<div dir="ltr">On Sat, Jul 26, 2008 at 17:25, seth vidal <<a href="mailto:skvidal@fedoraproject.org">skvidal@fedoraproject.org</a>> wrote:<br><div class="gmail_quote"><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<div><div></div><div class="Wj3C7c">Sufficient anonymization would mean the data would end up being:<br></div></div>
<br>
AAA:BBBBBBBB:CCC</blockquote><div><br>Well, no.  You would have:<br><br>ballot 001: {Jones : 10, Smith : 9, Adams : 0}<br>ballot 002: {Jones : 6, Smith : 0, Adams 10}<br>etc.<br><br>Maybe a particular individual could identify his ballot if only one ballot was like the one he cast.  But then only _he_ knows that's his ballot.  There's no privacy disclosure issue here.<br>
<br>Now, there is an issue that he could sell his vote in this case.  But I don't imagine that's a serious problem for you.<br> <br></div><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Seriously, there's no good way to anonymize it enough w/o making it useless.</blockquote><div><br>Huh?<br><br></div><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
More to the point, no one would believe it was sufficiently anonymized.</blockquote><div><br>You don't have to "believe" the data is anonymized.  You can prove it.  If there's any information that identifies the identity of the voter, it's not anonymized.<br>
</div></div></div>