Consideraría usted en línea geocodificación de una violación de la privacidad?

Question

Supongamos que tengo un montón de direcciones de las personas que participan en un determinado estudio (probablemente relacionado con la salud, donde la privacidad y las consideraciones éticas son siempre temas importantes).

Hoy en día, los proveedores como Google o Yahoo ofrecen buenos resultados en términos de exactitud posicional.

La Asociación Norteamericana de Registros Centrales del Cáncer (NAACCR) listas de opciones en su"Geocodificación de las Mejores Prácticas: Revisión de Ocho Comúnmente Utilizado en la Geocodificación de los Sistemas' y 'Una Geocodificación Guía de Mejores Prácticas deguías.

La canela y la Schuurman (2010) para el ejemplo utilizado BatchGeocode servicio como parte de su herramienta para investigar lesiones en el entorno de bajos recursos.

Se consideraría la posibilidad de geocodificación de tales direcciones usando los servicios en línea, como Google Maps o OpenStreetMap una violación de la privacidad?

PS1 posiblemente relacionados con la pregunta.

PS2 reciente artículo en Epidemiología (uno de los principales pares de revisión de revistas en el campo) publicado corto la comunicación detallando las instrucciones sobre cómo geocodificar a través de Google Maps Y Places Api. Curiosamente, ni una palabra acerca de la seguridad/privacidad fue mencionado...

Answer 1

Definitivamente hay una implicación de privacidad aquí - especialmente si usted está trabajando con pequeñas cantidades de datos. Cualquier persona que está tratando de minas de la secuencia de datos será capaz de hacer suposiciones de que todas las solicitudes en el mismo lote tienen algo en común - incluso si la condición médica o información personal no será divulgada a través de la red.

Una técnica mejor es agrupar un montón de datos no relacionados / pacientes masiva de geocodificación.

Por ejemplo, combine los datos que necesitan de geocodificación con otros investigadores - la más problemas relacionados, mejor. Aleatorizar el orden de las solicitudes. Y una vez por día de proceso por lotes a través de esta cola, todos a la vez.

Ahora se vuelve muy difícil para la extracción de los datos, incluso si un atacante es capaz de escuchar la geocodificación de las solicitudes.

Answer 2

Geocodificación localmente con cifrado de archivos en un servidor seguro, sin duda sería el estándar de oro para la privacidad. El uso de Tor sería la mejor cosa siguiente, si la geocodificación el uso de una API remota es necesario.

Tor le protege a usted haciendo rebotar sus comunicaciones en torno a un distribuida red de repetidores llevados por voluntarios de todo el mundo: evita que ... los sitios que usted visita del aprendizaje de su ubicación física.

Junto con la inyección de azar direcciones (como otros aquí recomendamos) y el uso de ssl (https) para cifrar las comunicaciones a sus extremos (asegúrese de que también está haciendo esto), no puedo pensar de una forma más segura de geocodificación de forma remota a través del Proyecto Tor. Cualquier servicio de geocodificación que usted está utilizando no será capaz de identificar en que las solicitudes finalmente llegó, y con https nadie lo hará. Nota: no utilice un servicio de geocodificación que requiere una clave de api para esto, o te vas ya no puede ser anónima. (Google no requiere una clave de api).

Más detalles sobre el uso de Tor son en mi respuesta a una pregunta relacionada con la de aquí.

Answer 3

Esta es una excelente pregunta que me han pedido un número de veces últimamente ya que yo trabajo para una verificación de la dirección de la empresa denominada SmartyStreets.

En primer lugar, una dirección postal que representa un único punto localizable en el mapa. Una dirección de por sí es inherentemente benigna, ya que no tiene ninguna información adicional. Dibujo de un punto en un mapa no hacer nada. Es sólo cuando usted comienza a asignar CONTEXTO a ese punto (dirección) que comienza a significar algo.

Con eso en mente, una dirección postal puede representar a una persona, una organización, un edificio, un coche, lo que sea. Una vez que usted empiece a reunir múltiples direcciones postales aumenta el contexto en el que se pueden derivar de esa agrupación. Las similitudes se puede determinar a ver lo que las direcciones que tienen en común. Sin embargo, sólo una agrupación de direcciones en un área no denotan mucho contexto. Puedo mirar en un mapa de google y ver todas las casas en un área determinada. Eso no es una violación de la privacidad a menos que tenga acceso no autorizado a información privilegiada.

Otros puntos de contexto debe ser combinado con el fin de realmente dar a la basura cualquier tipo de datos privados. Por ejemplo, un grupo de direcciones postales que se envían a un servicio en línea para la verificación de la dirección y/o geocodificación no dan información a menos que usted sepa que presentó la lista para su procesamiento. Una vez que el propietario de la lista es conocida ciertas inferencias que se pueden hacer sobre la intención de uso de la lista. Sabiendo esto de contexto adicionales, tales como propietario de la lista y la intención de uso, sin duda, se califica como información privilegiada y puede ser una fuente de violaciones de la privacidad.

Llevar el procesamiento de la "casa" por lo que no externo de servicio de datos está involucrado es una opción. Ciertamente excluye cualquier tipo de acceso no autorizado a información privilegiada. Verificación de la dirección y de geocodificación no son tareas para los no iniciados y, ciertamente, requieren habilidades avanzadas (significado de la experiencia adquirida a lo largo del tiempo) con el fin de procesar muy grandes listas sin consumir enormes cantidades de tiempo y recursos. Así que traer en casa es sin duda una opción, pero no toda empresa que tiene sensibles a la información de la dirección tienen los recursos para hacer su propio "seguro" de la dirección de tratamiento (incluida la geocodificación) en casa? No. (Aunque sería sin duda la seguridad en el empleo para los lectores de este sitio web).

Hay maneras de mantener la necesaria privacidad y utilizar los servicios en línea. Sería un método para crear una cuenta, obtener todo lo probado y resuelto y, a continuación, utilizando una dirección de correo electrónico temporal, configurar una nueva cuenta con una relación de la dirección de facturación asociada con una tarjeta de crédito que no pueden ser rastreadas. El procesamiento de las direcciones en esta cuenta teóricamente no regalar cualquier valioso contexto, y por lo tanto mantener la privacidad de los individuos en la lista. (Esto está empezando a sonar como en la película el Enemigo Del Estado.

Si que suena complejo e innecesario, estoy de acuerdo. Un método más sencillo sería tomar ventaja de una API que utiliza el protocolo HTTPS y POST y que no tienda o de registro de cualquiera de los datos que procesar. El uso de HTTPS significa que el único registro de una marca de hora y la dirección IP que usted llame. La dirección URL subyacente no ser conocida. Por supuesto, la cuenta que use conduzca de nuevo a usted, PERO, eso no es un problema porque el uso de una petición POST le permite adjuntar una carga útil (en este caso un lote de direcciones) y el contenido de la carga no se registra. Por lo tanto, las direcciones que usted envíe no están en ningún registro del servidor. Y el hecho de que la memoria se borra entre cada proceso significa que esas direcciones no son siempre almacenados o registrados y de su transmisión posterior a través de una conexión segura. El resultado final es un registro como este:

13Mar2012 06:31(-6) IP:12.134.223.12 id de usuario: 875564 -- POST QTY:3439942 -- [Procesado]

Cualquier persona que se ve en los registros sólo verían que procesan algunas direcciones y ellos no tienen idea de qué direcciones han sido procesados. Esto satisface incluso a la más estricta privacidad de los requisitos de la política. No tendría sentido para mí señalar que este tipo de servicio está disponible (y super rápido) sin mencionar dónde encontrarlo. Ya está integrado en el LiveAddress de servicio API de SmartyStreets. Otros servicios tales como Cdyne, QAS, y ServiceObjects también pueden ofrecer servicios similares, pero no he escuchado de ninguna aún.

Answer 4

Posiblemente usted podría crear un ID, dividir su mesa. Extracción de información de identificación personal. a continuación, reunirse con la mesa después de geocodificación.

En la vena de federados PCness) supongo que podría probar que una vez que usted ejecute los datos en un servidor en algún lugar, entonces usted no mantener la cadena de custodia.

Encontré bastante escrito sobre el tema si te gustaría seguir...

Nube de posesión y de control

Era electrónica de la posesión y el control de

De libros de Google

Consecuencias jurídicas de la computación en Nube

Si la ejecución se lleva a cabo a la carta-de-la-ley, computación en la nube podría ser cerrada por completo de los servicios del gobierno.

Answer 5

No, puede geocodificar sin conexión. Si usted está usando lotes online geocoders, ¿cómo conversión de direcciones en las coordenadas geográficas convertido en un tema de la privacidad? Sería un problema si el nombre de todos y de publicidad. Como Brad menciona dirección independiente con un ID y una revancha cuando las direcciones se han geocodificada. La práctica estándar.