案例研究

2020年11月20日
第18卷第5期

案例研究

差异隐私：默认保护的追求

与Miguel Guevara、Damien Desfontaines、Jim Waldo和Terry Cotta的讨论

在过去的十年里，要求采取更好的措施来保护敏感的个人身份信息的呼声已经发展成为政客们喜欢称之为“热点问题”的问题。当然，侵犯隐私的行为已经变得猖獗，人们越来越清楚自己有多么脆弱。然而，当谈到潜在的补救措施时，各种提议差异很大，导致了激烈的政治争论。到目前为止，主要的结果是官僚政策，几乎没有人满意，也激怒了许多人。

现在，在这个混乱的画面中，出现了不同的隐私。2006年首次正式化，这是一种基于数学上严格的隐私定义的方法，允许对系统提供的防止重新识别的保证进行形式化和证明。虽然差别隐私已经被理论界接受了一段时间，但它的实现却变得微妙而棘手，直到现在才开始有实际的应用。迄今为止，美国人口普查局（U.S.Census Bureau）和一些科技公司已经采用了差异隐私，但这意味着什么，以及这些组织如何实施其系统，对许多人来说仍是一个谜。

差异隐私的出现也不太可能标志着所有困难的决策和权衡的结束，但它确实意味着现在有一些隐私措施可以量化和推理，然后用于实施适当的隐私保护。

2019年9月，谷歌发布了一个开源版本的差异隐私库，这是该公司在其许多核心产品中使用的差异隐私数据库，这是使该功能普遍可用的一个里程碑。

在接下来的交流中，谷歌的两位核心人物以开源的身份发布了该库——Damien Desfontaines，隐私软件工程师；米格尔·格瓦拉（Miguel Guevara）领导谷歌差异化隐私产品开发工作，对未来的工程挑战以及实现默认隐私保护的最终目标仍需做的工作进行了反思。哈佛大学首席技术官吉姆·沃尔多（Jim Waldo）和海洋学习系统首席技术官特里·科塔（Terry Cotta）最近共同主持了一项美国国家学院关于隐私的研究。

吉姆·沃尔多我很想听听你是如何描述差异隐私的，因为到目前为止，我所听到的大多数描述要么过于松散以至于毫无意义，要么过于正式以至于难以理解。

MIGUEL GUEVARA公司我是在其他隐私技术的背景下思考这一问题的，其中许多技术都是政策和启发式驱动的。这会让你感觉很好，但很难对这些技术进行解释，而差异隐私则为你提供了一种切实可行的方式，可以解释底层数据的隐私发生了什么，并量化那里失去了多少隐私。

拥有这种能力对数据管理员来说非常强大。它还让我们能够想象一个世界，在这个世界里，用户对自己的数据拥有同样的控制权，通过对应用程序进行一些调整，他们将有能力决定自己可以拥有多少隐私。因此，差异隐私背后的基本理念是赋予个人以理性和知情的方式做出此类决定的能力。

JW公司这是一种描述差异隐私目标的好方法。但现在我要请你们更具体一点，谈谈你们打算如何实现这些目标。

DAMIEN DESFONTAINES公司差异隐私的最大特点是，当您生成统计数据时，即关于一组人的一些聚合信息，您会故意在计算结果中添加噪音。这就是如何获得差异隐私的保证：通过确保查看计算结果的人无法获得有关其数据已包含在数据集中的个人的信息。

我的意思是噪音只需从分布中随机抽取一定数量的数据点。理想情况下，这个随机数可以保持在非常小的范围内，例如，在计数时，可以保持在-10到10之间。对于更大范围的统计数据，您添加的噪声不应该对数据的质量产生很大影响。然后，正如Miguel所指出的，差异隐私还可以量化数据集的隐私和精度之间的权衡。你添加到数据中的噪声量使你能够量化数据集的私密性。也就是说，你添加的噪声越多，统计数据的准确性就越低。同时，你的隐私保障也会变得更强。

JW公司所以，核心思想是，当你查询数据时，答案中添加了一些噪音，这让你可以控制隐私，因为你向数据中添加的噪音越多，它就越私密，而折衷的是，随着噪音的增加，精度会降低。

尽职调查这是正确的。

JW公司这在谷歌内部是如何使用的？

MG公司它主要由许多内部工具使用。从一开始，我们就将其视为一种构建工具的方法，可以用于解决一些核心内部用例。第一个项目是我们帮助了一些想要对数据进行快速实验的同事。我们发现，在大多数情况下，加速访问系统底层数据的一个好方法是添加由差异隐私支持的隐私层。这促使我们建立一个系统，让人们查询底层数据并获得不同的私人结果。

在我们开始看到那里取得了很多成功后，我们决定扩展该系统，使其达到我们现在正在构建的系统能够处理谷歌规模的数据量，同时还可以找到服务最终用户和内部用户的方法。例如，不同的隐私使得谷歌有可能制作新冠肺炎社区流动报告（公共卫生官员使用该报告从卫生数据中获取聚合的匿名见解，然后可以根据地理位置和地区绘制疾病随时间的移动趋势图（例如杂货店、中转站和工作场所）]。谷歌地图中还有一个业务功能，可以显示某个地方在任何给定时间点的繁忙程度。不同的隐私也使得这成为可能。基本上，谷歌的基础设施系统使用差异隐私来实现内部分析和一些最终用户功能。

JW公司据我所知，还有第三个变量。这包括事情的准确性和你添加的噪音，还有你允许的查询数量。你把这三个因素都考虑进去了吗？

MG公司这真的取决于系统。理论上，您可以有无数个查询。但是，差异隐私的一个关键方面是隐私预算——每次使用查询时，都要使用预算的一部分。因此，假设每次发出查询时，您都会使用剩余预算的一半。当您继续发出更多的查询时，您在查询中引入的噪音量只会增加。

在我们早期的一个系统中，我们通过做一些您暗示的事情来克服这个问题，即限制用户可以进行的查询数量。这样，我们就不会过快地耗尽预算，并且仍然能够为用户提供有意义的结果。

尽职调查文献中还出现了一个问题，这个问题与某人使用引擎对数据集运行任意查询有关，通常情况下，只要此人没有访问原始数据的权限。在这种用例中，预算跟踪变得非常重要。因此，我们开发的系统考虑到了这一点，使用了采样、审计和限制可以运行的查询数量等技术。另一方面，对于许多常见的应用程序，您知道要对数据运行什么类型的查询：例如，对于谷歌地图上显示的繁忙图，每天可能会使用一些预先确定的查询来生成所需的数据，这样您就不必为将来未知的查询提供更高的隐私预算。相反，您将提前知道要发出哪些查询，这样您还将知道需要添加多少噪声。

特瑞大衣这似乎是一个必然的结果：如果您有一个数据集，打算对其执行特别查询，但事先不知道这些查询的性质，那么在某种意义上，不同的隐私限制了该数据集的效用。也就是说，在您有效地耗尽对该数据集进行查询的能力之前，只有这么多的临时查询可以提供。

MG公司好的，但我想我会用用例来描述这一点。我们发现，当您查看您建议的用例类型时，人们往往只对广泛的统计趋势感兴趣。假设某家公司刚刚在X国推出其产品，现在想看看有多少用户在使用操作系统1而不是操作系统2。在这个层面上，从统计角度来看，差异隐私提供了非常好的结果。

但是还有另一个用例，我相信Damien正在谈论这个。假设，对于同一个例子，您发现分析的关键变量恰好是国家、年龄和收入。您可以相应地设置一个查询，然后每天或每隔几天运行一次，而不需要额外的隐私预算，因为您将每隔几天只使用这些数据点一次。

JW公司似乎您提供的许多示例都是粗略的，因为在比较的一端或另一端的数据集中有相当多的实体，这意味着添加少量噪声确实不应该导致问题。但我想知道关于离群值的查询。比方说，如果我想找出某个特定国家仍在运行Windows XP或可能仍在使用OS/2的人数，这些数字中的一点偏差可能会导致结果的真正差异。你认为什么时候使用差异私有的查询合适或不合适？

MG公司总的来说，我认为差异隐私非常适合描述成千上万的人每天做X件事的广泛统计趋势。谷歌为追踪新冠肺炎感染趋势而编制的社区流动报告就是一个很好的例子。在其他用例中，您可以查看一些非常特殊的滥用或垃圾邮件趋势，以指示特定的攻击向量。如果你最终对其进行了一些非常精细的查询，你会发现，虽然理论上可以通过不同的隐私来实现这一点，但噪音的相对影响将是如此巨大，以至于你得到的结果几乎是无用的。

一般来说，我想说，虽然差异隐私有助于进行广泛的人口分析，但它不太擅长找出一两个人的行为，因为从定义上讲，这正是差异隐私旨在防范的。

总费用我们已经多次提到了可能“失去”的隐私量，而外行对隐私的概念则更具布尔性——也就是说，它要么是私人的，要么不是。所以，在这里讨论它作为一种定量测量是很有趣的。这到底意味着什么？

尽职调查将隐私视为布尔值的概念从一开始就具有误导性。即使在不同的隐私之外，您也需要经常问自己这样的问题：我们如何在收集尽可能少的数据的情况下使此功能工作？我们应该对存储的数据应用什么级别的保护？我们如何以可理解、尊重的方式请求用户同意？等等。

这些问题都不是布尔型的。即使在敌对环境中似乎不是布尔值。例如：攻击者是否能够截获并重新识别数据？答案要么是肯定的，要么不是。

但您仍然需要考虑其他问题，例如：攻击者的能力是什么？我们试图防御什么？最坏的情况是什么？这就是说，即使没有区分隐私的正式概念，隐私的概念也离布尔值很远。总是有灰色的阴影。

差异隐私为实现数据匿名化所做的是以形式化、数学化的方式量化权衡。这使得有可能超越这些灰色评估，应用一个强大的攻击模型，在该模型中，攻击者拥有任意的背景知识和计算资源，这是最糟糕的情况，但您仍然能够获得强大的、可量化的保证。这就是差异隐私的本质，就量化和衡量隐私与数据匿名实用程序的对比而言，这是目前我们拥有的最好的东西。

尽管差异隐私可能很强大，但它也是高度抽象的。事实证明，要让用户和开发人员对其保护个人身份信息的能力建立信心是一项挑战。

在一项持续的努力中，正在尝试各种方法来帮助人们将不同隐私的数学模型与实际隐私保护目标的实现联系起来。这方面的进展还没有达到谷歌的规模。

然而，谷歌和其他大型用户数据聚合商完全有能力对其使用的数据进行可证明的匿名化，这一理念对建立公众信心有着明确的既得利益。然而，如何以令人信服的方式向公众传达这一点，仍是一个尚未解决的问题。

JW公司当谈到担心隐私的用户时，我怀疑您是否能够通过告诉他们您已经将epsilon设置为某个特定值来缓解这些担忧。你如何将其重要性转化为用户可以理解的内容？

MG公司老实说，我认为我们在向用户传达这一点上做得并不好。我们更加注重提高认识。但你提出的这个问题很重要，因为目前世界上对匿名化的误解太多了。许多人认为，要匿名化数据，只需从数据集中删除整个标识符。所以，我们的第一步是确保每个人都意识到这一点不符合适当或强匿名的条件。

然后，一旦我们进入用户以个人隐私为心态的阶段，对于我们这些隐私研究社区的人来说，最重要的优先事项之一就是要做到你所说的：我们如何帮助人们看到我们在数学上所做的事情与他们在保护个人隐私方面的期望之间的联系？

我们已经做了一些用户研究，这让我们能够真正与用户交流，我学到的是，无论何时，只要我们能够向人们展示他们的个人数据是如何被隐藏在人群背后并受到随机信息的保护，他们肯定会表现出更多的信心。然而，很明显，在学习如何谈论这些数学技术以及它们以对最终用户来说更切实可行的方式提供的保证方面，我们仍然面临着巨大的挑战。

尽职调查另一方面，更好地了解用户的隐私问题是政策的一部分。他们的一些问题与差异隐私的使用完全正交。例如：我的家人、朋友和同事中谁能看到我刚才在网上分享的内容？我的数据要保存多久？

当时机成熟时，我们需要能够提供不同的隐私，以回答不同的、更具体的问题：每当谷歌公开共享聚合数据时，我的数据是如何保护的？

JW公司也许你应该描述一下你为谷歌开发了什么，让普通程序员更容易使用差异隐私。

MG公司首先要指出的是，我们已经开发了一个SQL引擎，可以产生不同的隐私结果。这背后的核心思想是，由于许多分析人员已经熟悉SQL，所以最好只是用两个不同的私有操作来增强这种语法。从本质上讲，这意味着某人可以进行匿名计数，并由此产生不同的隐私计数，同样，也可以进行匿名和，并产生不同的保密总和。

我们构建的其他部分更适合处理大量数据的数据操作框架。您可以将其视为Apache Beam-type框架，它允许我们将常规操作（主要是计数和求和）转换为差异隐私操作，然后团队可以使用这些操作以更好地保护隐私的方式生成数据。[Apache Beam是一个开源的统一模型，用于定义批处理和流式数据并行处理管道。]

JW公司这在谷歌中的使用范围有多广？在什么背景下使用？

尽职调查最明显的用户体验示例可能是谷歌地图中的一些由差异隐私支持的功能。此外，还有前面提到的新冠肺炎社区流动报告。我们在内部使用差异隐私，以帮助分析师以安全、匿名的方式访问数据，并支持内部仪表板，使开发人员能够监控其产品的使用情况。基本上，在较高级别上，任何时候团队想要对敏感数据进行处理，要求以匿名方式处理数据，例如，为了延长数据的保存时间，从而放宽可能需要加密或严格访问控制的数据保护要求，我们鼓励他们使用差异隐私。

总费用但我可以很容易地想象，当用户使用不同的隐私时，他们会开枪打自己的脚。例如，我可能会对数据库发出一些查询，得到一些结果，并认为我实际上知道这些结果的含义。我可能没有意识到的是，这些结果中有太多噪音，以至于它们实际上根本没有任何意义。谷歌的差异隐私库如何帮助人们避免这种陷阱？

MG公司从可用性的角度来看，包含比您意识到的更多噪音的结果可能是一个真正的问题。事实上，我们的内部用户经常问我们的一件事是：我们应该在哪里停止信任数据？

想象一下，您发出一个查询，然后返回一个表，例如，该表为您提供了不同的计数。在某些情况下，这些计数中的噪声会比实际数据更大。我们试图解决这一问题的一种方法是在结果中提供置信区间，假设置信区间相对于该值非常小，则几乎没有噪音，这意味着用户可以信任该结果。如果置信区间很宽，那么用户可以推断出有很多噪音。然后，是的，他们可以在那一点上停止信任数据。

尽职调查在新冠肺炎（COVID-19）社区流动报告的具体使用案例中，该报告包含研究人员和决策者用来就社交距离等问题做出艰难决策的数据，我们不希望他们仅仅因为不真正了解加噪过程就从数据中得出错误的结论。我们做了一些事情来避免这种情况。一是我们决定只发布置信区间似乎足够紧的数据。也就是说，如果增加的噪音有超过10%的机会导致数字下降超过10%，我们就不会公布这些数据。相反，我们会说，“我们的数据不够准确，因此没有数据可用于此度量。”

我们所做的第二件事是尽可能精确地记录整个过程，就像我们在网上发布的白皮书中所做的那样[具有有限用户贡献的Differentially Private SQL；https://arxiv.org/abs/1909.01917]. 鉴于此，任何对数据进行复杂统计分析的人都应该有必要解释噪声所造成的不确定性。

JW公司当然，任何机器学习算法都有一定的置信区间。您能够从对数据的差异私有查询中获得的置信区间与机器学习人员随后如何处理该数据之间的关系是什么？还是你还没有把两者联系起来？

尽职调查有多种方法可以将差异隐私和机器学习结合起来，我们有很多研究人员在这方面进行研究，特别是通过提高机器学习模型的准确性，同时通过使用差异隐私使其安全。我们还发布了一个开源库[TensorFlow Privacy]，将其中一些技术作为机器学习训练模型的一部分.

我们现在正在进行实验，以更好地了解在敏感数据集上训练的机器学习模型是如何无意中记住原始训练数据中的信息的，同时也在研究如何利用差异隐私来量化这些信息。一个挑战是，我们通过这些方法获得的ε参数通常很高，有时很难解释相关保证。然而，从经验上看，即使是这些难以解释的保证也能成功缓解攻击。让我们只说，这是一个迷人且富有成果的研究领域。

总费用在尝试将差异隐私与其他隐私保护技术结合起来时，您是否遇到过任何复杂情况？我问，因为差别隐私显然不能解决我们所有的问题。

MG公司我认为，我们在努力推进保护措施以了解所有可能性方面为时过早，但有一些令人鼓舞的迹象。我听说有些人试图通过联邦学习使用差异隐私，以可证明的隐私方式训练模型。我还听说，差异隐私正在与同态加密一起使用，以在双方之间共享数据，这样双方就可以生成不泄露任何单个模式或任何组模式的结果。

JW公司关于差异隐私，我观察到的一件有趣的事情是，理论基础和第一个实际应用程序之间大约有10年的时间差，而这些应用程序现在才开始提供。是什么使这一点如此难以实施？

尽职调查我们对遇到的一些困难感到十分惊讶。从根本上讲，我认为数学不那么难。基本的结果和技术相对简单，不需要花费太多时间或精力就能对其背后的理论有一个合理的理解。但事实证明，将所有这些理论转化为实践是困难的，并且需要比我们预期更多的时间和思考。

这有几个原因。一个是，文献对您希望匿名化的数据类型做出了一些假设，我们在实践中发现，这基本上是错误的。例如，假设数据集的每条记录对应于一个用户。这是因为许多文献中提出的主要用例与医疗数据相关，每个患者有一个记录。当然，当您处理用户活动日志、地点访问或搜索查询等数据集时，每个用户最终贡献的不仅仅是数据集中的一条记录。因此，在为我们构建更好的工具时，需要进行一些创新和优化。

导致无法预见的困难的另一个原因是，尽管数学相对简单，但以保持保证的方式实现它是很棘手的。它在密码方面有点像RSA（Rivest-Shamir-Adleman），简单易懂，但幼稚的实现会遇到定时攻击等严重问题。在差异隐私理论中，您可以将连续分布中的随机数添加到具有任意精度的统计信息中。要在计算机上实现这一点，您需要使用浮点数字，而这些数字的表示方式会带来很多微妙的问题。例如，如果您不小心，噪声数字中精度最低的位可能会泄漏有关原始数字的信息。

在许多方面，谷歌差异隐私库的开源版本的发布带来了一系列新的挑战。现在有一个教育项目要推出；需要支持的用户和开发人员；要构建的新工具；要策划、审查和测试外部贡献——事实上，要实施一个全新的审查流程，并以组织外部开发者社区的形式开展更广泛的工作。

但只要有宏大的抱负，这就是领土所带来的。谷歌差异隐私团队的目标确实雄心勃勃。

总费用很高兴您发布了这个开源库，它提供了许多真正微妙的数学计算的实现，这些计算是差异隐私的核心。但您是否也有很多单元测试来确保这不会偏离轨道？

尽职调查我们与该库一起开源的另一个东西是一个测试框架，专门用于验证不同的隐私保障。但对于这种类型的库来说，单元测试有点困难。根据设计，差异隐私会随机化其输出，因此您不能简单地检查以确保返回的值是您所期望的值。另一方面，测试框架通过生成大量输出并应用统计测试，为您提供了一种实证验证差异隐私的形式属性的方法。在我前面提到的白皮书中，我们发布了对我们其中一种方法的描述。

总之，是的，我们同意：测试非常重要，必须使用特殊的统计技术来补充单元测试和手动审计。

JW公司在查看您的开源页面时，我发现一些语言似乎比其他语言更好地得到了支持。你计划将此扩展到其他语言吗？或者你会更专注于添加新算法吗？你认为你能做到两者兼得吗？

MG公司支持的语言是我们在谷歌生产中使用的语言：Go、C和Java。最终，我们希望为这三种语言中的每一种提供相同的功能集。您可能很快就会看到一个实验文件夹，其中包含一些新内容，比如我前面提到的那些更高级别的数据处理框架。此外，还将提供一些开源内容，帮助计算一组查询的隐私预算。我们当然希望扩展我们的开放源码库，人们会发现其中的东西大多与我们在内部使用的东西相同，这意味着我们对它们有很大的信心。

总费用如果谷歌以外的人在使用这项技术时遇到困难怎么办？毕竟，他们并不是可以走下大厅与写下他们有意见的东西的人交谈。

MG公司我们试图尽可能回答人们关于存储库的问题。任何人都可以查看那里发布的评论和提交的问题。实际上，我们的目标是尽可能提供支持。

JW公司从这一点来看，这似乎主要是一个面向谷歌以外的人的只读开源存储库。你有计划扩大实施团队以包括外部人员吗？

尽职调查我们希望及时向外部捐款开放。起初，我们的C++库似乎没有引起外部贡献者的太多兴趣。首先，从事差异隐私工作的人数并不多，C++在开源社区中也没有得到广泛使用。然而，最近，我们看到了人们对差异隐私的兴趣真正增长，无论是对一般差异隐私还是对我们的工作都是如此。例如，OpenMined的同事为我们的工作编写了一个Python包装器，并正在基于我们的库开发Java工具。随着我们开始用Java和Go-in发布更多内容，特别是围绕诸如Privacy on Beam这样的端到端工具，我们希望吸引更多的人。

JW公司每当你开始接受外部贡献的时候，这应该是一个有趣的审查过程，因为这是相当微妙的东西。

尽职调查确切地。在接受对存储库的任何贡献之前，我们需要在测试、数学证明、确保代码质量以及其他方面做些什么，还有很多事情要确定。

MG公司我们需要确保不同的隐私机制确实在做他们应该做的事情，这意味着需要某种形式的审查过程。我们只是还不确定这个过程应该是什么样子。

总费用您预计差异隐私最终会得到多大程度的部署？

MG公司它可能具有加密目前所具有的覆盖范围。正如许多人现在默认使用加密一样，我希望看到一个人们在分析数据集之前默认使用差异隐私的世界。这应该只是一个标准的最佳实践。这是因为隐私保护届时将变得司空见惯。

我们还没有谈到差异隐私的另一个方面，那就是以不同的隐私方式收集数据的能力。因此，这里再次回到加密类比，我希望看到一个默认情况下数据应用程序收集数据的世界只有以不同的私有方式-可能只允许特定用例出现异常。

尽职调查我同意米格尔的观点。如今，实现差异隐私的最大障碍不是数学或缺乏理论研究。相反，我们需要更多的实现和一些专门的努力，以使差异隐私更容易使用。一旦我们做到了这一点，人们将能够在发布数据分析或统计研究结果时随时添加差异隐私。那么，差异隐私可能会成为一种标准的最佳实践，而不仅仅是一种好奇。

如果围绕本地差异隐私的类似努力也被证明是成功的，那么这也可能成为数据收集的最佳实践——至少，这是我们的长期目标。唯一阻碍我们实现这一目标的是更多的实现、可用性和推广工作，而不是更多的研究突破。

总费用就这成为进行数据分析的默认方式而言，我可以在Google引擎或AWS（Amazon Web Services）上注册一个差异化的私有数据服务，需要多长时间？

MG公司谷歌网站上已经有很多基础内容，所以我认为这不会花那么长时间。我乐观的估计是一年。悲观的估计更像是三年。但我当然希望不久我们就能提供默认服务，以更直观的方式为最终用户提供不同的隐私。

最初发表于《队列》第18卷第5期—
在美国计算机协会数字图书馆

更多相关文章：

Queenie Luo、Michael J.Puett、Michael D.Smith-大象的“透视”镜子
许多人求助于基于互联网的软件平台，如谷歌、YouTube、维基百科，以及最近的ChatGPT，以找到他们问题的答案。当Google Search声称其使命是从“多个角度传递信息，从而形成自己对世界的理解”时，大多数人倾向于信任它。然而，我们的工作发现，涉及复杂主题的查询产生的结果集中于一组狭隘的文化主导观点，这些视图与搜索短语中使用的语言相关。我们将这种现象称为语言偏见，本文以佛教和自由主义这两个复杂主题为例，说明了这种现象是如何发生的。

王一飞-从开放获取到保护信任
过去十年见证了数据保护法规的出现和加强。对于软件工程师来说，这个新时代提出了一个独特的挑战：当完整的数据访问（您最强大的工具之一）逐渐被淘汰时，您如何保持平台的准确性和有效性？任务很明确：重塑工具箱。我们感知、处理和实验数据的方式需要彻底改革，才能驾驭这个勇敢的新世界。

Nigel Smart、Joshua W.Baron、Sanjay Saravanan、Jordan Brandt、Atefeh Mashatan-多方计算：为了保护隐私，计算一下
多方计算基于复杂的数学，在过去十年中，MPC已被用作保护敏感数据的最强大工具之一。MPC现在作为协议的基础，允许一组各方在私人输入池上进行交互和计算，而不透露这些输入中包含的任何数据。最后，只有结果才会揭晓。这往往会产生深远的影响。

David Evans、Richard McDonald、Terry Cotta-访问控制和医疗记录：谁拥有数据？
如果医疗记录以患者为中心的方式进行处理，使用系统和网络，让所有医生、诊所、医院和药店可以随时共享数据，或者有机会与他们共享数据，该怎么办？更为根本的是，如果是患者拥有数据呢？