Недостаточно, потому что всегда, собрав массив данных можно локализовать и идентифицировать источник данных по вторичным каналам, чем некоторые занимаются на коммерческой основе (к примеру, для оценки суммы, которую может выложить клиент).

При гомоморфных операциях всегда есть проблема сравнения с константой и неправомерного доступа к расчетной машине. И да, данные пользователя тут тоже шифруются, т.е. "обезличиваются". Но это тоже можно обойти.

Вообще, всё это выглядит как попытка прикрыться фикусовым листиком, потому что явно требуется монополия и уголовка за владение информацией без разрешения. А вот монополист пусть как положено, шифрует и не ведет экономических отношений вне разрешенного списка.

Но нет, человечество будет надеяться, что самый дешевый поставщик сделает без ошибок.

так делали в каких нужно клиниках полвека назад, и уже тогда слабо помогало.

Не, недостаточно. Надо не просто отвязать, но и еще сделать так, чтобы она однозначно не указывала на Иван Иваныча, деперсонализировать. Возьмем твой пример "Пациент 79 с номером страховки 67891", в котором хранится еще к примеру 1000 (тысяча записей) от врачей (убийц, маньяков, страховых агентов). 1. Пациент 79 имеет прямую связь по ключу с таблицей ФИО. Допустим, что злоумышленник не имеет не имеет к ней доступ. 2. Номер страховки 67891 - уже опасно. Потому, что это уникальниый идентификатор конкретного человека во ВНЕШНЕЙ базе страхователя, к которой у нас нет доступа, а у злоумышленника доступ есть. Фейл. 3. Допустим отрезали заголовок и отдали как "пациент zdxlk4w234t3cw4" + таблица с данными. Опасно. Конкретный набор записей о болезнях и просмотрах, привязанный к таймлайну - тот же уникальный ключ - вероятность того, что таблица совпадет между разными людьми минимальна. +по его недавним записям можно узнать что угодно, особенно при маленькой выборке людей (участок-город). Да и вообще - становится поиск человека несложной эвристической задачей. 4. Допустим, в 600 записях есть поле "Артериальное давление". Мы отрезаем заголовки и отправляем "пациент zdxlk4w234t3cw4" + 600 записей вида: "дата-давление", без которого просто "давление" лишается всего физического смысла (особенно если сделать шаффл() ). Вот тут да, уже минимальные шансы на анонимность есть, но перед нами встаёт проблема гугловских когорт и обратной связи. Если это статистика без связи - ладно. Иначе - проблема. И так далее, и тому подобное

Да. Но все равно остается проблема обратной связи "ненадежный узел - я".

Гугло хоть попыталось её решить

Нет, не достаточно. Если мы получили доступ к этой базе данных, а потом к базе данных мед-страховок, то... упс... Можно избавиться от номера страховки, заменив его рандомным id'ом, это усложнит проблему, но опять же, если у нас есть какой-то ещё источник информации, скажем о страховых выплатах на медицину, то мы можем теперь соотнося даты выплат, размеры этих выплат, и причину их, сопоставить с карточками и объединить базы.

Доступ к первой получают все кому хочется посчитать какие-нибудь тренды, достаточно купить любого. Доступ к базе данных медстраховок тоже, я подозреваю, имеет очень немало людей, опять же купить кого-нибудь не проблема. А отбить вложения можно потом таргетируя рекламу.

Если у него есть доступ к базе, то да, проще. А если он доступ запрашивает по каждому пациенту, и потом с него спросить могут "с какого МПХ ты запрашивал карточку Ивана Иваныча?", но может и не проще.

Ему ничто не мешает перед занесением данных в базу выписывать их себе в тетрадку, и выдавать желающим инфу с листочка, а не с базы, что множит на 0 твои запросы. Мы изначально доверяем врачу, так как не можем скрыть от него инфу. Мы не доверяем тем, кому врач наши данные может передать в рамках своей деятельности. При этом мы по умолчанию верим, что врач заинтересован в сохранении нашей конфиденциальности, и хотим дать ему удобный инструментом для того. Это условие задачи

Знаете как идентифицируется личность Иван Ивановича в веб? По совокупности признаков.

Неважно что ФИО отвязано. Важно что совокупность признаков- это именно то что нужно им.

Именно этой совокупностью определяется персона. Для полицейского который ничем кроме ФИО не владеет- отвязка данных от ФИО означает потерю персоналий. У бигдаты - отвязка от ФИО- всего лишь чуток больший гемор по восстановлению полных данных о тебе.

