Anonimizirani podatki niso zelo anonimizirani
Matej Huš
3. feb 2020 ob 23:56:38
Ob vsakem odkritju, da različna podjetja prodajajo ali kako drugače naprej posredujejo podatke svojih strank (zadnji primer je Avast), ta jamejo poudarjati, da gre za anonimizirane agregirane podatke, iz katerih ni možno prepoznati posameznikov. A resnica je nekoliko drugačna. Študenta na Harvardu sta pokazala, da anonimizacija ni enosmerna. V veliko primerih je sorazmerno enostavno iz drobcev informacij identificirati njihovega lastnika.
Kian Attari in Dasha Metropolitansky sta to demonstrirala tudi v praksi. Izdelala sta orodje, ki se prekoplje skozi večje količine uporabniških podatkov. Za začetek je treba poznati drobec osebnih podatkov, denimo uporabniško ime ali elektronski naslov, nato pa orodje prečeše internet in vse pobegle kopice podatkov. Teh ne manjka, saj so napadalci v preteklosti uspešno napadli že številne strani. Čeprav je veliko teh podatkov anonimiziranih, v njih ni težko prepoznati resničnih ljudi. Ključ je v kombinaciji več pobeglih baz podatkov, saj se tako da izdelati zelo podrobna slika o posamezniku. Njuno orodje zbira 69 spremenljivk, denimo naslov, telefonsko številko, število otrok in volilne preference.
Četudi neko podjetje tretjim strankam prodaja anonimizirane podatke, jih v številnih primerih ni težko povezati z osebnimi podatki, ki se veljajo nekje drugje na internetu. To ni prva tovrstna študija, saj so že v preteklosti raziskovalci ugotavljali isto.