╚ßst 5 - CW 14/97

RozsßhlΘ databßze osobnφch informacφ

Seskupovßnφm osobnφch dat do rozsßhl²ch databßzφ dochßzφ k tomu, ₧e takov²mto kombinovßnφm dat o urΦitΘ citlivosti lze zφskat informace daleko citliv∞jÜφ (zßvazn∞jÜφ), kterΘ jinak spadajφ do kategorie s vyÜÜφmi po₧adavky na ochranu. Pro seskupovßnφ se takΘ pou₧φvß termφn agregace (z angl. Aggregation). P°edstavte si, ₧e mßte k dispozici kompletnφ informace o zdravotnφm stavu a finanΦnφ situaci

1. man₧ela nebo man₧elky,

2. p°φmΘho nad°φzenΘho,

3. vÜech zam∞stnanc∙ organizace, kde pracujete,

4. vÜech obyvatel m∞sta/vesnice, kde ₧ijete,

5. vÜech klient∙ urΦitΘ banky nebo zdravotnφ pojiÜ¥ovny.

Cφtφte ten rozdφl? Jednß se p°itom o stejnΘ informace -- jen se m∞nφ druh a poΦet osob, ke kter²m se vztahujφ. A p°edstavte si, jak² zßjem o tyto informace musφ mφt t°eba banka, kterß poskytuje ·v∞ry a hypotΘky, nebo nap°. pojiÜ¥ovacφ agent...

Pravd∞podobnost, ₧e budou informace neoprßvn∞n∞ zp°φstupn∞ny, zßle₧φ na dvou faktorech:

-- hodnot∞ informacφ,

-- poΦtu osob, kterΘ majφ k informacφm p°φstup (operßto°i i u₧ivatelΘ systΘmu).

StatistickΘ databßze

PodobnΘ problΘmy byly poprvΘ studovßny v souvislosti s databßzemi ·daj∙ ze sΦφtßnφ lidu v USA. Podobn∞ se takΘ vyu₧φvajφ data zφskanß u nßs p°i sΦφtßnφ lidu, kdy uvßdφte nßbo₧enskΘ vyznßnφ i poΦty televizor∙, praΦek atd. TakovΘ databßze sice obsahujφ citlivΘ ·daje o jednotlivcφch, ale jejich vyu₧itφ mß b²t pouze pro statistickΘ dotazy k vytvo°enφ obrazu o celkov²ch pot°ebßch obyvatelstva a formulovßnφ vlßdnφ politiky -- podpora cφrkvφ, urΦenφ vybavenosti domßcnosti podle lokalit atd. V²sledky dotaz∙ v takov²chto databßzφch nesm∞jφ poskytnout ·daje o jednotlivcφch.

V roce 1979 se znßmΘ odbornici Dorothy DenningovΘ poda°ilo prokßzat, ₧e prost°edky, kterΘ vyu₧φvala americkß vlßda pro formulaci dotaz∙ a zφskßvßnφ odpov∞dφ ze statistickΘ databßze sΦφtßnφ lidu povolovaly konstrukci takov²ch dotaz∙, kterΘ umo₧nily zφskat ·dajn∞ tajnΘ informace o jednotlivci. Podle p°esv∞dΦenφ vlßdnφch Φinitel∙ byly takovΘ informace opravdu tajnΘ a dob°e chrßn∞nΘ -- dokud Denningovß nezjistila plat svΘho ÜΘfa sΘriφ legitimnφch dotaz∙ v databßzi.

Konstrukce sΘrie takov²ch dotaz∙ neb²vß obvykle jednoduchß. P°edstavte si ale, ₧e se zp°es≥ovßnφm dotazu a₧ na kolik je m∞st s 17--18 000 obyvatel, kde ₧ije jen jeden mu₧, kter² je 36let² evangelφk slovenskΘ nßrodnosti, jeho 28letß ₧ena ₧ije mimo toto m∞sto, 6letß dcera s touto ₧enou a 15let² syn s onφm mu₧em dostanete k odpov∞di 1. Pak u₧ lze jednoduÜe zjistit plat tohoto naÜeho souseda jen dopl≥ovßnφm dotaz∙ o ..., jeho₧ p°φjem je X-Y m∞sφΦn∞ a urΦovßnφm X a Y tak, aby odpov∞∩ byla stßle 1 a ne 0.

Pokud nßm systΘm spravujφcφ databßzi pro statistickΘ dotazy umo₧nφ podobn² postup, pak je to Üpatn² systΘm. Existujφ t°i druhy protiopat°enφ.

1. Minimßlnφ rozsah dotazu a to bu∩ s omezenφm minima

-- celkovΘho poΦtu zßznam∙ pou₧it²ch pro tvorbu odpov∞dφ, nebo

-- poΦtu zßznam∙ pou₧it²ch pro tvorbu odpov∞dφ na ka₧dou automatickou Φßst dotazu.

Nap°. prvnφ uvedenou techniku vyu₧φvajφ databßzovΘ systΘmy novozΘlandskΘho nßrodnφho zdravotnφho systΘmu.

2. Nßhodn² v²b∞r je technika nynφ pou₧φvanß v americkΘ databßzi ·daj∙ ze sΦφtßnφ lidu. Ka₧d² dotaz je zodpov∞zen na zßklad∞ vyhodnocenφ nßhodn∞ vybran²ch zßznam∙ ze vÜech existujφcφch zßznam∙.

3. PerturbaΦnφ (zmateΦnΘ) techniky podle n∞kter²ch definic zahrnujφ i v²Üe uveden² nßhodn² v²b∞r. Obecn∞ se jednß o p°idßnφ pseudonßhodnΘho "Üumu" tak, aby odpov∞di byly konzistentnφ, ale zφskßnφ elementßrnφ odpov∞di na sΘrii podobn²ch dotaz∙ nebylo mo₧nΘ. ╚asto jsou pou₧φvßny dv∞ metody

-- k zßznam∙m zahrnut²m pro vyhodnocenφ dotaz∙ se p°idajφ dalÜφ nßhodn∞ vybranΘ podobnΘ zßznamy

-- vypoΦtenß hodnota nebo mezihodnoty jsou zaokrouhlovßny nebo mφrn∞ pozm∞n∞ny.

ProblΘm inference (odvozenφ), kter² jsme diskutovali, je definovßn jako odvozenφ informacφ o vyÜÜφ citlivosti zpracovßnφm a anal²zou skupiny informacφ o ni₧Üφ citlivosti nebo takΘ nep°φm² p°φstup k informacφm bez p°φmΘho p°φstupu k dat∙m, kterß tyto informace reprezentujφ.

T°i dimenze

I samotnΘ utajenφ dat je velmi slo₧it²m problΘmem. Kdy₧ se poprvΘ objevil AIDS, tak mnohß zdravotnickß za°φzenφ ve sv∞t∞ postupovala tak, ₧e zßznamy pacient∙ HIV pozitivnφch p°evedla mimo dosah b∞₧n²ch u₧ivatel∙ zdravotnickΘho informaΦnφho systΘmu. Pak je ale jednoduchΘ odvodit, ₧e pacient, jeho₧ zßznam nem∙₧e "b∞₧n²" lΘka° zφskat, je pacientem HIV pozitivnφm. Op∞t se jednß o inferenci. A obdobn² je i trivißlnφ problΘm u vφce·rov≥ov²ch systΘm∙ (horizontßlnφ Φlen∞nφ), kdy m∙₧e Φinnost u₧ivatele na ni₧Üφ ·rovni odhalit fakta odpovφdajφcφ ·rovni vyÜÜφ. TΘm∞° klasick² p°φpad b²vß uvßd∞n p°i zßpisu souboru. Pokud se u₧ivatel na ·rovni "D∙v∞rnΘ" pokusφ ve vφce·rov≥ovΘm systΘmu ulo₧it soubor DOCS/IRAN/MISSILES/FORMCZ.DOC a obdr₧φ systΘmovΘ hlßÜenφ, ₧e soubor ji₧ existuje a u₧ivatel nemß prßvo jej p°epsat, pak lze jednoduÜe odvodit, ₧e soubor ji₧ vytvo°il a vyu₧φvß n∞kdo na ·rovni vyÜÜφ.

P°i utajenφ datovΘ polo₧ky je t°eba zvß₧it t°i dimenze:

1. tato data jsou utajovßna

2. existence t∞chto dat je utajovßna

3. d∙vod pro utajenφ t∞chto dat je utajovßn.

╪eÜenφ prvnφ dimenze je nejjednoduÜÜφ -- p°φstup k dat∙m majφ jen oprßvn∞nΘ osoby. Technik k realizaci tohoto po₧adavku existuje n∞kolik. DalÜφ dv∞ dimenze vy₧adujφ vφce zamyÜlenφ a kreativnφ °eÜenφ. Ochrana p°ed inferencφ je jednφm ze stßle ne stoprocentn∞ vy°eÜen²ch tΘmat p°i nßvrhu bezpeΦn²ch vφce·rov≥ov²ch databßzφ. Pro n∞kterΘ situace vystaΦφ perturbaΦnφ techniky, jindy zase d∙slednΘ vedenφ auditnφho zßznamu a jeho pr∙b∞₧nΘ hodnocenφ pro zjiÜt∞nφ pokusu o ·tok na data prost°ednictvφm inference. ÄßdnΘ z dosavadnφch °eÜenφ vÜak nenφ vÜelΘkem.

Osobnφ data

JakΘkoliv ·daje, kterΘ se vztahujφ k urΦitΘ osob∞, jsou osobnφmi ·daji. Na prvnφ pohled trivißlnφ, ale p°i jednotliv²ch rozhodovßnφch a ·vahßch je problΘm slo₧it∞jÜφ. èest bajt∙ "Beroun" jako osobnφ ·daj nevypadß. Pokud ale umo₧nφ urΦit jedince nebo jeho Φinnost, pak se o osobnφ ·daj jednß.

P°esnΘ definice pro zßkonnΘ normy se liÜφ formou, mßlokdy vÜak obsahem. Uvedl bych definici osobnφch dat jako dat o jednotlivci, kterß umo₧≥ujφ identifikovat danΘho jedince, jeho Φinnost, nebo kterß jsou pro jedince citlivß. M∙₧e se jednat o identifikaci informace (rodnΘ Φφslo, jmΘno, fotografie, otisk prstu), data o vzd∞lßnφ, majetku, trestnΘ Φinnosti Φi zdravotnφm stavu atd.

D∙le₧it²m faktorem pro ochranu osobnφch dat b²vß to, zda data byla nebo nebyla zve°ejn∞na. Zve°ejn∞nß data ji₧ obvykle nepo₧φvajφ takovΘ mφry ochrany jako data nezve°ejn∞nß. Zßle₧itostem, t²kajφcφm se ochrany osobnφch dat u nßs i ve sv∞t∞, se budeme v n∞kter²ch dalÜφch dφlech v∞novat podrobn∞ji, proto₧e se jednß o tΘma aktußlnφ a u nßs zvlßÜt∞ dφky d∞dictvφ komunismu i stßvajφcφ prßvnφ d₧ungli ne zcela objasn∞nΘ a chßpanΘ.

Zkuste se v souvislosti s osobnφmi ·daji zamyslet nad pojmy vlastnφk informace a dr₧itel informace a takΘ nad pojmy, kterΘ naÜi zßkonodßrci ji₧ vymysleli pro zßkon o osobnφch ·dajφch v IS -- dotΦenou osobu a provozovatele, u₧ivatele Φi zprost°edkovatele. :-) Nebu∩te dotΦeni. :-)