डिवाइस पर मनमुताबिक अनुभव - बेहतर निजता सुरक्षा के साथ मनमुताबिक बनाने की सुविधा

इसे Android ओपन सोर्स प्रोजेक्ट (एओएसपी) में लागू किया गया था. इस तकनीकी जानकारी में, डिवाइस पर मनमुताबिक अनुभव (ओडीपी) बनाने की वजह, डिज़ाइन से जुड़े सिद्धांत, गोपनीयता मॉडल के ज़रिए इसकी निजता, और इसकी पुष्टि करने वाले निजी अनुभव को पक्का करने में मदद करने के बारे में बताया गया है.

ऐसा करने के लिए, हम डेटा ऐक्सेस मॉडल को आसान बनाते हैं. साथ ही, यह पक्का करते हैं कि सुरक्षा की सीमा से बाहर जाने वाले उपयोगकर्ता का डेटा, हर (उपयोगकर्ता, एडॉप्टर, मॉडल_इंस्टेंस) के लेवल पर अलग तरीके से निजी हो. इस दस्तावेज़ में इसे कभी-कभी उपयोगकर्ता-लेवल पर भी छोटा किया जाता है.

असली उपयोगकर्ताओं के डिवाइसों से संभावित असली उपयोगकर्ता के डेटा इग्रेस डेटा ट्रैफ़िक से जुड़े सभी कोड, ओपन सोर्स होंगे. बाहरी इकाइयां इनकी पुष्टि कर सकती हैं. अपने प्रस्ताव के शुरुआती चरणों में, हम दिलचस्पी जगाने और उस प्लैटफ़ॉर्म के बारे में सुझाव, शिकायत या राय इकट्ठा करने की कोशिश करते हैं जो डिवाइस को मनमुताबिक बनाने की सुविधा देता है. हम अपने साथ जुड़ने के लिए, निजता विशेषज्ञों, डेटा ऐनलिस्ट, और सुरक्षा से जुड़े लोगों जैसे स्टेकहोल्डर को न्योता देते हैं.

Vision

डिवाइस पर उपयोगकर्ताओं को मनमुताबिक बनाने की सुविधा, ऐसे कारोबारों से असली उपयोगकर्ताओं की जानकारी को सुरक्षित रखने के लिए बनाई गई है जिनके साथ उन्होंने इंटरैक्ट नहीं किया है. कारोबार, असली उपयोगकर्ताओं के लिए अपने प्रॉडक्ट और सेवाओं को पसंद के मुताबिक बना सकते हैं (उदाहरण के लिए, पहचान छिपाने वाले और अलग-अलग निजी मशीन लर्निंग मॉडल का इस्तेमाल करके). हालांकि, वे असली उपयोगकर्ता के लिए किए गए पसंद के मुताबिक पसंद को नहीं देख पाएंगे. (यह न सिर्फ़ कारोबार के मालिक के जनरेट किए गए कस्टमाइज़ेशन के नियम पर निर्भर करता है, बल्कि असली उपयोगकर्ता की पसंद पर भी निर्भर करता है). ऐसा तब तक नहीं होगा, जब तक कि कारोबार और असली उपयोगकर्ता के बीच सीधा इंटरैक्शन न हो. अगर कोई कारोबार कोई मशीन लर्निंग मॉडल या आंकड़ों का विश्लेषण करता है, तो ओडीपी यह पक्का करने की कोशिश करेगा कि उसमें सही डिफ़रेंशियल प्राइवसी प्रोसेस का इस्तेमाल करके, उसकी पहचान ठीक से की जाए.

हमारी मौजूदा योजना, ओडीपी के बारे में कई माइलस्टोन हासिल करना है. इसमें यहां दी गई सुविधाएं और फ़ंक्शन शामिल हैं. हम दिलचस्पी रखने वाले पक्षों को, अतिरिक्त सुविधाओं या वर्कफ़्लो के सुझाव देने के लिए भी न्योता देते हैं, ताकि वे आगे और काम कर सकें:

  1. एक सैंडबॉक्स एनवायरमेंट, जिसमें सभी कारोबारी लॉजिक शामिल होते हैं और उन्हें लागू किया जाता है. इस वजह से, आउटपुट को सीमित करते हुए, असली उपयोगकर्ता के कई सिग्नल को सैंडबॉक्स में भेजने की सुविधा मिलती है.

  2. पूरी तरह सुरक्षित (E2EE) डेटा स्टोर इनके लिए होता है:

    1. उपयोगकर्ता के कंट्रोल और उपयोगकर्ता से जुड़ा अन्य डेटा. इसमें लाइव टू लाइव (टीटीएल) कंट्रोल, मिटाने की नीतियां, निजता नीतियां वगैरह शामिल हैं. इसके अलावा, इसमें असली उपयोगकर्ता से लिए गए या कारोबारों की इकट्ठा और अनुमानित जानकारी शामिल हो सकती है.
    2. कारोबार के कॉन्फ़िगरेशन. ओडीपी, इस डेटा को कंप्रेस करने या छिपाने के लिए एल्गोरिदम उपलब्ध कराता है.
    3. कारोबार को प्रोसेस करने से जुड़े नतीजे. ये नतीजे ऐसे हो सकते हैं:
      1. प्रोसेसिंग के बाद के राउंड में इनपुट के तौर पर लिया,
      2. डिफ़रेंशियल प्राइवसी मैकेनिज़्म के हिसाब से कोई जानकारी नहीं दी जाएगी और ज़रूरी शर्तें पूरी करने वाले एंडपॉइंट पर अपलोड की जाएगी.
      3. अपलोड करने के भरोसेमंद फ़्लो का इस्तेमाल करके, ओपन सोर्स किए गए वर्कलोड वाले ट्रस्टेड एक्ज़ीक्यूशन एनवायरमेंट (टीईई) पर अपलोड किया गया. साथ ही, इनमें सेंट्रल डिफ़रेंशियल प्राइवसी मैकेनिज़्म की मदद ली गई
      4. असली उपयोगकर्ताओं को दिखाया जाता है.

  3. एपीआई इन कामों के लिए डिज़ाइन किए गए हैं:

    1. 2(a), बैच या बढ़ते क्रम में अपडेट करें.
    2. 2(b) को समय-समय पर, बैच में या बढ़ते क्रम में अपडेट करें.
    3. एग्रीगेशन वाले सिस्टम में सही नॉइज़िंग मैकेनिज़्म के साथ 2(c) अपलोड करें. ऐसे नतीजे प्रोसेस के अगले राउंड के लिए 2(b) हो सकते हैं.

डिज़ाइन से जुड़े सिद्धांत

ओडीपी के तीन स्तंभ हैं: निजता, निष्पक्षता, और उपयोगिता.

निजता की बेहतर सुरक्षा के लिए टावर वाला डेटा मॉडल

ओडीपी डिज़ाइन के हिसाब से निजता का पालन करता है. इसे डिफ़ॉल्ट रूप से असली उपयोगकर्ता की निजता की सुरक्षा को ध्यान में रखकर डिज़ाइन किया गया है.

ओडीपी, असली उपयोगकर्ता के डिवाइस पर ऐप्लिकेशन या उसके कॉन्टेंट को उपयोगकर्ता के मनमुताबिक बनाने की प्रोसेस को ट्रांसफ़र करने के बारे में जानकारी देती है. यह तरीका, डिवाइस पर मौजूद डेटा को जितना हो सके उतना बेहतर बनाए रखकर, उसकी निजता और उसके इस्तेमाल में संतुलन बनाए रखता है. साथ ही, ज़रूरत पड़ने पर ही इसे डिवाइस के बाहर प्रोसेस करता है. ODP इन पर फ़ोकस करता है:

  • असली उपयोगकर्ता के डेटा के लिए डिवाइस कंट्रोल. भले ही, वह डिवाइस से बाहर निकल जाए. डेस्टिनेशन को टेस्ट करने के लिए, ओडीपी वाले कोड का इस्तेमाल करने वाली सार्वजनिक क्लाउड सेवा देने वाली कंपनियों से भरोसेमंद एक्ज़ीक्यूशन एनवायरमेंट प्रमाणित करने होंगे.
  • डिवाइस इस बात की पुष्टि कर सकता है कि डिवाइस से बाहर निकलने पर, असली उपयोगकर्ता के डेटा का क्या होगा. ODP, अपना ऐप्लिकेशन इस्तेमाल करने वाले लोगों के लिए क्रॉस-डिवाइस मशीन लर्निंग और आंकड़ों का विश्लेषण करने के लिए, ओपन सोर्स और फ़ेडरेटेड कंप्यूट वर्कलोड उपलब्ध कराता है. असली उपयोगकर्ता का डिवाइस यह प्रमाणित करेगा कि इस तरह के वर्कलोड, ट्रस्टेड एक्ज़ीक्यूशन एनवायरमेंट में बिना किसी बदलाव के लागू किए गए हैं.
  • आउटपुट की तकनीकी निजता (उदाहरण के लिए, एग्रीगेशन, नॉइज़, डिफ़रेंशियल प्राइवसी) की गारंटी देना, जो डिवाइस से कंट्रोल की जाने वाली या पुष्टि की जा सकने वाली सीमा में हो.

इसलिए, मनमुताबिक अनुभव हर डिवाइस के लिए अलग-अलग होगा.

इतना ही नहीं, कारोबारों को निजता बनाए रखने के तरीकों की भी ज़रूरत होती है, जिन्हें प्लैटफ़ॉर्म को पूरा करना चाहिए. इसके लिए, रॉ कारोबार का डेटा अपने-अपने सर्वर पर मैनेज करना पड़ता है. इसके लिए, ओडीपी इस डेटा मॉडल को अपनाता है:

  1. हर रॉ डेटा सोर्स को डिवाइस या सर्वर साइड पर सेव किया जाएगा. इससे लोकल लर्निंग और अनुमान को बेहतर बनाने में मदद मिलेगी.
  2. हम अलग-अलग डेटा सोर्स से जुड़े फ़ैसले लेने में मदद करने के लिए एल्गोरिदम उपलब्ध कराएंगे. जैसे, दो अलग-अलग डेटा लोकेशन के बीच फ़िल्टर करना या अलग-अलग सोर्स की ट्रेनिंग या अनुमान.

इस संदर्भ में, एक बिज़नेस टावर या असली उपयोगकर्ता के लिए टावर बनाया जा सकता है:

बिज़नेस टावर और असली उपयोगकर्ता के लिए टावर
कारोबार के टावर में वह डेटा होता है जिसे कारोबार ने मनमुताबिक बनाने से पहले जनरेट किया है. ओडीपी वाले कारोबारों को इस जानकारी का मालिकाना हक बनाए रखने के लिए कहा जाता है. साथ ही, यह पक्का किया जाता है कि सिर्फ़ अनुमति पा चुके कारोबार के पार्टनर ही इस जानकारी को ऐक्सेस कर सकें.
असली उपयोगकर्ता के टावर में असली उपयोगकर्ता से मिला डेटा (उदाहरण के लिए, खाते की जानकारी और कंट्रोल), असली उपयोगकर्ता के डिवाइस से उसके इंटरैक्शन से जुड़ा इकट्ठा किया गया डेटा, और कारोबार के अनुमान (उदाहरण के लिए, रुचियां और प्राथमिकताएं) से जुड़ा डेटा शामिल होता है. अनुमानित डेटा, किसी भी उपयोगकर्ता के सीधे तौर पर किए गए एलानों को नहीं बदलता.

तुलना के लिए, क्लाउड-आधारित इन्फ़्रास्ट्रक्चर में, असली उपयोगकर्ता के टावर का पूरा रॉ डेटा कारोबारों के सर्वर पर ट्रांसफ़र किया जाता है. वहीं, डिवाइस पर आधारित इन्फ़्रास्ट्रक्चर में, असली उपयोगकर्ता के टावर का पूरा रॉ डेटा अपने ऑरिजिन से ही रहता है. हालांकि, कारोबार का डेटा सर्वर पर सेव रहता है.

ऑन-डिवाइस पर उपयोगकर्ताओं को मनमुताबिक अनुभव देने की सुविधा, बेहतरीन और ओपन सोर्स कोड को चालू करके, दोनों तरह की बेहतरीन सुविधाओं का इस्तेमाल करती है. ऐसा करने के लिए, पुष्टि किए गए ओपन सोर्स कोड को ऐसे डेटा को प्रोसेस करना होता है जिसमें ज़्यादा निजी आउटपुट चैनल इस्तेमाल करके, टीईई के असली उपयोगकर्ताओं से जुड़ा डेटा प्रोसेस किया जा सकता है.

सभी के लिए एक जैसी सेवाएं उपलब्ध कराना

ओडीपी का मकसद, अलग-अलग तरह के नेटवर्क में हिस्सा लेने वाले सभी लोगों के लिए एक संतुलित माहौल पक्का करना है. हम इस ईकोसिस्टम की जटिलता को समझते हैं. इसमें अलग-अलग सेवाएं और प्रॉडक्ट ऑफ़र करने वाले अलग-अलग खिलाड़ी शामिल हैं.

इनोवेशन को बढ़ावा देने के लिए, ओडीपी ऐसे एपीआई ऑफ़र करता है जिन्हें डेवलपर और उनके प्रतिनिधि लागू कर सकते हैं. ऑन-डिवाइस को मनमुताबिक बनाने की सुविधा से, रिलीज़, मॉनिटर करने, डेवलपर टूल, और फ़ीडबैक टूल को मैनेज करने के साथ-साथ, इन सुविधाओं को आसानी से इंटिग्रेट किया जा सकता है. डिवाइस पर उपयोगकर्ता के मनमुताबिक अनुभव पाने की सुविधा, कारोबार के लिए कोई ठोस वजह नहीं बनाती है, बल्कि यह क्रिएटिविटी को बढ़ावा देने में मदद करती है.

ओडीपी समय के साथ ज़्यादा एल्गोरिदम दे सकते हैं. सुविधाओं का सही लेवल तय करने के लिए नेटवर्क के साथ मिलकर काम करना ज़रूरी है. साथ ही, इस प्रोग्राम में हिस्सा लेने वाले हर कारोबार के लिए डिवाइस के संसाधनों की सही सीमा तय करना भी ज़रूरी है. हम नेटवर्क से मिलने वाले सुझावों का अनुमान लगाते हैं. इससे हमें इस्तेमाल के नए उदाहरणों को पहचानने और उन्हें प्राथमिकता देने में मदद मिलती है.

बेहतर उपयोगकर्ता अनुभव के लिए डेवलपर के लिए सुविधाएं

ओडीपी पर इवेंट डेटा या निगरानी में देरी नहीं होती. इसकी वजह यह है कि सभी इवेंट, डिवाइस के लेवल पर ही रिकॉर्ड किए जाते हैं. कोई मीटिंग में शामिल होने की कोई गड़बड़ी नहीं होती. साथ ही, सभी इवेंट किसी एक डिवाइस से जुड़े होते हैं. इस वजह से, निगरानी में रखे गए सभी इवेंट, अपने-आप समय के हिसाब से क्रम में बनते हैं. इस क्रम में, उपयोगकर्ता के इंटरैक्शन का क्रम तय होता है.

यह आसान प्रोसेस, डेटा को जोड़ने या दोबारा व्यवस्थित करने की ज़रूरत को खत्म करती है. इससे उपयोगकर्ता के डेटा को करीब-करीब रीयल-टाइम में ऐक्सेस किया जा सकता है और उसके डेटा को ऐक्सेस किया जा सकता है. इससे, डेटा पर आधारित प्रॉडक्ट और सेवाओं का इस्तेमाल करते समय असली उपयोगकर्ताओं को मिलने वाली सुविधाएं और बेहतर हो सकती हैं. इससे उन्हें ज़्यादा बेहतर अनुभव मिलेगा. ओडीपी की मदद से, कारोबार अपने उपयोगकर्ताओं की ज़रूरतों के मुताबिक बेहतर तरीके से काम कर सकते हैं.

निजता मॉडल: गोपनीयता के ज़रिए गोपनीयता

नीचे दिए गए सेक्शन में, निजता के इस विश्लेषण और कंप्यूटेशन एनवायरमेंट की निजता बनाम आउटपुट के सटीक होने के आधार पर, उपभोक्ता-प्रोड्यूसर मॉडल के बारे में बताया गया है.

निजता से जुड़े इस विश्लेषण के आधार पर, उपभोक्ता-प्रोड्यूसर मॉडल

हम उपभोक्ता-प्रोड्यूसर मॉडल इस्तेमाल करेंगे, ताकि गोपनीयता के ज़रिए निजता की सुरक्षा का आकलन किया जा सके. इस मॉडल में कंप्यूटेशन को डायरेक्ट असाइक्लिक ग्राफ़ (डीएजी) में नोड के तौर पर दिखाया जाता है. इसमें नोड और सबग्राफ़ होते हैं. हर कंप्यूटेशन नोड में तीन कॉम्पोनेंट होते हैं: इस्तेमाल किए गए इनपुट, आउटपुट, और आउटपुट के लिए कंप्यूटेशन मैपिंग इनपुट.

उपभोक्ता-प्रोड्यूसर मॉडल की जानकारी देने वाला ग्राफ़.
उपभोक्ता-प्रोड्यूसर मॉडल की जानकारी देने वाला ग्राफ़. इस ग्राफ़ में दो कंप्यूटेशन नोड हैं. एक्ज़ीक्यूट करने का क्रम, नोड 1 -> नोड 2 है. सबसे पहले नोड 1 लागू होगा. इसमें दो शुरुआती इनपुट इस्तेमाल किए जाते हैं: इनपुट 1 और इनपुट 2. नोड 1 से आउटपुट 1 जनरेट होता है. नोड 2, नोड 1 के आउटपुट और शुरुआती इनपुट का इस्तेमाल करता है: इनपुट 3. इसकी मदद से, आउटपुट 2 जनरेट किया जाता है. आउटपुट 2, इस ग्राफ़ का फ़ाइनल आउटपुट भी है.

इस मॉडल में, निजता सुरक्षा इन तीनों कॉम्पोनेंट पर लागू होती है:

  • इनपुट की निजता. नोड में दो तरह के इनपुट हो सकते हैं. अगर कोई इनपुट किसी पिछले नोड से जनरेट होता है, तो उसमें पहले से मौजूद उपयोगकर्ता की निजता की गारंटी के साथ आउटपुट पहले से मौजूद होता है. अगर ऐसा नहीं है, तो इनपुट को नीति इंजन का इस्तेमाल करके, डेटा इन्ग्रेस डेटा ट्रैफ़िक की नीतियों को हटाना होगा.
  • आउटपुट निजता. ऐसा हो सकता है कि आउटपुट का निजीकरण करना ज़रूरी हो, जैसे कि डिफ़रेंशियल प्राइवसी (डीपी) से मिला डेटा.
  • कंप्यूटेशन एनवायरमेंट की गोपनीयता. कंप्यूटिंग, एक सुरक्षित सील एनवायरमेंट में होनी चाहिए, ताकि यह पक्का किया जा सके कि किसी नोड के अंदर किसी भी व्यक्ति के पास बीच के राज्यों का ऐक्सेस न हो. इसे चालू करने वाली टेक्नोलॉजी में फ़ेडरेटेड कंप्यूटेशन (एफ़सी), हार्डवेयर-आधारित ट्रस्टेड एक्ज़ीक्यूशन एनवायरमेंट (टीईई), सुरक्षित मल्टी-पार्टी कंप्यूटेशन (एसएमपीसी), होमोमॉर्फ़िक एन्क्रिप्शन (एचपीई) वगैरह शामिल हैं. इस बात का ध्यान रखना ज़रूरी है कि निजता की सुरक्षा के लिए, मध्यस्थ राज्यों को निजता के लिए बनाया गया सुरक्षा उपाय और निजता की सीमा का उल्लंघन करने वाले सभी आउटपुट के डेटा को डिफ़रेंशियल प्राइवसी मैकेनिज़्म की मदद से सुरक्षित करना ज़रूरी है. ये दो दावे करना ज़रूरी है:
    • पर्यावरण की गोपनीयता बनाए रखना. साथ ही, यह पक्का करना कि सिर्फ़ घोषित किए गए आउटपुट ही वातावरण में बने रहें और
    • साउंडनेस, ताकि इनपुट निजता के दावों से आउटपुट में होने वाले निजता दावों की सटीक कटौती की जा सके. साउंडनेस, डीएजी के हिसाब से निजता प्रॉपर्टी को लागू करने में मदद करती है.

निजी सिस्टम इनपुट की निजता, कंप्यूटेशन एनवायरमेंट को गोपनीय रखने, और आउटपुट प्राइवसी को बनाए रखने में मदद करता है. हालांकि, गोपनीय कंप्यूटेशन एनवायरमेंट में ज़्यादा प्रोसेसिंग को सील करके, डिफ़रेंशियल प्राइवसी मैकेनिज़्म के ऐप्लिकेशन की संख्या को कम किया जा सकता है.

इस मॉडल के दो मुख्य फ़ायदे हैं. पहली बात, बड़े और छोटे ज़्यादातर सिस्टम को डीएजी के तौर पर दिखाया जा सकता है. दूसरा, डीपी की प्रोसेसिंग के बाद [सेक्शन 2.1] और कंपोज़िशन द कॉम्प्लेक्सिटी ऑफ़ डिफ़रेंशियल प्राइवसी में लैमा 2.4 प्रॉपर्टी से, पूरे ग्राफ़ में (सबसे खराब स्थिति) और सटीक जानकारी के विश्लेषण के लिए बेहतर टूल मिलते हैं:

  • प्रोसेस करने के बाद की प्रोसेस यह गारंटी देती है कि किसी संख्या का निजीकरण हो जाने के बाद, ओरिजनल डेटा का फिर से इस्तेमाल न करने पर, उसे "निजी" के तौर पर सेट नहीं किया जा सकता. जब तक किसी नोड के लिए सभी इनपुट निजी होते हैं, तब तक उसका आउटपुट निजी होता है. भले ही, उसकी गणनाएं कुछ भी हों.
  • बेहतर कंपोज़िशन इस बात की गारंटी देती है कि अगर हर ग्राफ़ का हिस्सा डीपी है, तो पूरा ग्राफ़ ग्राफ़ के फ़ाइनल आउटपुट के खोजते और $ को करीब कम्पोनेंट फ़ंक्शन के ज़रिए दिखाता है. इसके अलावा, यह माना जाता है कि ग्राफ़ में χ यूनिट और हर यूनिट का आउटपुट (कम, क्ष,)-डीपी है.

इन दो प्रॉपर्टी से हर नोड के लिए डिज़ाइन के दो सिद्धांत बने होते हैं:

  • प्रॉपर्टी 1 (प्रोसेसिंग के बाद से) अगर किसी नोड के इनपुट सभी डीपी हैं, तो उसका आउटपुट डीपी होता है. इसमें नोड में लागू किए गए आर्बिट्रेरी बिज़नेस लॉजिक को शामिल किया जाता है और कारोबारों के "सीक्रेट सॉस" का इस्तेमाल किया जाता है.
  • प्रॉपर्टी 2 (बेहतर कंपोज़िशन से) अगर किसी नोड के इनपुट सभी डीपी नहीं हैं, तो उसका आउटपुट डीपी के मुताबिक होना चाहिए. अगर कोई कंप्यूटेशन नोड ट्रस्टेड एक्ज़ीक्यूशन एनवायरमेंट पर चलता है और ओपन सोर्स और ऑन-डिवाइस पर दिए गए वर्कलोड और कॉन्फ़िगरेशन लागू करता है, तो डीपी की शर्तों को बेहतर किया जा सकता है. अगर ऐसा नहीं किया जाता है, तो डिवाइस पर मौजूद मनमुताबिक अनुभव देने की सुविधा को सबसे खराब स्थिति वाले डीपी सीमाओं का इस्तेमाल करना पड़ सकता है. संसाधन की कमी की वजह से, Trusted सॉफ़्टवेयर के ज़रिए पब्लिक क्लाउड सेवा देने वाली कंपनी के उपलब्ध कराए गए एनवायरमेंट को शुरुआत में प्राथमिकता दी जाएगी.

कंप्यूटेशन एनवायरमेंट प्राइवसी बनाम आउटपुट ऐक्यूरसी

इसके बाद से, डिवाइस पर उपयोगकर्ताओं को मनमुताबिक अनुभव देने की सुविधा, गोपनीय कंप्यूटेशन एनवायरमेंट की सुरक्षा को बेहतर बनाने पर फ़ोकस करेगी. साथ ही, यह पक्का करने पर भी ध्यान दिया जाएगा कि इंटरमीडिएट स्टेट को ऐक्सेस न किया जा सके. यह सुरक्षा प्रक्रिया, जिसे सीलिंग कहा जाता है, सबग्राफ़ स्तर पर लागू की जाएगी. इससे कई नोड एक साथ डीपी का पालन कर सकेंगे. इसका मतलब है कि ऊपर बताई गई प्रॉपर्टी 1 और प्रॉपर्टी 2, सबग्राफ़ लेवल पर लागू होती हैं.

सात नोड वाले ग्राफ़ को दो सबग्राफ़ और एक नोड में बांटना. इस उदाहरण में हर सबग्राफ़ में तीन नोड हैं. अगर हर सबग्राफ़ के एक्ज़ीक्यूशन को विरोधी की वजह से सील किया जाता है, तो सिर्फ़ आउटपुट 3 और आउटपुट 6 के नतीजे DP' किए जाने चाहिए.
बेशक, फ़ाइनल ग्राफ़ आउटपुट, आउटपुट 7, हर कंपोज़िशन के लिए DP'ed होता है. इसका मतलब है कि इस ग्राफ़ के लिए कुल दो डीपी होंगी. अगर सीलिंग का इस्तेमाल नहीं किया गया है, तो कुल तीन (लोकल) डीपी जोड़ें.

यह बेहद ज़रूरी है कि कंप्यूटेशन एनवायरमेंट को सुरक्षित करके और प्रतिस्पर्धियों को ग्राफ़ या सबग्राफ़ के इनपुट और इंटरमीडिएट स्टेट को ऐक्सेस करने के मौके खत्म करके, सेंट्रल डीपी लागू किया जा सकता है. इसका मतलब है कि सील्ड एनवायरमेंट का आउटपुट डीपी, लोकल डीपी की तुलना में सटीक होने में सुधार कर सकता है. यह सिद्धांत, एफ़सी, टीईई, एसएमपीसी, और एचपीई को निजता टेक्नोलॉजी के तौर पर शामिल करने पर निर्भर करता है. डिफ़रेंशियल प्राइवसी की जटिलता में, चैप्टर 10 देखें.

मॉडल ट्रेनिंग और अनुमान, एक अच्छा और प्रैक्टिकल उदाहरण है. यहां दी गई चर्चाओं में मान लिया जाता है कि (1), ट्रेनिंग में शामिल लोगों का डेटा, और अनुमानित जनसंख्या के आंकड़े ओवरलैप होते हैं, और (2), सुविधाएं और लेबल, दोनों में उपयोगकर्ता का निजी डेटा शामिल है. हम सभी इनपुट पर डीपी लागू कर सकते हैं:

डिवाइस पर मौजूद मनमुताबिक अनुभव, सर्वर पर भेजने से पहले उपयोगकर्ता के लेबल और सुविधाओं पर लोकल डीपी को लागू कर सकता है.
लोकल डीपी: प्रॉपर्टी 1 निजी सुविधाएं + निजी लेबल -> निजी मॉडल. (प्रॉपर्टी 1) निजी मॉडल + निजी सुविधाएं -> निजी अनुमान.
डिवाइस पर मौजूद मनमुताबिक अनुभव, सर्वर पर भेजने से पहले उपयोगकर्ता के लेबल और सुविधाओं पर लोकल डीपी लागू कर सकता है. यह तरीका, सर्वर के एक्ज़ीक्यूशन एनवायरमेंट या इसके कारोबारी लॉजिक पर कोई ज़रूरी शर्त लागू नहीं करता.
इस स्थिति में, मॉडल का मालिक अनुमान के लिए मॉडल को कहीं और ट्रांसफ़र कर सकता है.
सेंट्रल डीपी: (प्रॉपर्टी 2) के बजाय, सुविधाओं और लेबल को बनाए रखते हुए, मॉडल ट्रेनिंग के दौरान डीपी को लागू किया जा सकता है. इस स्थिति में, मॉडल का मालिक अनुमान के लिए मॉडल को कहीं और ट्रांसफ़र कर सकता है. हालांकि, अनुमान लगाने के दौरान निजता बनाए रखने के लिए, निजी मॉडल में दी गई सुविधाओं का इनपुट, प्रॉपर्टी 1 के हिसाब से डीपी का भी पालन करना चाहिए.
सीलिंग ट्रेनिंग और अनुमान की मदद से, सटीक अनुमान लगाना.
सीलिंग ट्रेनिंग और अनुमान लगाने की सुविधा का इस्तेमाल करके, अनुमान को ज़्यादा सटीक बनाया जा सकता है. इससे चुनिंदा सुविधाओं को प्राइवेट मॉडल में फ़ीड किया जा सकता है.
आखिरी नतीजे को सील किया जा रहा है.
एक कदम आगे बढ़कर, आखिरी अनुमान को भी सील किया जा सकता है. इस मामले में, मॉडल के मालिक के पास अनुमान का ऐक्सेस भी नहीं होता.
यह मौजूदा, डिवाइस पर मनमुताबिक बनाने की सुविधा का डिज़ाइन है.

पुष्टि के लिए निजी

डिवाइस पर मनमुताबिक बनाने की सुविधा का मकसद निजी तौर पर निजी होना चाहिए. इससे, इस बात की पुष्टि करने पर ध्यान दिया जाता है कि उपयोगकर्ता के डिवाइस पर क्या होता है. ओडीपी, उस कोड को बनाएगा जो असली उपयोगकर्ताओं के डिवाइस से डेटा को प्रोसेस करता है. साथ ही, वह एनआईएसटी की आरएफ़सी 9334 रिमोट अटेस्टेशन प्रोसेस (आरएटीएस) आर्किटेक्चर का इस्तेमाल करके यह पुष्टि करेगा कि इस कोड में, कॉन्फ़िडेंशियल कंप्यूटिंग कंसोर्टियम के मुताबिक, बिना खास अधिकार वाले सर्वर के नियमों में कोई बदलाव नहीं किया गया है. ये कोड ओपन सोर्स किए जाएंगे और इनका इस्तेमाल करके बेहतर तरीके से पुष्टि की जा सकेगी. इससे उपयोगकर्ताओं का भरोसा जीतने में मदद मिलेगी. ऐसे तरीकों से लोगों में यह भरोसा पैदा होता है कि उनका डेटा सुरक्षित है. साथ ही, कारोबार, निजता की सुरक्षा के लिए मज़बूत बुनियाद के आधार पर भरोसा कर सकते हैं.

इकट्ठा और सेव किए जाने वाले निजी डेटा की मात्रा को कम करना, डिवाइस को मनमुताबिक बनाने का एक और अहम पहलू है. इस सिद्धांत का पालन करने के लिए, फ़ेडरेटेड कंप्यूट और डिफ़रेंशियल प्राइवसी जैसी टेक्नोलॉजी का इस्तेमाल किया जाता है. साथ ही, किसी व्यक्ति की संवेदनशील जानकारी या पहचान ज़ाहिर करने वाली जानकारी को सार्वजनिक किए बिना, उसके अहम डेटा पैटर्न को सार्वजनिक किया जाता है.

डेटा प्रोसेसिंग और शेयर करने से जुड़ी गतिविधियों को लॉग करने वाला ऑडिट ट्रेल बनाए रखना, पुष्टि करने लायक निजता का एक और अहम पहलू है. इससे ऑडिट रिपोर्ट बनाने और जोखिम की आशंकाओं की पहचान करने में मदद मिलती है. साथ ही, यह पता चलता है कि निजता को लेकर हमारी प्रतिबद्धता.

हम निजता के विशेषज्ञों, संस्थाओं, उद्योगों, और लोगों से मिलकर काम करने की मांग करते हैं. इससे हमें अपने ऐप्लिकेशन के डिज़ाइन और उसे लागू करने के तरीके को लगातार बेहतर बनाने में मदद मिलती है.

नीचे दिया गया ग्राफ़, हर डिफ़रेंशियल प्राइवसी के हिसाब से क्रॉस-डिवाइस एग्रीगेशन और नॉइज़िंग का कोड पाथ दिखाता है.

फ़ेडरेटेड कंप्यूट सेवा का स्ट्रक्चर.
फ़ेडरेटेड कंप्यूट सेवा का स्ट्रक्चर, जो फ़ेडरेटेड लर्निंग और फ़ेडरेटेड Analytics, दोनों को मैनेज करता है. एन्क्रिप्ट (सुरक्षित) नहीं किए गए और ग़ैर-ज़रूरी डेटा को सिर्फ़ डिवाइस (लाल रेखा) पर प्रोसेस किया जाता है. प्रोसेसिंग के नतीजे एन्क्रिप्ट (सुरक्षित) किए गए होते हैं. भले ही, ये दोनों स्थिति में हों (गहरे रंग की लाइनें). एक से ज़्यादा पार्टी कोऑर्डिनेटर की मदद से प्रमाणित करने के बाद, सिर्फ़ डिवाइस पर मनमुताबिक अनुभव देने की अनुमति, ओपन सोर्स क्रॉस-डिवाइस एग्रीगेशन और नॉइज़िंग वर्कलोड के पास, एन्क्रिप्ट (सुरक्षित) नहीं किए गए डिवाइस के नतीजे का ऐक्सेस होता है. ट्रस्टेड एक्ज़ीक्यूशन एनवायरमेंट में डिफ़रेंशियल प्राइवसी मैकेनिज़्म के मुताबिक, ग़ैर-ज़रूरी डेटा को सही तरीके से लागू करने के बाद, डाउनस्ट्रीम डेटा फ़्लो को ऑरेंज लाइन से एन्क्रिप्ट (सुरक्षित) नहीं किया जा सकता.

बेहतरीन डिज़ाइन

गोपनीयता के ज़रिए निजता को कैसे लागू किया जा सकता है? हाई लेवल पर, ओडीपी से लिखा गया पॉलिसी इंजन, सील एनवायरमेंट में चलता है. यह हर नोड/सबग्राफ़ की निगरानी करने के लिए कोर कॉम्पोनेंट के तौर पर काम करता है. साथ ही, यह उनके इनपुट और आउटपुट के डीपी स्टेटस को ट्रैक करता है:

  • पॉलिसी इंजन के हिसाब से, डिवाइसों और सर्वर के साथ एक जैसा व्यवहार किया जाता है. एक जैसे पॉलिसी इंजन का इस्तेमाल करने वाले डिवाइसों और सर्वर को लॉजिकल रूप से एक जैसा माना जाता है. हालांकि, ऐसा तब ही माना जाता है, जब नीति वाले इंजन की अलग-अलग पुष्टि कर दी गई हो.
  • डिवाइसों पर, एओएसपी आइसोलेटेड प्रोसेस से आइसोलेशन किया जाता है. इसके अलावा, उपलब्धता ज़्यादा होने पर लंबे समय तक pKVM का इस्तेमाल करके आइसोलेशन किया जाता है. सर्वर पर, आइसोलेशन एक "भरोसेमंद पक्ष" पर निर्भर करता है. इसमें कोई TEE और अन्य तकनीकी सीलिंग सलूशन पसंदीदा होते हैं. जैसे, कोई कानूनी समझौता या फिर दोनों.

दूसरे शब्दों में, प्लैटफ़ॉर्म पॉलिसी इंजन को इंस्टॉल करने और उसे चलाने के लिए, सील की गई सभी जगहों को हमारे ट्रस्टेड कंप्यूटिंग बेस (टीसीबी) का हिस्सा माना जाता है. टीसीबी की मदद से, डेटा बिना ज़्यादा शोर के प्रमोट हो सकता है. डीपी को तब लागू करना होगा, जब डेटा टीसीबी से बाहर हो.

डिवाइस पर मनमुताबिक बनाने की सुविधा के हाई-लेवल डिज़ाइन में दो ज़रूरी एलिमेंट शामिल होते हैं:

  • बिज़नेस लॉजिक को लागू करने के लिए, पेयर की गई प्रोसेस वाला आर्किटेक्चर
  • डेटा इन्ग्रेस डेटा ट्रैफ़िक, इग्रेस डेटा ट्रैफ़िक, और अनुमति वाली कार्रवाइयों को मैनेज करने के लिए नीतियां और पॉलिसी इंजन.

सभी को इस तरह डिज़ाइन करने से, कारोबारों को अलग-अलग लेवल पर खेलने का मौका मिलता है. इस सुविधा की मदद से, वे भरोसेमंद तरीके से अपना मालिकाना कोड लागू कर सकते हैं. साथ ही, वे उपयोगकर्ता का ऐसा डेटा ऐक्सेस कर सकते हैं जिसमें नीति की जांच को मंज़ूरी मिली हो.

नीचे दिए गए सेक्शन में, इन दो अहम पहलुओं के बारे में ज़्यादा जानकारी दी जाएगी.

बिज़नेस लॉजिक को लागू करने के लिए पेयर-प्रोसेस आर्किटेक्चर

ऑन-डिवाइस को मनमुताबिक बनाने की सुविधा में, एओएसपी में पेयर-प्रोसेस आर्किटेक्चर की सुविधा जोड़ी गई है. इससे बिज़नेस लॉजिक के इस्तेमाल के दौरान, उपयोगकर्ता की निजता और डेटा की सुरक्षा बेहतर होती है. इस स्ट्रक्चर में ये शामिल हैं:

  • प्रोसेस मैनेज करना. यह प्रोसेस, Isolatedप्रोसेस को बनाती है और मैनेज करती है. यह पक्का करती है कि वे प्रोसेस-लेवल पर अलग-अलग रहें और ऐक्सेस सिर्फ़ अनुमति वाली सूची में शामिल एपीआई तक सीमित रहे और नेटवर्क या डिस्क की अनुमतियां न हों. मैनेज करने की प्रोसेस, कारोबार के पूरे डेटा को इकट्ठा करने का काम करती है. साथ ही, असली उपयोगकर्ता का सारा डेटा, और नीति उन्हें कारोबार कोड के लिए साफ़ करती है. साथ ही, उन्हें प्रोसेस करने के लिए Isolatedप्रोसेस में भेजती है. इसके अलावा, यह अलग-अलग प्रोसेस और दूसरी प्रोसेस, जैसे कि System_server के बीच होने वाले इंटरैक्शन को मीडिएशन करता है.

  • आइसोलेटेडप्रोसेस. इस प्रोसेस को आइसोलेटेड (isolatedprocess=true मेनिफ़ेस्ट में बताया गया है) के तौर पर सेट किया गया है. इस प्रोसेस को मैनेज करने की प्रोसेस से कारोबार का डेटा, असली उपयोगकर्ता का डेटा, और नीति की ओर से साफ़ तौर पर बताया गया डेटा मिलता है. साथ ही, इस प्रोसेस को कारोबार कोड भी मिलता है. इनकी मदद से, कारोबार कोड को उसके डेटा और नीति के हिसाब से तय किए गए असली उपयोगकर्ता के डेटा पर काम करने की अनुमति मिलती है. आइसोलेटेड प्रोसेस, इन्ग्रेस डेटा ट्रैफ़िक और इग्रेस डेटा ट्रैफ़िक को मैनेज करने की प्रोसेस से खास तौर पर जानकारी शेयर करती है. इसके लिए, कोई अतिरिक्त अनुमति नहीं दी जाती है.

पेयर-प्रोसेस आर्किटेक्चर से असली उपयोगकर्ता की डेटा की निजता नीतियों की, स्वतंत्र तौर पर पुष्टि करने का मौका मिलता है. इसके लिए, कारोबारों को अपने कारोबारी लॉजिक या कोड को ओपन सोर्स बनाने की ज़रूरत नहीं होती. Isolatedप्रोसेस को मैनेज करने की प्रोसेस और अलग-अलग कारोबारी लॉजिक का बेहतर तरीके से इस्तेमाल करके, Isolatedप्रोसेस को कैसे मैनेज करता है. इससे, लोगों की दिलचस्पी के मुताबिक विज्ञापन दिखाने के दौरान, उपयोगकर्ता की निजता को बनाए रखने के लिए, ज़्यादा सुरक्षित और बेहतर समाधान मिलता है.

नीचे दिए गए डायग्राम में, पेयर किए गए प्रोसेस आर्किटेक्चर को दिखाया गया है.

जिस इकाई के लिए 'अडैप्टिव ऐप्लिकेशन' लिखा जाता है वह एक भी इकाई हो सकती है. यह वह इकाई भी हो सकती है जो ग्राफ़ में 'Adopter apk' को लिखती है.
"Adopter ऐप्लिकेशन" को लेखक करने वाली इकाई, ग्राफ़ में "Adopter apk" को लिखने वाली इकाई के समान हो भी सकती है और नहीं भी. ग्राफ़ में "Adopter apk" को लेखक के रूप में प्रकाशित करने वाली इकाई और "एडॉप्टर लोकल स्टोर" का मालिकाना हक एक ही इकाई के पास है.

डेटा ऑपरेशन के लिए नीतियां और पॉलिसी इंजन

डिवाइस पर उपयोगकर्ताओं को मनमुताबिक अनुभव देने की सुविधा की मदद से, प्लैटफ़ॉर्म और कारोबार के लॉजिक के बीच नीति को लागू करने से जुड़ी एक लेयर बनाई जा सकती है. इसका मकसद ऐसे टूल का सेट देना है जो असली उपयोगकर्ता और कारोबार के कंट्रोल को एक ही जगह पर और कार्रवाई करने लायक नीति फ़ैसलों में मैप करते हैं. इसके बाद, इन नीतियों को सभी फ़्लो और कारोबारों पर बड़े स्तर पर और भरोसे के साथ लागू किया जाता है.

पेयर किए गए प्रोसेस आर्किटेक्चर में, पॉलिसी इंजन, मैनेज करने की प्रोसेस में होता है. यह असली उपयोगकर्ता और कारोबार के डेटा के इन्ग्रेस डेटा ट्रैफ़िक और इग्रेस डेटा ट्रैफ़िक पर नज़र रखता है. यह आइसोलेटेड प्रोसेस को अनुमति वाली सूची में शामिल ऑपरेशन भी उपलब्ध कराएगा. सैंपल कवरेज वाले इलाकों में ये शामिल हैं: असली उपयोगकर्ता का कंट्रोल, बच्चों की सुरक्षा, बिना सहमति वाले डेटा शेयर करने से रोकना, और कारोबार की निजता.

इस नीति को लागू करने के इस तरीके में तीन तरह के वर्कफ़्लो शामिल हैं. इनका इस्तेमाल किया जा सकता है:

  • ट्रस्टेड एक्ज़ीक्यूशन एनवायरमेंट (टीईई) कम्यूनिकेशन के साथ, स्थानीय तौर पर शुरू किए गए ऑफ़लाइन वर्कफ़्लो:
    • डेटा डाउनलोड करने का तरीका: भरोसेमंद डाउनलोड
    • डेटा अपलोड करने की प्रोसेस: भरोसेमंद ट्रांज़ैक्शन
  • स्थानीय तौर पर शुरू किए गए ऑनलाइन वर्कफ़्लो:
    • रीयल-टाइम में विज्ञापन दिखाने के फ़्लो
    • अनुमान फ़्लो
  • स्थानीय तौर पर शुरू किए गए, ऑफ़लाइन वर्कफ़्लो:
    • ऑप्टिमाइज़ेशन फ़्लो: डिवाइस पर मौजूद मॉडल ट्रेनिंग, फ़ेडरेटेड लर्निंग (FL) के ज़रिए लागू की गई
    • रिपोर्टिंग फ़्लो: फ़ेडरेटेड Analytics (FA) के ज़रिए लागू किया गया क्रॉस-डिवाइस एग्रीगेशन

नीचे दिए गए डायग्राम में, नीतियों और पॉलिसी इंजन के नज़रिए से आर्किटेक्चर दिखाया गया है.

पॉलिसी इंजन, डिज़ाइन के मुख्य हिस्से में होता है.
पॉलिसी इंजन, डिज़ाइन के बीच में मौजूद होता है. उदाहरण (इस तरह के और भी उदाहरण हो सकते हैं):
  • डाउनलोड करें: 1 -> 2 -> 4 -> 7 -> 10 -> 11 -> 3
  • पेश किया जा रहा है: 1 + 3 -> 4 -> 6 -> 9 -> 11 -> 3
  • ऑप्टिमाइज़ेशन: 2 (ट्रेनिंग प्लान देता है) -> 1 + 3 -> 4 -> 5 -> 8 -> 11 -> 2
  • रिपोर्टिंग: 3 (एग्रीगेशन प्लान मिलता है) -> 1 + 3 -> 4 -> 5 -> 8 -> 11 -> 2

कुल मिलाकर, डिवाइस को मनमुताबिक बनाने की सुविधा के पेयर-प्रोसेस आर्किटेक्चर में, नीति के उल्लंघन को ठीक करने के तरीके (एनफ़ोर्समेंट) लेयर और पॉलिसी इंजन के बारे में जानकारी मिलने से, यह पक्का होता है कि कारोबार के लॉजिक के हिसाब से काम करने के लिए, निजता की सुरक्षा वाला एक अलग माहौल उपलब्ध हो. साथ ही, यह ज़रूरी डेटा और कार्रवाइयों का कंट्रोल भी देता है.

लेयर वाले एपीआई प्लैटफ़ॉर्म

उपयोगकर्ता के डिवाइस पर मनमुताबिक अनुभव पाने की सुविधा की मदद से, दिलचस्पी रखने वाले कारोबारों को कई लेयर वाले एपीआई आर्किटेक्चर मिलते हैं. सबसे ऊपर की लेयर में, खास तरह के इस्तेमाल के लिए बनाए गए ऐप्लिकेशन शामिल होते हैं. संभावित कारोबार, अपना डेटा इन ऐप्लिकेशन से कनेक्ट कर सकते हैं. इन्हें टॉप-लेयर एपीआई कहा जाता है. टॉप-लेयर एपीआई, मिड-लेयर एपीआई पर बनाए जाते हैं.

समय के साथ, हम और टॉप-लेयर एपीआई जोड़ने की उम्मीद कर रहे हैं. अगर टॉप-लेयर एपीआई किसी इस्तेमाल के लिए उपलब्ध नहीं है या मौजूदा टॉप-लेयर एपीआई काफ़ी लचीले नहीं हैं, तो कारोबारों को सीधे तौर पर मिड-लेयर एपीआई लागू करने की सुविधा मिलती है. इससे, प्रोग्रामिंग प्रिमिटिव के ज़रिए ताकत और ज़रूरत के हिसाब से सुविधाएं मिलती हैं.

नतीजा

डिवाइस पर उपयोगकर्ताओं को मनमुताबिक अनुभव देने की सुविधा, रिसर्च का एक शुरुआती दौर है. इसका मकसद, लंबे समय तक चलने वाले समाधान के लिए दिलचस्पी और सुझाव, शिकायत या राय जानना है. इससे, उपयोगकर्ता की निजता से जुड़ी नई और सबसे अच्छी टेक्नोलॉजी से जुड़ी समस्याओं को हल किया जा सकता है. इनसे, उपयोगकर्ताओं को बेहतर अनुभव मिलेगा.

हम निजता के विशेषज्ञों, डेटा ऐनलिस्ट, और संभावित असली उपयोगकर्ताओं जैसे हिस्सेदारों से जुड़ना चाहते हैं, ताकि यह पक्का किया जा सके कि ओडीपी उनकी ज़रूरतों को पूरा करे और उनकी समस्याएं हल कर सके.