Hur man bryter mobildata utan att inkräkta på din integritet

Forskare vid AT&T, Rutgers University, Princeton och Loyola University har utarbetat ett sätt att bryta mobildata utan att avslöja din identitet, vilket potentiellt visar en väg för att undvika sekretessfällor som hittills har begränsat globalt mobildatautvinningsarbete till forskning labb.





En stor dag ute: En användning av mobiltelefonbaserade mobilitetsmodeller är att förstå rörelser mellan städer eller regionala rörelser, såsom pendling eller mönster för rörelser till och från landmärken. Samtalstäthet på en sommarlördag i New Yorks Central Park visas här, med den största användningen i rött.

Genom att arbeta med miljarder platsdatapunkter från AT&T mobiltelefonsamtal och textmeddelanden runt Los Angeles och New York City, har de byggt en mobilitetsmodell av de två regionerna som aggregerar data, producerar representativa syntetiska samtalsposter – och sedan matematiskt skymmer alla data som kan tendera att identifiera personer.

Modellen kan göra saker som att snabbt förutsäga hur en ny utvecklings- eller distansarbete skulle påverka den övergripande transporten, eller så kan den vara ett nytt verktyg för planering på stadsnivå där lite mobilitetsdata är tillgänglig, säger Margareta Martonosi , en datavetare vid Princeton som arbetar med modellen. Just nu förlitar sig planerare i allmänhet på vägsensorer och det begränsade antalet personer som tillåter att deras GPS-position fångas.

Vincent blond , en datavetare vid Université Catholique de Louvain, Belgien, och en ledare inom forskningsinsatser om samtalsdata och integritetsfrågor, säger att arbetet var imponerande. Det här är ett utmärkt arbete som kommer att hjälpa till att utforska sätt att på bästa sätt använda viktig data på ett integritetsskyddande sätt, säger han.

RELATERADE BERÄTTELSER Se andra artiklar från Symantec:

Företagsmobilitet
Säkra mobila rådgivare
Fallstudie: Quest Diagnostics mobiliserar sina kliniker och säljare

Även den enklaste telefonen lämnar efter sig omfattande digitala spår – kallade samtalsdetaljposter eller CDR:er – som bevaras av mobiloperatörer. Dessa register – när ett röstsamtal eller textmeddelande gjordes, och identiteten och platsen för det inblandade mobiltornet – ger den ungefärliga positionen för telefonens ägare. Med tiden kan de användas för att utveckla ett exakt spår av användarens rörelser.

Sammantaget – men mestadels i teorin än så länge – kan dessa data användas för att vägleda epidemiologisk forskning eller för att avskaffa trafik genom att ge en aldrig tidigare skådad bild av alla mänskliga rörelsemönster (se Hur trådlösa operatörer tjänar pengar på dina rörelser). Det kan också vägleda utvecklingsinsatser i fattigare delar av världen (se Big Data från billiga telefoner ).

Men att bygga in garanterat integritetsskydd utgör det tuffaste hindret för det växande antalet forskningsinsatser som utnyttjar CDR:er. Även om sådana register tas bort från namn och nummer, kan personens identitet ofta avslöjas på annat sätt. Till exempel kan en enkel cell-tornsping klockan 04:12 kopplas till en offentlig tweet som gjordes klockan 04:12 som inkluderar diskanthögtalarens plats och identitet. Liknande risker dyker upp för data som tillhör människor som bor i ett avlägset område eller har ovanliga pendlingsmönster för hemarbete.

Det nya tillvägagångssättet börjar med att samla spår av verkliga mänskliga rörelser och sedan identifiera vanliga platser som kan indikera hem, arbete eller skola. Därefter skapar den en uppsättning transportmodeller. Dessa modeller genererar ruttspår av människor som forskarna kallar syntetiska, eftersom de bara är representativa för den aggregerade data, och inte för faktiska människor.

Men den tredje delen är nyckeln. Även dessa förment syntetiska poster kan nära matcha verkliga (särskilt när det underliggande aggregerade urvalet är litet). Så en algoritm, som använder en framväxande teknik som kallas differentiell integritet, beräknar exakt hur hög denna risk är och hur man kan minska den genom att ändra data. Buller injiceras i modellen vid punkter för att minska sannolikheten för att individer ska kunna identifieras, säger Martonosi.

Att injicera buller inkluderar att avsiktligt ändra de sammanställda hem- och arbetsplatserna för att minska beroendet av en individs data. På samma sätt ändras de sammanlagda samtalstiderna för att maskera varje individs bidrag. Sammantaget skulle sådana justeringar av data avskaffa alla försök att anpassa databaser.

En del av detta nya mobilitetsmodelleringsarbete presenterades först på en konferens förra året, men förfiningarna och den differentiella integritetsvarianten presenterades förra veckan på en konferens på MIT. Vid samma konferens visade IBM-forskare hur samtalsregister kan hjälpa till att optimera kollektivtrafikrutter (se afrikanska bussrutter ritade om med mobiltelefondata ).

Martonosi säger att offentligt släppa mobilitetsmodellerna som hon och hennes kollegor har byggt av New York och Los Angeles storstadsområden inte kommer att ske innan ytterligare publikationer slutför arbetet och bevisar sekretessstrategin, eftersom modellerna indirekt hämtar från verklig användardata.

Under tiden publiceras de metoder hon och hennes kollegor använde för att bygga modellen offentligt. Så andra grupper skulle kunna bygga liknande modeller för andra storstadsområden om de har egna samtalsdataposter att arbeta med, säger hon. AT&T samarbetade i forskningen, som gjordes på en AT&T-anläggning på tre månaders kunddata från 300 000 av operatörens kunder var och en i New York och Los Angeles-områdena. AT&T avböjde att kommentera denna berättelse.

Mitt i ett stigande forskningsintresse för mobildata, väcker gruppens tillvägagångssätt stort intresse. William Hoffman, som leder World Economic Forums databaserade utvecklingsinsatser, säger att tillvägagångssättet visade lovande. Jag tyckte att konceptet var ganska intressant som ett sätt att 'minska' forskarnas förmåga att utforska data, säger han. Det är ett av flera steg som datainnehavare kan följa för att hitta balansen mellan att använda data samtidigt som de skyddar individen.

En nyckelfråga är om ett system med syntetiska dataposter skulle kunna få transportörerna runt den känsliga frågan att erhålla användarens samtycke. Det är en av de stora frågorna jag tog med mig från den [senaste MIT]-konferensen, säger Hoffman. Svaret kan bero på hur data användes eller såldes, säger han.

Nicolas Decordes, vicepresident på Orange, den europeiska transportören, säger att företagets FoU-team sa att teknikerna skulle vara genomförbara och kan vara till hjälp för transportmodellering. Eftersom metoden inte använder realtidsdata är den dock bättre för planering och kan inte vägleda respons på händelser.

Processen att skaffa och använda mobiltelefondata är redan mycket känslig. När Orange släppte data från Elfenbenskusten till forskare förra året, en process som Decordes övervakade, valdes den nationen ut eftersom dess ministerium för informations- och kommunikationsteknik (IKT) inte hade skrivit på ett regelverk som begränsar sådan användning, i motsats till närliggande afrikanska nationer . Och trots det krävde Orange att forskare skulle underteckna avtal som hindrade dem från att försöka identifiera individer.

Linus Bengtsson , epidemiolog vid Sveriges Karolinska Institutet och grundare av Flödesmästare , som tillhandahåller mobilitetsdata till icke-statliga organisationer och hjälporganisationer, säger att hur avancerade integritetsskydden än blir, kommer forskarsamhället alltid att behöva uppförandekoder för att skydda integriteten. Forskare inom många områden analyserar datauppsättningar där någon – med tillräcklig beslutsamhet – skulle kunna identifiera personer, säger han. Jag tror att [utveckla] regler för detta faktiskt är en viktigare punkt än den svåra uppgiften att skapa speciella anonymiserade datamängder.

Andra nya forskningsresultat inkluderade sådana som visar hur samtalsrekord kan användas för att följa fotbollsfans när de lämnar en match eller till och med kartlägga fattigdomsnivåer i ett land, om sändningsvanor analyseras (se Glimpses of a World Revealed by Cell-Phone Data ).

Dölj