Odpowiedź na recenzję

e-prywatno±¢ w platformie do prowadzenia
konsultacji spoªecznych realizowanej w projekcie
W dialogu
Piotr Andruszkiewicz
17 listopada 2015
Wprowadz¡j¡c narz¦dzia informatyczne, które maj¡ sªu»y¢ mieszka«com,
nale»y mie¢ na uwadze, jak»e wa»n¡ w dobie spoªecze«stwa informacyjnego,
e-prywatno±¢ [1].
Jest to wyj¡tkowo istotne w przypadku wykorzystywania
tego typu narz¦dzi przez organizacje rz¡dowe [2].
Platforma do prowadzenia
konsultacji spoªecznych realizowana w ramach projektu W dialogu ma sªu»y¢
i pomaga¢ urz¦dom miast w procesie realizowania takich konsultacji. Niezwykle wa»n¡ rol¦ e-prywatno±ci podkre±la Coleman [3] i wymienia trzy sposoby
interpretowania e-prywatno±ci:
1. prywatno±¢ u»ytkownika u»ytkownik, mieszkaniec w przypadku konsultacji spoªecznych nie mo»e zosta¢ zidentykowany, tzn. nie powinno by¢
mo»liwo±¢i ustalenia danych personalnych, np.
adresu, u»ytkownika za-
bieraj¡cego gªos w konsultacjach spoªecznych.
2. prywatno±¢ danych dane dostarczane przez u»ytkowników powinny by¢
agregowane, a indywidualne warto±ci przekazywane przez u»ytkowników
powinny by¢ anonimizowane.
3. prywatno±¢ usªugi usªugodawca powinnien zawrze¢ jasny i zrozumiaªy,
tak»e nieªami¡cy prawa, kontrakt dotycz¡cy zbierania i pó¹niejszego wykorzystywania danych.
Wedªug Colemana do efektywnego dziaªania narz¦dzia informatycznego wspomagaj¡cego komunikacj¦ instytucji rz¡dowych i mieszka«ców potrzebne jest
wdro»enie co najniej jednej interpretacji e-prywatno±ci [3].
Rozpoczynaj¡c dyskusj¦ na temat e-prywatno±ci w odniesieniu do platformy
do prowadzenia konsultacji spoªecznych realizowanej w ramach projektu W dia-
logu, nale»y zaznaczy¢, »e ka»dy u»ytkownik, równie» urz¦dnik, posiada¢ b¦dzie
swoje odr¦bne i po±wiadczone konto, do którego b¦dzie musiaª si¦ zalogowa¢,
aby przygotowa¢ debat¦ b¡d¹ bra¢ w niej udziaª. Uprawnienia danego u»ytkownika zale»ne s¡ od peªnionej roli.
Rozpatruj¡c pierwsz¡ interpretacj¦ e-prywatno±ci w kontek±cie platformy do
prowadzenia konsultacji spoªecznych realizowanej w ramach projektu W dialogu,
nale»y zwróci¢ uwag¦ na proces rejestracji. U»ytkownik podczas rejestracji mo»e
poda¢, nie jest to obowi¡zkowe, dane o sobie, które stanowi¢ b¦d¡ jego prol, np.
data urodzenia, miejsce zamieszkania, i posªu»¡ do wyboru danego mieszka«ca
do konkretnej konsultacji spoªecznej zgodnie z jej warunkami, np.
1
kosultacja
spoªeczna mo»e dotyczy¢ mieszka«ców konkretnej dzielnicy.
Dane podawane
przez u»ytkownika podczas rejestracji (prol u»ytkownika) s¡ odizolowane od
danych zawieraj¡cych tre±¢ debat i wyniki ankiet; znajduj¡ si¦ one w innych
tabelach bazy danych. Dost¦p do danych rejestracyjnych posiadaj¡ tylko wybrani urz¦dnicy. Dost¦p ten jest niezb¦dny, aby mogli oni wybra¢ do konsultacji
mieszka«ców zgodnie z zaªo»onymi kryteriami i wysªa¢ zaproszenia. Przykªadowymi kryteriami mo»e by¢ peªnoletno±¢ i zamieszkiwanie w okre±lonej dzielnicy.
Mieszkaniec natomiast ma jedynie dost¦p do wªasnych danych rejestracyjnych.
Uczestnicy konsultacji przeprowadzanej przy u»yciu platformy nie s¡ anonimowi z punktu widzenia pozostaªych uczestników, tzn.
identykowani s¡ po-
przez pseudonim (ang. nick) b¡d¹ imi¦ i nazwisko, ewentualnie imi¦ i pierwsz¡
liter¦ nazwiska. Wyboru wariantu identykacji uczestników dokonuje urz¦dnik,
bior¡c pod uwag¦ liczno±¢ uczestników debaty i ustalaj¡¢ j¡ w ten sposób, aby
nie byªo mo»liwe wywnioskowanie danych osobowych konkretnego uczestnika,
np. jego adresu.
Podczas prowadzenia debat tekstowych i gªosowych, podobnie jak w przypadku debat bezpo±rednich, uczestnicy tak»e musz¡ sami kontrolowa¢ informacje o sobie, które dostarczaj¡. Urz¦dnicy prowadz¡cy konsultacje spoªeczne przy
u»yciu platformy nie b¦d¡ w stanie zapobiec sytuacjom, w których uczestnik
±wiadomie b¡d¹ nie±wiadomie poda swoje dane osobiste do wiadomo±ci pozostaªych uczestników. Przypadek ten jest sytuacj¡ analogiczn¡ do zdarze«, które
mog¡ mie¢ miejsce podczas prowadzenia debaty bezpo±redniej, np.
uczestnik
debaty mo»e stwierdzi¢: A ja mieszkam na ulicy Kubusia Puchatka 23 i tam
kolor kamienicy jest przepi¦kny, bo ªososiowy.
Podsumowuj¡c powy»sze rozwa»ania, platforma realizuje postulaty pierwszej
interpretacji e-prywatno±ci, a wi¦c speªnia kryteria efektywno±ci wg Colemana.
W przypadku prywatno±ci danych platforma realizuje ten postulat m.in. poprzez brak odniesienia indywidualnych danych przekazywanych przez u»ytkownika w ankietach do danych rejestracyjnych. Podobnie brak jest dost¦pnego dla
uczestników debat poª¡czenia wypowiedzi uczestników debat z danymi rejestracyjnymi. Gromadzone wypowiedzi przypisane s¡ jedynie do uczestnika debaty,
do którego danych rejestracyjnych pozostali uczestnicy nie maj¡ dost¦pu.
Detaliczne wyniki ankiet dost¦pne s¡ tylko urz¦dnikom peªni¡cym odpowiednie role. A upubliczniane przez urz¦dników b¦d¡ jedynie zagregowane wyniki
ankiet, co powoduje, »e indywidualne dane dostarczone przez u»ytkownika nie
s¡ upubliczniane.
Aby zwi¦kszy¢ poziom e-prywatno±ci mo»na tak»e zastosowa¢ techniki zapewniania prywatno±ci stosowane w eksploracji danych (ang.
data mining).
Coleman w [3] w ramach istotnej dla e-prywatno±ci literatury wymienia publikacj¦ [4] prezentuj¡c¡ jedn¡ z technik zapewniania prywatno±ci w eksploracji
danych.
Technika ta nale»y do grupy technik kryptogracznych zapewniania
prywatno±ci w eksploracji danych [5, 6, 7, 8]. Charakteryzuj¡ si¦ one wyst¦powaniem kilku wªa±cicieli danych, w przypadku konsultacji spoªecznych byliby
to uczestnicy tych konsultacji, którzy chc¡ zbudowa¢ model statystyczny na
podstawie posiadanych danych bez przekazywania ich innym stronom w jawny
sposób.
Taki proces przy ka»dorazowym wyliczeniu zdeniowanych wcze±niej
statystyk wymaga uczestnictwa wªa±cicieli danych (tutaj uczestników konsultacji) w procesie oblicze«. Przy stosowaniu tego typu technik mo»liwe byªoby
wyliczenie zdeniowanych wcze±niej statystyk w jednej rundzie oblicze«. Natomiast, aby wyliczy¢ dodatkowe statystyki, a taka sytuacja zdarza si¦ niemal»e
2
zawsze w pracy analityka opisuj¡cego rezultaty bada«, nale»aªoby przeprowadzi¢ proces zbierania danych ponownie, co w wielu przypadkach b¦dzie bardzo
utrudnione b¡d¹ niemo»liwe, bior¡c pod uwag¦ liczb¦ osób bior¡cych udziaª w
konsultacjach spoªecznych.
W przypadku gromadzenia danych w scenariuszu ankietowym lepiej sprawdzaj¡ si¦ techniki zapewniania prywatno±ci danym scentralizowanym [9, 10, 11].
Proces gromadzenia danych z wykorzystaniem tych technik w uproszczeniu przebiega nast¦puj¡co: u»ytkownik wprowadza dane do aplikacji, aplikacja zakªóca
indywidualne dane podane przez u»ytkownika i te zakªócone dane wysyªa na
serwer, gdzie s¡ one centralnie skªadowane. W ten sposób u»ytkownik nie przekazuje swoich indywidualnych danych a jedynie zakªócone dane, a administrator danych mo»e wielokrotnie wylicza¢ na zgromadzonych danych potrzebne
statystyki i realizowa¢ zadania eksploracji danych. Wad¡ technik zapewniania
prywatno±ci danym scentralizowanym, w szczególno±ci tych opartych na randomizacji, jest spadek jako±ci uzyskiwanych rezultatów wraz ze wzrostem wprowadzanego poziomu prywatno±ci, zwany kompromisem pomi¦dzy prywatno±ci¡
a jako±ci¡ [12].
Obie wymienione grupy zapewniania prywatno±ci, kryptograczna i operuj¡ca na danych scentralizowanych, stosowane s¡ dla danych numerycznych.
Jednak»e w przypadku platformy dane tekstowe b¦d¡ zapisami debat gªosowych
b¡d¹ tekstowych, które z zaªo»enia maj¡ by¢ dost¦pne dla innych uczestników
konsultacji.
Analizuj¡c prywatno±¢ danych w kontek±cie platformy, mo»na stwierdzi¢,
»e realizuje ona podstawowe postulaty e-prywatno±ci w odniesieniu do danych.
Natomiast mo»na by byªo wyposa»y¢ j¡ w dodatkowe techniki zwi¦kszaj¡ce
poziom prywatno±ci.
W przypadku prywatno±ci usªugi strona dostarczaj¡ca narz¦dzia informatycznego powinna zawrze¢ z u»ytkownikami jasny, zgodny z przepisami kontrakt
dotycz¡cy zasad gromadzenia i pó¹niejszego wykorzystania danych. Platforma
informuje u»ytkownika o tych zasadach, przestawiaj¡c mu podczas rejestracji
regulamin, który u»ytkownik musi zaakceptowa¢. Pozwala wi¦c na zawarcie jasnego kontraktu dotycz¡cego gromadzenia i pó¹niejszego wykorzystania danych.
Zasady zawarte w takim regulaminie pozotaj¡ ju» w gestii urz¦dów prowadz¡cych konsultacje spoªeczne z wykorzystaniem platformy. Podobnie jak przygotowywanie rocznych raportów szczegóªowo opisuj¡cych kroki jakie podj¦ªy urz¦dy
w celu zapewnienia prywatno±ci u»ytkowników systemu oraz dziaªa« podj¦tych
w przypadku wyst¡pienia ewentualnych narusze« tej prywatno±ci.
Podsumowuj¡c, platforma do prowadzenia konsultacji spoªecznych realizowana w ramach projektu W dialogu realizuje postulaty prywatno±ci u»ytkownika
oraz serwisu. Wypeªnia tak»e podstawowe zasady prywatno±ci danych. Umo»liwia to wi¦c realizacj¦, konstulacji spoªecznych z wykorzystaniem wspomnianej
platformy przy zachowaniu e-prywatno±ci.
Literatura
[1] Rezgui, A., Ouzzani, M., Bouguettaya, A., Medjahed, B.: Preserving privacy in web services. In: Proceedings of the 4th International Workshop
on Web Information and Data Management. WIDM '02, New York, NY,
USA, ACM (2002) 5662
3
[2] Hiller, J.S., Bélanger, F.: Privacy strategies for electronic government. In:
E-government 2001, Rowman & Littkeeks Publishers INC, Citeseer (2001)
[3] Coleman, S.: In dialogue some observations on a new platform for local
government online consultations
[4] Patsakis, C., Laird, P., Clear, M., Bouroche, M., Solanas, A.: Interoperable
privacy-aware e-participation within smart cities.
Computer 48(1) (Jan
2015) 5258
[5] Kapoor, V., Poncelet, P., Trousset, F., Teisseire, M.:
Privacy preserving
sequential pattern mining in distributed databases. In: CIKM. (2006) 758
767
[6] Jagannathan, G., Pillaipakkamnatt, K., Wright, R.N.:
A new privacy-
preserving distributed k-clustering algorithm. In: SDM. (2006)
[7] Kantarcioglu, M., Clifton, C.:
Privacy-preserving distributed mining of
association rules on horizontally partitioned data. In: DMKD. (2002)
[8] Hussein, M., El-Sisi, A., Ismail, N.A.:
Fast cryptographic privacy prese-
rving association rules mining on distributed homogenous data base. In:
KES (2). (2008) 607616
[9] Agrawal, R., Srikant, R.:
Privacy-preserving data mining. In: SIGMOD
Conference. (2000) 439450
[10] Rizvi, S.J., Haritsa, J.R.:
Maintaining data privacy in association rule
mining. In: VLDB '02: Proceedings of the 28th international conference
on Very Large Data Bases, VLDB Endowment (2002) 682693
[11] Xia, Y., Yang, Y., Chi, Y., Muntz, R.R.:
non-uniform privacy concerns.
Mining association rules with
Technical Report CSD-TR No. 040015,
ftp://ftp.cs.ucla.edu/tech-report/2004-reports/040015.pdf, UCLA (2004)
[12] Agrawal, S., Krishnan, V., Haritsa, J.R.: On addressing eciency concerns
in privacy preserving data mining. CoRR cs.DB/0310038 (2003)
4