Posljednjih se godina intenzivno radi na podizanju svijesti o zaštiti osobnih podataka, a nedavno stupanje na snagu Opće uredbe o zaštiti osobnih podataka veliki je korak naprijed. Stručnjaci smatraju kako mnogo ljudi nije svjesno da njihovi digitalni tragovi mogu otkriti puno više nego što bi možda htjeli
Prije dvije godine australska je vlada objavila medicinske podatke 2,9 milijuna ljudi. Premda njihova imena nisu bila navedena kako bi ih se zaštitilo, istraživači sa Sveučilišta u Melboureneu dokazali su kako je vrlo jednostavno te podatke povezati s pacijentima kojima pripadaju. Na taj se način o njima moglo saznati i puno više od imena – cijela njihova medicinska povijest, i to bez pristanka, piše The Guardian.
Britanske novine dalje navode kako je prošloga tjedna skupina istraživača sa Sveučilišta u Londonu dokazala da se identitet korisnika Twittera može saznati po metapodacima koji se vežu uz njihove tvitove, a sa fitness aplikacije Polar moguće je saznati adresu, pa čak i imena vojnika i špijuna.
'Lako se pretvarati da je teško prepoznati osobe. Ono što smo mi napravili može i student prve godine podatkovne znanosti', rekla je Vanessa Teague sa Sveučilišta u Melbourneu, čija je skupina otkrila problem u objavljivanju zdravstvenih podataka.
Na slabu zaštitu podataka upozoravalo se još prošloga stoljeća
Jedan od najstarijih primjera obmane u zaštiti podataka je iz 1996. godine kad je Komisija za osiguranje Grupe Massachusetts objavila 'anonimne' podatke o bolničkim posjetima državnih službenika. Vlasti su uklonile imena, adrese i osobne socijalne brojeve, a guverner William Weld uvjerio je javnost kako je njihova privatnost zajamčena.
Latanya Sweeney, diplomant računarstva koji se kasnije zaposlio u Saveznoj trgovinskoj komisiji, dokazao koliko je Weld pogriješio tako što je pronašao upravo njegove podatke. Sweeney je upotrijebio guvernerov poštanski broj i datum rođenja, koje je pronašao na popisu birača, te informaciju da je bio hospitaliziran na određeni dan. Nakon toga, mladić je guverneru njegovu medicinsku dokumentaciju poslao u ured.
Kasnije je Sweeney pokazao da 87 posto stanovništva Sjedinjenih Američkih Država može biti identificirano samo pomoću datuma rođenja, spola i petoznamenkastih poštanskih brojeva.
'Važno je istaknuti da podaci koji možda izgledaju anonimno nisu nužno anonimni', rekao je na svjedočenju pred Odborom za privatnost američkog Odjela za domovinsku sigurnost.
podaci na sigurnom
Sedam pretraživača koji će štititi vašu privatnost
Ono što tvitate o vama otkriva mnogo
Noviji primjeri pokazuju kako je ljude moguće identificirati pomoću digitalnih tragova koje ostavljaju za sobom. Yves-Alexandre de Montjoye, istraživač računalne privatnosti, pokazao je kako se većina stanovništva može identificirati iz obrazaca ponašanja koje je moguće otkriti pomoću podataka o lokacijama s mobilnih telefona. Analiziranjem baze podataka lokacija mobilnih telefona 1,5 milijuna ljudi u razdoblju od 15 mjeseci, bez ikakvih drugih podataka, moguće je identificirati 95 posto građana. Za to su mu bile potrebne samo četiri informacije o mjestu i vremenu. Oko 50 stanovništva na taj se način može identificirati iz samo dvije točke.
Četiri informacije koje su za to potrebne mogu se vrlo lako pronaći i dostupne su javno, a uključuju adresu stanovanja, adresu radnog mjesta i geo-tagove na Twitteru.
'Podaci o lokaciji zapravo su otisak prsta. To je podatak koji će vjerojatno postojati u širokom rasponu skupova podataka i potencijalno se može koristiti kao globalni identifikator', rekao je De Montjoye.
'Putujete od kuće do posla i natrag u prilično točnim uzorcima. Uglavnom postoji samo jedna osoba koja živi na adresi A i radi na adresi B', kaže Anna Johnston, direktorica konzultantske tvrtke Salinger Privacy.
Čak i ako podaci o lokaciji ne otkrivaju identitet pojedinca, ona još uvijek može ugroziti skupine ljudi, objasnila je. Javna karta koju je izdala fitness aplikacija Strava, primjerice, slučajno je postala nacionalni sigurnosni rizik jer je otkrivala mjesto i kretanje ljudi u tajnim vojnim bazama.
Informacije o kreditnim karticama i pametni telefoni pravi su 'nebrušeni dijamanti' za stalkere
Prije tri godine, 2015., De Montjoye je pokazao da je moguće identificirati vlasnika kreditne kartice među milijunima 'anonimnih' transakcija samo poznavajući nekoliko kupnji tog korisnika. Naoružan imenima i lokacijama trgovina u kojima su ljudi kupovali te približnim datumima i iznosima kupnji, De Montjoye je uspio identificirati 94 posto ljudi gledajući samo tri transakcije.
To znači da netko može pronaći vašu fotografiju na Instagramu kako pijete kavu, tvit o nedavnoj kupnji i stari račun i moći će izvući vašu povijest svih kupnji.
Ovakvi primjeri dokaz su da se podatci ne mogu učiniti anonimnima samo ako se izuzmu imena, adrese i osobni identifikacijski brojevi. Nažalost, malo je toga što pojedinci mogu učiniti kako bi se zaštitili.
'Jednom kad naši podaci iziđu vani, tamo su zauvijek', kaže Arvind Narayanan, profesor računarstva na Princetonu. 'Postoje tvrtke koje se specijaliziraju za prikupljanje podataka o nama iz različitih izvora kako bi stvorili virtualne dosjee te tako manipulirali nama na različite načine'.
Digitalne je tragove moguće zamesti plaćanjem u gotovini i izbjegavanjem korištenjem mobitela, no to baš nije praktično.
'Ako želite biti punopravni član društva, ne možete ograničiti podatke o sebi koje drugi prikupljaju', rekao je istraživač računalne sigurnosti Chris Vickery.
Previše odgovornosti je u rukama neinformiranih građana
Također je izuzetno teško pojedincima dati informiranu suglasnost o načinu na koji se njihovi podaci prikupljaju na nekoj aplikaciji ili usluzi. Obećanja tvrtki da ne dijele informacije o osobnom identitetu su besmislene kada je tako lako prepoznati nekoga.
'Sve se svodi na dobru regulaciju i pravilnu provedbu', smatra De Montjoye, dodajući kako je europska Opća uredba o zaštiti podataka 'korak u pravom smjeru'.
'Jedan od propusta zakona o privatnosti je da previše odgovornosti daje potrošačima, a oni nisu dovoljno pripremljeni za razumijevanje rizika', objasnio je Johnston. 'Mnogo više odgovornosti trebalo bi prebaciti na institucije' kao što su vlade, istraživači i tvrtke.
No skupni podaci mogu biti i korisni
De Montjoye ostaje optimist, pozivajući na 'ogroman potencijal' primjene velikih podataka, posebno za medicinska istraživanja i društvene znanosti.
Predlaže da umjesto objavljivanja velikih skupova podataka, istraživači vlade mogu razviti sučelja koja omogućuju drugima da postavljaju pitanja o podacima bez pristupa sirovim neobrađenim datotekama.
'Ideja je da ne izgubimo kontrolu nad podacima i osiguramo da ostanu anonimni', rekao je. 'Privatnost nije mrtva. Trebamo ju i postići ćemo to.'