La publicación de datos de Myki violó las leyes de privacidad y reveló historias de viajes, incluso de MP victoriana | Noticias de Australia


El historial de viaje de tres años de un político victoriano pudo identificarse después de que el gobierno estatal divulgara los datos supuestamente «desidentificados» de más de 15 millones de usuarios de transporte público myki en una violación de las leyes de privacidad.

En julio de 2018, General public Transportation Victoria (ahora el Departamento de Transporte) lanzó un conjunto de datos que contiene 1.800 millones de registros de viaje para 15,1 millones de usuarios de transporte público myki para el período comprendido entre junio de 2015 y junio de 2018.

Los datos contenían los datos de contacto y desconexión, como la hora, la fecha y el lugar donde las personas usaban su myki, ya sea saltando en un tranvía o en un tren o autobús en todo el estado.

Los datos se publicaron como parte del evento Knowledge Science Melbourne, y el departamento había dicho que había anonimizado los datos, lo que significa que las personas no podían ser identificadas en los conjuntos de datos.

Pero los investigadores de la Universidad de Melbourne descubrieron que al verificar su propio historial de myki en línea, podían comparar sus tiempos de viaje con los datos en el archivo, y luego tenían un conjunto completo de su historial de viajes completo durante el período de tres años en esa tarjeta

«Tan pronto como tuvimos dos eventos, solo hubo un partido posible, que es nuestra carta», dijo el Dr. Chris Culnane a Guardian Australia.

Los investigadores, liderados por Culnane, también pudieron identificar a sus compañeros de viaje, simplemente porque habían hecho tapping casi al mismo tiempo y en el mismo lugar que ellos. Una vez que se hizo esa identificación, pudieron ver todo el historial de viajes de transporte público de esa persona durante el período de tres años.

“Esa es una preocupación importante porque obviamente tienes mucha información sobre ti mismo, por lo que encontrar tu propia tarjeta es fácil, pero encontrar la tarjeta de otra persona de uno o potencialmente dos eventos, puedes identificar tarjetas para las personas con las que viajaste una vez salir de noche o por trabajo e identificar sus patrones de viaje durante un período de tres años ”, dijo Culnane.

Luego, los investigadores dieron un paso más para identificar a un político. El conjunto de datos incluía datos sobre el tipo de tarjeta, incluidas las tarjetas de concesión para policías y políticos. Hay muchas menos cartas de político que otras cartas, lo que significa que habría sido más fácil identificar a los políticos. Hay 424 pases de viaje para parlamentarios estatales, pero muy pocos de esos pases van a áreas metropolitanas exteriores.

Utilizando sus tweetsCon su permiso, los investigadores pudieron identificar al miembro del Parlamento victoriano Anthony Carbines debido a su viaje desde la estación de tren de Rosanna, cerca de la oficina de su electorado.

Anthony Carbines MP
(@ACarbinesMP)

🙌 Nos vemos alrededor de las 05.24 a.m. de mañana en Rosanna para tomar el primer tren a la ciudad. Bien hecho todo. Gracias por aguantar allí. Esfuerzo de construcción masivo. Sencilla pista desaparecida. Se han ido dos pasos a nivel. ¡Los trenes! ¡Los trenes! ¡Ya vienen los trenes! 👏 pic.twitter.com/kk2Cj3ey9T


3 de mayo de 2018

El Departamento de Premier y Gabinete contactó a la AFP y la policía de Victoria sobre esto, pero dijo que el riesgo para la policía y los políticos era mínimo.

Culnane dijo que sería bastante fácil para cualquiera encontrar sus propios datos, pero dijo que el riesgo se mitigó porque las personas solo pueden verificar sus seis meses anteriores de viaje en el sitio world-wide-web de myki, lo que significa que no hay ningún cruce de datos con los datos publicados. por el departamento el año pasado. Sin embargo, eso no significaba que las personas no pudieran identificarse.

«Todavía tendrá suficiente información sobre los amplios tiempos que viajó y algunos de los análisis adicionales que hicimos mostraron que necesitaría más puntos si tuviera un tiempo menos exacto, (pero) es probable que sepa que información de todos modos «.

La Oficina del Comisionado de Información de Victoria (Ovic) encontrado en un informe En el incidente divulgado el jueves, el departamento violó la Ley de privacidad y protección de datos de Victoria al publicar el conjunto de datos y no logró abordar la posibilidad de que los datos pudieran haber sido identificados nuevamente.

«Su historial de transporte público puede contener una gran cantidad de información sobre su vida privada», dijo el comisionado Sven Bluemmel en un comunicado. “Revela tus patrones de movimiento o comportamiento, a dónde vas y con quién te asocias.

«Esta es información que creo que los victorianos esperan que estén bien protegidos».

Pero el Departamento de Transporte no estuvo de acuerdo con la evaluación de Bluemmel. PTV afirmó que los datos no eran información private. PTV argumentó que la información no era sobre individuos sino sus tarjetas myki, y que las tarjetas myki podrían ser compartidas por varias personas, lo que significa que no era información sobre un individuo en una tarjeta específica.

Culnane dijo saber a dónde viajaba una persona, y las personas con las que viajaban y en qué momento revelaron mucha información personal.

«Sugerir que es información sobre la tarjeta y no sobre la persona es un poco inusual».

Ovic emitió el Departamento de Transporte con un aviso de cumplimiento para desarrollar políticas sobre la publicación de datos y cómo se debe evaluar su impacto en la privacidad.

El incumplimiento de la notificación es una multa de $ 99,132 para individuos y $ 495,660 para organizaciones.

Culnane dijo que tenía que haber una discusión abierta sobre los gobiernos que publicaban datos supuestamente desidentificados como parte de su impulso de gobierno abierto.

«Ha habido suficiente evidencia ahora de que la desidentificación de este tipo de información transaccional simplemente no funciona», dijo. «Es demasiado único sobre cómo nos comportamos.

“Se suponía que (los datos abiertos) eran sobre el gobierno, por lo que íbamos a aumentar la transparencia sobre las operaciones del gobierno, pero gran parte de lo que se divulga son datos sobre las personas y la población.

«Estamos agregando transparencia a la gente pero no al gobierno».





Enlace a la noticia initial