大数据数据保护隐私

洒水器案例:需要对健康数据进行匿名处理

在数字 年龄,必须谨慎处理患者数据。通常未经同意或 警告,有时以完全出乎意料的方式,大数据分析师 跟踪我们的每次点击和购买,对其进行检查以确定确切的人 we are.[12] ICT的发展也改善了大数据的生产– digital 元数据,例如社交活动,位置,足迹等的记录。 大数据的最大保存者之一,并且还提供了开放式访问 界面(Google Insights)以启用分析。[13]

研究人员越来越多地使用人工智能辅助平台来追踪冠状病毒的传播,并以更深入,更全面的方式了解疾病[14] 帮助他们确定可能的治疗方法。甚至在冠状病毒出现之前,就有一种在研究组之间共享患者数据的习惯,但是在进行身份识别或假名化之前就没有。可以通过两套详细信息来识别数据–直接标识符和间接标识符(通常称为准标识符)。直接标识符包括姓名,地址,联系方式等,而准标识符则是更好的数据点,例如去过的诊所/医院,进行了检查,采取了处方等。一旦从这些标识符中分离出数据,就将其称为de识别或匿名的数据。包括欧盟GDPR在内的大多数司法管辖区都不将匿名数据视为个人信息,因此,它们不在多重数据保护法规的范围之内。

在欧洲,我们 具有欧洲数据保护指令95/46 / EC,该指令对 在欧盟内部处理个人数据。第26条规定:

“(26)鉴于保护原则必须适用于有关已识别或可识别人员的任何信息;…而保护原则不适用于以匿名方式导致数据主体无法识别的数据[15]; …”

同样,美国拥有1996年的《健康保险携带与责任法案》(HIPAA)隐私规则。HIPAA指出:

“无法识别个人的健康信息,并且没有合理的依据可认为该信息可用于识别个人的健康信息不是个人可识别的健康信息。”[16]

目前,印度已实施2011年过时的信息技术(合理的安全措施和程序以及敏感的个人数据或信息)规则。令人遗憾的是,IT规则未指定公司应如何处理匿名数据。即使是目前正在由联合议会委员会审查的2019年《个人数据保护法案》,也没有要求数据受托人或处理者对接收到的任何数据进行匿名处理。实话实说–信托人收集的数据将保持标注;随时随地使精确定位的人成为一项容易的任务,可能只是搜索而已。

存在多个[17] 匿名数据的方式以及每组数据的处理方式取决于如何共享,例如,如果数据公开可用,那么通常的做法是剥离至少所有直接标识符和大多数准数据的数据-邮递区号,种族/种族,医院就诊日期和时间等标识符。

关于 健康信息安全,印度目前有数字信息草案 医疗保障法[18] 哪一个 规定建立电子卫生保健当局和健康信息 在中央和州一级进行交流。法案草案仅规定 匿名数据,用于与公共卫生相关的目的或授予访问权限 甚至到政府部门。如前所述,目前的IT 规则已经过时,迫切需要严格的法律框架 可以处理印度公民的敏感个人健康数据,并且 万一发生违规,将责任由数据处理器承担。

2020年5月11日, MeitY通知了Aarogya Setu数据访问和知识共享协议, 2020[19] (“的 protocol”). 尽管协议确实提供了数据删除 最多180天后由国家信息中心(NIC)收集 从收集之日起,是否将数据存储在设备上 属于“ NIC收集”的权限是未知的。

关于 共享用于必要的健康干预措施的汇总数据集,协议 根据条款6.b。状态:

可以使用与印度政府或州/联邦直辖区政府,地方政府,NDMA,SDMA和印度政府或州政府或其他此类公共卫生机构共享的已取消身份的响应数据有必要与此类地方政府共享以协助制定或实施重要的健康对策。

在此,协议中提供的取消识别数据的上下文定义为“去除了个人身份数据的数据,以防止通过此类数据对个人进行身份识别并分配一个随机生成的ID。这种为数据分配随机数的技术称为假名化[20]。除此之外,该协议可互换使用术语“去识别”和“匿名化” [21]。数据集的假名化有其缺点。例如,如果使用一种算法来为数据集分配“随机” ID,那么即使是稍微高级的计算机也可以找出分配方式,从而消除了许多匿名过程。即使在GDPR中,经过假名化的个人数据也被明确定义为根据欧盟数据保护法保留的个人数据,因为“应被视为有关可识别自然人的信息。”[22]

为了简化事情,该协议允许共享通过Aarogya Setu收集的响应数据,并以个人可识别的形式与联邦/州/地方政府的部委/部门以及其他公共卫生机构共享。

不像它 可能暗示,即使是匿名数据也不是百分之一百匿名[23] 和 可以证实通常在数据集中公开的各种数据点 并用来重新识别个人[24] - 一种 对隐私权的明显而严重的威胁在诸如 健康。拥有强大的算法和强大的处理能力 今天,即使重新识别的可能性也为零 匿名之后。重新识别 的个体并非没有可能,并且当有多个数据时可以实现 点得到证实[25].

但是,匿名化收集的用户数据确实 为数据集提供额外的安全性。一定要小心 在处理患者的敏感个人数据时的注意事项。此外,它是 有关我们有严格的数据保护法律来处理任何 一种数据泄露行为,并使过失的数据处理器承担责任。个人 数据分析时,数据保护框架变得更加必要 公司被赋予了自由的手来监视 citizens[26].


[1] 严厉的Bajpai和 Gyan Tripathi,2020年4月13日, COVID-19:隐私权的9/11, Contego Humanitas, retrieved from //contegohumanitas.com/2020/04/13/covid-19-the-9-11-for-privacy/.

[2] 第一篇文章, 冠状病毒暴发: Prasar Bharati强制员工下载和使用Aarogya Setu app,2020年4月15日,从 //www.firstpost.com/health/coronavirus-outbreak-prasar-bharati-makes-it-mandatory-for-staff-to-download-and-use-aarogya-setu-app-8263651.html.

[3] 现在, 计划逛商场 在海得拉巴?必须下载Aarogya Setu应用程序2020年6月8日, retrieved from //www.timesnownews.com/hyderabad/article/planning-to-visit-mall-in-hyderabad-downloading-aarogya-setu-app-is-a-must/603204.

[4] Inc42, Aarogya Setu强制性 德里NCR的地铁旅行者, 2020年5月20日,取自 //inc42.com/buzz/aarogya-setu-mandatory-for-metro-travellers-in-delhi-ncr/.

[5] Danielle Citron,24岁 Dec 2014, 注意:位置数据的危险, 福布斯,从 //www.forbes.com/sites/daniellecitron/2014/12/24/beware-the-dangers-of-location-data/#381f961a43cb.

[6] Balu Gopalakrishnan和Ors诉喀拉拉邦和奥尔斯州,W.P。(C)。温度2020年第84号

[7] 金敏贞(2010)。匿名结社权 网络空间:美国匿名,名称,面孔和行动法律保护。 7.

[8] 欧洲联盟工作组在处理个人数据方面,1997年12月3日, 互联网上的匿名–建议3/97, 从...获得 //ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/1997/wp6_en.pdf.

[9] 同上

[10] 法规26(法规)(EU)2016/679,摘自 //gdpr-info.eu/recitals/no-26/.

[11] 印度医疗 Council, 《医学道德法规》(2002年), 从...获得 //www.mciindia.org/CMS/rules-regulations/code-of-medical-ethics-regulations-2002.

[12] 美国联邦贸易委员会(FTC)朱莉·布里尔(Julie Brill),主题演讲 在第23届计算机,自由和隐私会议上的发言:收回您的 名称11-12(2013年6月26日),网址为 http://www.ftc.gov/speeches/brill/130626computersfreedom.pdf.

[13] Scheitle,C.P. (2011),Google’搜索见解:评估笔记 搜索引擎数据在社会研究中的使用*。社会科学季刊 92: 285-295. doi:10.1111 / j.1540-6237.2011.00768.x

[14] Jessica Kent,卫生IT分析,数据 科学家使用机器学习发现从中检索到的COVID-19治疗 //healthitanalytics.com/news/data-scientists-use-machine-learning-to-discover-covid-19-treatments.

[15] 欧洲议会和24理事会的指令95/46 / EC第26条 1995年10月,关于在加工中保护个人 个人数据以及此类数据的自由流动,OJ 1995 L 281/31, retrieved from //eur-lex.europa.eu/eli/dir/1995/46/oj.

[16] 联合的 STATES. (2004). 《健康保险可移植性和责任法》 (HIPAA)。 [华盛顿特区],美国劳工部,员工福利 安全管理。 http://purl.fdlp.gov/GPO/gpo10291.

[17] Khaled El Emam & Luk Arbuckle, 匿名健康数据:案例 入门的研究和方法,2013年。

[18] 卫生部& Family Welfare, 《医疗保健中的数字信息安全法》(草案),位于 //www.nhp.gov.in/NHPfiles/R_4179_1521627488625_0.pdf.

[19] 好, Aarogya Setu数据访问 和知识共享协议,2020年, 从...获得 //meity.gov.in/writereaddata/files/Aarogya_Setu_data_access_knowledge_Protocol.pdf.

[20] GDPR,前注1,第26节和 Article 4(5).

[21] 常用术语是“去识别” 在美国管辖范围内,而GDPR和其他欧洲法规使用 术语“匿名数据集”。

[22] 索菲(Sophie Stalla)&Alison Knight,匿名数据诉个人数据–虚假辩论:欧盟关于匿名化,假名化和个人数据的观点,第34页,第36页’l L.J. 284 (2016).

[23] 亚历克斯 Hern, 23 July 2019, ‘Anonymised’数据永远不能完全匿名 study,《卫报》,从 //www.theguardian.com/technology/2019/jul/23/anonymised-data-never-be-anonymous-enough-study-finds.

[24] 约翰·博汉农 家谱数据库 启用匿名DNA供体的命名,2013年1月18日,从 //science.sciencemag.org/content/339/6117/262.abstract.

[25] Arvind Narayanan和Vitaly 什马蒂科夫,2019年5月21日, 大型稀疏数据集的鲁棒去匿名化: decade later, 从...获得 //www.cs.princeton.edu/~arvindn/publications/de-anonymization-retrospective.pdf.

[26] 新印第安人 快递,2020年6月6日, ‘Sprinklr’帮助Telangana追踪网民的COVID-19 在社交媒体平台上交谈, 从...获得 //www.newindianexpress.com/states/telangana/2020/jun/06/sprinklr-helping-telangana-track-netizens-covid-19-talk-across-social-media-platforms-2152844.html.

上一页 1 2
标签

吉安·特里帕蒂(Gyan Tripathi)

Gyan是Metacept信息技术的编辑,对技术以及网络政策和技术法律的发展怀有浓厚的兴趣。推文@Gyan_Tripathi_

相关文章

发表评论

同时检查