...
Исследования указывают на много других не менее странных способов деанонимизировать пользователя. Так как всё коррелирует со всем, любой мелочи может быть достаточно для деанонимизации пользователя:

* Мелкие погрешности в часах компьютера (даже через Tor)
* История браузера, а то и просто версия и набор плагинов. Это не считая случаев, когда баги Firefox, Google Docs или Facebook напрямую сливают личность пользователя.
* Атаки по времени, основанные на измерении времени загрузки. С их помощью можно даже узнать имя пользователя и число приватных фото.
* 42% пользователей XING были однозначно идентифицированы по набору групп, в которых они состоят. Тот же принцип может работать и в других соцсетях.
* Зная всего несколько фильмов, которые пользователь посмотрел на Netflix (неважно, популярных или малоизвестных), можно найти все остальные данные его профиля. Эта атака работает только для профилей, вошедших в анонимизированный датасет Netflix Prize, но она позволяет идентифицировать человека по невероятно малому количеству информации. Никто и не подозревал, что ваши предпочтения в аниме могут вас выдать, даже если не смотреть экзотические тайтлы.
* Те же авторы использовали поиск изоморфизмов между произвольными графами, скажем, социальными сетями безо всяких данных, кроме топологии графа друзей/групп (конкретно для соцсетей показано на паре Flickr/Twitter) для деанонимизации людей, вошедших в публичные анонимизированные датасеты. Поиск изоморфизмов между произвольными графами звучит как NP-трудная задача и вполне может ей являться, но на практике современные алгоритмы с ней неплохо справляются.
* Про имена пользователей и их переиспользование я вообще молчу.
* Кстати об анонимизированных данных, даты рождения, пола и места проживания вполне достаточно для кросс-корреляции между предположительно анонимизированными наборами медицинских или судебных данных и публичными списками избирателей. 97% зарегистрированных избирателей Кембриджа (Массачусетс) однозначно идентифицируются по дате и месту рождения (прим. пер.: имеется в виду не город рождения, а ZIP code, почтовый индекс), а 29% — по дате рождения и полу.
* Ритм использования клавиатуры пригоден для биометрии. Звук или видео печати не только идентифицируют человека, но и могут использоваться для кражи паролей.
* Зная путь от дома до работы с точностью до квартала, можно однозначно идентифицировать человека; 5% людей идентифицируются даже по пути с точностью до почтового индекса.
* В опознании по почерку нет ничего нового; а как вам опознание по тому, как человек заштриховывает поле в анкете? Точность не абсолютная, но в 51% случаев алгоритм угадывает человека, а в 75% называет его среди топ-3 кандидатов из примерно сотни.
* Кстати о письме, автоматическое определение автора по стилю текста — широко распространённая практика.
* Незаметный для человека шум в электрической проводке меняется со временем и позволяет датировать аудиозаписи. Подобные уникальные шумы могут использоваться для отслеживания людей или приборов, мониторинга активности в помещении и прочая и прочая.
* Каждый школьник знает про подслушивание с помощью лазерных микрофонов. А как насчёт подслушивания через видеозапись пачки чипсов или фантика от конфеты? Как насчёт подслушивания через гироскоп мобильника? Как насчёт использования жёсткого диска в качестве микрофона? С помощью лазера можно ещё и считать на растоянии сердечный ритм, а он уникален.
* Водителя можно опознать по стилю вождения, иногда даже за единственный разворот.
* Историю перемещений мобильного телефона можно отследить при отключенном GPS за счёт изменения часовых поясов, атмосферного давления, корреляции с публичными данными типа расписания поездов и прочих мелочей.
* Фотографии со смартфона позволяют идентифицировать конкретное устройство по мелким погрешностям сенсоров и линз. Фейсбук это даже запатентовал.
* Паттерн использования смартфона коррелирует с болезнью Альцгеймера и чертами личности.
* Голос коррелирует не только с возрастом и этнической принадлежностью, но и с внешностью.


Коротко говоря, дифференциальная приватность практически невозможна; почти любая активность выдаёт достаточно информации, чтобы опознать деятеля; и вообще приватность мертва.
...