiwa. Misalnya, jika Anda hanya menampilkan kampanye kepada satu pengguna, menerima kunci dalam output (bahkan dengan derau) akan menunjukkan bahwa pengguna tersebut kemudian melakukan konversi. Dengan menentukan domain ini sebelumnya, kita dapat memastikan bahwa domain tersebut tidak mengungkapkan apa pun tentang kontribusi pengguna.
Kunci atau bucket adalah kunci 128-bit yang dideklarasikan oleh teknologi iklan di Attribution Reporting API atau Private Aggregation API. Teknologi iklan dapat menggunakan kunci ini untuk mengenkode dimensi yang ingin dilacak.
Hanya kunci yang dideklarasikan sebelumnya yang akan dipertimbangkan untuk digabungkan dan disertakan dalam laporan ringkasan. Nilai gabungan bucket dalam laporan ringkasan akan memiliki derau statistik yang ditambahkan, yang akan ditampilkan dalam laporan ringkasan yang dibuat.
Pada dasarnya, jika kunci agregasi disertakan dalam file domain output, tetapi tidak ada dalam laporan batch, meskipun nilai gabungannya nol, laporan ringkasan akhir kemungkinan tidak nol karena adanya derau yang ditambahkan untuk menjaga privasi.
Perhatikan bahwa fitur yang disebut penemuan kunci sedang dipertimbangkan pada saat penulisan ini. Penemuan kunci akan memungkinkan teknologi iklan memproses file agregat tanpa memerlukan kunci yang telah dideklarasikan sebelumnya, tetapi untuk menjaga privasi dalam skenario yang dinyatakan sebelumnya, langkah nilai minimum tambahan akan dilakukan.