Az adatok ( a fortiori személyes ) anonimizálása abból áll, hogy módosítják az adatok tartalmát vagy struktúráját annak érdekében, hogy nagyon megnehezítsék vagy ellehetetlenítsék az érintett személyek (természetes vagy jogi személyek) vagy az érintett személyek „újra azonosítását” (ami magában foglalja világosan meghatározni, hogy mit jelent ebben az összefüggésben az azonosíthatóság fogalma ). Az angolul beszélők néha beszélnek az azonosításról (DE-ID) is .
Az adatok anonimizálásának választása gyakran etikai , jogi és etikai kompromisszumból ered, az egyének és személyes adataik védelme iránti vágy vagy kötelezettség között. Az anonimizálást különösen a közérdekű adatoknak , például a nyílt adatoknak ( Open Data ) terjesztésére és megosztására használják .
Az anonimizált adatok felhasználása továbbra is jogi és etikai kérdéseket vet fel, mert az orvosi , „megfigyelési” kutatás „gátja” vagy akadálya is lehet . Hasonlóképpen, e szabály alól sok kivétel (például bizonyos orvosi adatok, a védelem vagy a belső biztonság vonatkozásában) beépül a demokratikus országok jogába. Ezt a felhasználást néha az eltarthatóság korlátja kíséri.
Míg a személyes adatok - különösen az orvosi adatok - titkosságának fogalma Hippokratészről származik , a személyes adatok nagyszabású számítógépes tárolása és feldolgozása nemrégiben felforgatta ezt a kérdést.
Az Egyesült Államok és az Európai Unió tagállamai fokozatosan fogadtak el nemzeti vagy nemzetek feletti jogszabályokat az adatok titkosságának védelméről, ideértve a számítógépes adatokat is (Európában a személyes adatok védelméről szóló 95/46 / EK irányelv óta ), amely előírta a tagállamoknak, hogy korábban összehangolják e területre vonatkozó jogszabályaikat1998. október 24, ideértve például az Európai Unión kívüli országokba történő adattovábbítást (fontos kérdés, mivel költségekkel kapcsolatos okokból bizonyos adatok feldolgozása vagy felhasználása kiszervezhető és áthelyezhető Európán kívül).
Az európai irányelv csak a nem névtelen adatokra vonatkozik, és kimondja, hogy az "anonim adatok" felhasználása nem tartozik a hatáskörébe: az irányelv (26) preambulumbekezdése szerint "az adatvédelem elvei nem vonatkoznak az ilyen módon anonimizált adatokra. hogy az érintett már nem azonosítható ” . ezt megerősítette és pontosította az angliai és wales-i ítélkezési gyakorlat (a Court of Appeal ítélete). Az első (nemzeti vagy európai) szövegek nem voltak túl pontosak abban, hogy miként lehet anonimizálni a nominatív vagy személyes adatokat.
Bizonyos adatok esetében az anonimizáláshoz továbbra is szükség van az érintett személyek beleegyezésére, és általában annak a ténynek is fenn kell állnia, hogy bizonyos idő előtt (általában egy vagy több visszafejtési kulcs segítségével) fenntartják az adatok anonimizálásának lehetőségét. szükséges az érintett személyek előzetes beleegyezése.
Most az adatátvitel biztonságának javítására törekszünk, anélkül, hogy lelassítanánk az átviteli folyamatokat vagy akadályoznánk az apró részletességű adatforgalom jogos igényeit (ami például döntő fontosságú lehet a távoli orvoslás szempontjából ).
A kérdések egyúttal etikai , jogi , információs és jó kormányzási kérdések . Ezenkívül új kérdések merültek fel az internet megjelenésével , amely megnövelte az információkhoz való hozzáférést, lehetővé téve az emberek számára, hogy másoknak - néha meggondolatlanul vagy rosszul tájékozódva a kockázatokról - magánéletének elemeit (blogok és fórumok, vagy például személyes oldalak), ami megnehezíti az „ elfelejtéshez való jogot ”. Az 1990-es évek óta törekednek arra, hogy legalább tájékoztassák a betegeket orvosi adataik vagy bizonyos többé-kevésbé személyes adatok lehetséges felhasználásáról, valamint a magánélethez való jogukról . Ezeket az erőfeszítéseket meg kell erősíteni az Európai Parlament 2013–2014-re becsült egységes európai szabályozásával, és Viviane Reding alelnök (az EU igazságügyért felelős biztosa) szerint „Az adatvédelmet Európában végzik. A szigorú adatvédelmi szabályoknak Európa jellegzetességének kell lenniük. Az amerikaiak által végzett globális kémkedési botrányok után az adatvédelem minden eddiginél versenyképesebb tényező ... ” .
Bizonyos összefüggésekben vagy személyes okokból egy személy névtelen maradhat (vagy használhat álnevet , vagy megtagadhatja nevének említését, arcának megjelenítését stb.). Az anonimitás akkor kötelező, ha a törvény előírja bizonyos személyes adatok vagy érzékeny adatok anonimizálásával történő védelmét , amely lehetővé teheti a közérdekű és közérdekű adatok ( közjó ) bizonyos újrafelhasználását , anélkül, hogy fenyegetné a személyt.
A vizsga példányának ideiglenes ál-anonimizálása (valójában a szerzőjének személyazonosságának elfedése) lehetővé teszi, hogy a vizsgáztatót kevésbé befolyásolja a tanuló neve, osztálya vagy nemzetisége.
A kontextustól függően egy személy anonimizálása vitában, jelentésben stb. lehetővé teszi számukra, hogy elkerüljék az esetleges megtorlásokat, megbélyegzést vagy egyszerűen nem kívánt hozzáférést a magánéletükhöz , de ez néha károsíthatja az adott személy hitelességét vagy az információk minőségét (a pontosság szempontjából). A személyes elemeket tartalmazó adatok anonimizálása időnként csökkenti ezeknek az adatoknak a statisztikai szempontból való jelentőségét, relevanciáját vagy hasznát a kutatás szempontjából.
Az interjúalanyok közvélemény-kutatások során készített aktáinak anonimizálása olyan művelet, amely szociológiai jelentést nyerhet. Emmanuelle Zolesio szociológus azt javasolja az anonimizált adatokat elemző szociológusoknak, hogy ne vegyék fontolóra az anonimizálást az interjú elemzésének többi részétől független módon. Azokban az esetekben, amikor a kérdező "visszajelzést ad válaszadóinak azzal, hogy elolvassa a kutatás eredményeit" , vannak módszerek az adatok anonimizálására azokban az esetekben, amikor a válaszadók ismerik egymást, és a névváltoztatások ellenére is felismerik egymást.
Különleges kihívások érintik a célzott spam elleni küzdelmet , az egészség védelmét és általában véve az orvosbiológiai adatokat (beleértve a genetikai kódot is ), például ráknyilvántartások létrehozásával , betegségnyilvántartásokkal, epidemiológiai feltérképezéssel stb. Ezen a területen az orvosi vagy öko-epidemiológiai kutatásoknak vagy az egészségügyi szervezeteknek időnként feltétlenül szükségük van adatokra a páciens azonosításához (és az a szisztematikus kötelezettség, hogy az egyes betegek beleegyezzenek a személyes adatok felhasználásába, elfogultságot indukál. és akadályozhatja a kutatást). Ezeknek az adatoknak a felhasználóira külön követelmények vonatkoznak. Egyes országokban a betegségek (pl. Nemi úton terjedő betegségek ) esetében tovább szigorítják a titoktartási kötelezettséget .
Bizonyos , magán információkat tartalmazó nyilvános adatok terjesztése kapcsán , és különösen a nyílt adatok ( nyílt adatok ) összefüggésében, bizonyos adatokat a hatályos törvényeknek megfelelően „névtelenné kell tenni”, hogy azokat harmadik felek újra felhasználhassák.
Állandó kihívás a szabályozások és a bevált gyakorlatok frissítése, valamint annak lehetséges értelmezéseinek tisztázása, miközben az internetről származó adatok átadásának számítógépes lehetőségei gyorsan fejlődnek. Az adatkezelők is különösen aggódnak.
Bizonyos betegségek (úgynevezett " bejelenthető betegségek " vagy MDO ) deklarációit visszafordíthatatlan módon ( AIDS / HIV például Franciaországban) anonimizálják a betegek jobb védelme érdekében, miközben lehetővé teszik az egészségügyi ellenőrzés és megelőzés javítását, valamint az epidemiológiai tanulmányok .
Az előrehaladással és a genetikai elemzések költségeinek csökkenésével új bioetikai kérdések merülnek fel : mennyiben névtelenek az anonim adatok? csodálkozott 2012-ben Harald Schmidt Shawneequa Callier és mások. Ezenkívül egy személy genomja a priori személyes információkat tartalmaz őseiről is. Már 2008-ban a genomikai szektor olyan szereplői , mint Greenbaum et al. arra gondoltam 2008-ban, hogy a genetikai névtelenség már nem veszett-e el.
Az anonimizált genomi adatok megosztása, sőt nyílt adatokban való közzététele nagy érdeklődésnek bizonyult különösen az orvostudomány és általában a tudomány fejlődése szempontjából, ugyanakkor egyenlőtlenségek és új kockázatok forrása bizonyos esetekkel való visszaélés esetén. adat.
2008-ban az NIH szigorította biztonsági szabályait, miután egy cikk megmutatta, hogy megbízhatóan kimutatható egy személy DNS-e akkor is, ha ez a DNS az elemzett DNS teljes térfogatának kevesebb, mint 1% -át teszi ki. Röviddel ezután az NIH egyik legfőbb tisztviselője a Journal Science levélben arra szólította fel a tudományos közösséget, hogy "gondosan mérlegelje, hogyan osztják meg ezeket az adatokat, és tegyen megfelelő óvintézkedéseket" az orvosi adatok és a magánélet titkosságának védelme érdekében. genetikai tanulmányi programok résztvevői.
George Church, a Personal Genome Project (PGP) egyik alkotója már aggódott amiatt, hogy a DNS "az egyén végső numerikus azonosítója, és hogy sok vonásuk így azonosítható" , azzal érvelve, hogy a DNS-minta megígérése érdekében az adományozók teljes magánélete és titkossága lehetetlen és becstelen lenne. Ezenkívül az ilyen minták de- azonosítása mind a genotípusos, mind a fenotípusos adatokat elszegényítené, ezért vált ez a program Misha Angrist (a projekt egyik alapítója) szerint leginkább az Informáltak különösen alapos (példátlan) megközelítéséről. Hozzájárulás: Minden résztvevőnek tesztet kell tennie a genomikai tudomány és a titoktartási kérdések ismereteiről, és bele kell egyeznie a genomikus adataik és a személyes egészségügyi nyilvántartásaik titoktartásának és titkosságának lemondásába. Csak ez a program 100 000 résztvevőt érint. Ez az értelmezési elfogultság forrása lehet, mivel a program csak olyan személyeket választott ki, akik elviselik a bizonytalanságot (beleegyeznek a tájékozott beleegyezés megadásába). Ennek az elfogultságnak a nagysága még nem mérhető, de a végeredményeknek figyelembe kell venniük.
Világszerte tesztelik a problémák értékelésének és a genetikai elemzések anonimizálásának új módszereit .
Miután eltávolítottuk a szövegből a szokásos azonosítókat, maradhatnak olyan városok, helyek nevei, bizonyos kifejezések, amelyek azonosíthatnák annak szerzőjét vagy azt a személyt, akiről beszélünk. A speciális szoftverek képesek azonosítani ezeket az elemeket, összehasonlítva a szöveget olyan nyelvi forrásokkal, mint a helyek vagy városok listája, kórházak vagy egészségügyi intézmények neve, rendszeres kifejezések stb. Ennek a szoftvernek a nagy részét azonban angolul tervezték, és "franciául" vagy más nyelvekhez kell igazítani.
Az anonimizálást az adatokat előállító entitás „a forrásnál” vagy a kimeneten végezheti el feldolgozás és elemzés után.
Az egyre több országban névtelenítési végzi engedélyes társaságok, „a kinevezett alkalmazottak számára, akiknek munkaszerződése visszavonható abban az esetben sérti az orvosi titoktartás . ” Európában egy egyezmény ( az emberi jogok és alapvető szabadságok védelméről szóló európai egyezmény ) meghatározza, hogy a magánélet magában foglalja egy személy, családja, otthona magánéletét és levelezését is.
Az első, minimális lépés az azonosítók eltávolítása az érintett rekordokból vagy adatbázisokból; ezek az azonosítók általában:
A következő lépés a "szűrők" és a " kriptográfiai átalakítások " alkalmazása lesz a fájlokra vagy az adatbázisokra (pl. Az adatok titkosítása és / vagy egy speciális algoritmus által történő hasítása, pl. SHA a Secure Hash Algorithm számára ), de e munka előtt az adatkezelő tanulmányt készített vagy végzett, amelyben tisztázta anonimizálásának szükségességét, célkitűzéseit és követelményeit (pl. az anonimizálás lehetséges visszafordíthatóságának kell lennie), szükség esetén előtérbe helyezve a védendő adatokat az "érzékenység" fokának megfelelően, és annak a feldolgozásnak a céljától függően, amelyre az információnak át kell esnie. Így több anonimizálási forgatókönyvet tud előállítani és összehasonlítani, hogy jobban kiválassza a számára legmegfelelőbbnek tűnő megoldást (követelményeinek és a törvény követelményeinek megfelelően). Az anonimizálásnak minden esetben ellen kell állnia a szótár támadásainak .
Az anonimizálás több fázisa és szintje néha követi egymást: például a kórház elvégzi a kezdeti anonimizálást, az adatfeldolgozó központ ezt követően befejezheti ezt a munkát, és a másodlagos felhasználók (általában a kutatók) továbbra is túl anonimizálhatják az adatokat. folyóiratban való közzététel vagy terjesztés más felhasználók számára). Számos módszer létezik (bizonyos adatok törlése és / vagy kézi átkódolás, matematikai fordítás, automatikus átalakítás ad hoc szoftverrel ); álnevek használata, például az orvos / beteg pár esetében; titkosítás (általában nyilvános kulccsal - esetleg szétaprózva - az illetékes hatóság tulajdonában van); mono-anonimizálás, bi-anonimizálás vagy multi-anonimizálás.
Orvosi területen az anonimizált személyazonosság és a beteg azonosításának fogalma az újra-azonosítás közvetlen és közvetett eszközeire (pl. Név, cím stb.), De a rejtjelezett adatokra is vonatkozik, ha rendelkezésre állnak a visszafejtés eszközei .
Az információszivárgás kockázatának korlátozása érdekében egy személy (pl. Egy beteg) csak akkor kerül be egy névtelen adatbázisba, ha ez kötelező vagy valóban hasznos, és egy projekt csak egy névtelen adatbázishoz köthető. Növeli a jogbiztonságot, ha az ott megjelenő összes személy beleegyezését adta (írásban vagy azonosítójának megadásával, például orvosi-kereskedelmi tanulmányhoz), de ez a fajta alap információs elfogultságot eredményez.
Természetesen a termelés vagy az adattárolás minden szintjén:
Ezeket az adatokat egyre több területen használják fel (kutatás, statisztika, adminisztráció, piackutatás ...). Ezek az adatok például a következő kategóriákba tartoznak:
Néha meg kell tiltani az újra-azonosítás minden lehetőségét, amely visszafordíthatatlan anonimizálási folyamatot igényel, olyan módszerrel, amely bebizonyította a következtetések megalapozottságát (itt következtetés alatt a bizalmas adatok nem hozzáférhető, ill. több jogszerűen hozzáférhető adat keresését és összehangolását jelenti, bizonyos személyekről szóló információk felfedése. Az érintett következtetés típusa lehet induktív, deduktív, abduktív vagy valószínűségi; A
kifinomult eszközök azonban úgy tűnik, hogy bizonyos esetekben legalábbis nem engedik meg a azonosító biztos, hanem létrehozni valószínűsége, hogy egy ilyen személy megfelel egy bizonyos adathalmazt. Software permutating bizonyos értékeket az adattáblák (úgy, hogy a személyes adatok hamissá válik, anélkül, hogy a teljes statisztika meghamisítását) és / vagy véletlenszerűen bevezetéséről zaj lehet hogy az átfedésnek van posztja riori sokkal nehezebb.
Jelentős költséggel járó, anonimizált szövegek (pl. E-mailek vagy interjúk kérdőívére adott válaszok ...) anonimizálása meglehetősen ritka.
Egyes szerzők, mint Pete Warden, úgy vélik, hogy lehetetlenné vált bizonyos adatok teljes anonimizálása, és meg kell tanulnunk dolgozni ezzel a határral. Valójában a kutatók kimutatták, hogy egy személy megtalálható egy orvosi adatbázisban nemének, irányítószámának és születési dátumának ismeretében, négy geolokációs ponton alapuló telefonos adatbázisban vagy akár hitelkártya-adatbázisban négy üzlet és nap ismeretében. használta a kártyáját.
Szerinte az az állítás , hogy az adatok teljesen névtelenek, "hamis biztonságérzetet" is eredményezhetnek .
Javasolja, hogy ne hagyják abba az anonimizálást (mert ez lelassítja és költségessé teszi az újjáépítési folyamatot), de az adatok intelligensebb terjesztésére is szükség van, korlátozva a pontosságuk lehetőségét, és szakértőktől (szociológusok, orvosok, közgazdászok) tanulva. és mások több évtizede dolgoztak ezen a kérdésen).
Luc Rocher, Julien M. Hendrickx és Yves-Alexandre de Montjoye kutatók a maguk részéről úgy vélik, hogy a 2019-ben hatályos anonimizálási előírások nem elégségesek, különösen az Európai Unió általános adatvédelmi szabályozása szempontjából., mert lehetővé teszik az újbóli azonosítást más adatbázisokkal történő keresztellenőrzéssel. Modelljük szerint az amerikai lakosok 99,98% -át tizenöt demográfiai változó alapján bármely adatkészletben újra azonosítani lehetett.
Az anonimizálás lehet szervezeti, kriptográfiai vagy visszafordíthatatlan (egyirányú funkció). Az anonimizálás definíció szerint visszafordíthatatlan, ha vissza lehet térni az eredeti személyhez, ezt álnevesítésnek nevezzük . Az adatok biztonságának egyik eszköze, miközben megmarad az utólagos azonosítás lehetősége, az intelligens kártya használata, amely véletlenszerűen generál és tárol több másodlagos névtelen azonosítót.
A személyes adatok másodlagos és megosztott felhasználására vonatkozó jelenlegi eljárások és jövőbeni forgatókönyvek közvélemény általi változásának mérése különösen az egészségügyi szektorban (és azok felhasználási feltételeiben) fontos a monitoring etikai és jogi struktúrájának kialakítása vagy megváltoztatása érdekében. ezen adatok felhasználása (korábban CNIL Franciaországban).
A 2000-es évek elején a legtöbb európai állampolgár általában bízik az egészségügyi szolgáltatókban abban, hogy az adataikat a titoktartás tiszteletben tartásával kezeljék: egy Eurobarometer felmérés szerint az uniós polgárok 84% -a mondta, hogy bízik ebben az orvosi szakmában, de a válaszadók csak 42% -a tudta annak szükségessége, hogy megadják hozzájárulását ahhoz, hogy valaki felhasználja személyes adataikat, valamint joguk van tiltakozni ezen adatok bizonyos felhasználásaival szemben.
Különböző közvélemény-kutatások vagy tudományos tanulmányok azt mutatják, hogy az adatok számítógépesítésének megjelenése óta a 2000-es évek elején a nyilvánosság készen áll az orvosi nyilvántartások számítógépesítésének elfogadására, de általában továbbra is fennmarad, és földrajzi, etnikai vagy nemi származás szerint alig különböztethető meg. , nagyon aggódik a magánélet és a személyes adatok védelme miatt. Így 2014-ben "tíz európaiak közül kilenc (92%) azt mondja, hogy aggódnak a mobilalkalmazások (App) miatt, amelyek valószínűleg beleegyezésük nélkül gyűjtenék adataikat", és "tízből hét európait aggaszt a vállalatok lehetséges felhasználása a nyilvánosságra hozott információk ” .
Egy 2013-ban közzétett észak-amerikai tanulmány szerint a megkérdezett nyilvánosság mindenekelőtt a felhasználó vagy a megosztott információk többé-kevésbé érzékeny jellege mellett azt akarta tudni, hogy konkrétan mit fognak tenni ezekkel a személyes adatokkal.
Egy másik, 2013-ból készült tanulmány azt mutatja, hogy az anonimizálás „szemcséje” (bizonyos értelemben elmosódás mértéke) szintén aggasztja a lakosságot.
Az egészségügy terén, miközben az orvostudomány számítógépesítése gyorsan fejlődik, a nyilvánosság elismeri az anonimizált adatokhoz való hozzáférés fontosságát az alapellátásért felelős egészségügyi személyzet és maga a beteg számára, de aggodalmát fejezi ki ezen adatok jó anonimizálása mellett, másodlagos célokra felhasználható. Az orvosi információk tulajdonjoga nem mindig egyértelmű.
Egy 2004-es felmérés, amelynek fókuszcsoportjai orvosi személyzetet és néhány nem egészségügyi személyzetet érintettek az angol közösségi egészségügyi tanácsokból, azt mutatta, hogy nem lehet eleve feltételezni, hogy az angol közvélemény elfogadja-e az orvosi akták tartalmának felhasználását a beteg előzetes nélkül. beleegyezés. Valamennyi támogatott kutatás ezen adatokon alapul, de aggodalmát fejezi ki az orvosi nyilvántartásokból a beteg beleegyezése nélküli adatgyűjtésből eredő indokolatlan terjesztés kockázata miatt (az adatgyűjtés a tisztelet hiányának következménye, amelyet a beteg kontrolljának elvesztése okozott) . A tanulmány szempontjából megkérdezett csoportokban az illetéktelen külső szervek személyes adatokhoz való hozzáférése általános gondot jelentett. És a legfontosabb adatközlők megmutatták magukat, hogy kritikusabban viszonyulnak a forgatókönyvekhez, és kevésbé fogadják el a sodródás kockázatát.
Ezért az anonimizálást figyelembe kell venni az ellátás és az orvosi politika, valamint a klinikai vizsgálatok, különösen a gyógyszerek tervezése során, és különösen az orvosi kutatásra szánt adatbázisok létrehozása során.