Datenschutzeinstellungen anpassen¶
In diesem Thema werden Techniken beschrieben, mit denen der Dateneigentümer die Datenschutzkontrollen anpassen kann, die Snowflake verwendet, um Rauschen in die Ergebnisse einzubringen. Snowflake empfiehlt, diese Optionen in der Reihenfolge auszuprobieren, in der sie unter diesem Thema vorgestellt werden.
Snowflake bietet Parameter, mit denen Sie sowohl die Beschränkung des Datenschutzverlustes als auch die maximale Höhe des Datenschutzbudgets pro Aggregat (in der Literatur zur differenziellen Privatsphäre als Epsilon bekannt) anpassen können.
Schritt 1: Datenschutzbereiche anpassen¶
Bevor Sie das Budget für den Datenschutz anpassen, sollten Sie überlegen, ob Sie den Datenschutzbereich in den Spalten der datenschutzgeschützten Tabelle anpassen. Snowflake führt genug Rauschen ein, um alle Werte in einer Spalte zu verdecken. Je größer der Wertebereich ist, desto mehr Rauschen muss eingeführt werden. Befolgen Sie diese Richtlinien:
Wenn Sie das Rauschen verstärken möchten, erweitern Sie den Bereich um Werte, die größer oder kleiner als die tatsächlichen Werte sind. Denken Sie daran, dass der Datenschutzbereich alle möglichen Werte definiert, nicht die tatsächlichen Werte.
Wenn Sie das Rauschen verringern möchten, schränken Sie den Datenschutzbereich ein, um Werte außerhalb eines nützlichen Bereichs auszuschließen oder zu begrenzen. Informationen darüber, wie Werte außerhalb des Datenschutzbereichs behandelt werden, finden Sie unter Werte außerhalb eines Datenschutzbereichs.
Bemerkung
Der Analyst kann auch einen Datenschutzbereich eingrenzen, um das Rauschen zu verringern. Weitere Informationen dazu finden Sie unter Eingrenzen eines Datenschutzbereichs zur Verbesserung der Ergebnisse.
Schritt 2: Anpassen des MAX_BUDGET_PER_AGGREGATE-Parameters¶
Wenn Sie den Datenschutzbereich festgelegt haben, aber noch eine Feinabstimmung Ihrer Datenschutzkontrollen benötigen, können Sie mit der Änderung von Einstellungen beginnen, Einstellungen zu ändern, die sich auf das Datenschutzbudget auswirken. Die Anpassung des Parameters MAX_BUDGET_PER_AGGREGATE im Text einer Datenschutzrichtlinie steuert, wie viel von einem Datenschutzbudget für jedes Aggregat in einer Abfrage ausgegeben werden kann (d. h. wie viel Datenschutzverlust ein Aggregat erleiden kann). Die Anpassung dieses Parameters ändert die Menge an Rauschen, die zu jeder Abfrage hinzugefügt wird, sowie die Anzahl der Aggregate, die ausgeführt werden können, bevor die Beschränkung des Datenschutzbudgets erreicht wird.
Der Parameter legt die Ebene für jedes Aggregat fest, nicht für jede Abfrage. Ein Beispiel: Die Abfrage SELECT COUNT(*), AVG(a) ... hat zwei Aggregate: COUNT(*) und AVG(a).
Um den maximalen Datenschutzverlust für jedes Aggregat in einer Abfrage anzupassen, verwenden Sie den Befehl ALTER PRIVACY POLICY, um einen neuen Wert für den Parameter MAX_BUDGET_PER_AGGREGATE festzulegen. Beispiel:
ALTER PRIVACY POLICY users_policy SET BODY ->
PRIVACY_BUDGET(BUDGET_NAME=>'analysts', MAX_BUDGET_PER_AGGREGATE=>0.1);
Schritt 3: Beschränkung des Datenschutzbudgets anpassen¶
Wenn die Anpassung anderer Datenschutzkontrollen nicht zu den gewünschten Ergebnissen führt, können Sie die Beschränkung für den Datenschutzverlust im Datenschutzbudget anpassen. Während die anderen Datenschutzkontrollen die Menge an Rauschen in den Abfrageergebnissen beeinflussen, wirkt sich die Anpassung der Budgetbeschränkung darauf aus, wie viele Abfragen ein Analyst durchführen kann.
Jedes Mal, wenn ein Analyst eine Abfrage mit Aggregatfunktionen für eine datenschutzgeschützt Tabelle durchführt, wird der kumulative Datenschutzverlust des Analysten erhöht und die geschätzte Anzahl der verbleibenden Aggregate wird verringert. Wenn der kumulative Datenschutzverlust die Beschränkung des Datenschutzbudgets erreicht, können die Analysten keine weitere Abfrage durchführen. Wenn Sie den Nutzen Ihrer Daten für den Analysten maximieren möchten, können Sie Ihre Budgetbeschränkung daran orientieren, wie viele Abfragen die Analysten Ihrer Meinung nach in jedem Budgetfenster durchführen werden.
Bemerkung
Denken Sie daran, dass der kumulative Datenschutzverlust nach einem festen Zeitplan auf 0 zurückgesetzt wird, der durch das Budgetfenster <label-diff_privacy_admin_privacy_budget_refresh_definition> definiert ist. Wenn das Datenschutzbudget zurückgesetzt wird, kann der Analyst ein neues Set von Abfragen durchführen, selbst wenn die Budgetbeschränkung während des vorherigen Budgetfensters erreicht wurde.
Die Funktion ESTIMATE_REMAINING_DP_AGGREGATES hilft Ihnen, die Anzahl der verbleibenden Abfragen für ein Datenschutzbudget abzuschätzen. Im Allgemeinen basiert diese Zahl auf der Anzahl der Aggregate in jeder Abfrage und dem Wert des Parameters MAX_BUDGET_PER_AGGREGATE, den Sie im Hauptteil (Body) der Datenschutzrichtlinie angegeben haben. Ein erweitertes Beispiel für die Verwendung der Funktion ESTIMATE_REMAINING_DP_AGGREGATES, um die Auswirkungen von Abfragen auf das Datenschutzbudget zu sehen, finden Sie unter Änderungsverfolgung der Ausgaben aus dem Datenschutzbudget.
Nachdem Sie die Funktion ESTIMATE_REMAINING_DP_AGGREGATES verwendet haben, um eine Vorstellung davon zu bekommen, wie viel Datenschutzbudget für eine Reihe von Abfragen ausgegeben wird, können Sie den Parameter BUDGET_LIMIT im Text der Datenschutzrichtlinie anpassen, um eine neue Beschränkung für das Datenschutzbudget festzulegen. Beispiel:
ALTER PRIVACY POLICY users_policy SET BODY ->
PRIVACY_BUDGET(BUDGET_NAME=>'analysts',
BUDGET_LIMIT=>300,
MAX_BUDGET_PER_AGGREGATE=>0.1);
Wichtig
Beachten Sie, dass dieser Befehl den Parameter MAX_BUDGET_PER_AGGREGATE enthält, der zuvor festgelegt wurde. Wenn Sie einen Parameter nicht in die Anweisung ALTER PRIVACY POLICY aufnehmen, wird er auf seinen Standardwert zurückgesetzt.