Darurat Privasi di Amerika Serikat
(scottaaronson.blog)- Pada 4 Juni 2026, arahan DAO 216-26 dari Departemen Perdagangan AS mengembalikan cara BEA dan U.S. Census Bureau melindungi statistik publik ke teknik era 1970-an, sehingga dapat mengguncang sekaligus kegunaan data publik yang terperinci dan perlindungan responden
- Arahan ini melarang teknik pembatasan pengungkapan modern seperti differential privacy dan penyisipan noise, dan hanya mengizinkan coarsening seperti pembulatan, agregasi, pengelompokan rentang, serta suppression sebagai upaya terakhir
- Contoh pabrik bir dalam County Business Patterns menunjukkan bahwa coarsening sederhana dapat membuat statistik industri dan wilayah menjadi tidak berguna, atau ketika beberapa nilai agregat digabungkan, nilai masing-masing usaha dapat direkonstruksi dengan aljabar tingkat SMA
- Census Act mengategorikan pengungkapan yang membuat data yang diberikan individu atau bisnis tertentu dapat diidentifikasi sebagai tindak pidana, dan tingkat respons sensus serta kepercayaan terhadap statistik federal sangat bergantung pada jaminan kerahasiaan
- Terlepas dari perbedaan pendapat di dalam komunitas ilmiah soal teknik perlindungan privasi, pendekatan yang membuat aktor politik—bukan pakar di badan statistik federal—secara sepihak melarang pilihan metode harus ditolak
Perlindungan kerahasiaan statistik publik yang diubah oleh DAO 216-26
- Pada 4 Juni 2026, Menteri Perdagangan AS menerbitkan DAO 216-26 yang membatasi teknik perlindungan kerahasiaan yang boleh digunakan dalam semua publikasi BEA dan U.S. Census Bureau
- Arahan ini mengembalikan sarana perlindungan statistik publik ke teknik awal 1970-an, memundurkan perlindungan subjek data dan kemajuan metodologi yang telah berlangsung lebih dari setengah abad
- Berkat kemajuan teknologi perlindungan kerahasiaan, Census Bureau dapat membagikan lebih banyak data pada tingkat yang lebih rinci
- Akibatnya, kegunaan statistik dapat menurun, jumlah statistik yang dapat dipublikasikan dapat berkurang, atau tingkat perlindungannya dapat melemah
Latar belakang politik dan benturan hukum
- Di balik DAO 216-26, kepentingan politik berperan lebih kuat daripada validitas ilmiah
- Arahan ini dikritik karena mengakali prosedur administratif yang diwajibkan secara hukum
- Arahan ini memenuhi janji para perancang Project 2025 dari Heritage Foundation, serta mencerminkan retorika dan kesalahpahaman Center for Renewing America(CRA) yang didirikan oleh OMB Director Russell Vought
- Penjelasan CRA tentang differential privacy untuk 2020 Census menyatakan bahwa “meskipun citizenship question ditambahkan ke Census, selama differential privacy digunakan, mustahil untuk memastikan status seseorang”
- Namun, pemaskingan data karakteristik pribadi seperti ini adalah hal yang diwajibkan oleh Census Act, yaitu 13 U.S. Code Section 9
- Pasal ini menjadikan pengungkapan yang memungkinkan identifikasi data yang diberikan individu tertentu sebagai tindak pidana
- Kerahasiaan juga penting agar orang bersedia merespons sensus
Teknik yang dilarang dan teknik yang diizinkan
- DAO 216-26 melarang bukan hanya differential privacy, tetapi juga teknik penghindaran pengungkapan modern dan bahkan sebagian teknik lama
- Teknik inti yang diizinkan dibatasi pada “coarsening”
- Ini adalah cara menurunkan tingkat detail atau kekonkretan statistik publik
- Pembulatan, agregasi, pengelompokan, dan penggunaan rentang termasuk di dalamnya
- “suppression” adalah cara menghapus nilai tertentu secara eksplisit, tetapi hanya diizinkan sebagai upaya terakhir
- “noise infusion” adalah metode mengubah dataset dengan menambahkan nilai acak atau noise, dan termasuk yang dilarang
- Penyisipan noise adalah teknik yang dibuat untuk merespons meningkatnya permintaan atas data terperinci di tengah kerangka hukum kerahasiaan yang melarang publikasi data yang dapat diidentifikasi ulang
Cakupan dampak pada produk data yang ada
- Coarsening dan suppression pada umumnya sudah cukup untuk statistik agregat tingkat nasional seperti Principal Federal Economic Indicators
- Namun, teknik-teknik ini kurang cocok untuk data bisnis dan demografi pada unit geografi dan industri yang rinci
- Larangan penyisipan noise berdampak melarang teknik inti penghindaran pengungkapan dalam puluhan publikasi data selama 30 tahun terakhir
- input noise infusion telah digunakan dalam Quarterly Workforce Indicators sejak 2002, dan juga direncanakan untuk statistik BEA
- swapping telah digunakan dalam publikasi decennial census sejak 1990
- differential privacy telah digunakan sejak 2008 untuk berbagi data pola komuter OnTheMap dan publikasi berbasis 2020 Census
- Hingga sebelum arahan terbaru, differential privacy juga direncanakan untuk 2030 Census
- BEA Working Paper WP2026-9 disebut telah dihapus oleh Departemen Perdagangan
Masalah yang ditunjukkan oleh contoh County Business Patterns
- DAO 216-26 sulit diselaraskan dengan kewajiban ganda Census Bureau untuk menyediakan kerahasiaan sekaligus kelayakan penggunaan
- Contoh County Business Patterns dari Nathan Goldschlag menunjukkan ketegangan yang muncul ketika statistik aktivitas bisnis dibagi menurut industri dan geografi
- Jika di sebuah county kecil hanya ada satu pabrik bir dan jumlah karyawan pastinya dipublikasikan, informasi satu bisnis akan terungkap begitu saja
- Jika ada dua pabrik bir, seorang pemilik dapat mengurangkan jumlah karyawan bisnisnya sendiri dari total karyawan untuk mengetahui jumlah karyawan pesaing
- Bahkan jika ada tiga atau lebih, bila total jumlah karyawan tidak dipublikasikan, calon pelaku usaha yang mempertimbangkan masuk ke pasar akan kesulitan mendapatkan informasi yang dibutuhkan
- Dalam contoh ini, coarsening membuat statistik publik menjadi tidak berguna
Skenario ketika rekonstruksi tetap mungkin hanya dengan coarsening
- Contoh tambahan menunjukkan bahwa coarsening juga dapat gagal menjaga kerahasiaan
- Dalam sebuah county hipotetis terdapat dua kota, North Bend dan South Bend, masing-masing memiliki satu pabrik bir
- North Bend memiliki perusahaan pembotolan bergerak
- South Bend memiliki perusahaan pembotolan tetap
- Total ada 4 bisnis terkait bir
- Pabrik bir North Bend dan perusahaan pembotolan South Bend adalah perusahaan milik publik
- CBP mempublikasikan lima statistik
- Jumlah seluruh karyawan bisnis terkait bir di North Bend
- Jumlah seluruh karyawan bisnis terkait bir di South Bend
- Jumlah karyawan industri pembuatan bir di seluruh county
- Jumlah karyawan industri pembotolan di seluruh county
- Jumlah karyawan perusahaan milik publik di seluruh county
- Dalam kasus ini muncul 5 persamaan untuk 4 variabel tak diketahui, dan hanya dengan A·B·C·E pun jumlah karyawan persis tiap perusahaan dapat diselesaikan memakai aljabar tingkat SMA
- Meski coarsening menurut geografi, jenis industri, dan bentuk kepemilikan diterapkan dengan niat baik, jika semuanya saling berinteraksi secara buruk, semua nilai dapat direkonstruksi sepenuhnya
- noise infusion mengganggu kumpulan persamaan ini sehingga mencegah rekonstruksi yang akurat
Keterbatasan praktis dari kembali ke “tradstat”
- Departemen Perdagangan menyatakan bahwa arahan ini adalah kembali ke teknik statistik tradisional era 1970-an, yaitu “tradstat”, dan bahwa hal itu baik bagi konsumen data
- FAQ BEA menyatakan bahwa pembaruan metode pembatasan pengungkapan ini melindungi responden dan “memberikan informasi ekonomi yang lebih esensial kepada publik”
- Namun, contoh Goldschlag menunjukkan bahwa coarsening dapat bekerja sebaliknya
- Secara definisi, coarsening mengurangi akses ke informasi terperinci
- Dalam contoh ketika tiga jenis coarsening saling berinteraksi secara buruk, tanpa penyisipan noise, kerahasiaan dapat ditembus hanya dengan perhitungan dasar
- Dalam sensus penduduk, metode penyisipan noise formal seperti differential privacy berperan menjaga kerahasiaan karakteristik pribadi seperti status kewarganegaraan
Mengapa kerahasiaan penting dalam statistik federal
- Di dalam komunitas ilmiah sendiri, perdebatan terus berlangsung mengenai cara terbaik untuk melindungi kerahasiaan data responden
- Namun, DAO 216-26 digambarkan sebagai tindakan yang didorong oleh kepentingan politik, bukan sains
- Arahan ini dapat membahayakan kepercayaan publik terhadap proses sensus
- Para pegawai negeri akan berusaha mematuhi arahan sambil tetap menjalankan hukum yang mewajibkan perlindungan kerahasiaan responden
- Mereka dapat menghasilkan lebih sedikit data
- Mereka dapat membuat data terlalu kasar hingga tidak dapat digunakan
- Di bawah tekanan politik, mereka dapat mempublikasikan data yang mask-nya mudah dilepas seperti dalam contoh pabrik bir
- Apa pun pilihannya, jaminan kerahasiaan responden menjadi lebih sulit, dan banyak bisnis serta individu mungkin tidak merespons
- Ini dapat menghasilkan konsekuensi destruktif bagi lembaga yang menyediakan “data demokrasi”
Respons yang diperlukan
- Alih-alih aktor politik menindih pakar statistik pemerintah, diperlukan investasi mendalam pada badan statistik Amerika Serikat
- SDM dan dukungan harus dijamin agar lembaga dapat memperbaiki metode dengan alat terbaik
- Terlepas dari pandangan terhadap teknik tertentu untuk memperkuat perlindungan privasi, pendekatan anti-sains dalam operasi statistik federal harus ditolak bersama
- Tindakan yang diusulkan adalah sebagai berikut
- Membagikan tulisan ini ke jaringan profesional dan komunitas
- Mencari kontak perwakilan DPR dan menyampaikan kekhawatiran kepada Congressional representative
- Menuntut pencabutan DAO, kepatuhan pada prosedur administratif yang semestinya, serta agar pemilihan metode teknis untuk menyeimbangkan utilitas dan kerahasiaan diserahkan kepada pakar di badan statistik federal
- Untuk membantu pelestarian Census working paper dan dokumen, dapat menjadi sukarelawan pada pernyataan differential privacy dari Data Rescue Project atau menggunakan Save Page Now dari Internet Archive
- Halaman yang menjelaskan noise infusion dan differential privacy sudah mulai offline, sehingga arsip halaman metodologi dan dokumen teknis terkait diperlukan
1 komentar
Opini Hacker News
Instruksi DAO-216-26 yang dikeluarkan Menteri Perdagangan AS pada 4 Juni 2026 melarang differential privacy serta berbagai teknik modern dan lama, dan membatasi teknik penghindaran pengungkapan publik menjadi “membuatnya kasar”
Injeksi noise, yaitu “cara memodifikasi dataset dengan menambahkan nilai acak, yakni noise,” juga dilarang, sehingga memblokir teknik perlindungan yang selama 30 tahun terakhir menjadi inti dari puluhan rilis data
Pegawai negeri, saat berusaha memenuhi sekaligus hukum yang mewajibkan kerahasiaan data responden dan perintah ini, bisa jadi merilis lebih sedikit data, atau membuatnya terlalu kasar hingga tidak berguna. Karena tekanan politik, mereka juga bisa saja merilis data yang mudah diidentifikasi ulang, jadi pemerintahan saat ini benar-benar terkutuk tingkatnya
Meski begitu, fakta bahwa mereka sampai melihat differential privacy saja sudah mengejutkan, dan yang lebih mengejutkan lagi adalah setelah melihatnya mereka menyimpulkan bahwa itu harus dihapus. Logika macam apa yang mungkin ada di balik ini
Agar AS kembali dianggap serius, banyak orang harus masuk penjara, digantung, atau dideportasi
Di mana sekarang para pengecut agresif yang dulu ribut soal senjata api dan Amandemen Kedua. Mereka akan tetap meneriakkan kebebasan bahkan saat rumah mereka terbakar
Namun sebagian orang masih salah mengira bahwa jika mereka mendukung pemimpin tercinta lebih keras, arusnya nanti akan berbalik menguntungkan mereka juga. Mereka melihatnya seperti pertandingan olahraga, di mana tim yang terang-terangan melanggar aturan pun tetap harus didukung
Tidak ada yang tahu dampak selisih akurasi sebesar ini terhadap ekonomi nyata
Akan lebih baik jika memakai teknik yang lebih elegan, dan saya juga punya intuisi bahwa kebijakan ini buruk, tetapi saya tidak melihat adanya “darurat” di sini. Menyebutnya begitu terasa berlebihan
Ajakan bertindak dalam tulisan ini adalah menghubungi legislator, tetapi tautan untuk mencari kontaknya justru tidak ada. Bisa dicari di sini: https://www.congress.gov/members/find-your-member
Apa tujuan politik di balik instruksi ini? Pasti ada tujuan yang sama sekali tidak halus, tapi saya tidak tahu apa itu
Tujuannya adalah membagi orang berdasarkan kriteria sewenang-wenang, lalu memperlakukan kelompok itu sesuka hati. Tergantung orangnya, itu bisa berarti penahanan, deportasi, atau hal yang lebih buruk lagi
Melihat bagian yang berbunyi, “Jika perintah ini diikuti, data publik Departemen Perdagangan yang menjadi dasar keputusan penting seperti di mana membangun layanan yang diperlukan bagi kesejahteraan komunitas kita akan dihancurkan,” tulisan ini bukan tentang privasi
Scott terdengar seperti ilmuwan komputer yang jadi memakai gaya bicara hiperbolis karena ekosistem AS
Jika para pengelola data dilarang memakai teknik yang mereka gunakan untuk anonimisasi, mereka tidak bisa menganonimkannya secara memadai. Itu bukan logika yang sulit diikuti
Bisakah ada yang menjelaskan mengapa Heritage Foundation menargetkan teknik-teknik statistik seperti ini? Apa motivasi politiknya
Selain itu, hasil sensus seharusnya tiba di Gedung Putih pada Desember 2016, tetapi entah bagaimana baru sampai ke Gedung Putih pada 21 Januari 2017
Saya tidak tahu apakah differential privacy terkait langsung, tetapi tampaknya ia disalahkan bersama-sama dengan masalah lain
Tulisan tersebut memaparkan dua cara untuk melindungi privasi dalam dataset, lalu menyerang kelemahan teoretis dari metode lama dengan skenario yang dibuat-buat agar pembaca terdorong memilih solusi lain yang diklaim lebih baru.
Namun solusi baru itu tidak dijelaskan secara rinci selain namanya. Yang ingin saya tahu adalah: 1) apakah membuat data menjadi kasar dalam praktik benar-benar pernah gagal seperti yang disebutkan tulisan itu hingga informasi bocor, 2) bagaimana solusi “lain” yang katanya harus kita harapkan itu bekerja, dan 3) apa perbedaan tingkat detail yang dulu mustahil ketika data harus dibuat kasar, tetapi kini dimungkinkan oleh solusi baru tersebut.
(2) Caranya adalah menambahkan derau Gaussian yang disetel dengan cermat. Dalam enam tahun terakhir, juga sudah ditemukan cara untuk menambahkan derau Gaussian yang jauh lebih sedikit: “The 2020 Census Disclosure Avoidance System TopDown Algorithm” https://arxiv.org/abs/2204.08986
(3) Ini lebih sulit dijawab. Sebab Biro Sensus memang menargetkan untuk merilis statistik dalam bentuk yang sama seperti beberapa dekade sebelumnya. Target pada 2020 adalah merilis statistik yang sama dengan batas galat yang sama, dan berdasarkan bukti, tampaknya target itu tercapai. “Evaluating Bias and Noise Induced by the U.S. Census Bureau's Privacy Protection Methods” http://arxiv.org/abs/2306.07521, “Evaluating the Impacts of Swapping on the US Decennial Census” http://arxiv.org/abs/2502.01320
Diskusi sebelumnya: https://news.ycombinator.com/item?id=48517377
Tulisan terkait: https://news.ycombinator.com/item?id=48517377
Sayang sekali ini menjadi dipolitisasi. Saya sedang mengerjakan privasi diferensial untuk kepatuhan GDPR, dan ini teknologi yang menarik.
Ada satu fakta terkait Kongres yang baru-baru ini saya ketahui dan saya suka.
Cuti orang tua di tingkat federal, yaitu cuti ayah dan cuti ibu, didukung oleh sekitar 80% populasi dewasa AS. Terlepas dari kecenderungan politik, baik pemilih Demokrat maupun Republik mendukungnya.
Namun Anda mungkin heran, kalau memang sepopuler ini, mengapa belum menjadi kewajiban federal. Kelompok yang tidak menyukainya adalah perusahaan, dan perusahaan menyumbangkan banyak uang kepada politisi. Sebab lebih murah menyumbang kepada politisi yang menentang cuti orang tua daripada membayar sendiri biaya cuti orang tua.
Saya sering menceritakan ini karena mengingatkan bahwa ada kelompok yang menghabiskan banyak waktu dan uang untuk memaksakan kehendaknya. Ini bisa terasa membebani, tetapi jika Anda menelepon anggota legislatif daerah Anda, panggilan itu akan dihitung. Mereka ingin tahu apa yang dipedulikan pemilih, jadi teleponlah dan beri tahu mereka.
20% yang menentang bisa saja, misalnya, pemilik usaha kecil. Jika usaha kecil tidak dikecualikan, mereka harus membayar karyawan yang cuti panjang sekaligus membayar penggantinya, sehingga tidak sanggup menanggungnya. Jika usaha kecil dikecualikan, pemilik perusahaan besar tidak menyukai apa pun yang memberi keunggulan relatif kepada perusahaan kecil.
Jadi ketika pihak yang diinginkan 80% orang tetapi hanya dipedulikan 1% berhadapan dengan pihak yang diinginkan 20% orang tetapi dipedulikan 75%, angka kedua menjadi lebih besar.
Mahkamah Agung baru-baru ini mengeluarkan putusan yang memungkinkan para oligark kaya memberikan jumlah uang tanpa batas kepada boneka favorit mereka—maksud saya, politisi[1].
[1]: https://www.npr.org/2026/06/30/nx-s1-5827039/supreme-court-c...
Masalahnya, hal-hal seperti itu sebenarnya tidak “gratis”; seseorang tetap harus membayar biayanya.
https://en.wikipedia.org/wiki/Tyranny_of_the_majority
Menelepon anggota dewan sama sekali tidak akan berdampak apa pun[1]
Pusat data pun terus disetujui meski komunitas lokal hampir secara universal menentangnya dan eksternalitas negatifnya jauh lebih nyata serta langsung
Krisis yang sesungguhnya ada pada sistem politik yang telah tertangkap kepentingan tertentu
Di Australia pada 1990-an, sebuah partai rasis dan supremasi kulit putih bernama One Nation muncul karena kombinasi kejadian-kejadian aneh, dan seorang pemilik toko fish and chips bernama Pauline Hanson menjadi anggota parlemen. Hampir 30 tahun lalu ia menyampaikan pidato perdananya yang terkenal di parlemen[2]
Setelah berbagai skandal, One Nation sempat menghilang, sebagian karena koalisi konservatif Liberal/National pada awal 2000-an pada dasarnya menyerap platform rasis yang menjadikan pengungsi sebagai kambing hitam. Namun anehnya sekarang mereka kembali lagi. Meski begitu, itu bukan inti masalahnya
Australia memakai sistem suara preferensial, yang di AS biasanya disebut ranked-choice voting. Pemilih bisa memberi nomor langsung pada kandidat, atau mengikuti urutan preferensi yang didaftarkan partai. Karena banyak orang memilih opsi kedua, distribusi preferensi menjadi penting
One Nation memakai strategi membagikan preferensi ke pihak yang menentang petahana. Jika kursinya Liberal, preferensi diarahkan ke Labor; jika sebaliknya, ke arah sebaliknya. Ini membuat kemapanan politik ketakutan, sehingga partai-partai besar yang saling berlawanan justru menempatkan satu sama lain lebih tinggi daripada One Nation dalam distribusi preferensi, dan One Nation tidak memperoleh kursi meski perolehan suaranya melampaui 10%
Intinya, terlalu banyak politisi dan partai melihat kursi mereka seolah-olah itu milik pribadi. Primary di AS pun sering diperlakukan seperti prosedur formal untuk kandidat yang sudah ditunjuk partai, dan tingkat terpilihnya kembali anggota Kongres selama puluhan tahun bertahan di atas 95%
Menariknya, Partai Demokrat saat ini hampir berada dalam kondisi pemberontakan terbuka, dan dalam beberapa minggu terakhir beberapa petahana lama dengan masa jabatan 10–30 tahun kalah dari penantang dalam primary
Ada juga fakta menarik yang saya ketahui minggu ini. Sudah sekitar 18 tahun sejak putusan Citizens United pada dasarnya menghapus batasan belanja pemilu, dan sepertiga dari semua uang yang dibelanjakan sejak saat itu dipakai untuk primary tahun ini. Dalam primary Thomas Massie, lebih dari 35 juta dolar dibelanjakan oleh kubu lawan, menjadikannya primary termahal dalam sejarah AS, dan di tempat lain juga skalanya jutaan dolar. Untuk satu kursi Senat Maine, total belanja diperkirakan bisa mencapai 400 juta dolar
Pada akhirnya, satu-satunya cara yang berhasil adalah membuat para anggota dewan takut kehilangan kursi nyaman mereka. Kalau sudah duduk 30 tahun dan tidak ada yang bisa ditunjukkan, sekarang saatnya mundur
[1]: https://act.represent.us/sign/problempoll-fba
[2]: https://www.youtube.com/watch?v=p2ypTX9ntTQ
Awalnya saya juga sinis, merasa buat apa, tetapi setelah benar-benar mencobanya saya sadar saya keliru dan pengalamannya cukup baik
Sekarang saya melihat para anggota parlemen tidak selalu berada pada posisi yang dekat dengan fakta. Jadi, dengan menghubungi mereka dan menyampaikan pikiran kita, justru kita seperti memberi mereka hadiah besar
Terutama untuk isu negara bagian dan lokal, dampaknya benar-benar bisa cukup terasa. Untuk urusan federal mungkin lebih kecil, tetapi setidaknya ada kepuasan saat mendapat balasan konfirmasi dari kepala staf atau ajudan
Sistem dua partai adalah pilihan biner palsu yang sengaja dipaksakan, seperti orang tua yang meminta anak memilih antara brokoli dan wortel lalu membuat anak itu percaya bahwa itu keputusannya sendiri. Kedua partai sama-sama dikendalikan oleh kelas investor
Jika mereka bersikap ambigu atau menghindari jawaban tegas, kamu harus melakukan apa yang bisa dilakukan untuk menyingkirkan mereka dalam primary. Semua “kaum moderat” pada akhirnya akan menjualmu ke panoptikon
Yang lebih mendesak adalah memperbaiki prosedur pemilu yang rusak seperti di California, di mana sekarang butuh lebih dari 30 hari untuk “menghitung” suara