Личность человека установили по четырем транзакциям кредитки
Специалисты, которые занимаются сохранением и защитой частной информации, постоянно пытаются выяснить, какие персональные данные могут быть использованы для идентификации личности того или иного человека.
Исследователю компьютерной безопасности из Массачусетского технологического института (MIT) Иву-Александру де Монжуа (Yves-Alexandre de Montjoye) удалось идентифицировать одного человека в море "анонимных" данных кредитных карт.
В ходе исследования он и его команда проанализировали информацию о транзакциях с кредитных карт (или метаданные) 1,1 миллиона покупателей в странах, которые являются членами Организации экономического сотрудничества и развития (ОЭСР). Хотя имена, адреса и другая информация, непосредственно связанная с владельцами карт, была исключена из набора данных, де Монжуа и его коллеги идентифицировали 90% человек, если знали дату и место всего лишь четырёх транзакций, совершённых по этим кредитным картам. При этом женщин и состоятельных потребителей отследить оказалось легче, вероятнее всего, потому, что их покупательские привычки оказались более разнообразными, что делает модели транзакций более чёткими.
Идентификация субъекта возможна даже в тех случаях, когда в наборе данных не указаны имя, адрес, номер кредитной карты и другая информация, которую принято считать личной. Для этого достаточно названий и местоположения магазинов, в которых совершались покупки, а также информации о дне проведения операции и объёме закупок.
Алекс Пентлэнд (Alex Pentland), исследователь информационной безопасности в MIT и соавтор исследования, считает, что метаданные с определёнными свойствами (например, фиксирующие географическое расположение) не являются полностью анонимными. Ранее де Монжуа доказал, что метаданные мобильных телефонов (информация о местоположении вызова, например) могут быть использованы для выявления абонентов, которые ранее были идентифицированы как неопознанные.
Предыдущие анализы показали, что различные примеры уникального поведения физических лиц также могут быть определены с использованием метаданных: например, поисковая история может указать на политические взгляды человека. Это натолкнуло экспертов на мысль, что полная анонимность в мире современных технологий невозможна. Сегодня данные и метаданные всё сложнее сделать анонимными, так как они хранят информацию, указывающую на уникальное поведение людей.
Вероятно, укрепление законов о безопасности по защите метаданных может привести к снижению риска для людей, которые могут быть идентифицированы мошенниками. Однако стандарты охраны и защиты персональных данных варьируются в каждой стране, например, в США вообще не существует законодательства относительно нарушения безопасности потребительских данных. Пока же де Монжуа и Пентлэнд приступают к разработке системы, которая позволит людям хранить данные на защищённых серверах по собственному выбору.
Научная статья о защите личной информации была опубликована в журнале Science.