Noll
Dataset som innehåller historiska längsgående medicinsk fakturering poster av en tiondel av alla Australiensare, cirka 2,9 miljoner människor, har visat sig vara re-identifierbara av ett team från University of Melbourne, med information som barnet föds och professionella idrottsutövare som genomgår kirurgi för att åtgärda skador är ofta offentliga.
Laget, bestående av Dr Chris Culnane, Dr Benjamin Rubinstein, och Dr Vanessa Teague, varnade för att de förväntar sig liknande resultat med andra data som innehas av regeringen, såsom Folkräkningen, skatteregister, psykisk hälsa poster, kriminalvården data, och Centrelink data.
“Vi fann att patienter som kan vara re-identifieras, utan dekryptering, genom en process av att koppla samman okrypterade delar av skivan med kända uppgifter om enskilda som medicinska procedurer och födelseår,” Dr Culnane sagt.
“Detta visar överraskande lätthet med vilken de-identifiering kan misslyckas, att belysa de riskfyllda balans mellan data och integritet.”
Även om den släpptes datasetet har en två-veckors störning av datum för medicinska händelser, laget sa ökande störning skulle inte göra så stor skillnad, eftersom det i fallet på nytt-identifiera äldre mödrar eller unika förfaranden, till exempel, det finns mycket få data punkter för att dölja.
“Generellt, inklusive re-identifieringar från förlossningar, idrottsskador, och enstaka operationer, vi tänkte 43 frågor och finns i sju unika tändstickor,” sade.
Med ytterligare data som till exempel kreditkort historia, det är allt lätt att skapa fingeravtryck av människor, och kan vara det som sker inom privat medicinsk försäkringsgivare och folk vill inte veta, laget sa.
“En privat sjukförsäkring (till exempel) kan effektivt spåra de medicinska register över tidigare kunder genom decennier av data, eller för att få fram extra information som de inte visste om från befintliga kunder”, sade de. “Detta skulle vara ett klart brott mot sekretess som eventuellt skulle aldrig rapporteras, även om uppgifterna kan leda till negativt beslut för den enskilde i framtiden.”
Laget varnade för att problemet med att släppa material med personlig information är att den kan användas mycket i framtiden med ytterligare information från andra källor för att på nytt identifiera personer.
“Uppgifterna om att människor bör vara mycket mer noga övervägas,” team skrev. “Det är mycket osannolikt att även de mest väl-informerat och välmenande uppsättning riktlinjer om de-identifiering kan garantera sekretess lämpliga för känslig data såsom MBS/PBS 10 procent prov samtidigt som nyttan av uppgifterna.”
“Dra nytta av fördelarna med big data utan att allvarligt äventyrar personlig integritet är en av de svåraste tekniska utmaningarna i vår tid.”
Laget sa Institutionen för Hälso-och anmäldes av problem med dataset December 2016.
I September 2016, samma dataset hittades av University of Melbourne team för att inte kryptera leverantör koder korrekt. Dataset därefter dras ner av Institutionen för Hälsa.
“Att lämna ut några av de algoritmiska uppgifter inte hålla data säkra-om vi kan reverse-engineer detaljer i ett par dagar, då det finns en risk att andra kan göra det också,” sade vid den tiden.
“Säkerhet genom otydlighet inte fungerar — att hålla den hemlig algoritm skulle inte ha gjort kryptering för säker, att det bara skulle ha tagit längre tid för säkerhet forskare för att identifiera problemet.
“Det är mycket bättre för sådana problem hittas och åtgärdas än att förbli obemärkt.”
Som ett resultat av de frågor som finns, i oktober förra året, den Australiska regeringen föreslagna ändringarna i Lagen om Integritetsskydd som skulle straffbelägga uppsåtligt re-identifiering och redovisning av de identifierade Commonwealth datamängder, omvända bevisbördan, och tillämpas retroaktivt från och med den 29 September 2016.
Enligt de förändringar, någon som avsiktligt re-identifierar de identifierade dataset från en federal myndighet kan få två års fängelse, om de arbetar vid ett universitet eller annan statlig myndighet, eller har avtal med den federala regeringen som tillåter att sådant arbete ska utföras.
Du skriver i sin uppsats publicerad måndag, team säger att den föreslagna lagstiftningen kommer att ha en dämpande effekt på forskning och risker ansträngningar för att se till att öppen data är skyddade.
“Samtidigt som öppna data är inte en säker metod för att frigöra denna typ av data, open government är rätt paradigm för att avgöra vad som är” teamet sa.
“En sak är säker: Öppen publicering av de identifierade data är inte en säker lösning för känslig enhet-spela in data.”
Institutionen för Hälso-och berättade ZDNet det inte var medveten om att någon är identifierade genom datauppsättningen.
“I denna fråga daterar sig till år 2016, och sedan dess har den Australiska regeringen har vidtagit ytterligare åtgärder för att skydda och hantera data,” en talesman för departementet sade. “Projektet stoppades och förblir stoppas, och dataset-togs bort omedelbart.
“Institutionen är att arbeta med University of Melbourne och har redan agerat för att förbättra sina processer.”
Kontoret för den Australiska Information Commissioner (OAIC) sa att det hade öppnat en utredning i September 2016, och som det var pågående, vill inte kommentera den efterföljande frågor.
“Kommissionsledamoten kommer att göra ett offentligt uttalande vid slutet av den utredning,” OAIC sagt.
Relaterade Täckning
Tydlig definition av de identifierade data som är avgörande i lagstiftningen: Pilgrim
Australien Integritet Kommissionsledamoten sade de-identifiering av data är ett område som kräver reglering, och att överenskomna standarder i branschen kan vara användbara för att fylla allmänhetens förtroende.
Australiska regeringen presenterar öppna data ramen för städer
Regeringen har lanserat en databas med innovation, digitala möjligheter, styrning, infrastruktur, investeringar, hållbarhet, jobb, kompetens och boende information om landets mest folkrika städer och regioner.
Brandis att kriminalisera på nytt-identifiera anonyma uppgifter enligt personuppgiftslagen
Den Australiska regeringen kommer att införa ändringar i personuppgiftslagen att kriminalisera re-identifiering av de identifierade data, med lagen att träda i kraft från och med onsdag.
Översyn ber om hårdare Medicare kort integritets från Mänskliga Tjänster
Flytta autentisering plattform, utbilda medborgarna, och strängare kontroll integritet var bland de åtgärder som rekommenderas för att Department of Human Services en genomgång i heath leverantörer att få tillgång till Hälso-och sjukvårdspersonal Online Services system.
Senatens kommitté för att undersöka hur personliga Medicare detaljer dykt upp på mörka webben
Kommittén är att rapporten från oktober 16 på hur Medicare detaljer dykt upp på den mörka webben.
Relaterade Ämnen:
Australien
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0