Privacy Computing
Theory and Technology
Fenghua Li
Institute of Information Engineering, Chinese Academy of Sciences, Beijing, China
Hui Li
School of Cyber Engineering, Xidian University, Xian, Shaanxi, China
Ben Niu
Institute of Information Engineering, Chinese Academy of Sciences, Beijing, China
ISBN 978-981-99-4942-7 e-ISBN 978-981-99-4943-4 https://doi.org/10.1007/978-981-99-4943-4
Jointly published with Posts & Telecom Press, Beijing, China The print edition is not for sale in China (Mainland). Customers from China (Mainland) please order the print book from: Posts & Telecom Press. ISBN: 9787115563965
Jointly published with Posts & Telecom Press, Beijing, China The print edition is not for sale in China (Mainland). Customers from China (Mainland) please order the print book from: Posts & Telecom Press.
© Posts & Telecom Press 2024
This work is subject to copyright. All rights are solely and exclusively licensed by the Publisher, whether the whole or part of the material is concerned, speci�ically the rights of translation, reprinting, reuse of illustrations, recitation, broadcasting, reproduction on micro�ilms or in any other physical way, and transmission or information storage and retrieval, electronic adaptation, computer software, or by similar or dissimilar methodology now known or hereafter developed.
The use of general descriptive names, registered names, trademarks, service marks, etc. in this publication does not imply, even in the absence of a speci�ic statement, that such names are exempt from the relevant protective laws and regulations and therefore free for general use.
The publishers, the authors, and the editors are safe to assume that the advice and information in this book are believed to be true and accurate at the date of publication. Neither the publishers nor the authors or the editors give a warranty, expressed or implied, with respect to the material contained herein or for any errors or omissions that may have been made. The publishers remain neutral with regard to jurisdictional claims in published maps and institutional af�iliations.
This Springer imprint is published by the registered company Springer Nature Singapore Pte Ltd.
The registered company address is: 152 Beach Road, #21-01/04 Gateway East, Singapore 189721, Singapore
Preface
The rapid development of information technology, the emergence of new business formats, and the continuous evolution of personalized services have prompted large internet companies to accumulate massive user data during the process of serving users. These data contain a signi�icant amount of personal sensitive information. The frequent cross-border, cross-system, and cross-ecosystem interaction of user data has become the norm, which increases the intentional or unintentional retention of privacy information in different information systems. This leads to increasingly serious issues such as the privacy preservation gap and the dif�iculties in tracing privacy infringements, which pose great challenges to personal information sharing, �low, management and control, privacy information protection, etc.
Traditional privacy-preserving technologies mainly focus on relatively isolated application scenarios and technical points, addressing speci�ic issues in speci�ic scenarios, lacking a comprehensive descriptive method and computational model that can integrate privacy information and preservation requirements, and lacking computing architectures that can support the requirements of on-demand privacy preservation during cross-system privacy information exchange, privacy information ubiquitous sharing, and full life-circle privacy information control. As a result, the privacy preservation issues in typical data sharing application scenarios such as e-commerce and social networks have not yet been fundamentally addressed.
Therefore, in 2015, Professor Fenghua Li, Professor Hui Li, et al. proposed the theory and key technologies of privacy computing for the �irst time. In 2016, their work was formally published in the Journal of Communications in Chinese. Privacy computing is a computational theory and methodology aiming at preserving the entire lifecycle of privacy information. It is a computable model and axiomatic system for privacy metrics, privacy leakage cost, privacy preservation, and privacy analysis complexity when ownership, management, and use of privacy information are separated. Speci�ically, it refers to the operations of describing, measuring, evaluating, and integrating the privacy information when processing various types of data such as video, audio,
image, graph, text, numerical data, and ubiquitous network behavioral information. These operations form a set of symbolic, formalized, and quantitatively evaluated privacy computing theories, algorithms, and application technologies. They support privacy preservation across multiple systems by providing quantitative evaluation standards. Privacy computing covers all computing operations of information collectors, publishers, and users in the whole lifecycle process of information generation, perception, publication, dissemination, storage, processing, use, destruction, etc. It also includes system design theories and architectures that support ef�icient and high-performance privacy preservation for massive users and high concurrency. Privacy computing is an important theoretical foundation for the preservation of privacy information in the ubiquitous network space.
This book addresses the systematic privacy preservation needs in the ubiquitous interconnected environment, based on a series of papers and patents accumulated by the authors through years of dedicated work in this �ield. It provides a concise and systematic introduction to the theory and key technologies of privacy computing. The main contents include privacy computing framework, formal de�inition of privacy computing, important characteristics of privacy computing, algorithm design guidelines, privacy preservation effectiveness evaluation, privacy computing languages, and an outlook on future research directions and unresolved issues in privacy computing. The publication of this book aims to comprehensively expound the academic connotation of privacy computing and promote its extensive research.
In the process of painstaking academic exploration, there is a certain degree of serendipity and inevitability in obtaining original and innovative scienti�ic research results. Serendipity refers to the chance of success when a scholar's choice of a research area and the process of conducting academic research are in�luenced by the subjective and objective environment. Necessity means that scholars who are able to achieve original innovation must have an unwavering philosophy and attitude towards the pursuit of original innovation and be able to persevere and explore for a long time. Privacy computing is proposed in the context of forward-looking application requirements; however, a new theory often requires a long time to be established and recognized
by various sectors of society, overcoming various dif�iculties and constantly iterating and evolving, gradually developing and improving. Privacy computing still requires a lot of theoretical and technical exploration and research. The authors strongly believe that it is necessary to publish books to guide and promote the theoretical research and application of privacy computing. The authors hope to actively promote the continuous research of privacy computing with my readers.
Fenghua Li Beijing, China
June 2023
Acknowledgments
This book is primarily authored by Professor Fenghua Li, Professor Hui Li, and Professor Ben Niu. It is a highly condensed summary of the research achievements of the authors in privacy computing over many years. Chapter 1 is primarily completed by Fenghua Li and Hui Li. Chapter 2 is primarily completed by Ben Niu, Hui Zhu, and Hui Li. Chapter 3 is primarily completed by Fenghua Li, Hui Li, and Ben Niu. Chapter 4 is primarily completed by Hui Li, Ben Niu, Fenghua Li, and Hui Zhu. Chapter 5 is primarily completed by Fenghua Li, Hui Li, and Ben Niu. This book also includes contributions from the coauthors of the referenced papers and patents. During the writing process, we received valuable assistance from Dr. Zhe Sun, Dr. Yuanyuan He, Dr. Xinyu Wang, Dr. Wenjing Zhang, Dr. Hanyi Wang, Dr. Peijie Yin, Dr. Xiaoguang Li, as well as doctoral candidates including Haiyang Luo and Yahong Chen. We also appreciate the assistance provided by master’s students such as Zhidong Yang and Kun He, as well as graduate students including Wenqing Bi and Likun Zhang. We express our sincere gratitude to all of them for their contributions. We would like to express our sincere gratitude to People’s Posts and Telecommunications Press for their strong support. We also extend our thanks to all the individuals involved who have worked diligently to make this book publication possible!
The publication of this book has been supported by the National Key R&D Program of China (No. 2021YFB3100300, No. 2021YFB3101300, No. 2017YFB0802200), the National Natural Science Foundation of China (No. 61932015, No. 61872441, No. 61672515, No. 61502489, No. U1401251), and the Youth Innovation Promotion Association, CAS (No. 2018196).
Contents
1 Introduction
Fenghua Li, Hui Li and Ben Niu
1.1 User Data, Personal Information, and Privacy Information
1.1.1 User Data
1.1.2 Personal Information
1.1.3 Privacy Information
1.2 Privacy Protection and Privacy Desensitization
1.2.1 Privacy Protection
1.2.2 Privacy Desensitization
1.3 The “Four Rights” of Privacy Preservation
1.3.1 Related Parties of Privacy Information
1.3.2 Right to Know
1.3.3 Right to Erasure
1.3.4 Right to be Forgotten
1.3.5 Extended Authorization
1.4 Technical Challenges in Privacy Preservation
1.4.1 Threats in Privacy Preservation
1.4.2 Systematic Computational Model
1.4.3 Evaluation of Privacy-Preserving Effectiveness
1.4.4 Extended Control of Privacy Information
1.4.5 Forensics of Privacy Infringement
1.5 Chapter Summary References
2 Advances in Privacy Preservation Technologies
Fenghua Li, Hui Li and Ben Niu
2.1 Privacy Protection Technology
2.1.1 Homomorphic Encryption
2.1.2 Secure Multiparty Computation
2.1.3 Access Control
2.1.4 Trusted Computing
2.1.5 Federated Learning
2.2 Privacy Desensitization Technology
2.2.1 Anonymity-Based Privacy Desensitization
2.2.2 Desensitization via Differential Privacy
2.2.3 Information Theory Based Privacy Desensitization
2.2.4 Privacy Measurement and Evaluation
2.3 Privacy-Preserving Adversarial Analysis
2.4 Privacy Computing
2.4.1 Weaknesses of Privacy-Preserving Technologies
2.4.2 The Inevitability of Privacy Computing
2.5 Chapter Summary References
3 Privacy Computing Theory
Fenghua Li, Hui Li and Ben Niu
3.1 The De�inition of Privacy Computing
3.1.1 The Basic De�inition of Privacy Computing
3.1.2 The Formal Description of Privacy Information
3.2 Key Technology and Computing Framework of Privacy Computing
3.2.1 The Key Technology Components of Privacy Computing
3.2.2 The Privacy Computing Framework
3.3 Important Characteristics of Privacy Computing
3.3.1 Atomicity
3.3.2 Consistency
3.3.3 Sequentiality
3.3.4 Reversibility
3.4 Intelligent Perception and Dynamic Measurement of Privacy
3.4.1 Intelligent Perception and Compressed Sensing of Privacy Information
3.4.2 Dynamic Measurement of Privacy Information
3.5 Design Principles of Privacy-Preserving Algorithms
3.5.1 Five Basic Design Principles for Privacy-Preserving Algorithm
3.5.2 Applicability of Design Principles for PrivacyPreserving Algorithm
3.6 Evaluation of Privacy Preservation Effectiveness
3.6.1 Reversibility
3.6.2 Extended Controllability
3.6.3 Deviation
3.6.4 Complexity
3.6.5 Information Loss
3.7 Privacy Computing Language (PCL)
3.7.1 Privacy De�inition Language
3.7.2 Privacy Operation Language
3.7.3 Privacy Control Language
3.8 Determination and Traceability of Privacy Infringement
3.8.1 Traceability and Forensics Framework of Privacy Infringement
3.8.2 Determination of Privacy Infringement
3.8.3 Traceability and Forensics of Privacy Infringement
3.9 Privacy Information System Architecture
3.9.1 Privacy Information System Architecture
3.9.2 Example for Description and Usage of Privacy Information
3.9.3 Application Examples of Privacy Computing
3.10 The Academic Connotations of Privacy Computing and Data Security
3.10.1 The Academic Connotations of Privacy Computing
3.10.2 The Academic Connotations of Data Security
3.10.3 Privacy Computing Versus Traditional Privacy Preservation, Data Security, and Other Related Solutions
3.11 Chapter Summary References
4 Privacy Computing Techniques
Fenghua Li, Hui Li and Ben Niu
4.1 Theoretical Basis of Privacy-Preserving Algorithms
4.1.1 Probability Theory and Privacy Computing
4.1.2 Information Theory and Privacy Computing
4.2 Typical Privacy-Preserving Algorithms
4.2.1 Privacy-Preserving Algorithms Based on Anonymity
4.2.2 Privacy-Preserving Algorithms Based on Differential Privacy
4.2.3 Privacy-Preserving Algorithm Based on Privacy-Utility Tradeoff
4.3 Extended Control of Privacy Information
4.3.1 De�inition of Extended Control
4.3.2 Privacy Information Dissemination Control in Image Sharing
4.3.3 Privacy Operation Control for Document Formatting
4.3.4 Privacy Extended Control of Pictures Exchanged Across Systems
4.4 The Applications of Privacy Computing
4.4.1 Secure Computing of Multi-party Data
4.4.2 Federated Learning with Differential Privacy
4.4.3 The Application of Privacy Computing in Machine Unlearning
4.4.4 The Application of Privacy Computing in Logistics
4.4.5 The Application of Privacy Computing in Data Trading
4.5 Chapter Summary References
5 The Future Development Trends of Privacy Computing Fenghua Li, Hui Li and Ben Niu
5.1 Fundamentals of Privacy Computing
5.1.1 Privacy Computing Model and Its Security Assurance Model
5.1.2 Mathematical Foundations of Privacy Computing
5.1.3 Technical Architecture of Privacy Information Protection System
5.2 Privacy Perception and Dynamic Metrics
5.2.1 Component Extraction and Perception of Privacy Information
5.2.2 Scenario-Adapted Privacy Dynamic Metrics
5.2.3 Quantitative Metrics for Privacy Measurement
5.3 Privacy-Preserving Algorithm
5.3.1 Privacy Desensitization Primitives
5.3.2 Privacy-Preserving Algorithm Framework
5.3.3 Quantitative Indicators of the Protection Capability for Privacy-Preserving Algorithms
5.4 Evaluation of Privacy Preservation Effectiveness
5.4.1 Effectiveness Evaluation Metrics
5.4.2 Performance Evaluation Automation
5.4.3 Evaluation of Privacy Preservation Effectiveness Based on Privacy Mining
5.5 Determination and Traceability of Privacy Infringement
5.5.1 Infringement Determination Method
5.5.2 Audit Mechanism of Operation and Circulation
5.5.3 Extended Control Mechanism and Traceability of Privacy Infringement
5.6 Chapter Summary
Postscript
About the Authors
Fenghua Li
received his B.S. degree in Computer Software, M.S. and Ph.D. degrees in Computer Systems Architecture from Xidian University in 1987, 1990, and 2009, respectively. Currently, he is working as professor and doctoral supervisor in the Institute of Information Engineering, Chinese Academy of Sciences. He is also a doctoral supervisor in Xidian University and in the University of Science and Technology of China. His research interests include network security, system security, privacy computing, and trusted computing.
Hui Li
received B.S. degree from Fudan University in 1990 and M.S. and Ph.D. degrees from Xidian University in 1993 and 1998. Since June 2005, he has been the professor with the school of Cyber Engineering, Xidian University, Xi’an Shaanxi, China. His research interests include the areas of cryptography, wireless network security, information theory, and network coding. He is a chair of ACM SIGSAC CHINA. He served as the technique committee chair or co-chair of several conferences. He has
published more than 170 international academic research papers on information security and privacy preservation.
Ben Niu
received his B.S. degree in Information Security, M.S. and Ph.D. degrees in Cryptography from Xidian University in 2006, 2010, and 2014, respectively. He was a visiting scholar in Pennsylvania State University from 2011 to 2013. Currently, he is working as professor and doctoral supervisor in the Institute of Information Engineering, Chinese Academy of Sciences. His research interests include network security and privacy computing.
© The Author(s), under exclusive license to Springer Nature Singapore Pte Ltd. 2024 F. Li et al., Privacy Computing https://doi org/10 1007/978-981-99-4943-4 1
1. Introduction
Fenghua Li1 , Hui Li2 and Ben Niu1
(1)
(2)
Institute of Information Engineering, Chinese Academy of Sciences, Beijing, China School of Cyber Engineering, Xidian University, Xian, Shaanxi, China
Fenghua Li (Corresponding author)
Email: lifenghua@iie.ac.cn
Hui Li
Email: lihui@mail.xidian.edu.cn
Ben Niu
Email: niuben@iie.ac.cn
The continuous evolution and pervasive application of communication technology, network technology, and computing technology have boosted interconnection of everything and ubiquitous sharing of information. With the continuous emergence of new information services, user data is frequently exchanged across systems, ecologies, and countries. User data contains a large amount of personal privacy information, which is retained intentionally or unintentionally in different information systems. At the same time, the data protection capabilities and protection strategies of each information system are very different, which leads to cask principle and a dramatic increase in the risk of privacy leakage. Protection of personal information and the governance of privacy abuse have become a worldwide problem.
Privacy preservation has received more and more attention from the society and extensive academic research, privacy preservation technologies for different scenarios are also emerging in spurts, and there are still many misunderstandings and confusion about the concept of privacy preservation. In particular, data security and privacy preservation are easily confused. This chapter will explain the connection and difference between user data, personal information, and privacy information, clarify the difference between data protection, privacy protection, and privacy desensitization, and point out the threats and technical challenges faced by privacy preservation.
1.1 User Data, Personal Information, and Privacy Information
Privacy preservation should cover the full life cycle protection of privacy information. If we want the whole society to pay high attention to privacy preservation and put it into practice, the connotation of personal information and privacy information should be clari�ied, as well as the connection and difference between user data, personal information, and privacy information.
1.1.1 User Data
Data usually refers to a sequence of one or more symbols. Data can be observed, collected, processed, and analyzed, and through interpretation and analysis, data becomes information. From the perspective of information theory, data is the carrier of information. Data can be organized into many different types or data structures, such as lists, graphs, and objects. Data also has multiple modalities, such as numbers, text, images, video, and speech. Multimodal data can be exchanged across borders, systems, and ecosystems in a ubiquitous network environment.
User data can be data related to individuals, as well as related to businesses, organizations, objects, environments, and the like. In the era of the intelligent interconnection of everything and ubiquitous sharing of information, data has become a strategic resource, which is
crucial to the interests and security of individuals, enterprises, society, and even the country.
1.1.2 Personal Information
As de�ined in the “Civil Code of the People’s Republic” of China, personal information is all kinds of information recorded electronically or in other ways that can identify a speci�ic natural person alone or in combination with other information, including the natural person’s name, date of birth, identi�ication (ID) number, biometric information, address, phone number, email, health information, whereabouts information, etc.
In Europe and North America, personal information mostly refers to personal data or Personally Identi�iable Information (PII). Personal data is de�ined in the European Union’s General Data Protection Regulation (GDPR) [1] as any information relating to an identi�ied or identi�iable natural person (“data subject”); an identi�iable natural person is one who can be identi�ied, directly or indirectly, in particular by reference to an identi�ier such as a name, an identi�ication number, location data, an online identi�ier or to one or more factors speci�ic to the physical, physiological, genetic, mental, economic, cultural, or social identity of that natural person.
The term PII is generally adopted by the United States. The U.S. Federal Trade Commission categorizes data related to natural persons, and divides personal information into 12 categories and 221 attribute �ields. See Table 1.1 for speci�ic categories [2].
Table 1.1 Classi�ication of personal information by the US Federal Trade Commission
Data elements
Identi�ication data
Sensitive identi�ication data
Data segments
Name, address(including latitude and longitude information), etc. 15 items
Social security number, driver’s license number, etc 5 items
Demographic data Age, height, gender, religion, language etc. 29 items
Court and public record data
Bankruptcy information, criminal information, judgments, etc. 7 items
Data elements Data segments
Social media and technology data
Home and neighborhood data
General interest data
Financial data
Vehicle data
Travel data
Purchase behavior data
Health data
Electronics purchases, friend connections, internet connection type, internet provider, social media and internet accounts, etc. 18 items
Census tract data, dwelling type, heating and cooling, home equity, move date, etc.24 items
Apparel preferences, preferred sports, favorite stars, political inclinations, etc 43 items
Purchasing power, credit history, loan information, disposable income, etc. 21 items
Brand preference, vehicle identi�ication code, preferred model, etc. 14 items
Last travel time, preferred destination, preferred airline, etc 9 items
Purchase types, purchase channels, holiday gifts, and clothing sizes purchased, etc. 29 items
Search tendency for illnesses and medicines, smoking status, allergy information, etc. 15 items
Data records of personal information contain different �ields, which can be divided into explicit identi�iers, quasi-identi�iers, sensitive attributes, and non-sensitive attributes. Explicit identi�iers are sets of attributes that can clearly identify the identity of the record subject, including names, social security numbers, phone numbers, ID numbers, and other information. A quasi-identi�ier is a collection of attributes that, when combined, can potentially identify the subject of a record, including information such as age, gender, zip code, and more. Sensitive attributes contain sensitive individual-speci�ic information such as illness and salary. Note that the non-sensitive properties are all other properties that are not in the above three categories and the sets of these four types of �ields are disjoint.
In the process of information service, personal information may exist explicitly in structured records, such as medical records in hospitals, student registration information in schools, household registration information in government departments, and vehicle and driver information in traf�ic management departments. It may also exist in unstructured data such as Twitter, Moments, and pictures shared by
many social networks. Identifying, measuring, and protecting users’ privacy information for different types of data records is an extremely complex and challenging problem.
1.1.3 Privacy Information
The “Civil Code of the People’s Republic of China” de�ines privacy as the tranquility of the private life of a natural person and the private space, private activities and private information that no one else should know about. Privacy information refers to sensitive information in personal information, which is a collection of identi�iers, quasi-identi�iers, and sensitive attributes in personal information records. Privacy re�lects the relationship between identi�iers, quasi-identi�iers, and sensitive attributes.
Privacy information is not static, and they have two typical characteristics: relative stability in a certain period of time and spacetime dynamics. The dynamism means that privacy information usually changes with the changes of subjective preferences of natural persons, time, and scene. For example, some people are willing to publish text, photos, and other information that re�lect their personal preferences on social networks, thinking that these are not privacy information, so the dynamic nature of privacy information is also subjective. Spatiotemporal dynamics bring greater technical challenges to privacy preservation.
1.2 Privacy Protection and Privacy Desensitization
To promote theoretical and technical research on privacy preservation, it is necessary to clarify the connection and distinction between traditional data security and privacy protection. Data security refers to ensuring the con�identiality, integrity, non-repudiation, and availability of data, mostly using technologies such as cryptography and access control. Data security technology ensures that the protected data is recoverable, that is, the information is lossless. User data contains privacy information, so data security techniques can naturally be applied to privacy protection. This book classi�ies such techniques as privacy protection. On the other hand, privacy preservation should make privacy information partially available in a ubiquitous
interconnected environment while being protected. It is essential to achieve a balance between the strength of desensitization and the usability of information, which is the core connotation of privacy preservation, and also the new theory and technology needed for privacy preservation.
This book divides privacy preservation technologies into two categories: privacy protection and privacy desensitization. The privacy information protected by privacy protection technology is undistorted and reversible; the privacy information protected by privacy desensitization technology is distorted and irreversible. The evolution process of privacy preservation technology is shown in Fig. 1.1.
1.2.1 Privacy Protection
Privacy protection technology refers to the use of encryption, secure computing, access control, and other technologies to protect privacy information from unauthorized access, and the protected privacy information is reversible.
1.2.1.1 Encryption
Encryption is the most commonly used privacy protection technology, where personal information is encrypted for transmission, storage, and
Fig. 1.1 Evolution process of privacy protection technology
sharing. The encrypted information can only be decrypted and accessed with the decryption key. Although encryption protects the security of data, the encrypted data cannot be directly counted, handled, and processed, which will increase the complexity of using data. For encrypted data processing, two technology routes that are currently receiving wide attention from academia and industry are homomorphic encryption and con�idential computing based on trusted computing environments.
Homomorphic encryption means to perform function computation f(E(x)) on the ciphertext,and the result of decryption is equivalent to performing the corresponding function computation f(x) on the plaintext x x, that is, the encryption function E(x) and the function computation f(x) can exchange the order, i.e., D(f(E(x))) = f(D(E(x))) = f(x) D(f(E(x))) = f(D(E(x))) = f(x). With the support of homomorphic encryption, the user can encrypt the data and then hand it over to cloud computing or other partners. After the partner performs corresponding operations on the ciphertext, the user decrypts the ciphertext to obtain the computation result of the plaintext. RSA [3] and Pailiar algorithm [4] have the properties of multiplication and addition homomorphism, respectively, but general computing needs to have homomorphic properties for addition and multiplication at the same time. In 2009, Gentry [5] proposed the �irst fully homomorphic algorithm, which attracted widespread attention and inspired a lot of follow-up research. However, the complexity of the current fully homomorphic algorithm is still very high, and there still exists a large gap from practical application.
Con�idential computing based on a Trusted Execution Environment (TEE) focuses on data protection in the computing process. The system maintains a secure space, decrypts the encrypted data after importing it into the secure memory space, calculates the plaintext, and encrypts it when it is called out of the space. This secure memory space is inaccessible to other users, reducing the risk of data leaking from other parts of the system while maintaining transparency to users. Especially in multi-tenant public cloud environments, con�idential computing keeps sensitive data isolated from other authorized parts of the system stack. Intel SGX (Software Guard Extension) is currently the main method for implementing con�idential computing, which generates an
isolated environment Enclave in memory. SGX uses strong encryption and hardware-level isolation to ensure the con�identiality of data and code against attacks, and can still protect applications and code even when the operating system and BIOS �irmware are compromised.
1.2.1.2 Secure Multiparty Computation
Secure Multi-Party Computation (MPC) originated from the secure twoparty computation protocol “Millionaire Problem” proposed by Yao [6]. Computational parties cooperate to complete a computing problem without revealing their own sensitive information. As research progresses, there are already several practical cases for secure multiparty computation. The Boston Women’s Workforce Council used MPC in 2017 to calculate compensation statistics for 166,705 employees at 114 companies [7]. The company does not provide its raw data due to privacy concerns, and calculations show that the gender gap in the Boston area is even wider than previously estimated by the U.S. Bureau of Labor Statistics. To calculate the exact conversion rate from an ad to an actual purchase, Google calculated the size of the intersection between the list of people who viewed an ad for an item online and the list of people who actually bought the item. To calculate this value without exposing the list-speci�ic data, Google uses a private intersection-sum protocol [8]. Although the protocol ef�iciency is not ideal, it is simple and can meet Google’s computing requirements.
1.2.1.3 Access Control
Access control is one of the most important approaches to achieving privacy preservation. The essence of privacy preservation is to share privacy information with authorized entities at the right time and in the right way. In traditional access control systems, permissions are formulated and implemented by system administrators. Common access control strategies include discretionary access control, mandatory access control, and role-based access control. In privacy preservation scenarios, permissions and access control policies are basically set by the data owner. In application environments such as social networks and Internet services, privacy information is often forwarded by friends and spread across systems and ecosystems
among different service providers. Therefore, extended control has become the biggest problem faced in privacy preservation scenarios. In 2016, Li Fenghua et al. [9] proposed a Cyberspace-oriented access control model and an extended control model.
Encryption can also be combined with access control. Attribute Based Encryption (ABE) is an encryption method that effectively implements access control [10] where users have several attributes, and each attribute is assigned a public-private key pair. When encrypting a plaintext, the encryptor selects the public key of the corresponding attribute to construct an encryption key according to the access control policy. This encryption key can directly encrypt the plaintext, or encrypt the key used to encrypt the plaintext. If the user has a private key with attributes that match the access control policy, the private key of the corresponding attribute is selected to construct the decryption key, and the corresponding ciphertext can be decrypted similarly. ABE is essentially a public key encryption system with relatively slow encryption and decryption speed.
1.2.2 Privacy Desensitization
Privacy desensitization protects privacy information by adopting a distorted and irreversible method, so that the desensitized information cannot be associated with the data subject. Privacy desensitization of the privacy information contained in the data includes but is not limited to existing methods such as Generalization, Suppression, Anatomization, Permutation, and Perturbation. New theoretical innovations in privacy desensitization are needed in the future. Privacy desensitization is also often referred to as privatization or anonymization.
1.2.2.1 Generalization
Generalization is a technique which replaces a speci�ic value in a class of properties with a more general value. For example, if a person is 25 years old, it can be generalized to 20–30 years old; a person’s occupation is a programmer or a lawyer, and it can be generalized to white-collar workers (brain workers).
1.2.2.2 Suppression
Suppression refers to replacing an attribute, attribute value, or part of an attribute value with * when publishing information. For example, the mobile phone number is represented as 135****3675, and the credit card number is represented as 4392********.
1.2.2.3 Anatomization and Permutation
The goal of anatomization and permutation is to remove the association between quasi-identi�iers and sensitive attributes without changing the values of quasi-identi�iers or sensitive attributes. Anatomization is to divide the original record table into two tables to publish, where one table publishes quasi-identi�ier attributes, the other table publishes sensitive attributes, and the two tables only have the same GroupID as a common attribute. Permutation is used to divide a set of data records into groups, and permute sensitive values within the group, thereby disrupting the correspondence between quasi-identi�iers and sensitive attributes.
1.2.2.4 Perturbation
Data perturbation refers to the technique of replacing the original data values with synthetic data values. Statistical information does not change signi�icantly after perturbation, and the perturbed data lose relevance to the real data subject. Classic data perturbation mechanisms include noise addition, data exchange, synthetic data generation, etc. Noise addition is mainly used for privacy preservation of numerical data by generating noise values from a speci�ic distribution of noise and adding them to sensitive values. The main idea of data exchange is to exchange the values of sensitive attributes between personal data records, which can maintain low-order frequency statistics or marginal distributions for statistical analysis. Synthetic data generation aims of building a statistical model according to data, and then up-sampling from the model to replace the original data. Perturbation has a long history of application in statistical release control because of its simplicity, effectiveness, and the ability to maintain statistical information [11].
On the basis of the above desensitization operations, a series of privacy desensitization models and methods have been developed, including k-anonymity [12], l-diversity [13], t-closeness [14], differential privacy [15], local differential privacy [16], etc., which will be introduced in subsequent chapters.
1.3 The “Four Rights” of Privacy Preservation
GDPR has made relevant provisions on the right to know, the right to erasure, and the right to be forgotten. The right to know addresses the collection and processing of personal information, and the right to erasure and the right to be forgotten address the storage of personal information. With the popularization and application of mobile apps, although the right to know has not been fully implemented and has become the root cause of out-of-scope collection of privacy information, it has been widely noticed by everyone. In reality, data subjects voluntarily provide some privacy information to obtain personalized services, but the data subjects’ right to erasure and to be forgotten are privacy preservation issues that deserve more attention. Service providers’ neglect of the right to erasure and to be forgotten is a source of misuse of privacy information. Under the circumstance that privacy information is widely exchanged and disseminated in the ubiquitous interconnected environment, the “extended authorization” proposed by the authors of this book is the core criterion to ensure the controlled sharing of privacy information, and an effective guarantee mechanism for balancing privacy desensitization and usability.
1.3.1 Related Parties of Privacy Information
The related parties of privacy information are the participants in the processing of privacy information in the process of privacy preservation, including the following �ive aspects.
1. Data subject: refers to the owner of personal data or personal information.
2. Controller: refers to the natural or legal person, public authority, agency, or other body which, alone or jointly with others,
determines the purposes and means of the processing of privacy information.
3. Processor: refers to a natural or legal person, public authority, agency, or other body which processes personal data on behalf of the controller.
4. Recipient: refers to a natural or legal person, public authority, agency, or another body, to which the privacy information are disclosed, whether a third party or not.
5. Third party: refers to a natural or legal person, public authority, agency, or body other than the data subject, controller, processor, and persons who, under the direct authority of the controller or processor, are authorized to process personal data.
1.3.2 Right to Know
The right to know requires the controller to obtain the consent of the data subject when collecting and processing personal information. The data subject has the right to know how the data controller processes and stores personal information, where the personal information is obtained and to whom it will be transferred. When the purpose and method of processing personal information are changed, the individual’s consent shall be obtained again. When personal information processors transfer personal information to third parties, they should also inform individuals of the recipient’s identity and contact information. The recipient should continue to perform the obligations of the personal information processor. If there is any change, the data subject needs to be noti�ied again and consent should be obtained.
1.3.3 Right to Erasure
The right to erasure is the right of the data subject to ask the controller to delete his or her personal information. When the data subject withdraws consent or the personal information is no longer necessary for the purpose for which it was collected and processed, the data controller can be asked to delete the relevant data. If the controller has
made the data public, it should consider taking reasonable steps, including technical measures, to inform other data controllers who are processing personal data that the data subject has asked them to delete the personal information of the data subject, and the data controller and processor should delete personal information in a deterministic and irrecoverable manner.
1.3.4 Right to be Forgotten
The right to be forgotten means that when the storage period agreed between the data subject and the controller has expired or the processing purpose has been achieved, and the personal information controller or processor stops providing products or services, the controller or processor should take the initiative to delete personal information, i.e., personal information is automatically deleted after being retained by the data controller or processor for a certain period of time.
1.3.5 Extended Authorization
In social network applications, there are widespread problems such as personal information being forwarded more than twice by friends across Moments and systems. Therefore, in the process of dissemination of privacy information, whether the data subject can extend authorization for the cross-system exchange of personal information, and the implementation of extended control is crucial to privacy protection. The requirement for extended authorization is not mentioned in GDPR and other privacy protection-related regulations, but in the era of ubiquitous information sharing, extended authorization is the basis for ensuring controlled sharing of privacy information. Extended control is a technical implementation method of extended authorization, and an indispensable and effective mechanism for balancing privacy desensitization and privacy information utility.
Although the “Personal Information Protection Law of the People’s Republic of China” requires that personal consent is required for personal information processing, if the purpose of processing personal information, processing methods, and types of personal information are changed, personal consent should be obtained again, but in in the
Another random document with no related content on Scribd:
eine, die im Zimmer sitzt und ihre bescheidene Freude über ein bißchen Sonnenschein hat, aber plötzlich geht die Tür weit auf, und draußen lacht es und jubelt von Blumen, und das Licht ist gleich einem Meer, und über den Himmel segeln Wolken. Und dann tritt jemand herein und sagt: »Dies alles ist dein, du weißt es nur noch nicht! Du brauchst nur aufzustehen und hineinzugehen!« — Es ward das Jauchzen des Sommermorgens, ein Gefühl von Macht, ein Ausbreiten der Arme, ein ungestümes Laufen in die Luft hinein, ja, Tränen von Glück und Dankbarkeit.
Aber heute war es wieder ganz anders. Sie sah nicht mehr die Fernen, nicht mehr das weite Grün, nicht mehr das unendliche Blau.
Sie war vor einer Blume stehengeblieben. Und wie ihre Sehnsucht bisher an der Linie des Horizonts gehangen hatte, so senkte sie sich nun in den Kelch dieser einen Blüte hinein.
»Sie wird stets Geliebte bleiben, und nur so wird sie Mutter werden! Ihr religiöser Kult wird sein, des Lebens Seligkeit zu schaffen.«
Es kamen wohl viele Düfte aus dem tiefen Kelche dieser Blume, wie es viele Arten Sehnsucht gibt. Dufteten diese Worte von des Lebens Seligkeit nicht nach Rosen, und wußten sie nicht von der Liebe heißen Lippen? War es nicht herb und doch betäubend, zu empfinden, daß Macht in ihren Händen lag? Daß nur die Frau der Welt die Kostbarkeiten bringen kann, die des Lebens Seligkeiten schaffen?! Und waren da nicht auch die Tiefen ungewisser Dinge, vor denen man ein süßes Grauen empfand ...?
Von diesen Sehnsüchten blieb keine bei Julie. Eine andere kam, leise und zaghaft, das Dämmern aufzuwecken, in dem die Empfindungen der Jungfräulichkeit geträumt hatten: die Sehnsucht nach Mütterlichkeit.
In diesem neuen Empfinden waren Schmerz und Glück so nahe beieinander, daß es eine Ruhe wurde, die sanft über die Augen strich. Und Julie stand mit andächtiger Scheu, wie vor etwas Heiligem. Aber sie war keine von denen, die träumend stehenbleiben. Ihre Gedanken gingen weiter.
Ellen Key fährt an jener Stelle fort: »Sie wird mit klarem Blick und tiefem Verantwortlichkeitsgefühl den Vater ihrer Kinder wählen.«
Julie hatte diesen Gedanken noch nicht bewußt ergriffen, aber ihr Empfinden mochte wohl schon auf ihn lauschen.
XIX
Generationen hindurch waren Professor Stockmanns Vorfahren Geistliche gewesen. Von Hause aus derbfäustige Naturen, hatten sie schon im Dreißigjährigen Krieg den Protestantismus mit Begeisterung verteidigt. Dies war ihre gesündeste und beste Zeit gewesen. Denn der empfindsame Augenaufschlag des Pietismus, der ihr folgte, war nichts für ihre einfachen Augen. Diese Augen waren nicht scharf genug, um Empfindung von Phrase zu scheiden. Und so hatte sich der Väter Überzeugungstreue in ein Gewirr unklarer Gedanken und verwaschener Gefühle gewandelt, und die persönliche Tat des protestantischen Bekenntnisses war zu einer leeren Tradition geworden.
Diese Tradition machte man in der Familie nun zur Grundlage einer Erziehung, die heute kaum anders war als vor zweihundert Jahren.
Es war System in dieser Erziehung. Die Bilder an den Wänden, Porträts von Francke, Spener, der Christuskopf von Guido Reni, die vergilbten Photographien von Werken der Nazarener redeten dieselbe eindringliche Sprache wie Morgen- und Abendandachten, Bet- und Bibelstunden. Es gab keine Gespräche, die nicht mit geistlichen Betrachtungen gewürzt gewesen wären, keinen Entschluß, bei dem man vergessen hätte, zu prüfen, ob er Gottes Wille sei. — Den Dingen der Welt stand man mit der uneingestandenen Feindseligkeit und dem Argwohn der evangelischen Milde gegenüber. Man war tolerant; aber man wußte, daß durch eine Falte der Stirn, durch geschickt eingeschaltete Nebensätze eine Verurteilung schärfer ausgesprochen werden kann
als durch gehässige Rede. Man verehrte die Kunst: aber sie mußte an den Stufen von Gottes Thron stehen. Man sah die Kunstwerke unter evangelischem Gesichtswinkel, man hörte die Musik zur Ehre Gottes.
Dieses Erziehungssystem bemächtigte sich ihres Lebens derart, daß von persönlichem Religionserlebnis, von religiöser Sehnsucht längst nicht mehr die Rede sein konnte; vielmehr durfte man sagen, daß den Stockmanns der Protestantismus in Fleisch und Blut übergegangen war. Unter dieser Voraussetzung war es zu begreifen, daß die Jungen schon mit zwölf Jahren ihre festen Ziele hatten, und daß aus ihnen Menschen wurden, die niemals mit Scheu vor den Fragen des Lebens stehenblieben, die weder den heiligen Ernst des Suchens, noch das Glück des Findens kannten. Es kamen freilich Tage, wo des Lebens Sturmwinde heransausten, morsche Stämme zu brechen und Platz zu schaffen für junge Bäume, die stark werden sollten. Da wäre Gelegenheit gewesen, einmal aufzuräumen, einmal nachzusehen, was des Wachsens noch wert wäre, und der Schößlinge zu achten, die heimlich aus dem Schutt herauskamen.
Aber das taten die Stockmanns nicht.
Hatte bis zu diesem Zeitpunkte alle Verantwortung den Eltern zugesprochen werden müssen, so traf sie jetzt die junge Generation. Diese aber wagte keinen Kampf. Vielleicht wollte sie ihre Gewohnheiten nicht aufgeben, vielleicht war sie überhaupt zu blaß, zu kränklich. Der Mangel an Lebensmut und Lebensbejahung, der sie den Kampf vermeiden hieß, vererbte sich gleichfalls und wuchs im Laufe der Zeiten zu einer beträchtlichen Schuldenlast heran. Die Eigenschaften, die beim Urgroßvater wertvoll gewesen waren, wirkten heute als eigensinnige Schrullen. Aus seinem Glauben war Starrheit geworden, aus seiner Innigkeit Sentimentalität.
Durch die Ehen, die in der Familie geschlossen worden waren, hatten die Wirkungen dieser Erziehung nicht aufgehoben werden können. Es waren immer Frauen gewesen, die verwandtem Boden entstammten. Nur eine Ausnahme gab es, und diese Frau hatte allerdings anderes Blut in die Familie hineingebracht; das war Mathilde Dorn gewesen, die Tochter eines stillen Gelehrten, dessen
Leben voller Güte unbemerkt bei trockener Fachwissenschaft vorübergegangen war, nach dessen nicht ganz aufgeklärtem Tode man jedoch einige Arbeiten über die Freiheit der naturwissenschaftlichen Forschung vorfand, die seine Persönlichkeit unter eine veränderte Beleuchtung brachten. Mathilde Dorn war verschlossen und träumerisch. Ihr Wesen hatte die Milde eines Regens, der an schwülen Sommertagen zur Erde rauscht, ohne zu kühlen. Als Professor Stockmann sie heiratete, lebte ihr Vater noch, und als die Kinder kamen, Martha und zwei Jahre später Johannes, war zu hoffen, daß ihre Erziehung von anderer Art sein würde, als sonst in der Familie gebräuchlich war. Denn Mathilde liebte ihre Kinder mit dem leidenschaftlichen Muttergefühl einer Frau, die nichts anderes hat als ihre Kinder. Besaß sie auch selbst kein stark ausgeprägtes eigenes Wesen, so durfte man doch von diesem durch keine Begriffe beirrten mütterlichen Gefühl mancherlei erwarten. Aber nach wenigen Jahren starb Mathildens Vater, und geraume Zeit darauf folgte sie ihm, ohne ihre Kinder bis zu einer inneren Selbständigkeit gebracht zu haben.
Es sei ein Herzleiden, sagten die Ärzte, aber in Wirklichkeit ging sie an den fortgesetzten stillen Vorwürfen zugrunde, die ihr Mann wegen jener Schriften ihres Vaters gegen sie erhoben hatte. Immerhin erkannte man noch heute an den Kindern die Mutter.
Martha, die seit ihrer Konfirmation dem Hauswesen vorstand, verband mit der kindlichen Liebe zum Vater doch eine gewisse Unabhängigkeit. Sie hatte den Glauben ihres Vaters, aber ein Glanz war übers ihn gebreitet, der von persönlichem Empfinden herkam.
Johannes hingegen hatte von der Mutter die Zweifel geerbt. Sie entbehrten zwar der Schärfe und hatten hin und wieder eine gewisse Haltlosigkeit zur Folge; aber an dieser Stelle kam ihm die Hartnäckigkeit des Vaters zugute. So gab es in seinem Leben wenigstens scheinbare Kämpfe. Selbständigkeit gehörte nicht zu seinen Eigenschaften. Aber er besaß eine gewisse Geschicklichkeit: er nahm niemals Partei für Anschauungen, die den Familientraditionen zuwiderliefen, aber er machte kleine Konzessionen, gestand einigen Punkten eine Berechtigung zu und fühlte sich immer auf der Höhe überlegener Milde.
Professor Stockmann hatte sich allmählich in seine Kinder gefunden. Daß der positive Glaube ihnen keine Herzenssache war, wußte er wohl; aber er zog es vor, diese Lücke zuzudecken, ohne sie zu ergründen. Für diese Nachsicht forderte er stillschweigend das Festhalten an allen äußerlichen Gewohnheiten. Es gab keinen Widerspruch gegen seine Anschauungen; und die Kinder waren klug genug, dem Vater zu folgen, ja, sie taten es sogar aus Überzeugung. Drei- bis viermal im Jahr ging man zur Kommunion, morgens und abends versammelte man sich zur Andacht, genau so, wie es unter dem seligen Generalsuperintendenten gewesen war
Zu dieser Familie kam Julie Hellwege.
Es gibt Farben, die sich im Schatten gleichen, im Licht aber einander nicht mehr kennen. Und es gibt Menschen, die in der Dämmerung des Alltags meinen, sie gehören zusammen, und doch plötzlich einander fremd sind, wenn das Licht einer Morgenstunde in jene dunkeln Ecken fällt, die ihnen selbst noch unbekannt waren. Oft freilich geschieht es, daß das Leben vorüberschreitet, und jene Stunde will nicht kommen und bleibt fern, bis diese Menschen sterben; und erst die Kinder gewahren, daß sich Abgründe geschrofft haben, wo die Väter an sichere Straßen glaubten. So war Rechtsanwalt Hellwege gestorben und hatte noch drei Tage vor seinem Tode von seinem Studienfreunde Stockmann erzählt, mit ihm habe er sich immer am besten verstanden. Und nun saß Julie dem Professor gegenüber, und der hörte nicht auf, sich zu verwundern und zu entsetzen, daß dieses die Tochter seines Kommilitonen Hellwege war. Und der Doktor Johannes fühlte sich befangen, merkte etwas von Überlegenheit, die anerkannt werden müßte, und trat dennoch auf die Seite seines Vaters.
Julie war nicht so sicher, wie sie sich gab. Mokantes Lächeln war hier nicht am Platz, und jede Art von Spiegelfechterei bedeutete einen Verlust. An Energie wäre dieser Gegner sicher gleichwertig, nachgeben würde er nie, und es bedürfte starker Waffen, sich zu behaupten. Trotz allem war sie unbekümmert und darum von vornherein im Vorteil.
»Wir sind immer am liebsten jedes für sich allein gewesen: vielleicht, weil wir so sehr zusammengehörten, weil etwas ganz
Besonderes zwischen uns bestand und wir nicht wollten, daß ein laues Familienglück daraus würde.«
»Und Sie sind sicher, daß niemand von Ihnen bei diesem Verhältnis zu kurz kommt?«
»Vielleicht! Aber das ist dann eigene Schuld. Um selbst glücklich zu sein, darf man nicht auf andere warten.« Julie hörte ihre Stimme klar und bestimmt. Es ist ein eigenes Gefühl, lachend in eine Umgebung zu kommen, wo nüchterner Ernst und graue Gleichmäßigkeit herrschen. Und wie empfindet man die stummen Entgegnungen, die von allen Seiten zu einem kommen, sei es, um einem zu danken, daß man den Mut hatte, die Ruhe aufzuwecken, sei es, um sich zu sträuben, weil solches geschieht!
Der Professor schüttelte den Kopf.
»Kind! Was sind das für Anschauungen! Gerade das Zusammenhalten der einzelnen Glieder macht das Familienglück innig und fest. Sehen Sie meine Kinder an!«
Der Doktor nickte gehorsam Beifall.
»Das haben wir gewiß erfahren ...!«
»Aber es kann doch auch eine Gefahr darin sein: viele meinen, nur für andere leben zu müssen, und verlieren darüber sich selbst.«
Der Pastor hob die Hand.
»Ist das ein Nachteil? ›Liebe deinen Nächsten als dich selbst‹, sagt die Schrift.«
Der Doktor fand einen Ausweg.
»Man muß es eben verstehen, aus dem Boden der Familie Kraft für die eigene Persönlichkeit zu ziehen. Natürlich soll man sich selbständig entwickeln. Aber darf man nicht dennoch etwas haben, woran man sich anlehnen kann, wenn müde Stunden kommen?!«
Julie hatte eine lächelnde Empfindung: wie mochte es aussehen, wenn dieser blonde, gesunde Mann sich müde an seine Familie lehnte, an den weißen Kopf seines Vaters oder an Marthas schlicht abfallende Schultern?!
»Ich sage ja nur, daß gerade die Familie einen hindern kann, überhaupt selbständig zu werden; da sind Rücksichten und Bedenken ...«
»Und gerade diese bilden die treffliche Erziehung des Familienlebens,« entgegnete der Professor lebhaft. »Sollen wir doch einer dem anderen helfen, mit Liebe, Nachsicht und Demut, einander fördern auf dieser irdischen Reise. Wir sollen entsagen lernen und unser Selbst verleugnen ...«
Julie blickte mit einem Anflug von Mitleid auf die scharfen Züge des alten Mannes; in diesen Falten lagen allerdings ganze Geschichten von Entsagung, und man suchte vergebens nach einer weichen Fläche, die von Lebensfreude hätte sprechen können. Sie empfand ein Grauen, als sei sie in dieses Gerechten Gewalt gegeben und müsse ihm gehorchen. Blumen, Sonne und Farben wurden blaß und glitten in unerreichbare Ferne, und an den Wänden standen Drohungen. Sie warf ängstlich den Kopf in die Höhe.
»Ein Recht zu entsagen habe ich nur dann, wenn ich es aus eigener Erkenntnis und freiem Willen tue.«
Der Doktor horchte.
»Wie stolz Sie sind! Es ist gewiß ein hoher Standpunkt ...«
Aber der Vater unterbrach ihn.
»Nein, nein, das wäre pharisäischer Hochmut. Entsagen heißt: das eigene arme Ich ausstreichen und sich in Gottes Willen fügen!«
Julie schwieg. Und der Doktor Johannes war ihr vielleicht dankbar dafür.
Als man nach dem Essen unter Thorwaldsens Christus saß, griff der Professor das Thema von neuem auf.
»Sehen Sie, liebes Kind, neulich hatte ich einen Brief von Ihrem Vormund. Er schrieb, Sie seien nun hier, und ich möchte mich in Erinnerung an Ihren seligen Vater Ihrer ein wenig annehmen, nun, Sie wissen ja, daß Sie bei uns wie zu Hause sein sollen, ja, und da schrieb er auch von Ihrer Schwester Marianne. Die ganze Familie war mit dieser Verlobung erst nicht einverstanden, nicht wahr? Ich
weiß nicht, ob es nur Demut und Selbstverleugnung war, was Ihre Schwester bewogen hat, den Antrag dieses einfachen Mannes anzunehmen; aber ich möchte glauben, daß beides in ihr mitgesprochen hat, als sie den Entschluß faßte, ihm fürs Leben zu folgen. Nun sind die beiden so glücklich geworden. Muß man da nicht von Gottes Fügung sprechen, die alles besser gemacht hat, als die Familie es je für möglich gehalten hätte, die schon jetzt für die demütige Ergebung in seinen Willen reichen Lohn schenkt?« Julie wurde rot und dachte an die Tage, die jener Verlobung vorausgegangen waren; sie fühlte sich plötzlich verantwortlich für Marianne, nicht gerade, weil sie ihre Schwester war, sondern aus jenem Solidaritätsempfinden heraus, das das ganze Geschlecht verbindet. Eine Art von Scham erwachte in ihr, daß hier ein Mann daranging, etwas aufzudecken, was für die Frau immer keusch und unberührt bleiben sollte; und dann fühlte sie eine ärgerliche Gereiztheit, wie täppisch doch diese Hände wären, wie pfiffig und plump der Versuch, an dieser simplen Verlobungsgeschichte beweisen zu wollen, wie Gottes Gerechtigkeit die Entsagung belohne.
»Meine Schwester hatte ihn einfach lieb!« sagte sie schroff.
»Ist die eheliche Liebe kein Geschenk Gottes?«
»Und weil sie ihn lieb hat, kann von Entsagung nicht die Rede sein!«
»Nun, die Verhältnisse, in die sie gekommen ist, sind doch wohl recht einfach,« meinte der Professor behaglich. »Es wird manche Träne gekostet haben, sich dahinein zu gewöhnen, fürliebzunehmen mit einem niedrigen Hause, mit der Einsamkeit des Landlebens, den bescheidenen Freuden eines Dorfschullehrers ...«
»Sie hätte es doch anders haben können!« meinte der Doktor, »und darum erscheint es mir als ein Zeichen von Demut, daß sie ...«
»Wenn man jemand lieb hat, muß man alles für ihn tun können, nicht aus Demut, nicht aus Entsagung, sondern aus Liebe. Das ist nicht weiter gut oder groß, sondern natürlich und selbstverständlich!«
»Nun ja, gewiß,« stimmte der Doktor bei.
Julie war verstimmt. Das Gespräch erschien ihr plötzlich unnötig. Sie war mit der Absicht hergekommen, von diesen Menschen etwas zu lernen, und fand sich enttäuscht. Sie hatte sich selbst aus dem Spiele lassen, nur Neues aufnehmen, irgendeine Feinheit verstehen, eine scharfgezeichnete Linie sehen, andersgeartete Anschauungen hören wollen. Davon war hier nichts zu finden. Dies war weder friedlicher Meinungsaustausch noch ehrlicher Kampf. Vielmehr nichts anderes, als rechthaberisches Gezänk, wie etwa Kinder sich um ihre Spielsachen streiten. Da wurden Worte falsch gedeutet, Begriffe verschoben, jeder saß trotzig ernst auf seinem Stuhl und dachte nicht daran, dem andern entgegenzukommen, und dazu diese ölige, versalzene Milde, wie eine schlecht zubereitete Mayonnaisensauce! Und was das schlimmste war: sie selbst wurde von diesem Ton angesteckt, sie blieb nicht bei der Sache, suchte nach spitzen Entgegnungen und fühlte sich klein und häßlich.
Der Doktor wollte einlenken.
»Alles, was aus Liebe geschieht, steht jenseits von Gut und Böse.«
Da lachte Julie. Und mit diesem Lachen hatte sie ihre gute Laune wiedergefunden.
Martha hatte während der Unterhaltung schweigsam in einer Ecke gesessen. Wovon Julie sprach, das hatte sie wohl schon manchmal gelesen, aber noch niemals aussprechen hören. Sie hatte Ähnliches auch schon gedacht, aber noch nicht den Mut gehabt, davon zu reden. So lauschte sie ängstlich und begeistert auf Julies Stimme, mit der leidenschaftlichen Erregung der schwachen Seele, die nur in ihrer Phantasie den Kampf wagt und Triumphe feiert.
Julie verstand sich nicht auf solche Wesen; sonst hätte sie eine dankbare Wärme und den fast flehenden Ausdruck einer Bitte empfunden, als Martha ihr beim Weggehen sagte:
»Kommen Sie recht, recht bald wieder!«
Doktor Johannes begleitete Julie nach Hause. Das ließ er sich nicht nehmen, den ganzen Abend hatte er sich darauf gefreut. Nicht
eigentlich gefreut, aber er hatte darauf gewartet, als müsse er sich verteidigen oder sie wenigstens über sich aufklären, als dürfe er es unter keinen Umständen zulassen, daß sie mit diesem, wie er meinte, unfertigen Eindruck Von ihm wegginge. Oh, es wäre im Grunde natürlich ganz gleichgültig, was andere Menschen über ihn dächten; man mochte ihn getrost verurteilen. Johannes liebte es, sich ein wenig als Märtyrer zu fühlen. Er wußte ja genau, daß er richtig handelte, wenn er mit kindlicher Ehrfurcht seine Anschauungen vor dem Vater verbarg. Aber, nun ja, er hätte doch gern mit Julie darüber gesprochen. Er redete sich vor, sie würde ihn verstehen, vielleicht bemitleiden oder gar bewundern.
Als sie um die Straßenecke bogen, fing er an: »Sie waren vielleicht erstaunt, daß ich meinem Vater gegenüber mit meiner Meinung etwas zurückgehalten habe. Meine Situation zu Hause ist nicht ganz einfach. Meines Vaters Anschauungen sind streng orthodox. Für ihn als Professor der Dogmatik besteht ja auch geradezu die Notwendigkeit, seine Stellung zu religiösen und ethischen Fragen genau zu präzisieren.«
Es freute ihn, wie klar er sich ausdrückte. Die Worte klangen rund von den Häuserwänden zurück. Seine Schritte waren fest und bewußt. Es schien, als wolle die Stille der Straße seiner Energie noch besonderen Nachdruck verleihen.
Julie betrachtete ihn. Aber ehe er fortfahren konnte, sagte sie etwas, wovon ihr erst in diesem Augenblick einfiel, daß sie während des ganzen Abends den Wunsch gehabt hatte, es auszusprechen. »Ich finde, Sie haben keinen Mut!«
Das hatte der Doktor freilich nicht erwartet. Aber gleichzeitig empfand er merkwürdigerweise ganz deutlich, daß nur dieses über sein Verhalten gesagt werden konnte. Er suchte nach einer Entgegnung: Kindesliebe, väterliche Autorität ...! Doch plötzlich hatte er den Wunsch, sie möchte weiterreden. Er fühlte eine ferne Möglichkeit von Freiheit.
»Sie haben doch das Recht, Ihre Meinung zu vertreten. Wollen Sie Ihren Vater täuschen? Das glaube ich nicht. Oder wollen Sie aus Ehrfurcht vor ihm schweigen? Ich wäre traurig, wenn mein Kind nicht
mehr von mir gelernt hätte, als zu schweigen oder Beifall zu klatschen, wenn ich rede. Und ich denke es mir den glücklichsten Augenblick, wenn mein Kind mir zum ersten Male aus Überlegung widerspräche.«
Johannes hatte eine peinliche Empfindung. Daß sie von ihren Kindern sprach, war ihm unangenehm. Er hätte sie sich weiblicher gedacht.
»Jedenfalls kann ich mir nicht denken, daß man dabei glücklich sein kann,« fuhr Julie fort.
»Nein, nein, ich bin auch nicht glücklich,« stotterte Johannes. »Wie ich Ihnen schon sagte: meine Situation ...«
»Übrigens wäre es verständlich, wenn Sie wirklich schweigen w o l l t e n. Die natürliche Empfindung der Innigkeit, die Eltern und Kinder verbindet, macht es uns, den Kindern, eigentlich unmöglich, die Eltern belehren zu wollen. Aber wie einer es ertragen kann, schweigen zu m ü s s e n, seine Persönlichkeit unterdrückt zu sehen, das kann ich nicht begreifen.«
Sie gingen eine Weile nebeneinander her, ohne etwas zu sagen. Johannes hatte sich diese Unterhaltung anders gedacht. Er war nicht zufrieden. Aber er mochte sie nicht abbrechen. In der Nachtluft ging es sich so behaglich, und eigentlich hörte er es gern, wenn sie über ihn sprach. Seine Gedanken waren vielleicht schon gar nicht mehr bei der Sache, und nur, um irgendetwas zu entgegnen, fragte er:
»Wie soll man anders handeln?«
»Indem man seine persönliche Freiheit behauptet.«
»Wie denken Sie sich das? Soll ich den häuslichen Frieden stören? Soll ich widersprechen?«
»Nein!« Julie schüttelte den Kopf. Sie dachte nach; sie überlegte ganz ernsthaft, wie dem Doktor geholfen werden könnte. Sie wurde sich gar nicht bewußt, daß sie zum ersten Male einem erwachsenen Menschen nach eigener Überlegung einen Rat geben wollte, und daß es eigentlich ein etwas komischer Fall sei, einem jungen
Privatdozenten Verhaltungsmaßregeln darüber zu erteilen, wie er sich seine Selbständigkeit bewahren solle. Plötzlich fragte sie unvermittelt: »Wohnen Sie bei Ihrem Vater?«
Natürlich, das täte er. Warum sollte er auswärts wohnen?
»Nun ja, damit würde ich anfangen. Ich würde mir zwei Zimmer mieten, in einer ganz anderen Gegend von Berlin, die würde ich mir nach meinem Geschmack einrichten, mit Bildern, Vasen und Blumen; dann hat man doch erst mal ein richtiges Zuhause, wo man bei sich selbst ist. Und dort müssen Sie so leben, wie es Ihren Anschauungen entspricht. Und ...«
Sie brach plötzlich ab. Sie wunderte sich mit einem Male, daß sie so eindringlich zu ihm gesprochen hatte.
Johannes war in einer weichen Erregung. Sie hatte recht. Natürlich hatte sie recht. Wenn er allein wohnte, durfte ihm keiner dreinreden; dann war er Herr in seinem Hause.
So dachte er Aber fühlte er nicht auch etwas Warmes, Unbekanntes? Erregte es ihn nicht, daß da eine neben ihm ging, daß das ungewisse Licht der Laternen ein feines Profil zeichnete, das wieder erlosch, wenn sie vorüber waren, daß seidige Haare leise zitterten, und wenn der Abendwind sie aufhob, das Weiß einer Schläfe schimmerte?
»Und dann?« fragte er nach einer Weile.
»Das müssen Sie selbst ausfindig machen!« sagte sie und lachte kurz. Wie war er hilflos! Das belustigte sie wieder. Aber sie wollte sehen, was daraus wurde.
»Wenn es so weit ist, können wir ja weiterberaten,« meinte sie vergnügt.
Nun waren sie vor dem Hause angelangt, und sie gab ihm die Hand. Er war unschlüssig, ob er ihr danken müsse, oder ob er sie fragen könne, wann sie wiederkäme. Aber das war nun zu spät, denn die Tür fiel schon ins Schloß.
Er ging langsam den Weg zurück und beschäftigte sich mit dem Plan, eine Junggesellenwohnung zu beziehen. Aber es war etwas in
der Luft, was seine Gedanken immer wieder aufstörte und zu ganz fernliegenden Dingen gehen ließ. Er erinnerte sich der Buden seiner Freunde, der Plüschmöbel, der Koffer in der Ecke; dann fiel ihm ein, daß er da manchmal Besuch angetroffen hatte, Damenbesuch, ein kicherndes Lachen lag ihm plötzlich im Ohr; dann flirrten allerhand Worte an ihm vorüber, von goldener Studentenfreiheit, und er dachte mit einem Male, daß er solche Erlebnisse nie gehabt hatte.
Er bog um die Ecke; da stand noch wie vorhin die verschlafene Droschke. Hier hatte Julie von dem Kinde gesprochen. Und nun fühlte er wieder etwas Warmes, als ginge sie neben ihm, er empfand etwas Körperliches.
Doch als er dann die Tür des väterlichen Hauses aufschloß, war nichts von allem mehr da; er klinkte auf, tastete sich hinein, so gewohnheitsmäßig, als käme er aus dem theologischen Seminar.
Julie fand in ihrem Zimmer einen Brief von Marianne vor. Es war ein Bericht über die Hochzeitsreise und ihr warmes Nest, in das sie nun mit Lukas eingezogen sei. Es fehlte nicht an einigen Stellen, die frauenhaft erfahren klingen sollten. Zu anderen Zeiten würde Julie sich darüber mokiert haben. Aber jetzt mußte sie plötzlich und ohne jede Veranlassung an Johannes Stockmann denken.
Julie zerriß den Brief, ohne ihn zu Ende zu lesen, und warf die Stücke in den Papierkorb. Dann griff sie nach einem Buche ...
Doch nein! Sie legte es wieder fort und begnügte sich damit, an Agnes Elisabeth zu schreiben und ihr eine scharfe Schilderung von dem nußbaumpolierten Ton in der Familie Stockmann zu geben.
