Bạn có thể coi mã hóa địa lý trực tuyến là vi phạm quyền riêng tư?


21

Giả sử tôi có một loạt địa chỉ của các cá nhân tham gia vào một nghiên cứu nhất định (rất có thể - liên quan đến sức khỏe, trong đó sự riêng tư và cân nhắc đạo đức luôn là vấn đề quan trọng).

Ngày nay, các nhà cung cấp như Google hoặc Yahoo cung cấp kết quả tốt về độ chính xác của vị trí.

Hiệp hội các cơ quan đăng ký ung thư trung ương Bắc Mỹ ( NAACCR ) liệt kê các tùy chọn như vậy trong ' Hướng dẫn thực hành tốt nhất về mã hóa địa lý: Đánh giá tám hệ thống mã hóa địa lý thường được sử dụng ' và ' Hướng dẫn thực hành tốt nhất về mã hóa địa lý '.

Ví dụ, Cinnamon và Schuurman (2010) đã sử dụng dịch vụ BatchGeocode như một phần của công cụ của họ để điều tra các thương tích trong môi trường tài nguyên thấp.

Bạn có xem mã hóa địa chỉ như vậy bằng các dịch vụ trực tuyến, như Google Maps hoặc OpenStreetMap là vi phạm quyền riêng tư không?

PS1 có thể liên quan đến câu hỏi .

Bài báo gần đây của PS2 về Dịch tễ học (một trong những tạp chí hàng đầu, đánh giá ngang hàng trong lĩnh vực này) đã xuất bản các hướng dẫn chi tiết về giao tiếp ngắn về cách mã hóa địa lý bằng API Google Maps & Địa điểm. Thật thú vị, không một từ nào về bảo mật / quyền riêng tư được đề cập ...


Cộng đồng wiki câu hỏi phạm vi?
nghệ thuật21

Câu trả lời:


11

Chắc chắn có một hàm ý riêng tư ở đây - đặc biệt nếu bạn đang làm việc với các lô dữ liệu nhỏ. Bất cứ ai đang cố gắng khai thác luồng dữ liệu sẽ có thể đưa ra các giả định rằng tất cả các yêu cầu trong cùng một đợt đều có điểm chung - ngay cả khi tình trạng y tế hoặc thông tin cá nhân không được tiết lộ qua mạng.

Một kỹ thuật tốt hơn là gộp nhiều dữ liệu / bệnh nhân không liên quan để mã hóa địa lý số lượng lớn.

Ví dụ: kết hợp dữ liệu của bạn cần mã hóa địa lý với các nhà nghiên cứu khác - các vấn đề càng không liên quan thì càng tốt. Chọn ngẫu nhiên thứ tự của các yêu cầu. Và một lần mỗi ngày xử lý hàng loạt thông qua hàng đợi này, tất cả cùng một lúc.

Bây giờ việc khai thác dữ liệu trở nên khó khăn hơn rất nhiều, ngay cả khi kẻ tấn công có thể nghe lỏm các yêu cầu mã hóa địa lý.


Hấp dẫn! Bất kỳ công cụ / nền tảng nào có thể tạo điều kiện cho quá trình này?
Nicolas Raoul

8

Mã hóa địa phương với các tệp được mã hóa trên một máy chủ an toàn chắc chắn sẽ là tiêu chuẩn vàng cho quyền riêng tư. Sử dụng Tor sẽ là điều tốt nhất tiếp theo, nếu mã hóa địa lý sử dụng API từ xa là cần thiết.

Tor bảo vệ bạn bằng cách chuyển các liên lạc của bạn xung quanh một mạng lưới rơle phân tán được điều hành bởi các tình nguyện viên trên khắp thế giới: nó ngăn ... các trang web bạn truy cập tìm hiểu vị trí thực của bạn.

Cùng với việc tiêm địa chỉ ngẫu nhiên (như những người khác ở đây khuyên dùng) và sử dụng ssl (https) để mã hóa thông tin liên lạc đến các điểm cuối của họ (đảm bảo bạn cũng đang làm điều này), tôi không thể nghĩ ra một cách an toàn hơn để mã hóa địa lý từ xa hơn là thông qua Dự án Tor . Bất cứ dịch vụ mã hóa địa lý nào bạn đang sử dụng sẽ không thể xác định được các yêu cầu cuối cùng đến từ đâu và với https, sẽ không có ai khác làm như vậy. Lưu ý: không sử dụng dịch vụ mã hóa địa lý yêu cầu khóa api cho việc này hoặc bạn sẽ không còn ẩn danh. (Google không yêu cầu khóa api nữa).

Thông tin chi tiết về việc sử dụng Tor có trong câu trả lời của tôi cho một câu hỏi liên quan ở đây.


Cảm ơn, tôi chưa nghĩ về Tor, nhưng có vẻ như đó là một ý kiến ​​hay.
radek

Ngay cả khi sử dụng Tor, máy chủ mã hóa địa lý vẫn nhận được thông tin của bạn, đây là vi phạm cơ bản về quyền riêng tư. Bạn không thể tin tưởng vào máy chủ mã hóa địa lý.
Nicolas Raoul

8

Đây là một câu hỏi tuyệt vời mà tôi đã được hỏi nhiều lần gần đây kể từ khi tôi làm việc cho một công ty xác minh địa chỉ có tên SmartyStreets.

Trước hết, một địa chỉ bưu chính thể hiện một điểm định vị duy nhất trên bản đồ. Một địa chỉ tự nó vốn đã lành tính vì nó không có thêm thông tin nào. Vẽ một điểm trên bản đồ không làm gì cả. Chỉ đến khi bạn bắt đầu gán TIẾP TỤC cho điểm đó (địa chỉ) thì nó mới bắt đầu có nghĩa gì đó.

Với ý nghĩ đó, một địa chỉ bưu chính có thể đại diện cho một người, một tổ chức, một tòa nhà, một chiếc xe hơi, bất cứ điều gì. Khi bạn bắt đầu thu thập nhiều địa chỉ bưu chính, bạn sẽ tăng ngữ cảnh có thể bắt nguồn từ nhóm đó. Điểm tương đồng có thể được xác định để xem những gì các địa chỉ có điểm chung. Tuy nhiên, chỉ một nhóm địa chỉ trong một khu vực tương tự không biểu thị nhiều bối cảnh. Tôi có thể nhìn vào một bản đồ google và thấy tất cả các ngôi nhà trong một khu vực nhất định. Đó không phải là vi phạm quyền riêng tư trừ khi tôi có quyền truy cập trái phép vào thông tin đặc quyền.

Các điểm khác của bối cảnh phải được kết hợp để thực sự cho đi bất kỳ loại dữ liệu riêng tư nào. Ví dụ: một nhóm các địa chỉ bưu chính được gửi đến một dịch vụ trực tuyến để xác minh địa chỉ và / hoặc mã hóa địa lý sẽ không cung cấp thông tin trừ khi bạn biết ai đã gửi danh sách để xử lý. Khi chủ sở hữu danh sách được biết, một số suy luận nhất định có thể được thực hiện về mục đích sử dụng của danh sách. Biết bối cảnh bổ sung này, chẳng hạn như chủ sở hữu danh sách và mục đích sử dụng, chắc chắn sẽ đủ điều kiện là thông tin đặc quyền và có thể là một nguồn vi phạm quyền riêng tư.

Đưa việc xử lý "trong nhà" để không có dịch vụ dữ liệu bên ngoài nào được tham gia là một lựa chọn. Nó chắc chắn loại trừ bất kỳ loại truy cập trái phép vào thông tin đặc quyền. Xác minh địa chỉ và mã hóa địa lý không phải là nhiệm vụ cho người không quen và chắc chắn yêu cầu các kỹ năng nâng cao (nghĩa là kinh nghiệm có được theo thời gian) để xử lý các danh sách rất lớn mà không tốn nhiều thời gian và tài nguyên. Vì vậy, mang nó vào nhà chắc chắn là một lựa chọn, nhưng liệu mọi công ty có thông tin địa chỉ nhạy cảm đều có tài nguyên để thực hiện xử lý địa chỉ "an toàn" của riêng họ (bao gồm mã hóa địa lý) trong nhà? Không. (Mặc dù nó chắc chắn có nghĩa là bảo mật công việc cho độc giả của trang web này.)

Có nhiều cách để duy trì quyền riêng tư cần thiết và vẫn sử dụng các dịch vụ trực tuyến. Một phương pháp sẽ là tạo một tài khoản, kiểm tra mọi thứ và tìm ra và sau đó, bằng cách sử dụng địa chỉ email tạm thời, thiết lập một tài khoản mới có địa chỉ thanh toán không liên quan được liên kết với thẻ tín dụng không thể truy ngược lại bạn. Xử lý các địa chỉ trên tài khoản này về mặt lý thuyết sẽ không cung cấp bất kỳ bối cảnh có giá trị nào và do đó sẽ duy trì sự riêng tư của các cá nhân trong danh sách. (Điều này đang bắt đầu nghe giống như bộ phim Enemy Of The State .

Nếu điều đó nghe có vẻ phức tạp và không cần thiết, tôi đồng ý. Phương pháp đơn giản hơn là tận dụng API sử dụng HTTPS và POST và không lưu trữ hoặc ghi nhật ký bất kỳ dữ liệu nào bạn xử lý. Việc sử dụng HTTPS có nghĩa là bản ghi duy nhất sẽ là dấu thời gian và địa chỉ IP mà bạn gọi từ đó. URL cơ bản sẽ không được biết đến. Tất nhiên, tài khoản bạn sử dụng sẽ dẫn lại cho bạn NHƯNG, đó không phải là vấn đề vì sử dụng yêu cầu POST cho phép bạn đính kèm một tải trọng (trong trường hợp này là một loạt địa chỉ) và nội dung của tải trọng không được ghi lại. Do đó, các địa chỉ mà bạn gửi không có trên bất kỳ nhật ký máy chủ nào. Và việc bộ nhớ của chúng bị xóa giữa mỗi tiến trình có nghĩa là những địa chỉ đó chưa từng được lưu trữ hoặc ghi lại và việc truyền lại cho bạn được thực hiện qua kết nối an toàn.

13Mar2012 06:31 (-6) IP: 12.134.223.12 ID người dùng: 875564 - POST QTY: 3439942 - [Đã xử lý]

Bất cứ ai nhìn vào nhật ký sẽ chỉ thấy rằng bạn đã xử lý một số địa chỉ và họ sẽ không biết địa chỉ nào được xử lý. Điều này đáp ứng ngay cả các yêu cầu chính sách bảo mật nghiêm ngặt nhất. Tôi sẽ không có ý nghĩa gì khi chỉ ra rằng loại dịch vụ này có sẵn (và siêu nhanh ) mà không đề cập đến nơi tìm thấy nó. Nó đã được tích hợp vào dịch vụ API LiveAddress từ SmartyStreets. Các dịch vụ khác như Cdyne, QAS và ServiceObject cũng có thể cung cấp các dịch vụ tương tự nhưng tôi chưa nghe thấy dịch vụ nào.


Cảm ơn thông tin chi tiết. HTTPS chắc chắn nghe có vẻ là một ý tưởng hợp lý. Tôi đoán SmartyStreets chỉ giới hạn ở Hoa Kỳ?
radek

Có, xác minh địa chỉ và mã hóa địa chỉ của SmartyStreets chỉ giới hạn ở các địa chỉ Dịch vụ Bưu chính của Hoa Kỳ.
Jeffrey

5

Có thể bạn có thể tạo một ID, chia bảng của bạn. Xóa thông tin nhận dạng cá nhân. sau đó tham gia lại bảng sau khi mã hóa địa lý.

Theo hướng của (PCness liên kết) tôi cho rằng bạn có thể chứng minh rằng một khi bạn chạy dữ liệu trên máy chủ ở đâu đó, thì bạn đã không duy trì chuỗi hành trình.

Tôi đã tìm thấy khá nhiều văn bản về chủ đề này nếu bạn muốn theo dõi ...

Sở hữu và kiểm soát đám mây

Sở hữu và kiểm soát tuổi điện tử

Sách Google

Ý nghĩa pháp lý của điện toán đám mây

Nếu việc thực thi được thực hiện theo thư pháp luật, điện toán đám mây có thể bị đóng cửa hoàn toàn khỏi các dịch vụ của chính phủ.


5

Không, bạn có thể mã hóa ngoại tuyến. Nếu bạn đang sử dụng trình mã hóa địa lý hàng loạt trực tuyến, làm thế nào để chuyển đổi địa chỉ thành tọa độ địa lý trở thành vấn đề riêng tư? Sẽ là một vấn đề nếu tên của mọi người được đưa vào và công khai. Vì Brad đề cập đến địa chỉ riêng biệt với một ID và sắp xếp lại khi địa chỉ đã được mã hóa địa lý. Tiêu chuẩn thực hành.


5
Tôi đồng ý rằng bạn có thể mã hóa địa lý ngoại tuyến và không phải tiết lộ bất kỳ thông tin cá nhân nào. Nhưng tôi không đồng ý, đề nghị của bạn chỉ coi tên và ID là thông tin cần được giữ kín. Nếu bạn tiết lộ địa chỉ nhà của một người, thậm chí không có tên của họ, về cơ bản bạn đã xác định được họ. Hãy suy nghĩ về việc xuất bản một bản đồ với các điểm trên nhà của những người mắc bệnh truyền nhiễm rất cao.
DavidF

2
Như Mapperz đã nói, miễn là thông tin bạn gửi đi được giới hạn trong địa chỉ, thì không có vấn đề gì. Không bao gồm "HECD" hoặc bất kỳ thông tin nhạy cảm nào khác, trong thông tin bạn đang gửi.
jvangeld

1
@DavidF mỗi địa chỉ đều có tọa độ địa lý - mã hóa địa lý được tự động hóa 99,9% [tính toán] không mất quyền riêng tư. Nếu bạn không thích nó trực tuyến, đừng đặt nó ở đó, hãy sử dụng phiên bản ngoại tuyến.
Mapperz

2
@jvangeld Tôi vẫn nghĩ rằng quyền riêng tư có thể bị vi phạm trong tình huống trực tuyến khi bên thứ ba có thể kết hợp danh tính của tổ chức gửi yêu cầu mã địa lý và địa chỉ. Nếu Mặt trận Nhân dân đối xử với Ma cà rồng nộp mã địa lý hàng loạt với 100 địa chỉ trong đó, bạn có nghĩ rằng bên thứ ba có thể cho rằng một cách hợp lý rằng 100 ngôi nhà có những người đang cố gắng chữa khỏi 'lối sống thay thế' của họ không? Rõ ràng, đây là một lập luận khá hàn lâm, nhưng nếu bạn thực sự muốn bảo vệ sự riêng tư và ẩn danh, tôi nghĩ rằng điều này có liên quan.
DavidF

1
@DavidF ý kiến ​​rất quan trọng ở đây: địa chỉ nhà được coi là rất nhạy cảm và có khả năng dẫn đến tiết lộ của những người tham gia nghiên cứu. Nếu có 1000 yêu cầu từ một địa chỉ IP của một tổ chức nghiên cứu về ma cà rồng, người ta có thể đơn giản cho rằng họ có địa chỉ của 1000 ma cà rồng tiềm năng. Vấn đề của tôi ở đây là, dịch vụ mã hóa địa lý trực tuyến có thể được coi là "bên an toàn" trong điều kiện như vậy không? Bạn có thể bị cáo buộc chia sẻ dữ liệu của mình với bên trái phép không phải là một phần của nghiên cứu không? Bên nào thông qua quá trình mã hóa địa lý tiềm năng có quyền truy cập vào dữ liệu?
radek

4

Mã hóa địa lý có rủi ro thấp Đầu năm nay chúng tôi đã làm việc với một số bệnh viện và câu hỏi này đã được đưa ra. Bản thân dịch vụ mã hóa địa lý không phải là mối quan tâm lớn bởi vì chúng tôi đã loại bỏ tất cả trừ ID và địa chỉ khỏi dữ liệu, sử dụng chuyển giao an toàn (https) và bộ mã hóa địa lý nội bộ của chúng tôi đã chỉ định các biện pháp bảo vệ quyền riêng tư đủ để đáp ứng các tiêu chí của họ.

Hiển thị các vị trí Đồng nghĩa là khó hơn Một chút khó khăn hơn là hiển thị các bản đồ dữ liệu thưa thớt trong khi vẫn duy trì tính đồng nhất. Tùy chọn đầu tiên mà khách hàng yêu cầu là thêm một "fudge" ngẫu nhiên vào mỗi điểm để vị trí ngôi nhà thực sự bị che khuất. Vấn đề với cách tiếp cận này là kích thước của fudge yêu cầu là khá lớn (1/2 dặm trở lên) (điều gì sẽ xảy ra nếu ai đó sống ở nông trại) và xu hướng người dùng bản đồ lấy vị trí điểm là chính xác. Chúng tôi quyết định tổng hợp các điểm hiển thị đủ để ẩn danh trong khi vẫn có bản đồ hữu ích. Một tiêu chuẩn từ các ngành công nghiệp khác mà chúng tôi đã làm việc dường như là đơn vị tổng hợp phải có ít nhất 7 đến 10 hồ sơ.


2

Tôi đoán bạn đang mã hóa nó, và không công khai kết quả? Nếu vậy, làm thế nào đám mây sẽ nhận thức được dữ liệu đó đại diện cho cái gì?

Có lẽ bạn cũng có thể làm xáo trộn bất kỳ dữ liệu nào mà bạn mã hóa địa lý với dữ liệu ngẫu nhiên ẩn bất kỳ mẫu vốn có nào có thể tồn tại.


chính xác, vấn đề là lấy tập hợp tọa độ địa lý cho một tập dữ liệu đã cho. tất cả phần còn lại của phân tích sẽ ngoại tuyến và mọi nội dung được công bố thêm sẽ không bao giờ sử dụng thông tin cấp độ cá nhân. tôi thích ý tưởng của tập dữ liệu obfuscating!
radek

2

Tôi không biết điều này có mới không vì câu hỏi đã được hỏi, nhưng nếu có ai thắc mắc trong google maps api v3, bạn có thể sử dụng SSL (https). Ngoài ra, phần riêng tư của Hướng dẫn thực hành tốt nhất NAACCR cũng thảo luận về các vấn đề này.


2

Ở Áo đây chắc chắn sẽ là một vấn đề riêng tư.

Trước hết: Dữ liệu sức khỏe được phân loại là nhạy cảm và không có nghi ngờ rằng nó không được phép ghi đè lên bất kỳ bên thứ ba nào mà không có thỏa thuận rõ ràng của người có liên quan đến bộ dữ liệu đó.

Ngay cả khi được ẩn danh: Có thể mã hóa dữ liệu sức khỏe này, nhưng cũng có thể mã hóa địa lý Công cụ đăng ký tên địa chỉ (danh bạ) công khai và kết nối dữ liệu sức khỏe với những người sống ở đó, vì vậy địa chỉ cũng được phân loại là cá nhân dữ liệu.

Điều này dẫn đến kết quả là bạn không được phép mã hóa dữ liệu này bằng cách gửi nó cho bên thứ ba mà không hỏi rõ ràng những người tham gia.


1

Bạn có cần một mã địa lý chính xác hoặc khu vực chung? Bạn chỉ có thể sử dụng mã bưu chính hoặc mã bưu chính một phần f


@ user1466: mã địa lý chính xác chắc chắn sẽ là một ưu tiên ở đây.
radek

1

Tôi làm việc cho một công ty mã hóa địa lý ( YAddress.net ) và chúng tôi có một lượng lớn khách hàng với các yêu cầu riêng tư nghiêm ngặt - ngành tài chính, y tế, luật, v.v.

Chúng tôi giải quyết mối quan tâm riêng tư của họ theo hai cách:

  1. Xử lý dữ liệu trực tuyến qua các kết nối được mã hóa SSL (ngăn chặn dữ liệu rình mò quá cảnh), cộng với các thỏa thuận bảo mật về phía chúng tôi. Điều này là đủ cho một số khách hàng, nhưng không phải cho tất cả.

  2. Để bảo mật tối đa, một tùy chọn triển khai phần mềm tại chỗ, trong đó mã hóa địa lý diễn ra hoàn toàn trên cơ sở của khách hàng và không có dữ liệu nào được truyền qua internet.

Như các nhà bình luận khác lưu ý chính xác, bản thân một địa chỉ bưu chính là một thông tin công khai và không có bất kỳ dữ liệu theo ngữ cảnh nào (như tên khách hàng, số, v.v.), nó không thể hiện bất kỳ tiết lộ nào. Tuy nhiên, các doanh nghiệp thực tế hoạt động trong môi trường pháp lý thực tế, nơi dòng lý luận này có thể hoặc không thể đứng trước tòa án. Nếu quyền riêng tư là mối quan tâm cấp bách, chi phí bổ sung của giải pháp tại chỗ có thể rất đáng để tránh rủi ro về các biến chứng pháp lý tiềm ẩn.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.