DRP 設計

圖 13、在∑𝒕中判斷是否有 Weakly acyclic

本研究將會有 Weakly Acyclic 的產生，所以不會造成無法停止的情況發生， 分析後的統計數據時，則揭露的資料稱為 Macrodata。依據 Microdata 和 Macrodata 不同的特性，其資料保護的方式也有所不同。目前本研究中只討論 Microdata 的 保護，也就是當使用者要求揭露原始欄位資料進行一般分析或者統計分析時，必 須落實的保護。Microdata 的保護方式可以分為兩種：Masking 和 Synthetic[23]。

Masking 會將資料做修改或隱藏的轉換用來做一般分析，而 Synthetic 會將資料轉 換成具有統計特性的資料可以用於統計分析。Masking 又可分為 Non-Prturbative

‧

和 Perturbative，Non-Perturbative 並不會修改資料內容但會藉由隱藏資料的方式 來保護隱私，如 Local Suppression 或 Top-Coding；而 Perturbative 則會以資料修 改的方式來保護隱私，如 Lossy Compression。本研究的統計保護型態只著重在 Non-Perturbative。

利用文獻[17]中 DRP 的設計將 A 醫院與 B 醫院的 DRP 分別表示，如圖 14，

黃色部分為 B 醫院本來架構，紅色為 A 醫院本來架構。差在於 Quasi-identifiers 設計的不同，所以經由資料交換後可能會產生不同的結果。圖中的 DataType 則 有兩個實體 Continuous 和 Categorical，每一種資料都以 hasDataType 關聯到自己 擁有的資料型態。Continuous 是指可以數學運算處理的資料，如加減乘除等，例 如 Cholesterol 和 Cost 等，而 Categorical 則是無法進行數學運算，例如 Name 和 Disease 等。

A 醫院 isHandled

圖 14、A、B 和兩間醫院整合圖

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

40

首先，要先判斷使用者查詢型態 (SBQ、PBQ、SBQ_a∧ SBQb或 PBQ_a∧PBQb)，

假如為 SBQ 或、SBQa∧ SBQb則直接將資料揭露給使用者，而 PBQ 或 PBQa∧PBQb

則判斷是否侵害隱私，本研究只針對 SBQ_a∧ SBQb和 PBQ_a∧PBQb進行討論，規 則如下:

Request(?r) ∧ hasData(?r, ?d) ∧ Data(?d) ∧ hasPartOf(?d, ?pod)

∧ hasQueryType(?r, SBQa∧ SBQb) → canUse(?r, ?pod) ----Rule 3

Request(?r) ∧ hadData(?r, ?d) ∧ Data(?d) ∧ hasPartOf(?d, ?pod)

∧ hasQueryType(?r, PBQa∧PBQb)∧ sqwrl : makeSet(?rs, ?pod)

∧ sqwrl : groupBy(?rs, ?r)∧ Quasi- identifiers(?qui) ∧hasPartOf(?qui, ?qpod)

∧ sqwrl:makeSet(?qs, ?qpod) ∧ sqwrl : groupBy(?qs, ?qui)

∧ sqwrl : contains(?rs, ?qs)∧ Confidential(?c) ∧ hasPartOf(?c, ?dc)

→sqwrl : selectDistinct(?qui, ?gpod) ----Rule 4

Request(?r) ∧ hadData(?r, ?d) ∧ Data(?d) ∧ hasPartOf(?d, ?pod)

∧ hasQueryType(?r, PBQa∧PBQb)∧ sqwrl : makeSet(?rs, ?pod)

∧ sqwrl : groupBy(?rs, ?r)∧ Identifiers(?id) ∧hasPartOf(?id, ?qpod)

∧ sqwrl:makeSet(?qs, ?qpod) ∧ sqwrl : groupBy(?qs, ?qui)

∧ sqwrl : contains(?rs, ?qs)∧ Confidential(?c) ∧ hasPartOf(?c, ?dc)

→sqwrl : selectDistinct(?id, ?gpod) ----Rule 5

經由上述規則判斷後，可得知是否有違反隱私，若沒有侵犯隱私則進行揭露，

規則如下:

Request(?r) ∧ hasData(?r, ?d) ∧ Data(?d) ∧ hasPartOf(?d, ?pod)

∧ hasQueryType(?r, PBQa∧PBQb) → canUse(?r, ?pod)--- Rule 6

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

41

若發現有侵犯隱私，則會使用 SDC 來處理資料，規則如下:

Request(?r) ∧ hasData(?r, ?d) ∧ Data(?d) ∧ hasPartOf(?d, ?b) ∧ selected(?r, ?b)

∧ hasDataType(?b, ?tp) ∧ DataType(?tp) ∧ SDC(?sdc) ∧ canApply(?sdc, ?tp)

→ sqwrl:select(?b, ?sdc) ---Rule 7

最後，運用 isHandled 的關係來判斷使用者查詢的欄位是否處理完畢，如果 處理完畢，則將資料釋放，規則如下:

Request(?r) ∧ hasData(?r, ?d) ∧ Data(?d) ∧ hasPartOf(?d, ?b) ∧ selected(?r, ?b)

∧ isHandled(?b, 1) ∧ hasPartOf(?d, ?a) ∧ notSelected(?r, ?a)

→ canUse(?r, ?a) ∧ canUse(?r, ?b) ---Rule 8

 Rule 3 判斷 SBQa∧ SBQb的情況，可以直接釋放。

 Rule 4 判斷在 PBQa∧PBQb是否違反隱私，準則為是否同時存在 Quasi- Identifiers 加 Confidential，若有會告知違反了那個 Quasi- Identifiers 隱私條 件。

 Rule 5 判斷在 PBQa∧PBQb是否違反隱私，準則為是否同時存在 Identifiers 加 Confidential，若有會告知違反了那個 Identifiers 隱私條件。

 Rule 6 為 PBQa∧PBQb不侵犯隱私情況，可以直接釋放。

 Rule 7 為 Rule 4 或者 Rule 5 兩者其中一條規則顯示出違反隱私，而需要進 一步選擇 SDC 的保護方式來處理違反隱私的資料。

 Rule 8 為違反隱私的資料經由 SDC 保護處理完畢後，則可以將資料釋放。

與文獻[24]的不同點在規則判斷的部分，因為兩間醫院可能制定的 Data Attribute 不盡相同，所以規則的判斷哪些條件違反了哪間醫院的隱私項目。在一 開始有說明兩邊資料經過資料交換處理後的釋放是由整合的 DRP 所執行，整合 原因在於不同資料來源所收集的資料欄位不盡相同，若沒有相對應的欄位可能會

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y