Com as primeiras grandes multas por violação dos regulamentos do Regulamento Geral de Proteção de Dados (GDPR) da UE, e o governo do Reino Unido está prestes a revisar as diretrizes do GDPR, pesquisadores mostraram como até mesmo conjuntos de dados anônimos podem ser rastreados até indivíduos que usam o aprendizado de máquina.

Os pesquisadores dizem que seu artigo, publicado hoje em Nature Communications , demonstra que permitir que os dados sejam usados ​​- para treinar algoritmos de IA, por exemplo, preservando a privacidade das pessoas, requer muito mais do que simplesmente adicionar ruído, amostragem de conjuntos de dados, e outras técnicas de desidentificação.

Eles também publicaram uma ferramenta de demonstração que permite que as pessoas entendam a probabilidade de serem rastreados, mesmo que o conjunto de dados em que eles estão seja anonimizado e apenas uma pequena fração dele seja compartilhada.

Eles dizem que suas descobertas devem ser um alerta para os formuladores de políticas sobre a necessidade de endurecer as regras para o que constitui dados verdadeiramente anônimos.

Empresas e governos coletam e usam rotineiramente nossos dados pessoais. Nossos dados e a forma como são usados ​​são protegidos por leis relevantes, como GDPR ou a Lei de Privacidade do Consumidor da Califórnia (CCPA) dos Estados Unidos.

Os dados são "amostrados" e anônimos, que inclui retirar os dados de características de identificação, como nomes e endereços de e-mail, para que os indivíduos não possam, em teoria, ser identificados. Após este processo, os dados não estão mais sujeitos aos regulamentos de proteção de dados, para que possa ser usado e vendido livremente a terceiros, como empresas de publicidade e corretores de dados.

A nova pesquisa mostra que, uma vez comprada, os dados muitas vezes podem sofrer engenharia reversa usando aprendizado de máquina para reidentificar indivíduos, apesar das técnicas de anonimização.

Isso pode expor informações confidenciais sobre indivíduos identificados pessoalmente, e permitir que os compradores construam perfis pessoais cada vez mais abrangentes dos indivíduos.

A pesquisa demonstra pela primeira vez como isso pode ser feito com facilidade e precisão, mesmo com conjuntos de dados incompletos.

Na pesquisa, 99,98 por cento dos americanos foram reidentificados corretamente em qualquer conjunto de dados "anônimo" disponível usando apenas 15 características, incluindo a idade, Gênero sexual, e estado civil.

O primeiro autor, Dr. Luc Rocher, da UCLouvain, disse:"Embora possa haver muitas pessoas na casa dos trinta, macho, e morando na cidade de Nova York, muito menos deles também nasceram em 5 de janeiro, estão dirigindo um carro esporte vermelho, e morar com dois filhos (ambas meninas) e um cachorro. "

Para demonstrar isso, os pesquisadores desenvolveram um modelo de aprendizado de máquina para avaliar a probabilidade de as características de um indivíduo serem precisas o suficiente para descrever apenas uma pessoa em uma população de bilhões.

Eles também desenvolveram uma ferramenta online, que não salva dados e é apenas para fins de demonstração, para ajudar as pessoas a ver quais características os tornam únicos em conjuntos de dados.

A ferramenta primeiro pede que você insira a primeira parte do código da postagem (Reino Unido) ou CEP (EUA), Gênero sexual, e data de nascimento, antes de dar a eles a probabilidade de que seu perfil pudesse ser reidentificado em qualquer conjunto de dados anonimizado.

Em seguida, ele pergunta seu estado civil, número de veículos, status de propriedade de casa, e status de emprego, antes de recalcular. Ao adicionar mais características, a probabilidade de uma correspondência ser correta aumenta drasticamente.

Autor sênior Dr. Yves-Alexandre de Montjoye, do Departamento de Computação Imperial, e Data Science Institute, disse:"Esta é uma informação bastante normal para as empresas pedirem. Embora sejam obrigadas pelas diretrizes do GDPR, eles estão livres para vender os dados a qualquer pessoa, uma vez que sejam anonimizados. Nossa pesquisa mostra com que facilidade - e com que precisão - os indivíduos podem ser rastreados quando isso acontece.

Ele acrescentou:"As empresas e os governos minimizaram o risco de reidentificação, argumentando que os conjuntos de dados que vendem estão sempre incompletos.

"Nossas descobertas contradizem isso e demonstram que um invasor pode facilmente e precisamente estimar a probabilidade de que o registro que encontrou pertence à pessoa que está procurando."

A reidentificação de dados anônimos é como os jornalistas expuseram as declarações de impostos de Donald Trump de 1985-94 em maio de 2019.

O co-autor, Dr. Julien Hendrickx, da UCLouvain, disse:"Freqüentemente, temos a garantia de que o anonimato manterá nossas informações pessoais seguras. Nosso trabalho mostra que a desidentificação está longe de proteger a privacidade dos dados das pessoas."

Os pesquisadores dizem que os legisladores devem fazer mais para proteger os indivíduos de tais ataques, o que poderia ter sérias ramificações para a carreira, bem como para a vida pessoal e financeira.

O Dr. Hendrickx acrescentou:"É essencial que os padrões de anonimato sejam robustos e levem em conta novas ameaças como a demonstrada neste documento."

Dr. de Montjoye disse:"O objetivo do anonimato é que possamos usar os dados para beneficiar a sociedade. Isso é extremamente importante, mas não deve e não deve acontecer à custa da privacidade das pessoas."