Apakah Anda menganggap geocoding online sebagai pelanggaran privasi?

21

Misalkan saya memiliki banyak alamat individu yang berpartisipasi dalam studi tertentu (kemungkinan besar - terkait kesehatan, di mana privasi dan pertimbangan etis selalu menjadi masalah penting).

Saat ini, penyedia seperti Google atau Yahoo menawarkan hasil yang layak dalam hal akurasi posisi.

Asosiasi Amerika Utara untuk Pencatatan Kanker Pusat ( NAACCR ) mencantumkan opsi-opsi tersebut dalam ' Praktik Terbaik Geocoding mereka : Tinjauan terhadap Delapan Sistem Geocoding yang Umum Digunakan ' dan ' Panduan Panduan Praktik Terbaik Geocoding '.

Kayu manis dan Schuurman (2010) misalnya menggunakan layanan BatchGeocode sebagai bagian dari alat mereka untuk menyelidiki cedera dalam pengaturan sumber daya yang rendah.

Apakah Anda menganggap melakukan geocoding alamat seperti itu menggunakan layanan online, seperti Google Maps atau OpenStreetMap sebagai pelanggaran privasi?

PS1 pertanyaan terkait mungkin .

Artikel terbaru PS2 dalam Epidemiologi (salah satu jurnal peer-review terkemuka di lapangan) menerbitkan komunikasi singkat yang merinci instruksi tentang cara melakukan geocode menggunakan Google Maps & Places APIs. Menariknya, tidak sepatah kata pun tentang keamanan / privasi disebutkan ...

geocoding security radek
sumber
Pertanyaan lingkup komunitas wiki?
artwork21

Jawaban:

11

Jelas ada implikasi privasi di sini - terutama jika Anda bekerja dengan sejumlah kecil data. Siapa pun yang mencoba menambang aliran data akan dapat membuat asumsi bahwa semua permintaan dalam kumpulan yang sama memiliki sesuatu yang sama - bahkan jika kondisi medis atau informasi pribadi tidak diungkapkan melalui kabel.

Teknik yang lebih baik adalah mengumpulkan banyak data / pasien yang tidak terkait untuk geocoding massal.

Misalnya - menggabungkan data Anda yang memerlukan geocoding dengan peneliti lain - masalah yang lebih tidak terkait semakin baik. Acak urutan permintaan. Dan sekali per hari proses batch melalui antrian ini, sekaligus.

Sekarang menjadi jauh lebih sulit untuk menambang data, bahkan jika penyerang dapat mendengar permintaan geocoding.

Radven
sumber
Menarik! Adakah alat / platform yang dapat memfasilitasi proses ini?
Nicolas Raoul
8

Geocoding secara lokal dengan file terenkripsi pada server yang aman pasti akan menjadi standar emas untuk privasi. Menggunakan Tor akan menjadi hal terbaik berikutnya, jika geocoding menggunakan API jarak jauh diperlukan.

Tor melindungi Anda dengan memantulkan komunikasi Anda di sekitar jaringan relay yang dijalankan oleh sukarelawan di seluruh dunia: Tor mencegah ... situs yang Anda kunjungi dari mengetahui lokasi fisik Anda.

Bersamaan dengan injeksi alamat acak (seperti yang direkomendasikan orang lain) dan menggunakan ssl (https) untuk mengenkripsi komunikasi ke titik akhir mereka (pastikan Anda juga melakukan ini), saya tidak bisa memikirkan cara yang lebih aman untuk melakukan geocode jarak jauh daripada melalui Proyek Tor . Layanan geocoding apa pun yang Anda gunakan tidak akan pernah dapat mengidentifikasi dari mana permintaan akhirnya berasal, dan dengan https, tidak ada orang lain yang akan melakukannya. Catatan: jangan gunakan layanan geocoding yang memerlukan kunci api untuk ini, atau Anda tidak akan lagi anonim.(Google tidak memerlukan kunci api lagi).

Rincian lebih lanjut tentang penggunaan Tor ada di jawaban saya untuk pertanyaan terkait di sini.

Victor Van Hee
sumber
Terima kasih, saya belum memikirkan Tor, tapi sepertinya itu ide yang bagus.
radek
Bahkan jika menggunakan Tor, server geocoding masih menerima informasi Anda, yang merupakan pelanggaran privasi mendasar. Anda tidak dapat mempercayai server geocoding.
Nicolas Raoul
8

Ini adalah pertanyaan luar biasa yang telah saya tanyakan beberapa kali belakangan ini sejak saya bekerja untuk perusahaan verifikasi alamat bernama SmartyStreets.

Pertama, alamat pos mewakili satu titik yang bisa dilacak pada peta. Sebuah alamat dengan sendirinya tidak berbahaya karena tidak memiliki informasi tambahan. Menggambar titik pada peta tidak melakukan apa-apa. Hanya ketika Anda mulai menetapkan CONTEXT ke titik (alamat) itu mulai berarti sesuatu.

Dengan mengingat hal itu, alamat pos dapat mewakili seseorang, organisasi, gedung, mobil, apa pun. Setelah Anda mulai mengumpulkan beberapa alamat pos, Anda meningkatkan konteks yang dapat diturunkan dari pengelompokan itu. Kesamaan dapat ditentukan untuk melihat kesamaan alamat. Namun, hanya pengelompokan alamat di area yang sama tidak menunjukkan banyak konteks. Saya dapat melihat peta google dan melihat semua rumah di daerah tertentu. Itu bukan pelanggaran privasi kecuali saya memiliki akses tidak sah ke informasi istimewa.

Poin konteks lainnya harus digabungkan untuk benar-benar memberikan segala jenis data pribadi. Misalnya, sekelompok alamat pos yang dikirimkan ke layanan online untuk verifikasi alamat dan / atau geocoding tidak memberikan informasi kecuali Anda tahu siapa yang menyerahkan daftar untuk diproses. Setelah pemilik daftar diketahui, kesimpulan tertentu dapat dibuat tentang tujuan penggunaan daftar tersebut. Mengetahui konteks tambahan ini, seperti pemilik daftar dan penggunaan yang dimaksudkan, tentunya akan memenuhi syarat sebagai informasi istimewa dan dapat menjadi sumber pelanggaran privasi.

Membawa pemrosesan "in-house" sehingga tidak ada layanan data eksternal yang terlibat adalah pilihan. Itu tentu saja mengecualikan segala jenis akses yang tidak sah ke informasi istimewa. Verifikasi alamat dan geocoding bukan tugas untuk yang belum tahu dan tentu saja membutuhkan keterampilan tingkat lanjut (artinya pengalaman yang didapat dari waktu ke waktu) untuk memproses daftar yang sangat besar tanpa menghabiskan banyak waktu dan sumber daya. Jadi membawanya ke rumah tentu saja merupakan suatu pilihan, tetapi apakah setiap perusahaan yang memiliki informasi alamat yang sensitif memiliki sumber daya untuk melakukan pemrosesan alamat "aman" sendiri (termasuk geocoding) di rumah? Tidak. (Meskipun itu pasti berarti keamanan pekerjaan bagi para pembaca situs web ini.)

Ada beberapa cara untuk menjaga privasi yang diperlukan dan masih menggunakan layanan online. Salah satu metode adalah membuat akun, menguji semuanya dan mencari tahu dan kemudian, menggunakan alamat email sementara, mengatur akun baru dengan alamat penagihan yang tidak terkait yang terkait dengan kartu kredit yang tidak dapat dilacak kembali ke Anda. Memproses alamat pada akun ini secara teoritis tidak akan memberikan konteks yang berharga dan dengan demikian akan menjaga privasi individu dalam daftar. (Ini mulai terdengar seperti film Enemy Of The State .

Jika itu terdengar rumit dan tidak perlu, saya setuju. Metode yang lebih sederhana adalah memanfaatkan API yang menggunakan HTTPS dan POST dan yang tidak menyimpan atau mencatat data apa pun yang Anda proses. Penggunaan HTTPS berarti bahwa satu-satunya catatan adalah stempel waktu dan alamat IP yang Anda hubungi. URL yang mendasarinya tidak akan diketahui. Tentu saja akun yang Anda gunakan akan mengarah kembali kepada Anda TETAPI, itu bukan masalah karena menggunakan permintaan POST memungkinkan Anda untuk melampirkan muatan (dalam hal ini sekelompok alamat) dan konten muatan tidak dicatat. Dengan demikian, alamat yang Anda kirimkan tidak ada di log server apa pun. Dan fakta bahwa memori mereka dihapus antara setiap proses berarti bahwa alamat-alamat itu tidak pernah disimpan atau dicatat dan transmisi mereka kembali kepada Anda dilakukan melalui koneksi yang aman.

13Mar2012 06:31 (-6) IP: 12.134.223.12 UserID: 875564 - POST QTY: 3439942 - [Diproses]

Siapa pun yang melihat log hanya akan melihat bahwa Anda memproses beberapa alamat dan mereka tidak tahu alamat apa yang diproses. Ini memenuhi bahkan persyaratan kebijakan privasi paling ketat. Tidak masuk akal bagi saya untuk menunjukkan bahwa jenis layanan ini tersedia (dan sangat cepat ) tanpa menyebutkan di mana menemukannya. Itu sudah dibangun ke dalam layanan API LiveAddress dari SmartyStreets. Layanan lain seperti Cdyne, QAS, dan ServiceObjects juga dapat menawarkan layanan serupa tetapi saya belum pernah mendengarnya.

Jeffrey
sumber
Terima kasih atas informasi terperinci. HTTPS pasti terdengar seperti ide yang masuk akal. Saya kira SmartyStreets terbatas untuk AS?
radek
Ya, verifikasi alamat dan geocoding SmartyStreets terbatas pada alamat Layanan Pos AS.
Jeffrey
5

Mungkin Anda bisa membuat ID, membagi tabel Anda. Menghapus informasi yang dapat diidentifikasi secara pribadi. kemudian bergabung kembali dengan tabel setelah geocoding.

Dalam nada (federasi PCness) saya kira Anda bisa membuktikan bahwa sekali Anda menjalankan data di server di suatu tempat, maka Anda tidak mempertahankan lacak balak.

Saya memang menemukan sedikit tulisan tentang masalah ini jika Anda ingin mengikuti ...

Kepemilikan dan kontrol cloud

Kepemilikan dan kontrol usia elektronik

Buku Google

Implikasi hukum dari komputasi awan

Jika penegakan hukum dilakukan terhadap surat-hukum, komputasi awan dapat sepenuhnya ditutup dari layanan pemerintah.

Brad Nesom
sumber
5

Tidak, Anda dapat melakukan geocode offline. Jika Anda menggunakan geocoder batch online, bagaimana mengubah alamat menjadi koordinat geografis menjadi masalah privasi? Akan lebih menjadi masalah jika nama semua orang dimasukkan dan dipublikasikan. Seperti Brad menyebutkan alamat terpisah dengan ID dan kirim ulang ketika alamat telah di-geocode. Praktik standar.

Mapperz
sumber
5
Saya setuju bahwa Anda dapat melakukan geocode offline dan tidak perlu mengungkapkan informasi pribadi apa pun. Tapi saya tidak setuju dengan, saran Anda yang hanya menganggap nama dan ID sebagai informasi yang harus dirahasiakan. Jika Anda mengungkapkan alamat rumah seseorang, bahkan tanpa nama mereka, pada dasarnya Anda telah mengidentifikasi mereka. Pikirkan tentang menempatkan penerbitan peta dengan poin pada rumah-rumah orang-orang dengan Penyakit Menular Sangat Memalukan.
DavidF
2
Seperti yang dikatakan Mapperz, selama informasi yang Anda kirim terbatas pada alamat, seharusnya tidak ada masalah. Jangan memasukkan "HECD", atau informasi sensitif lainnya, dalam informasi yang Anda kirim.
jvangeld
1
@ DavidvidF setiap alamat memiliki koordinat geografis - geocoding adalah 99,9% [perhitungan] otomatis, tidak ada privasi yang hilang. Jika Anda tidak suka secara online jangan taruh di sana, gunakan versi offline.
Mapperz
2
@ jvangeld Saya masih berpikir bahwa privasi dapat dilanggar dalam situasi online ketika pihak ketiga dapat menggabungkan identitas organisasi yang mengirimkan permintaan geocode dan alamatnya. Jika Front Rakyat untuk Perawatan Vampirisme mengajukan geocode batch dengan 100 alamat di dalamnya, tidakkah Anda berpikir bahwa pihak ketiga dapat beranggapan bahwa 100 rumah memiliki orang-orang yang berusaha disembuhkan dari 'gaya hidup alternatif' mereka? Jelas, ini adalah argumen yang cukup akademis, tetapi jika Anda benar-benar ingin melindungi privasi dan anonimitas, saya pikir ini relevan.
DavidF
1
Pendapat @DavidF sangat penting di sini: alamat rumah dianggap sangat sensitif dan berpotensi menyebabkan pengungkapan peserta studi. Jika ada 1000 permintaan dari alamat IP sebuah institusi yang mempelajari vampirisme, orang dapat dengan mudah berasumsi bahwa mereka memiliki alamat 1000 vampir potensial. Masalah saya di sini adalah, dapatkah layanan geocoding online dianggap sebagai 'pihak aman' dalam kondisi seperti itu? Bisakah Anda dituduh berbagi data dengan pihak tidak sah yang bukan bagian dari studi? Pihak bahwa melalui proses geocoding berpotensi mendapat akses ke data?
radek
4

Geocoding berisiko rendah Awal tahun ini kami bekerja dengan beberapa rumah sakit dan pertanyaan ini muncul. Layanan geocoding itu sendiri bukan masalah besar karena kami menanggalkan semua kecuali ID dan alamat dari data, menggunakan transfer aman (https) dan TOS geocoder internal kami menetapkan perlindungan privasi yang cukup untuk memenuhi kriteria mereka.

Menampilkan Lokasi Secara anonim lebih sulit. Bagian yang lebih sulit adalah menampilkan peta data yang jarang sambil mempertahankan anonimitas. Opsi pertama yang diminta klien adalah menambahkan "fudge" acak ke setiap titik sehingga lokasi rumah yang sebenarnya dikaburkan. Masalah dengan pendekatan ini adalah bahwa ukuran fudge yang diperlukan cukup besar (1/2 mil atau lebih) (bagaimana jika seseorang tinggal di pertanian) dan kecenderungan pengguna peta untuk mengambil lokasi titik sebagai akurat. Kami memutuskan untuk mengumpulkan poin yang cukup untuk menjadi anonim sambil tetap memiliki peta yang bermanfaat. Norma dari industri lain tempat kami bekerja sepertinya unit agregasi harus memiliki setidaknya 7 hingga 10 catatan.

Glenn
sumber
2

Saya kira Anda melakukan geocoding, dan tidak membuat hasilnya publik? Jika demikian, lalu bagaimana cloud mengetahui apa yang diwakili data itu?

Agaknya Anda juga dapat mengaburkan data apa pun yang Anda geocode dengan data acak menyembunyikan setiap pola yang melekat yang mungkin ada.

djq
sumber
benar, intinya adalah untuk memperoleh set koordinat geografis untuk dataset yang diberikan. semua sisa analisis akan offline dan apa pun yang diterbitkan lebih lanjut tidak akan pernah memanfaatkan informasi tingkat individu. Saya suka ide mengaburkan dataset!
radek
2

Saya tidak tahu apakah ini baru sejak pertanyaan diajukan, tetapi jika ada yang bertanya-tanya di google maps api v3 Anda dapat menggunakan SSL (https). Juga bagian privasi dari Panduan Praktik Terbaik NAACCR yang dibahas masalah ini.

Scott
sumber
2

Di Austria ini pasti akan menjadi masalah privasi.

Pertama-tama: Data kesehatan diklasifikasikan sebagai sensitif dan tidak ada keraguan bahwa itu tidak diizinkan untuk menyerahkannya kepada pihak ketiga mana pun tanpa persetujuan eksplisit dari orang yang terkait dengan dataset tersebut.

Sekalipun dianonimkan: Dimungkinkan untuk melakukan geocode data kesehatan ini, tetapi dimungkinkan juga untuk melakukan geocode pada Register Nama-ke-Alamat (Buku Telepon) yang tersedia untuk umum dan untuk menghubungkan data kesehatan dengan orang-orang yang tinggal di sana, sehingga alamat juga diklasifikasikan sebagai data pribadi. data.

Ini mengarah ke hasil, bahwa Anda tidak akan diizinkan untuk melakukan geocode pada dataset ini dengan mengirimkannya ke pihak ketiga tanpa secara eksplisit meminta peserta Anda.

Jürgen Zornig
sumber
1

Apakah Anda memerlukan geocode atau area umum yang tepat? Anda mungkin dapat menggunakan hanya kode pos atau kode pos parsial f

pengguna1466
sumber
@ user1466: geocode pasti akan menjadi preferensi di sini.
radek
1

Saya bekerja untuk perusahaan geocoding ( YAddress.net ), dan kami memiliki sejumlah besar pelanggan dengan persyaratan privasi yang ketat - industri keuangan, perawatan kesehatan, hukum, dll.

Kami mengatasi masalah privasi mereka dengan dua cara:

  1. Pemrosesan data online melalui koneksi terenkripsi SSL (mencegah pengintaian data dalam perjalanan), ditambah perjanjian privasi di pihak kami. Ini cukup untuk beberapa pelanggan, tetapi tidak untuk semua.

  2. Untuk privasi tertinggi, opsi penyebaran perangkat lunak di tempat, di mana geocoding dilakukan sepenuhnya di lokasi pelanggan dan tidak ada data yang pernah bepergian melalui internet.

Seperti yang dicatat oleh komentator lain dengan benar, alamat pos itu sendiri adalah informasi publik dan tanpa data kontekstual (seperti nama pelanggan, angka, dll.) Itu tidak mewakili pengungkapan apa pun. Namun, bisnis kehidupan nyata beroperasi di lingkungan hukum kehidupan nyata, di mana garis penalaran ini mungkin atau mungkin tidak berdiri di pengadilan. Jika privasi adalah masalah yang mendesak, biaya tambahan dari solusi di lokasi mungkin sangat bermanfaat untuk menghindari risiko komplikasi hukum yang mungkin terjadi.

Michael Diomin
sumber