Odpowiedź na recenzję
Transkrypt
Odpowiedź na recenzję
e-prywatno±¢ w platformie do prowadzenia konsultacji spoªecznych realizowanej w projekcie W dialogu Piotr Andruszkiewicz 17 listopada 2015 Wprowadz¡j¡c narz¦dzia informatyczne, które maj¡ sªu»y¢ mieszka«com, nale»y mie¢ na uwadze, jak»e wa»n¡ w dobie spoªecze«stwa informacyjnego, e-prywatno±¢ [1]. Jest to wyj¡tkowo istotne w przypadku wykorzystywania tego typu narz¦dzi przez organizacje rz¡dowe [2]. Platforma do prowadzenia konsultacji spoªecznych realizowana w ramach projektu W dialogu ma sªu»y¢ i pomaga¢ urz¦dom miast w procesie realizowania takich konsultacji. Niezwykle wa»n¡ rol¦ e-prywatno±ci podkre±la Coleman [3] i wymienia trzy sposoby interpretowania e-prywatno±ci: 1. prywatno±¢ u»ytkownika u»ytkownik, mieszkaniec w przypadku konsultacji spoªecznych nie mo»e zosta¢ zidentykowany, tzn. nie powinno by¢ mo»liwo±¢i ustalenia danych personalnych, np. adresu, u»ytkownika za- bieraj¡cego gªos w konsultacjach spoªecznych. 2. prywatno±¢ danych dane dostarczane przez u»ytkowników powinny by¢ agregowane, a indywidualne warto±ci przekazywane przez u»ytkowników powinny by¢ anonimizowane. 3. prywatno±¢ usªugi usªugodawca powinnien zawrze¢ jasny i zrozumiaªy, tak»e nieªami¡cy prawa, kontrakt dotycz¡cy zbierania i pó¹niejszego wykorzystywania danych. Wedªug Colemana do efektywnego dziaªania narz¦dzia informatycznego wspomagaj¡cego komunikacj¦ instytucji rz¡dowych i mieszka«ców potrzebne jest wdro»enie co najniej jednej interpretacji e-prywatno±ci [3]. Rozpoczynaj¡c dyskusj¦ na temat e-prywatno±ci w odniesieniu do platformy do prowadzenia konsultacji spoªecznych realizowanej w ramach projektu W dia- logu, nale»y zaznaczy¢, »e ka»dy u»ytkownik, równie» urz¦dnik, posiada¢ b¦dzie swoje odr¦bne i po±wiadczone konto, do którego b¦dzie musiaª si¦ zalogowa¢, aby przygotowa¢ debat¦ b¡d¹ bra¢ w niej udziaª. Uprawnienia danego u»ytkownika zale»ne s¡ od peªnionej roli. Rozpatruj¡c pierwsz¡ interpretacj¦ e-prywatno±ci w kontek±cie platformy do prowadzenia konsultacji spoªecznych realizowanej w ramach projektu W dialogu, nale»y zwróci¢ uwag¦ na proces rejestracji. U»ytkownik podczas rejestracji mo»e poda¢, nie jest to obowi¡zkowe, dane o sobie, które stanowi¢ b¦d¡ jego prol, np. data urodzenia, miejsce zamieszkania, i posªu»¡ do wyboru danego mieszka«ca do konkretnej konsultacji spoªecznej zgodnie z jej warunkami, np. 1 kosultacja spoªeczna mo»e dotyczy¢ mieszka«ców konkretnej dzielnicy. Dane podawane przez u»ytkownika podczas rejestracji (prol u»ytkownika) s¡ odizolowane od danych zawieraj¡cych tre±¢ debat i wyniki ankiet; znajduj¡ si¦ one w innych tabelach bazy danych. Dost¦p do danych rejestracyjnych posiadaj¡ tylko wybrani urz¦dnicy. Dost¦p ten jest niezb¦dny, aby mogli oni wybra¢ do konsultacji mieszka«ców zgodnie z zaªo»onymi kryteriami i wysªa¢ zaproszenia. Przykªadowymi kryteriami mo»e by¢ peªnoletno±¢ i zamieszkiwanie w okre±lonej dzielnicy. Mieszkaniec natomiast ma jedynie dost¦p do wªasnych danych rejestracyjnych. Uczestnicy konsultacji przeprowadzanej przy u»yciu platformy nie s¡ anonimowi z punktu widzenia pozostaªych uczestników, tzn. identykowani s¡ po- przez pseudonim (ang. nick) b¡d¹ imi¦ i nazwisko, ewentualnie imi¦ i pierwsz¡ liter¦ nazwiska. Wyboru wariantu identykacji uczestników dokonuje urz¦dnik, bior¡c pod uwag¦ liczno±¢ uczestników debaty i ustalaj¡¢ j¡ w ten sposób, aby nie byªo mo»liwe wywnioskowanie danych osobowych konkretnego uczestnika, np. jego adresu. Podczas prowadzenia debat tekstowych i gªosowych, podobnie jak w przypadku debat bezpo±rednich, uczestnicy tak»e musz¡ sami kontrolowa¢ informacje o sobie, które dostarczaj¡. Urz¦dnicy prowadz¡cy konsultacje spoªeczne przy u»yciu platformy nie b¦d¡ w stanie zapobiec sytuacjom, w których uczestnik ±wiadomie b¡d¹ nie±wiadomie poda swoje dane osobiste do wiadomo±ci pozostaªych uczestników. Przypadek ten jest sytuacj¡ analogiczn¡ do zdarze«, które mog¡ mie¢ miejsce podczas prowadzenia debaty bezpo±redniej, np. uczestnik debaty mo»e stwierdzi¢: A ja mieszkam na ulicy Kubusia Puchatka 23 i tam kolor kamienicy jest przepi¦kny, bo ªososiowy. Podsumowuj¡c powy»sze rozwa»ania, platforma realizuje postulaty pierwszej interpretacji e-prywatno±ci, a wi¦c speªnia kryteria efektywno±ci wg Colemana. W przypadku prywatno±ci danych platforma realizuje ten postulat m.in. poprzez brak odniesienia indywidualnych danych przekazywanych przez u»ytkownika w ankietach do danych rejestracyjnych. Podobnie brak jest dost¦pnego dla uczestników debat poª¡czenia wypowiedzi uczestników debat z danymi rejestracyjnymi. Gromadzone wypowiedzi przypisane s¡ jedynie do uczestnika debaty, do którego danych rejestracyjnych pozostali uczestnicy nie maj¡ dost¦pu. Detaliczne wyniki ankiet dost¦pne s¡ tylko urz¦dnikom peªni¡cym odpowiednie role. A upubliczniane przez urz¦dników b¦d¡ jedynie zagregowane wyniki ankiet, co powoduje, »e indywidualne dane dostarczone przez u»ytkownika nie s¡ upubliczniane. Aby zwi¦kszy¢ poziom e-prywatno±ci mo»na tak»e zastosowa¢ techniki zapewniania prywatno±ci stosowane w eksploracji danych (ang. data mining). Coleman w [3] w ramach istotnej dla e-prywatno±ci literatury wymienia publikacj¦ [4] prezentuj¡c¡ jedn¡ z technik zapewniania prywatno±ci w eksploracji danych. Technika ta nale»y do grupy technik kryptogracznych zapewniania prywatno±ci w eksploracji danych [5, 6, 7, 8]. Charakteryzuj¡ si¦ one wyst¦powaniem kilku wªa±cicieli danych, w przypadku konsultacji spoªecznych byliby to uczestnicy tych konsultacji, którzy chc¡ zbudowa¢ model statystyczny na podstawie posiadanych danych bez przekazywania ich innym stronom w jawny sposób. Taki proces przy ka»dorazowym wyliczeniu zdeniowanych wcze±niej statystyk wymaga uczestnictwa wªa±cicieli danych (tutaj uczestników konsultacji) w procesie oblicze«. Przy stosowaniu tego typu technik mo»liwe byªoby wyliczenie zdeniowanych wcze±niej statystyk w jednej rundzie oblicze«. Natomiast, aby wyliczy¢ dodatkowe statystyki, a taka sytuacja zdarza si¦ niemal»e 2 zawsze w pracy analityka opisuj¡cego rezultaty bada«, nale»aªoby przeprowadzi¢ proces zbierania danych ponownie, co w wielu przypadkach b¦dzie bardzo utrudnione b¡d¹ niemo»liwe, bior¡c pod uwag¦ liczb¦ osób bior¡cych udziaª w konsultacjach spoªecznych. W przypadku gromadzenia danych w scenariuszu ankietowym lepiej sprawdzaj¡ si¦ techniki zapewniania prywatno±ci danym scentralizowanym [9, 10, 11]. Proces gromadzenia danych z wykorzystaniem tych technik w uproszczeniu przebiega nast¦puj¡co: u»ytkownik wprowadza dane do aplikacji, aplikacja zakªóca indywidualne dane podane przez u»ytkownika i te zakªócone dane wysyªa na serwer, gdzie s¡ one centralnie skªadowane. W ten sposób u»ytkownik nie przekazuje swoich indywidualnych danych a jedynie zakªócone dane, a administrator danych mo»e wielokrotnie wylicza¢ na zgromadzonych danych potrzebne statystyki i realizowa¢ zadania eksploracji danych. Wad¡ technik zapewniania prywatno±ci danym scentralizowanym, w szczególno±ci tych opartych na randomizacji, jest spadek jako±ci uzyskiwanych rezultatów wraz ze wzrostem wprowadzanego poziomu prywatno±ci, zwany kompromisem pomi¦dzy prywatno±ci¡ a jako±ci¡ [12]. Obie wymienione grupy zapewniania prywatno±ci, kryptograczna i operuj¡ca na danych scentralizowanych, stosowane s¡ dla danych numerycznych. Jednak»e w przypadku platformy dane tekstowe b¦d¡ zapisami debat gªosowych b¡d¹ tekstowych, które z zaªo»enia maj¡ by¢ dost¦pne dla innych uczestników konsultacji. Analizuj¡c prywatno±¢ danych w kontek±cie platformy, mo»na stwierdzi¢, »e realizuje ona podstawowe postulaty e-prywatno±ci w odniesieniu do danych. Natomiast mo»na by byªo wyposa»y¢ j¡ w dodatkowe techniki zwi¦kszaj¡ce poziom prywatno±ci. W przypadku prywatno±ci usªugi strona dostarczaj¡ca narz¦dzia informatycznego powinna zawrze¢ z u»ytkownikami jasny, zgodny z przepisami kontrakt dotycz¡cy zasad gromadzenia i pó¹niejszego wykorzystania danych. Platforma informuje u»ytkownika o tych zasadach, przestawiaj¡c mu podczas rejestracji regulamin, który u»ytkownik musi zaakceptowa¢. Pozwala wi¦c na zawarcie jasnego kontraktu dotycz¡cego gromadzenia i pó¹niejszego wykorzystania danych. Zasady zawarte w takim regulaminie pozotaj¡ ju» w gestii urz¦dów prowadz¡cych konsultacje spoªeczne z wykorzystaniem platformy. Podobnie jak przygotowywanie rocznych raportów szczegóªowo opisuj¡cych kroki jakie podj¦ªy urz¦dy w celu zapewnienia prywatno±ci u»ytkowników systemu oraz dziaªa« podj¦tych w przypadku wyst¡pienia ewentualnych narusze« tej prywatno±ci. Podsumowuj¡c, platforma do prowadzenia konsultacji spoªecznych realizowana w ramach projektu W dialogu realizuje postulaty prywatno±ci u»ytkownika oraz serwisu. Wypeªnia tak»e podstawowe zasady prywatno±ci danych. Umo»liwia to wi¦c realizacj¦, konstulacji spoªecznych z wykorzystaniem wspomnianej platformy przy zachowaniu e-prywatno±ci. Literatura [1] Rezgui, A., Ouzzani, M., Bouguettaya, A., Medjahed, B.: Preserving privacy in web services. In: Proceedings of the 4th International Workshop on Web Information and Data Management. WIDM '02, New York, NY, USA, ACM (2002) 5662 3 [2] Hiller, J.S., Bélanger, F.: Privacy strategies for electronic government. In: E-government 2001, Rowman & Littkeeks Publishers INC, Citeseer (2001) [3] Coleman, S.: In dialogue some observations on a new platform for local government online consultations [4] Patsakis, C., Laird, P., Clear, M., Bouroche, M., Solanas, A.: Interoperable privacy-aware e-participation within smart cities. Computer 48(1) (Jan 2015) 5258 [5] Kapoor, V., Poncelet, P., Trousset, F., Teisseire, M.: Privacy preserving sequential pattern mining in distributed databases. In: CIKM. (2006) 758 767 [6] Jagannathan, G., Pillaipakkamnatt, K., Wright, R.N.: A new privacy- preserving distributed k-clustering algorithm. In: SDM. (2006) [7] Kantarcioglu, M., Clifton, C.: Privacy-preserving distributed mining of association rules on horizontally partitioned data. In: DMKD. (2002) [8] Hussein, M., El-Sisi, A., Ismail, N.A.: Fast cryptographic privacy prese- rving association rules mining on distributed homogenous data base. In: KES (2). (2008) 607616 [9] Agrawal, R., Srikant, R.: Privacy-preserving data mining. In: SIGMOD Conference. (2000) 439450 [10] Rizvi, S.J., Haritsa, J.R.: Maintaining data privacy in association rule mining. In: VLDB '02: Proceedings of the 28th international conference on Very Large Data Bases, VLDB Endowment (2002) 682693 [11] Xia, Y., Yang, Y., Chi, Y., Muntz, R.R.: non-uniform privacy concerns. Mining association rules with Technical Report CSD-TR No. 040015, ftp://ftp.cs.ucla.edu/tech-report/2004-reports/040015.pdf, UCLA (2004) [12] Agrawal, S., Krishnan, V., Haritsa, J.R.: On addressing eciency concerns in privacy preserving data mining. CoRR cs.DB/0310038 (2003) 4