Деидентификация - De-identification

Хотя человека обычно легко идентифицировать по фотографии, сделанной непосредственно с ним, задача идентификации его на основе ограниченного данные труднее, но иногда возможно.

Деидентификация используется ли процесс для предотвращения чьего-либо личность от раскрытия. Например, данные произведено во время исследование человека может быть деидентифицирован, чтобы сохранить конфиденциальность участников исследования. Биологические данные могут быть деидентифицированы в соответствии с правилами HIPAA, которые определяют и предусматривают законы о конфиденциальности пациентов. [1]

Применительно к метаданные или общие данные об идентификации, процесс также известен как анонимизация данных. Общие стратегии включают удаление или маскирование личные идентификаторы, Такие как личное имя, и подавление или обобщение квазиидентификаторы, например дату рождения. Обратный процесс использования обезличенных данных для идентификации людей известен как повторная идентификация данных. Успешные повторные идентификации[2][3][4][5] поставить под сомнение эффективность деидентификации. Систематический обзор четырнадцати различных атак повторной идентификации выявил «высокий уровень повторной идентификации […], в котором преобладают мелкомасштабные исследования данных, которые не были деидентифицированы в соответствии с существующими стандартами».[6]

Деидентификация принята как один из основных подходов к данным. защита конфиденциальности. Он обычно используется в областях связи, мультимедиа, биометрии, большое количество данных, облачные вычисления, сбор данных, интернет, социальные сети и аудио-видеонаблюдение.[7]

Примеры

При разработке обследований

Проводится опрос, например, перепись, для сбора информации о группе людей. Чтобы стимулировать участие и защитить конфиденциальность респондентов опроса, исследователи пытаются спроектировать опрос таким образом, чтобы, когда люди участвуют в опросе, было невозможно сопоставить индивидуальный ответ (-и) участника с любыми опубликованными данными.

Перед использованием информации

Когда веб-сайт онлайн-покупок хочет знать предпочтения и покупательские привычки своих пользователей, он решает извлечь данные клиентов из своей базы данных и провести их анализ. Информация о личных данных включает личные идентификаторы которые собирались непосредственно при создании клиентами своих учетных записей. Веб-сайт должен предварительно обработать данные с помощью методов деидентификации перед анализом записей данных, чтобы избежать нарушения конфиденциальности своих клиентов.

Анонимизация

Анонимизация относится к необратимому отделению набора данных от личности автора данных в исследовании, чтобы предотвратить любую повторную идентификацию в будущем даже организаторами исследования при любых условиях.[8][9] Деидентификация может также включать в себя сохранение идентифицирующей информации, которая может быть повторно связана только доверенной стороной в определенных ситуациях.[8][9][10] В технологическом сообществе ведутся споры о том, следует ли считать данные, которые могут быть повторно связаны даже доверенной стороной, деидентификацией.

Методы

Распространенными стратегиями деидентификации являются маскирование личные идентификаторы и обобщая квазиидентификаторы. Псевдонимизация это основной метод маскировки личные идентификаторы из записей данных, а k-анонимизация обычно применяется для обобщения квазиидентификаторы.

Псевдонимизация

Псевдонимизация выполняется путем замены реальных имен временным идентификатором. Он удаляет или маскирует личные идентификаторы, чтобы сделать людей неопознанными. Этот метод позволяет отслеживать индивидуальную запись с течением времени, даже если запись будет обновляться. Однако это не может предотвратить идентификацию человека, если некоторые конкретные комбинации атрибутов в записи данных косвенно идентифицируют человека. [11]

k-анонимизация

k-анонимизация определяет атрибуты, которые косвенно указывают на личность человека как квазиидентификаторы (QIs) и обрабатывать данные, делая как минимум k у людей одинаковая комбинация значений QI.[11] Значения QI обрабатываются в соответствии с определенными стандартами. Например, k-анонимизация заменяет некоторые исходные данные в записях новыми значениями диапазона и сохраняет некоторые значения без изменений. Новая комбинация значений QI предотвращает идентификацию человека, а также предотвращает уничтожение записей данных.

Приложения

Исследования по деидентификации ведутся главным образом для защиты информация о здоровье.[12] Некоторые библиотеки приняли методы, используемые в индустрия здравоохранения чтобы сохранить конфиденциальность своих читателей.[12]

В большое количество данных деидентификация широко применяется отдельными лицами и организациями.[7] С развитием социальных сетей, электронной коммерции и больших данных деидидентификация иногда требуется и часто используется для конфиденциальность данных когда личные данные пользователей собираются компаниями или сторонними организациями, которые анализируют их для личного использования.

В умные города, деидентификация может потребоваться для защиты конфиденциальности жителей, рабочих и посетителей. Без строгого регулирования деидентификация может быть затруднена, поскольку датчики могут собирать информацию без согласия.[13]

Пределы

Когда человек участвует в генетика исследования, пожертвование биологического образца часто приводит к созданию большого количества персональных данных. Такие данные однозначно сложно деидентифицировать.[14]

Анонимизация генетических данных особенно сложна из-за огромного количества генотипической информации в биопрепаратах,[14] связь образцов с историей болезни,[15] и появление современных инструментов биоинформатики для сбор данных.[15] Было продемонстрировано, что данные об отдельных лицах в совокупных коллекциях наборов генотипических данных могут быть связаны с личностями доноров образцов.[16]

Некоторые исследователи предположили, что неразумно когда-либо обещать участникам генетических исследований, что они могут сохранить свою анонимность, но вместо этого таких участников следует научить ограничениям использования кодированных идентификаторов в процессе деидентификации.[9]

Законы об отказе от идентификации в Соединенных Штатах Америки

В мае 2014 г. Совет советников президента США по науке и технологиям обнаружил, что деидентификация «в некоторой степени полезна в качестве дополнительной меры предосторожности», но не «полезной основой для политики», поскольку «она не устойчива к методам повторной идентификации в ближайшем будущем».[17]

В HIPAA Правило конфиденциальности предоставляет механизмы для ответственного использования и раскрытия данных о состоянии здоровья без согласия пациента. Эти механизмы основаны на двух стандартах деидентификации HIPAA - Safe Harbor и Expert Determination Method. Безопасная гавань основан на удалении конкретных идентификаторов пациентов (например, имени, номера телефона, адреса электронной почты и т. д.), в то время как метод экспертного определения требует знаний и опыта в отношении общепринятых статистических и научных принципов и методов, позволяющих сделать информацию, не идентифицируемую индивидуально.[18]

Безопасная гавань

В безопасная гавань Метод использует списковый подход к деидентификации и предъявляет два требования:

  1. Удаление или обобщение 18 элементов из данных.
  2. Охватываемая организация или деловой партнер не имеет фактических сведений о том, что остаточная информация в данных может использоваться отдельно или в сочетании с другой информацией для идентификации человека. Safe Harbor - это строго предписывающий подход к деидентификации. Согласно этому методу все даты должны быть обобщены до года, а почтовые индексы должны быть сокращены до трех цифр. Тот же подход используется для данных независимо от контекста. Эта информация не может быть предоставлена ​​даже в том случае, если информация должна быть передана проверенному исследователю, который желает проанализировать данные о сезонных изменениях в острых респираторных случаях и, следовательно, требует месяца госпитализации; будет сохранен только год поступления.

Определение эксперта

Expert Determination использует подход к деидентификации, основанный на оценке риска, который применяет действующие стандарты и передовой опыт исследования для определения вероятность чтобы человека можно было идентифицировать по защищенным информация о здоровье. Этот метод требует, чтобы человек с соответствующим знание и опыт использования общепринятых статистических и научных принципов и методов не позволяют идентифицировать информацию индивидуально. Это требует:

  1. Очень мал риск того, что информация может быть использована отдельно или в сочетании с другой разумно доступной информацией предполагаемым получателем для идентификации лица, являющегося субъектом информации;
  2. Документирует методы и результаты анализа, которые подтверждают такое определение.

Исследование потомков

Ключевой закон об исследованиях в электронная медицинская карта данные HIPAA Правило конфиденциальности. Этот закон разрешает использование электронных медицинских карт умерших субъектов для исследований (Правило конфиденциальности HIPAA (раздел 164.512 (i) (1) (iii))).[19]

Смотрите также

Рекомендации

  1. ^ Права (OCR), Управление по гражданским делам (07.09.2012). «Методы обезличивания PHI». HHS.gov. Получено 2020-11-08.
  2. ^ Суини, Л. (2000). «Простая демография часто однозначно идентифицирует людей». Рабочий документ о конфиденциальности данных. 3.
  3. ^ де Монжуа, Ю.-А. (2013). «Уникальный в толпе: границы приватности и мобильности человека». Научные отчеты. 3: 1376. Bibcode:2013НатСР ... 3Э1376Д. Дои:10.1038 / srep01376. ЧВК  3607247. PMID  23524645.
  4. ^ de Montjoye, Y.-A .; Radaelli, L .; Сингх, В. К .; Пентланд, А.С. (29 января 2015 г.). «Уникальный в торговом центре: повторная идентификация метаданных кредитной карты». Наука. 347 (6221): 536–539. Bibcode:2015Научный ... 347..536D. Дои:10.1126 / science.1256297. PMID  25635097.
  5. ^ Нараянан, А. (2006). «Как нарушить анонимность набора данных о призах netflix». arXiv:cs / 0610105.
  6. ^ Эль-Эмам, Халед (2011). «Систематический обзор повторных идентификационных атак на данные о здоровье». PLOS ONE. 10 (4): e28071. Bibcode:2011PLoSO ... 628071E. Дои:10.1371 / journal.pone.0028071. ЧВК  3229505. PMID  22164229.
  7. ^ а б Рибарич, Слободан; Ariyaeeinia, Аладдин; Павешич, Никола (сентябрь 2016 г.). «Деидентификация для защиты конфиденциальности в мультимедийном контенте: опрос». Обработка сигналов: передача изображений. 47: 131–151. Дои:10.1016 / j.image.2016.05.020.
  8. ^ а б Godard, B.A .; Schmidtke, J. R .; Cassiman, J. J .; Эйме, С. Г. Н. (2003). «Хранение данных и банкинг ДНК для биомедицинских исследований: информированное согласие, конфиденциальность, вопросы качества, право собственности, возврат преимуществ. Профессиональная перспектива». Европейский журнал генетики человека. 11: S88–122. Дои:10.1038 / sj.ejhg.5201114. PMID  14718939.
  9. ^ а б c Фуллертон, С. М .; Андерсон, Н.Р .; Гузаускас, Г .; Freeman, D .; Фрайер-Эдвардс, К. (2010). «Решение задач управления исследованиями биорепозитория нового поколения». Научная трансляционная медицина. 2 (15): 15 см3. Дои:10.1126 / scitranslmed.3000361. ЧВК  3038212. PMID  20371468.
  10. ^ Макмерри, Эй-Джей; Гилберт, Калифорния; Рейс, BY; Chueh, HC; Kohane, IS; Мандл, К.Д. (2007). «Самомасштабирующаяся распределенная информационная архитектура для общественного здравоохранения, научных исследований и клинической помощи». J Am Med Inform Assoc. 14 (4): 527–33. Дои:10.1197 / jamia.M2371. ЧВК  2244902. PMID  17460129.
  11. ^ а б Ито, Коичи; Когуре, июн; Симояма, Такеши; Цуда, Хироши (2016). «Технологии деидентификации и шифрования для защиты личной информации» (PDF). Научно-технический журнал Fujitsu. 52 (3): 28–36.
  12. ^ а б Николсон, С .; Смит, К. А. (2006). «Использование уроков здравоохранения для защиты конфиденциальности пользователей библиотеки: Руководство по деидентификации библиотечных данных на основе HIPAA» (PDF). Труды Американского общества информационных наук и технологий. 42: н / д. Дои:10.1002 / meet.1450420106.
  13. ^ Куп, Алекс. «Решение Sidewalk Labs переложить жесткие решения о конфиденциальности на третью сторону неверно, - говорит ее бывший консультант». IT мир Канада. Получено 27 июн 2019.
  14. ^ а б McGuire, A. L .; Гиббс, Р. А. (2006). «ГЕНЕТИКА: больше не деидентифицировано». Наука. 312 (5772): 370–371. Дои:10.1126 / science.1125339. PMID  16627725.
  15. ^ а б Thorisson, G.A .; Muilu, J .; Брукс, А. Дж. (2009). «Базы данных генотип-фенотип: проблемы и решения для постгеномной эпохи». Природа Обзоры Генетика. 10 (1): 9–18. Дои:10.1038 / nrg2483. HDL:2381/4584. PMID  19065136.
  16. ^ Гомер, Н .; Szelinger, S .; Редман, М .; Duggan, D .; Tembe, W .; Muehling, J .; Pearson, J. V .; Стефан, Д. А .; Nelson, S. F .; Крейг, Д. В. (2008). Вишер, Питер М. (ред.). «Выявление лиц, вносящих следовые количества ДНК в очень сложные смеси с использованием высокоплотных микрочипов для генотипирования SNP». PLoS Genetics. 4 (8): e1000167. Дои:10.1371 / journal.pgen.1000167. ЧВК  2516199. PMID  18769715.
  17. ^ PCAST. «Доклад президенту - большие данные и конфиденциальность: технологическая перспектива» (PDF). Получено 28 марта 2016.
  18. ^ «Деидентификация 201». Аналитика конфиденциальности. 2015.
  19. ^ 45 C.F.R. 164.512)

внешняя ссылка