
США запретили современные методы защиты данных переписи
Администрация Трампа директивой DAO 216-26 запретила differential privacy и другие современные методы защиты данных для переписи населения США 2030 года.
Чрезвычайная ситуация с приватностью в США
4 июня 2026 года Министерство торговли США тихо подписало директиву DAO 216-26, которая фактически откатывает защиту данных американских граждан на полвека назад. Директива обязывает Бюро переписи населения (Census Bureau) и Бюро экономического анализа (BEA) использовать только те методы обеспечения конфиденциальности, что существовали в начале 1970-х годов. Под запрет попали не только передовые алгоритмы — под нож идёт вся современная наука о защите персональных данных в больших датасетах.
Действие директивы распространяется в том числе на перепись населения США 2030 года — она фактически запрещает не только differential privacy, но и все современные техники сохранения приватности в крупных наборах данных.
Кто поднял тревогу
С открытым письмом против директивы выступила Синтия Дворк (Cynthia Dwork) — исследователь, поставившая анализ данных с сохранением приватности на математически строгую основу. Differential privacy — сильная гарантия конфиденциальности, позволяющая проводить сложный анализ данных, — является краеугольным камнем её работ. Этот математический метод, впервые разработанный ею и коллегами в середине 2000-х, сегодня широко применяется в индустрии, в том числе в каждом устройстве Apple, и лёг в основу системы защиты данных переписи 2020 года.
Письмо подписали ведущие специалисты CS-теории: John Abowd, Aloni Cohen, Jae June Lee, Jayshree Sarathy, Adam Smith, Salil Vadhan. Публикация появилась в блоге Скотта Ааронсона, где он выступил с предисловием и поддержал призыв научного сообщества.
Что именно запрещено
DAO 216-26 запрещает differential privacy и другие современные (и не столь современные) методы. Разрешёнными остаются только два инструмента:
| Разрешённый метод | Описание | Недостатки |
|---|---|---|
| Coarsening (огрубление) | Округление, агрегация, диапазоны вместо точных значений | Делает данные бесполезными для детального анализа |
| Suppression (подавление) | Полное исключение («редакция») отдельных значений | Разрешено только как «крайняя мера» |
Под запрет подпадает noise infusion — добавление случайного шума в данные. Именно этот метод лежал в основе современной системы публикации статистики:
- Quarterly Workforce Indicators — с 2002 года
- OnTheMap (данные о маятниковой миграции) — с 2008 года
- Перепись 2020 года (Decennial Census)
- Планировавшаяся перепись 2030 года
Политическая подоплёка
Авторы письма настаивают: движущая сила за этим приказом — политический интерес, а не научная обоснованность. DAO 216-26 миновала обязательные по закону административные процедуры. Директива исполняет обещание, данное архитекторами Project 2025 Фонда «Наследие», и отражает риторику Центра возрождения Америки (CRA) — организации, основанной директором OMB Расселом Воутом.
Позиция CRA откровенна: «Даже если вопрос о гражданстве будет добавлен в перепись, установить статус конкретных лиц будет невозможно, пока применяется differential privacy». Между тем сокрытие таких данных напрямую предписано законом о переписи (13 U.S. Code Section 9).
graph TD
A[DAO 216-26 подписана
4 июня 2026] --> B[Запрет noise infusion
и differential privacy]
A --> C[Ограничение: только
coarsening и suppression]
B --> D[Данные переписи 2030
под угрозой]
B --> E[30+ лет статистических
продуктов аннулированы]
C --> F[Риск де-анонимизации
через школьную алгебру]
D --> G[Угроза для научных
исследований и бизнеса]
Почему coarsening не защищает — школьная алгебра против приватности
Авторы письма наглядно демонстрируют провал «разрешённых» методов. Допустим, в округе два города: в каждом — одна пивоварня и одна компания по розливу. CBP (County Business Patterns) публикует пять агрегированных показателей: занятость в пивном секторе по каждому городу, суммарно по пивоварням, суммарно по розливу и суммарно по публичным компаниям.
Пять уравнений, четыре неизвестных — задача решается методом школьной алгебры, и точное число сотрудников каждого предприятия становится известным.
То есть огрубление не скрывает — оно лишь маскирует данные, которые восстанавливаются тривиально.
Что теперь делать
Исследователи обеспокоены тем, что запрет статистического шума был введён без каких-либо объяснений. Авторы письма призывают:
- Учёных и специалистов — публично высказаться против директивы
- Всех желающих — архивировать методологические страницы Census Bureau через Wayback Machine, пока они не исчезли
- Профессиональные организации — требовать соблюдения законных административных процедур
Страницы с описанием noise infusion и differential privacy уже уходят в офлайн.
Вывод
Директива DAO 216-26 — не техническая реформа, а политическое решение, которое ломает десятилетия научного прогресса в области защиты данных. Итогом станут либо менее полезные (или вовсе недоступные) статистические данные, либо ослабленная защита — либо и то, и другое одновременно. Для мирового CS-сообщества это прецедент: когда политика напрямую отменяет математику, под ударом оказываются не только американцы, но и все, кто полагается на открытые данные США для научных исследований, бизнеса и государственного управления.