تصور کنید تمام سیستمهای امنیتی مدرن یک بانک حذف شوند و دوباره از قفلهای زنگزده و کلیدهای ساده استفاده شود؛ این دقیقاً همان اتفاقی است که اکنون در قلب دادههای ملی آمریکا میافتد. اگر شما تحلیلگر داده یا پژوهشگر سیاستگذاری هستید، باید بدانید که استانداردهای حریم خصوصی در سطح فدرال به شکلی خطرناک در حال عقبگرد است.
به نقل از مستندات رسمی، وزیر بازرگانی ایالات متحده фактически پیشرفتهترین روشهای ریاضی برای حفظ حریم خصوصی در انتشار دادههای فدرال را ممنوع کرد. در ۴ ژوئن ۲۰۲۶، وزارت بازرگانی دستور DAO 216-26 را صادر کرد. این دستور دفتر تحلیل اقتصادی (BEA) و اداره سرشماری ایالات متحده را مجبور میکند تکنیکهای مدرن را رها کرده و به روشهایی بازگردند که متعلق به اوایل دهه ۱۹۷۰ است. این اقدام، بیش از نیم قرن پیشرفت در حفاظت از دادههای کاربران و سوژههای داده را نادیده میگیرد.
این چرخش راهبردی، یک نقطه شکست بحرانی برای سرشماری ۲۰۳۰ آمریکا ایجاد میکند. برای دههها، جامعه علمی به سمت «تزریق نویز» (Noise Infusion) حرکت کرده است تا هویت افراد را محافظت کند و در عین حال کاربرد دادهها را حفظ نماید. اکنون دولت در حال بازگشت به روشهای «درشتنمایی» (Coarsening) و «حذف» (Suppression) است؛ که در واقع همان گرد کردن اعداد یا حذف کامل نقاط داده برای حفظ محرمانگی است.
طبق یک پست مهمان توسط پروفسور سینتیا دوورک (Cynthia Dwork)، استاد علوم کامپیوتر هاروارد (Gordon McKay Professor) در وبلاگ scottaaronson.blog، این دستور نه بر اساس معیارهای علمی، بلکه تحت تأثیر منافع سیاسی صادر شده است. دوورک که پیشگام عدالت الگوریتمی و حریم خصوصی تفاضلی است، اشاره میکند که این دستور تمام رویههای اداری که از نظر قانونی الزامی بودند را دور زده است. این پست توسط دیگر رهبران این حوزه از جمله جان ابود، آلونی کوهن، جائه جونه لی، جایشری ساراتی، آدام اسمیت و سالیل وادان نیز تأیید و امضا شده است.
زمینههای سیاسی و انگیزهها
این دستور در واقع تحقق وعدهای است که معماران «پروژه ۲۰۲۵» بنیاد هریتیج داده بودند. این تصمیم بازتابی از لفاظیها و سوءبرداشتهای نمایندگان سازمان مرکز تجدید آمریکا (CRA) است؛ سازمانی که توسط راسل ووت، مدیر OMB، تأسیس شده است.
سازمان CRA صراحتاً درباره مخاطرات سیاسی این موضوع صحبت کرده است. در یک مطلب توضیحی درباره حریم خصوصی تفاضلی در سرشماری ۲۰۲۰، این سازمان اعلام کرد: «حتی اگر سؤال شهروندی به سرشماری اضافه شود، تا زمانی که از حریم خصوصی تفاضلی استفاده شود، تشخیص وضعیت افراد غیرممکن خواهد بود».
با این حال، پوشاندن چنین ویژگیهای شخصی یک انتخاب سیاسی نیست، بلکه یک الزام قانونی است. طبق «قانون سرشماری» (بخش ۹ از کد ۱۳ ایالات متحده)، هرگونه انتشار دادهای که باعث شود دادههای ارائه شده توسط یک فرد خاص شناسایی شود، جرم تلقی میشود. محرمانگی به طور گسترده به عنوان محرک اصلی شناخته میشود که باعث میشود مردم اصالتاً در سرشماری شرکت کنند.
شکست فنی روشهای سنتی
برای درک اینکه چرا این موضوع خطرناک است، مثال «شرابسازی» از ناتان گلدشلاگ (Nathan Goldschlag) را بررسی کنید. این مثال از دادههای الگوهای کسبوکار شهرستان (CBP) الهام گرفته شده است که آمارهای فعالیت تجاری را به تفکیک صنعت و جغرافیا ارائه میدهد. اگر یک شهرستان کوچک تنها یک شرابسازی داشته باشد، انتشار تعداد دقیق کارکنان، دادههای خصوصی آن کسبوکار خاص را فاش میکند و قانون سرشماری را نقض میکند.
رویه قدیمی «درشتنمایی» سعی میکند با کاهش سطح جزئیات یا دقت این مشکل را حل کند؛ مثلاً از طریق گرد کردن اعداد، تجمیع (گروهبندی) یا استفاده از بازههای عددی. گلدشلاگ سه سناریو را برای نشان دادن تنش بین کاربرد داده و قانون مطرح میکند:
- موجودیت واحد: تنها یک شرابسازی در یک شهرستان کوچک وجود دارد. انتشار تعداد دقیق کارکنان، هویت و اندازه آن کسبوکار را فاش میکند.
- رقابت محدود: دو شرابسازی در یک شهرستان کوچک وجود دارد. صاحب یک کسبوکار میتواند تعداد کارکنان خودش را که میداند از مجموع کل کم کند تا دقیقاً بفهمد رقیبش چند کارمند دارد.
- حذف کامل: سازمان CBP به دلیل نگرانی از به خطر افتادن حریم خصوصی کسبوکارها، تصمیم میگیرد هیچ دادهای منتشر نکند. در این حالت، یک سرمایهگذار احتمالی برای تأسیس شرابسازی، پروژه را بیش از حد ریسکی میبیند زیرا اطلاعات بازار را در اختیار ندارد.
در این موارد، درشتنمایی باعث میشود آمارهای منتشر شده یا کاملاً بیفایده شوند و یا از نظر قانونی غیرقانونی باشند.
اثبات ریاضی شکست
تیم دوورک برای نشان دادن اینکه درشتنمایی در حفظ محرمانگی شکست میخورد، استدلال خود را بسط میدهد. فرض کنید در یک شهرستان دو شهر داریم: نورثبند و ساوتبند.
در نورثبند، یک شرابسازی و یک شرکت بطنبندی سیار وجود دارد. در ساوتبند، یک شرابسازی و یک شرکت بطنبندی ثابت وجود دارد. دو کسبوکار (شرابسازی نورثبند و بطنبندی ساوتبند) متعلق به دولت (عمومی) هستند. این وضعیت چهار موجودیت تجاری مرتبط با آبجو در شهرستان ایجاد میکند.
اگر CBP پنج آمار درشتنمایی شده را منتشر کند:
(الف) مجموع کارکنان کسبوکارهای «مرتبط با آبجو» در نورثبند (درشتنمایی شده چون فقط یک شرابسازی و یک بطنبندی در آن شهر هست).
(ب) مجموع کارکنان کسبوکارهای «مرتبط با آبجو» در ساوتبند (درشتنمایی شده چون فقط یک شرابسازی و یک بطنبندی در آن شهر هست).
(ج) مجموع کارکنان «فقط شرابسازی» برای کل شهرستان (درشتنمایی شده چون در هر شهر فقط یک شرکت شرابسازی هست).
(د) مجموع کارکنان «فقط بطنبندی» برای کل شهرستان (درشتنمایی شده چون در هر شهر فقط یک شرکت بطنبندی هست).
(ه) مجموع کارکنان «شرکتهای دولتی» برای کل شهرستان (درشتنمایی شده چون در هر شهر فقط یک شرکت دولتی هست).
این وضعیت یک سیستم متشکل از ۵ معادله با ۴ مجهول ایجاد میکند. با استفاده از جبر ساده دبیرستان و تنها چهار مورد از این آمارها (الف، ب، ج و ه)، یک ناظر میتواند تعداد دقیق کارکنان هر چهار شرکت را محاسبه کند. حتی بدون داشتن دانش داخلی از اعداد هر شرکت، بازسازی کامل دادهها ممکن است. درشتنماییها با یکدیگر تداخل بدی داشتند که منجر به نقض کامل حریم خصوصی شد. تزریق نویز با تغییر دادن معادلات، این بازسازی دقیق را غیرممکن میکند.

تکنیکهای تحت حمله
دستور DAO 216-26 صراحتاً «تزریق نویز» را ممنوع کرده است. تزریق نویز به عنوان «روشهایی که شامل تغییر یک مجموعه داده با افزودن مقادیر تصادفی یا نویز است» تعریف شده است. این روش دقیقاً برای پاسخ به نیاز روزافزون به دادههای ریزبینانه (Granular) در عین رعایت قوانینی که انتشار دادههای قابل شناسایی را ممنوع میکنند، اختراع شد. «حذف» (پاک کردن صریح برخی مقادیر) ممکن است استفاده شود، اما تنها به عنوان «آخرین راه-حل».
این ممنوعیت، دستاوردهای دهههای اخیر را نابود میکند:
- حریم خصوصی تفاضلی: بهترین رویکرد شناخته شده فعلی برای به حداکثر رساندن کاربرد داده در هر سطح مشخصی از حریم خصوصی. این روش برای انتشارات سرشماری ۲۰۲۰ و دادههای الگوهای تردد (OnTheMap) از سال ۲۰۰۸ استفاده میشد و برای سرشماری ۲۰۳۰ نیز برنامهریزی شده بود تا اینکه این دستور صادر شد.
- جابهجایی (Swapping): تکنیکی که از سال ۱۹۹۰ برای انتشارات سرشماریهای دههای به کار میرفت.
- نویز ورودی: روشی که از سال ۲۰۰۲ در شاخصهای نیروی کار (Quarterly Workforce Indicators) استفاده میشد و پیشتر برای آمارهای دفتر تحلیل اقتصادی (BEA) برنامهریزی شده بود.
بحران دادههای پیشرو
با محدود کردن روشهای اجتناب از افشا به گرد کردن و تجمیع، دولت تقاضای فزاینده برای دادههای ریزبینانه را نادیده میگیرد. درشتنمایی و حذف برای سریهای ملی کلی، مانند شاخصهای اصلی اقتصادی فدرال، کافی بودند، اما وقتی برای دادههای تجاری و جمعیتی در جزئیات جغرافیایی یا صنعتی ریز اعمال شوند، شکست میخورند.
وزارت بازرگانی ادعا میکند بازگشت به روشهای سنتی (Tradstat) از پاسخدهندگان محافظت کرده و «اطلاعات اقتصادی ضروری بیشتری» ارائه میدهد. اما همانطور که مثال شرابسازی ثابت کرد، این ادعا نادرست است. درشتنمایی، طبق تعریف، دسترسی به اطلاعات دقیق را کاهش میدهد. این «ریاضیات پیشرفته» یا تزریق نویز رسمی بود که در واقع از افشای ویژگیهای شخصی، مانند وضعیت شهروندی، جلوگیری میکرد.
این یک تهدید مستقیم برای مأموریت دوگانه اداره سرشماری است: ارائه دادههایی که «برای استفاده مناسب» باشند و در عین حال محرمانگی مطلق را تضمین کنند. کارمندان دولت اکنون بین دو گزینه بد گیر افتادهاند:
۱. تولید دادههایی که چنان درشتنمایی شدهاند که برای برنامهریزی شهری یا سرمایهگذاری تجاری بیفایده هستند.
۲. انتشار دادههایی که به راحتی رمزگشایی میشوند و دولت را در معرض چالشهای قانونی تحت قانون سرشماری قرار میدهند.
اگر مردم باور کنند دادههای خصوصیشان در خطر است، نرخ پاسخدهی به سرشماری سقوط میکند. این اتفاق برای سازمانی که زیرساخت دادههای محوری دموکراسی را فراهم میکند، ویرانگر خواهد بود.
حذف نهادینه و اقدامات ضروری
پیامدهای این تصمیم حتی به مستندات رسیده است. گزارش شده که وزارت بازرگانی مقاله BEA Working Paper WP2026-9 را پاکسازی کرده است. تا ۲۲ ژوئن، این مقاله دیگر در سایتهای رسمی .gov در دسترس نبود. صفحاتی که مکانیسمهای «تزریق نویز» و «حریم خصوصی تفاضلی» را توضیح میدادند، در حال آفلاین شدن هستند.
این حذف سیستماتیک نشاندهنده تلاشی برای پاک کردن مبانی علمی حفاظتهای مدرن از حریم خصوصی است. این یک بحث علمی درباره الگوریتمها نیست؛ بلکه یک دستور سیاسی برای نادیده گرفتن آمارهای حرفهای است. جامعه علمی همچنان درباره بهترین تکنیکها بحث میکند، اما DAO-216-26 بر اساس علم پیش نمیرود.
متخصصان و پژوهشگران اکنون به اقدامات زیر دعوت شدهاند:
- بایگانی مستندات: از ابزارهایی مثل Wayback Machine (بخش Save Page Now) برای ذخیره مقالات کاری اداره سرشماری، صفحات متدولوژی و مستندات فنی پیش از حذف کامل استفاده کنید.
- ارتباط با نمایندگان: با نمایندگان کنگره تماس بگیرید یا برای آنها بنویسید. در متن پیشنهادی تأکید کنید که تصمیمات فنی مربوط به کاربرد و محرمانگی دادهها باید توسط متخصصان در آژانسهای آماری فدرال گرفته شود، نه به طور یکجانبه توسط فعالان سیاسی. درخواست کنید که دستور DAO لغو شده و رویههای اداری صحیح طی شود.
- شبکهسازی حرفهای: این نگرانیها را در جامعه علمی به اشتراک بگذارید تا فشار جمعی برای مخالفت با این دستور ایجاد شود.
اگر این دستور اجرایی بماند، سرشماری ۲۰۳۰ ممکن است دادههایی تولید کند که یا یک liabilities قانونی باشند یا یک «روح آماری»؛ به گونهای که سیاستگذاران مجبور شوند برای ساخت خدمات ضروری برای رفاه جامعه، بر اساس اعداد ناقص و تجمیع شده، حدس بزنند.




گفتگو