¿Consideraría que la geocodificación en línea es una violación de la privacidad?

21

Supongamos que tengo un montón de direcciones de personas que participan en un determinado estudio (muy probablemente relacionado con la salud, donde la privacidad y las consideraciones éticas siempre son temas importantes).

Hoy en día, los proveedores como Google o Yahoo ofrecen resultados decentes en términos de precisión posicional.

La Asociación Norteamericana de Registros Centrales de Cáncer ( NAACCR ) enumera tales opciones en su ' Mejores prácticas de codificación de códigos: revisión de ocho sistemas de geocodificación de uso común 'y' Una guía de mejores prácticas de geocodificación '

Cinnamon and Schuurman (2010), por ejemplo, utilizamos el servicio BatchGeocode como un parte de su herramienta para investigar lesiones en entornos de bajos recursos.

¿Consideraría que la geocodificación de estas direcciones utilizando servicios en línea, como Google Maps u OpenStreetMap, es una violación de la privacidad?

PS1 posiblemente esté relacionado con question .

El artículo reciente de PS2 en Epidemiology (una de las principales revistas de revisión por pares en el campo) publicó comunicación corta que detalla instrucciones sobre cómo geocodificar usando Google Maps & Lugares APIs. Curiosamente, ni una palabra sobre seguridad / privacidad fue mencionada ...

    
pregunta radek 13.04.2017 - 14:34

10 respuestas

11

Definitivamente hay una implicación de privacidad aquí, especialmente si está trabajando con pequeños lotes de datos. Cualquier persona que intente extraer el flujo de datos podrá hacer suposiciones de que todas las solicitudes en el mismo lote tienen algo en común, incluso si la condición médica o la información personal no se divulga por el cable.

Una técnica mejor es agrupar muchos datos / pacientes no relacionados para la geocodificación en masa.

Por ejemplo, combine sus datos que necesitan geocodificación con otros investigadores, mientras más problemas no relacionados, mejor. Aleatorizar el orden de las solicitudes. Y una vez al día, procesa por lotes a través de esta cola, todos a la vez.

Ahora es mucho más difícil extraer los datos, incluso si un atacante es capaz de escuchar las solicitudes de codificación geográfica.

    
respondido por el radven 02.01.2011 - 13:06
8

La geocodificación local con archivos cifrados en un servidor seguro definitivamente sería el estándar de oro para la privacidad. El uso de Tor sería la mejor alternativa si se necesita geocodificación utilizando una API remota.

  

Tor te protege rebotando tus comunicaciones alrededor de un   Red de relés gestionados por voluntarios de todo el mundo: evita ...   los sitios que visita después de conocer su ubicación física.

Junto con la inyección de direcciones aleatorias (como recomiendan otros aquí) y el uso de ssl (https) para cifrar las comunicaciones a sus puntos finales (asegúrate de que también estés haciendo esto), no puedo pensar en una forma más segura de geocodificar de forma remota que a través de el Proyecto Tor . Cualquiera que sea el servicio de geocodificación que esté usando, nunca podrá identificar de dónde provienen las solicitudes, y con https nadie más lo hará. Nota: no uses un servicio de geocodificación que requiera una clave de api para esto, o ya no serás anónimo. (Google ya no necesita una clave de api).

Más detalles sobre el uso de Tor estoy en mi respuesta a una pregunta relacionada aquí.

    
respondido por el Victor Van Hee 13.04.2017 - 14:34
8

Esta es una excelente pregunta que me han preguntado varias veces últimamente, ya que trabajo para una empresa de verificación de direcciones llamada SmartyStreets.

En primer lugar, una dirección postal representa un único punto localizable en el mapa. Una dirección en sí misma es inherentemente benigna porque no tiene ninguna información adicional. Dibujar un punto en un mapa no hace nada. Es solo cuando comienzas a asignar CONTEXTO a ese punto (dirección) que comienza a significar algo.

Con eso en mente, una dirección postal puede representar a una persona, una organización, un edificio, un automóvil, lo que sea. Una vez que empiece a reunir varias direcciones postales, aumentará el contexto que puede derivarse de esa agrupación. Se pueden determinar similitudes para ver qué tienen en común las direcciones. Sin embargo, solo un grupo de direcciones en un área similar no denota mucho contexto. Puedo mirar un mapa de Google y ver todas las casas en un área determinada. Eso no es una violación de la privacidad a menos que tenga acceso no autorizado a información privilegiada.

Se deben combinar otros puntos de contexto para poder revelar cualquier tipo de datos privados. Por ejemplo, un grupo de direcciones postales que se envían a un servicio en línea para verificación de direcciones y / o geocodificación no regala información a menos que sepa quién envió la lista para su procesamiento. Una vez que se conoce al propietario de la lista, se pueden hacer ciertas inferencias sobre el uso previsto de la lista. Conocer este contexto adicional, como el propietario de la lista y el uso previsto, sin duda calificaría como información privilegiada y puede ser una fuente de violación de la privacidad.

Llevar el procesamiento "internamente" para que no exista un servicio de datos externo es una opción. Sin duda, excluye cualquier tipo de acceso no autorizado a información privilegiada. La verificación de direcciones y la geocodificación no son tareas para los no iniciados y ciertamente requieren habilidades avanzadas (es decir, la experiencia adquirida a lo largo del tiempo) para procesar listas muy grandes sin consumir cantidades excesivas de tiempo y recursos. Por lo tanto, traerlo de manera interna es ciertamente una opción, pero ¿todas las compañías que tienen información confidencial de direcciones tienen los recursos para realizar su propio procesamiento de direcciones "seguro" (incluida la codificación geográfica) en casa? No. (Aunque sin duda significaría seguridad laboral para los lectores de este sitio web).

Hay formas de mantener la privacidad requerida y seguir utilizando los servicios en línea. Un método sería crear una cuenta, hacer que todo se pruebe y descifrar, y luego, mediante una dirección de correo electrónico temporal, configurar una nueva cuenta con una dirección de facturación no relacionada asociada con una tarjeta de crédito que no se pueda rastrear hasta usted. El procesamiento de las direcciones en esta cuenta teóricamente no daría ningún contexto valioso y, por lo tanto, mantendría la privacidad de los individuos en la lista. (Esto comienza a sonar como la película Enemy Of The State .

Si eso suena complejo e innecesario, estoy de acuerdo. Un método más simple sería aprovechar una API que utiliza HTTPS y POST y que no almacena ni registra ninguno de los datos que procesa. El uso de HTTPS significa que el único registro sería una marca de tiempo y la dirección IP desde la que llama. La URL subyacente no sería conocida. Por supuesto, la cuenta que use lo devolverá a usted PERO, eso no es un problema porque usar una solicitud POST le permite adjuntar una carga útil (en este caso, un lote de direcciones) y el contenido de la carga útil no se registra. Por lo tanto, las direcciones que usted envía no están en ningún registro del servidor. Y el hecho de que la memoria se borre entre cada proceso significa que esas direcciones no se almacenan ni se registran y su transmisión se realiza a través de una conexión segura. El resultado final es un registro como este:

13Mar2012 06:31 (-6) IP: 12.134.223.12 UserID: 875564 - POST QTY: 3439942 - [Processed]

Cualquier persona que mire los registros solo verá que usted procesó algunas direcciones y no tendría idea de qué direcciones se procesaron. Esto satisface incluso los requisitos más estrictos de la política de privacidad. No tendría sentido señalar que este tipo de servicio está disponible (y súper rápido ) sin mencionar dónde encontrarlo. Ya está integrado en el servicio de API LiveAddress de SmartyStreets. Otros servicios como Cdyne, QAS y ServiceObjects también pueden ofrecer servicios similares, pero aún no he oído hablar de ninguno.

    
respondido por el Jeffrey 13.04.2017 - 14:33
5

Posiblemente puedas crear una ID, dividir tu tabla. Eliminar información de identificación personal. luego reincorporarse a la tabla después de la geocodificación.

En la vena de (PCness federado) Supongo que podría probar que una vez que ejecuta los datos en un servidor en algún lugar, entonces no mantuvo la cadena de custodia.

Encontré un poco de escritura sobre el tema si quieres seguir ...

Posesión y control de la nube

Implicación legal de la computación en la nube

Si la aplicación de la ley se realiza de conformidad con la ley, la computación en la nube podría quedar completamente excluida de los servicios gubernamentales.

    
respondido por el Brad Nesom 16.12.2010 - 15:56
5

No, puedes geocodificar sin conexión. Si está utilizando geocodificadores por lotes en línea, ¿cómo convertir las direcciones en coordenadas geográficas se convierte en un problema de privacidad? Sería más problemático si se incluyera y publicara el nombre de todos. Como Brad menciona una dirección separada con una ID y la vuelve a cotejar cuando las direcciones se han geocodificado. Práctica estándar.

    
respondido por el Mapperz 16.12.2010 - 16:24
4

La geocodificación es de bajo riesgo A principios de este año trabajamos con algunos hospitales y surgió esta pregunta. El servicio de geocodificación en sí no era una gran preocupación porque eliminamos todos los datos excepto la ID y la dirección de los datos, utilizamos la transferencia segura (https) y el TOS, nuestro geocodificador interno, especificaba protecciones de privacidad que eran suficientes para cumplir con sus criterios.

Mostrar ubicaciones de forma anónima es más difícil El bit más complicado fue mostrar mapas de datos dispersos mientras se mantenía la anonimonidad. La primera opción que solicitó el cliente fue agregar un "fudge" al azar en cada punto para que la ubicación real de la casa quedara oculta. El problema con este enfoque es que el tamaño del fudge requerido es bastante grande (1/2 milla o más) (qué sucede si alguien vive en una granja) y la tendencia de los usuarios de mapas a tomar las ubicaciones de los puntos con la mayor precisión. Nos decidimos por agregar los puntos que se muestran lo suficiente como para ser anónimos y al mismo tiempo tener un mapa útil. Una norma de otras industrias en las que hemos trabajado parece ser que la unidad de agregación debe tener al menos de 7 a 10 registros.

    
respondido por el Glenn 30.12.2010 - 15:38
2

¿Supongo que lo estás geocodificando y no haces públicos los resultados? Si es así, ¿cómo sabrá la nube lo que representan esos datos?

Es de suponer que también puede ofuscar cualquier dato que geocodifique con datos aleatorios ocultando cualquier patrón inherente que pueda existir.

    
respondido por el djq 17.12.2010 - 01:28
2

No sé si esto es nuevo ya que se hizo la pregunta, pero si alguien se preguntaba en el api v3 de google maps, puede usar SSL (https). También la sección de privacidad de la Guía de Mejores Prácticas de NAACCR discute estos temas.

    
respondido por el Scott 06.12.2012 - 22:52
2

En Austria, esto definitivamente sería un problema de privacidad.

Primero que todo: los datos de salud se clasifican como confidenciales y no hay duda de que no está autorizado a compartirlos con terceros sin el acuerdo explícito de la persona relacionada con ese conjunto de datos.

Incluso si está anonimizado: es posible geocodificar estos datos de salud, pero también es posible geocodificar los registros de nombres a direcciones disponibles públicamente (Agenda) y conectar los datos de salud a las personas que viven allí, por lo que las direcciones también son Clasificado como datos personales.

Esto lleva al resultado, que no se le permitiría geocodificar este conjunto de datos al enviarlo a un tercero sin preguntarle explícitamente a sus participantes.

    
respondido por el Jürgen Zornig 05.10.2017 - 17:19
1

¿Necesita una geocodificación exacta o un área general? Es posible que pueda utilizar solo el código postal o el código postal parcial f

    
respondido por el user1466 16.12.2010 - 16:47

Lea otras preguntas en las etiquetas