ES2911288T3 - Un método para anonimización de datos recopilados dentro de una red de comunicación móvil - Google Patents

Un método para anonimización de datos recopilados dentro de una red de comunicación móvil Download PDF

Info

Publication number
ES2911288T3
ES2911288T3 ES14789796T ES14789796T ES2911288T3 ES 2911288 T3 ES2911288 T3 ES 2911288T3 ES 14789796 T ES14789796 T ES 14789796T ES 14789796 T ES14789796 T ES 14789796T ES 2911288 T3 ES2911288 T3 ES 2911288T3
Authority
ES
Spain
Prior art keywords
data
location
event
static
subset
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES14789796T
Other languages
English (en)
Inventor
Jonathan Ukena-Bonfig
Philip Schöpf
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Telefonica Germany GmbH and Co OHG
Original Assignee
Telefonica Germany GmbH and Co OHG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Telefonica Germany GmbH and Co OHG filed Critical Telefonica Germany GmbH and Co OHG
Application granted granted Critical
Publication of ES2911288T3 publication Critical patent/ES2911288T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6254Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • H04L63/0421Anonymous communication, i.e. the party's identifiers are hidden from the other party or parties, e.g. using an anonymizer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/08Mobility data transfer
    • H04W8/16Mobility data transfer selectively restricting mobility data tracking
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Databases & Information Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Medical Informatics (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

Un método para anonimización de conjuntos de datos estáticos relacionados con abonados individuales de una red de comunicación móvil donde cada conjunto de datos estáticos consiste en diferentes atributos, donde un proveedor de datos comprende solo conjuntos de datos estáticos e identifica perfiles específicos derivables de un subconjunto predeterminado de los conjuntos de datos estáticos totales disponibles en el proveedor de datos y ya sea suprime uno o más atributos respectivos del subconjunto y/o clasifica/generaliza dos o más conjuntos de datos estáticos del subconjunto a un determinado grupo que tiene al menos un atributo coincidente, caracterizado porque el subconjunto está predeterminado por un agregador de datos que comprende solo datos de eventos de ubicación, con base en datos de eventos de ubicación ocurridos dentro de un período de tiempo relevante y/o en una sección geográfica relevante y el agregador de datos solicita el subconjunto al transmitir identificadores personales ofuscados, PID asociados a abonados que activaron los datos de eventos de ubicación dentro del período de tiempo relevante y/o en la sección geográfica relevante al proveedor de datos.

Description

DESCRIPCIÓN
Un método para anonimización de datos recopilados dentro de una red de comunicación móvil
La invención se refiere a un método para anonimización de datos de eventos recopilados dentro de una red y a un método para anonimización de datos de relación con el cliente de una red de comunicación móvil.
Los operadores de sistemas o redes arbitrarias, es decir, aplicados en el sector bancario, sector de salud pública, sector de telecomunicaciones, etc., registran los datos relacionados con el cliente, tal como información personal sobre sus clientes, datos de contacto y, opcionalmente, información de contrato. Por ejemplo, los datos incluyen atributos relacionados con el nombre, dirección, fecha de nacimiento, datos bancarios y muchos más del abonado. La recopilación de estos datos es necesaria para fines de administración, facturación o para mantenerlos disponibles para las autoridades. En lo siguiente estos datos se definen como datos de relación con el cliente (CRM) o datos estáticos. Además, estos sistemas/red pueden recopilar continuamente datos adicionales durante operación regular de sistema/red. La generación de los llamados datos de eventos se activa por la actividad de abonado que produce un cierto evento dentro del sistema o por el propio sistema. Un conjunto de datos de eventos incluye varios atributos que describen diferentes propiedades del evento activado, por ejemplo, una marca de tiempo, tipo de evento, etc. Estos conjuntos de datos de eventos están asociados con un identificador personal que permite la asignación del conjunto de datos de eventos generado a un cliente individual del sistema/red.
Una aplicación particular de este sistema es un sistema de comunicación móvil que permite comunicación entre dos o más abonados. Los operadores de sistemas de comunicación registran los datos relacionados con abonado, tal como información personal sobre los abonados, datos de contacto e información de contrato. Por ejemplo, los datos incluyen atributos relacionados con el nombre, dirección, fecha de nacimiento, datos bancarios y muchos más del abonado. La recopilación de estos datos es necesaria para fines de facturación o para mantenerlos disponibles para las autoridades. En lo siguiente estos datos se definen como datos de relación con el cliente (CRM) o datos estáticos.
Como conjuntos de datos de eventos, los proveedores de red recopilan continuamente datos adicionales llamados como datos de eventos de ubicación durante operación regular de red. Cada conjunto de datos de eventos de ubicación se relaciona con un evento específico de un abonado individual. Los eventos se pueden activar por un abonado/usuario, la red o de un dispositivo que no es de importancia para procesamiento adicional. El conjunto de datos incluye varios atributos tales como un atributo de evento que describe el tipo de evento, uno o más atributos de ubicación que identifican la ubicación geográfica donde este evento se activó por el abonado y una marca de tiempo que define la hora del evento. Estos conjuntos de datos de eventos de ubicación están asociados con un identificador personal que permite la asignación del conjunto de datos de eventos de ubicación a un abonado individual del sistema de comunicación. Debido a la retención de esta información, estos sistemas/redes, en particular los sistemas de comunicación móvil ofrecen la posibilidad de proporcionar información sobre los hábitos de abonado, en particular con respecto a los datos de ubicación durante un intervalo de tiempo definido. Estos datos se pueden usar para crear perfiles de ubicación para sitios geográficos o para derivar patrones dinámicos de movimiento de multitudes. En este contexto, la información podría ser útil para una amplia gama de aplicaciones en el ámbito de los servicios de tráfico, servicios de ciudades inteligentes, los servicios de optimización de infraestructura, servicios de información minorista, servicios de seguridad y muchos más. Por lo tanto, es deseable proporcionar la información generada en forma adecuada a las partes que se benefician de aplicaciones como las mencionadas anteriormente. Estas partes podrían incluir consejos locales, empresas de transporte público e infraestructura como proveedores de transporte público o proveedores de electricidad, minoristas, organizadores de eventos importantes u organismos de seguridad pública y muchos más usos y usuarios aún desconocidos.
Sin embargo, es obligatorio proporcionar esta información de manera anónima para proteger la privacidad de cada individuo, en particular cada cliente/abonado del sistema o red de comunicación móvil. En consecuencia, el proveedor del sistema/red de comunicación móvil que suministra los datos solo debe proporcionar información extraída de datos anónimos y agregados sin divulgar información personal. La divulgación de cualquier información personal está estrictamente prohibida, el rastreo e identificación de las personas se deben evitar en cualquier circunstancia.
Un atacante potencial puede identificar al abonado de los datos de eventos de ubicación generados simplemente al observar al abonado y un evento observable que es detectable para un espectador que observa debido a las acciones del propio abonado. Además, si muy pocos abonados de una red de comunicación móvil activan la generación de los datos de eventos de ubicación en un área geográfica pequeña, el abonado único se puede identificar por esta área geográfica pequeña, por ejemplo, si esta área caracteriza su lugar de residencia o trabajo.
Un escenario de ataque adicional podría ser la determinación de perfiles dinámicos a partir de patrones de comportamiento. La asociación de una pluralidad de datos de eventos de origen dinámico a un ID puede conducir a un perfil de evento único (por ejemplo, perfil de ubicación de evento). Cuanto más grande es el perfil y cuanto más largo permanece constante el ID, más completa (sensible) es la información que se recopila con respecto a un cierto ID. Al mismo tiempo, la probabilidad de encontrar información adicional incrementa (de fuentes de terceros), lo que permite asignar el perfil a un individuo específico. Por lo tanto, la derivación de un perfil dinámico afecta la desproporción entre el esfuerzo de reidentificación y la necesidad de protección (incrementa con el incremento de sensibilidad) de los datos. Otro escenario de ataque es la derivación de huellas dactilares estáticas de propiedades específicas de la persona. Si un solo ID tiene ciertas propiedades, que (individualmente o en combinación) son únicas, pueden surgir dos efectos: (a) Las propiedades permiten una referencia directa a los individuos sobre la base de conocimiento adicional apropiado o
(b) Las propiedades en sí mismas pueden constituir un identificador debido a su singularidad, donde el identificador permite la creación de perfiles dinámicos completos a pesar de un cambio regular del ID.
WO 2014/082648 es un ejemplo de técnica anterior dirigida a la anonimización de datos de abonado móvil.
Es el objeto de la invención proporcionar un método para la anonimización de datos recopilados o utilizados dentro de un sistema o red arbitraria, por ejemplo, una red de comunicación móvil, y que cada uno está relacionado con un cliente/abonado individual del sistema/red de comunicación móvil.
Un método para anonimización de datos de eventos recopilados dentro de un sistema o red que proporciona un servicio para abonados/clientes donde cada conjunto de datos de eventos se relaciona con un abonado/cliente individual del sistema/red e incluye al menos un atributo donde el método cuenta el número de conjuntos de datos de eventos relacionados con diferentes abonados individuales que tienen valores idénticos o casi idénticos para al menos un atributo. Se debe señalar que el atributo de expresión se utiliza en términos de una propiedad especificada del evento. El atributo podría significar una cierta categoría que puede tomar un cierto valor. Por ejemplo, un atributo de evento puede tomar diferentes valores que definen diferentes tipos de eventos.
Cada conjunto de datos de eventos consiste en uno o más atributos, por ejemplo, que contienen la hora cuando se llevó a cabo un evento, pero también pueden contener información sobre el tipo de evento. Cada conjunto de datos de eventos se relaciona con un cliente individual del sistema, en particular asociando el conjunto de datos con un identificador personal, específicamente con un identificador personal anónimo.
Por lo tanto, cada conjunto de datos de eventos describe un evento individual que se activó por un cliente específico del sistema/red. Para almacenamiento y suministro de estos datos recopilados, es obligatorio anonimizar suficientemente los datos para evitar cualquier identificación del cliente individual.
Por lo tanto, el método identifica ciertos valores de atributo con poca actividad.
Es decir, el método inventivo cuenta el número de eventos que tienen los mismos o casi los mismos valores para al menos un atributo y que se activan por diferentes clientes. Cuanto menor sea el número de eventos activados por diferentes clientes, mayor será el riesgo potencial de desanonimización, lo que significa que el número de clientes diferentes es significativo. Si el número de clientes diferentes incrementa, el esfuerzo para lograr una desanonimización debe ser significativamente mayor de lo que se va a ganar.
En un ejemplo preferido particular, el sistema/red es una red de comunicación móvil y los datos de eventos se refieren a un conjunto de datos de eventos recopilados dentro de la red de comunicación móvil. La red de comunicación móvil se puede llevar a cabo como una red de comunicación móvil de acuerdo con 2G, 3G o cualquier otra norma de comunicación móvil. De manera adicional o alternativa, la red de comunicación móvil se refiere a una red de área de ubicación inalámbrica.
Cada conjunto de datos de eventos de ubicación consiste en uno o más atributos que contienen al menos la hora cuando se llevó a cabo un evento, pero también pueden contener información sobre el lugar o el tipo de evento en la red de comunicación móvil. Al menos otro atributo se observa como un atributo de ubicación que define la ubicación donde ocurrió el evento. En ese caso, el conjunto de datos de eventos se especifica como un conjunto de datos de eventos de ubicación. Cada conjunto de datos de eventos de ubicación se relaciona con un abonado individual de la red de comunicación móvil, en particular al asociar el conjunto de datos con un identificador personal, específicamente con un identificador personal anónimo.
Por lo tanto, cada conjunto de datos de eventos de ubicación describe un evento individual que se activó por un abonado específico de la red de comunicación móvil. Para almacenamiento y suministro de estos datos recopilados, es obligatorio anonimizar suficientemente los datos para evitar cualquier identificación del abonado individual.
Por lo tanto, el método identifica ubicaciones con poca actividad. Es decir, el método inventivo cuenta el número de eventos que ocurren en un lugar determinado y que se activan por diferentes abonados. Cuanto menor sea el número de eventos activados por diferentes abonados, mayor será el riesgo potencial de desanonimización, lo que significa que el número de abonados diferentes es significativo. Si el número de abonados diferentes incrementa, el esfuerzo para lograr una desanonimización debe ser significativamente mayor de lo que se va a ganar.
Por razones de conveniencia, los aspectos preferidos posteriores del método inventivo se describen con base en un sistema de comunicación móvil y datos de eventos de ubicación como un cierto tipo de datos de eventos. Sin embargo, la presente invención no se debe limitar a la misma.
El método preferentemente ejecuta el monitoreo y recuento durante un cierto intervalo de tiempo y posteriormente reinicia el monitoreo y recuento en un nuevo intervalo de tiempo.
En un ejemplo preferido, el método descarta todos los conjuntos de datos de eventos de ubicación recopilados con eventos que ocurren en una determinada ubicación si el número contado de estos conjuntos de datos de eventos de ubicación relacionados con diferentes abonados es menor que un umbral definido después de un intervalo de tiempo definido. El umbral se definirá dinámicamente con el fin de lograr una buena relación entre el uso de los datos de eventos de ubicación y la anonimización suficiente de los datos de eventos de ubicación. Este umbral puede ser fijo, establecido de acuerdo con la situación o el uso de usuario o establecido dinámicamente de acuerdo con otras reglas, requisitos de eventos.
De manera alternativa, en un aspecto diferente del método, toda la información personalizada incluida en los conjuntos de datos de eventos de ubicación recopilados, en particular el identificador personal anónimo, se puede eliminar si el número contado es menor que un umbral definido. Al descartar toda la información personalizada incluida en los conjuntos de datos de eventos de ubicación, no es posible distinguir si un número determinado de eventos ocurridos en una determinada ubicación se ha activado por uno o más de un abonado.
En un ejemplo particular preferido, el método combina los conjuntos de datos de eventos de ubicación recopilados de diferentes ubicaciones si el número de al menos una ubicación es menor que un umbral definido. Este enfoque preferido particular mantiene una relación entre diferentes conjuntos de datos. Contrariamente al enfoque antes mencionado, ahora es determinable si ciertos eventos en ciertos lugares se han activado por diferentes abonados. Sin embargo, este enfoque preferido asegurará que los eventos en un lugar determinado se hayan activado por un número suficiente de abonados diferentes, evitando así un proceso de desanonimización fácil.
La fusión de los conjuntos de datos de eventos de ubicación de diferentes ubicaciones se puede realizar al reemplazar los atributos de ubicación de estos conjuntos de datos de eventos de ubicación por un atributo de ubicación generalizado. El número de conjuntos de datos de eventos de ubicación relacionados con diferentes abonados individuales se cuenta para una determinada ubicación donde la ubicación se puede definir como un área geográfica determinada. La fusión de los conjuntos de datos de eventos de ubicación se puede realizar al incrementar el área geográfica y/o incrementar del radio del área geográfica y/o incrementar la inexactitud del área o la decisión de si se produjo un evento con esta área. Además, los diferentes atributos de ubicación que describen áreas geográficas que son adyacentes entre sí se pueden combinar con un área geográfica más grande que incluye ambas áreas más pequeñas. Por lo tanto, los atributos de ubicación de los conjuntos de datos de eventos de ubicación combinados se reemplazan por esta área geográfica más grande. También es posible combinar áreas geográficas congenéricas que no están ubicadas adyacentes entre sí.
Al concentrar los conjuntos de datos de eventos de ubicación de ubicaciones adyacentes, incrementa el número de eventos relacionados con diferentes abonados. La fusión de ubicaciones adyacentes se debe repetir hasta que el número de abonados individuales que activan los conjuntos de datos de eventos de ubicación exceda el umbral definido. Se acepta una inexactitud limitada de la información de ubicación reemplazada debido a una anonimización más suficiente de los datos de eventos de ubicación.
Es concebible que solo se combinen conjuntos de datos de eventos de ubicación de ubicaciones con un número contado de conjuntos de datos de eventos de ubicación por debajo del umbral definido. Sin embargo, si el número deseado de conjuntos de datos de eventos de ubicación no se puede lograr solo fusionando estas ubicaciones, también podría ser posible fusionar una ubicación con un número de conjuntos de datos de eventos de ubicación por debajo del umbral definido con una ubicación con un número de conjuntos de datos de eventos de ubicación que exceden el umbral definido donde las áreas fusionadas pueden estar cada una por debajo del umbral establecido pero combinadas lo exceden.
La generación y recopilación de un conjunto de datos de eventos de ubicación se activa preferentemente por un abonado individual que solicita un servicio específico de la red de comunicación móvil. Por ejemplo, la solicitud de un servicio puede incluir la transmisión de un mensaje corto (SMS, MMS), una llamada telefónica entrante y/o saliente y una iniciación de una sesión de datos o similares. Un evento que se activa indirectamente por el abonado, por ejemplo, es un proceso de traspaso conocido que también generará un conjunto de datos de eventos de ubicación. Una terminal de abonado también puede iniciar un proceso de posicionamiento por sí misma, en particular con base en un receptor GPS y activado por una aplicación de teléfono inteligente, pero también utilizando otros métodos de ubicación tal como uso de Wi-Fi o celdas de red móvil, mediante actualizaciones periódicas de ubicación por parte de la red o búsqueda activa por parte de la red. Además, la terminal puede estar ubicada pasivamente por la red, por ejemplo, con base en la triangulación. Estos eventos también pueden generar datos de eventos de ubicación respectivos.
Los conjuntos de datos de eventos de ubicación incluyen un atributo de marca de tiempo que define el tiempo en el que ocurrió el evento. En caso de un evento visual, un atacante potencial podría comparar el evento observado en el mundo real con los conjuntos de datos de eventos de ubicación disponibles. Si el evento observado coincide con una marca de tiempo y un tipo de evento disponibles dentro de un conjunto de datos de eventos de ubicación, el identificador personal anónimo incluido es asignable a una determinada persona (aunque el identificador personal permanece anónimo/con hash). Por lo tanto, de acuerdo con un aspecto preferido de la invención, el atributo de marca de tiempo también está ofuscado, especialmente para tipos de eventos observables, pero la ofuscación también es posible para eventos no observables.
En un ejemplo preferido, la marca de tiempo se modifica redondeando la marca de tiempo o al añadir un intervalo de tiempo que a su vez se puede establecer aleatoriamente. Por lo tanto, un atacante potencial no puede asociar un evento visible a un conjunto de datos de eventos de ubicación específico con respecto a la marca de tiempo almacenada. En otro ejemplo preferido se pueden definir tipos de eventos, que se combinan en ciertas clases. Un atacante podría activar una pluralidad de eventos de un determinado tipo de cierta manera (por ejemplo, en un patrón temporal), por ejemplo, se activa una transmisión de quince SMS donde cada uno se envía en un espacio de siete minutos y siete segundos entre sí. Este patrón de comportamiento puede ser rastreable en la base de datos. Mediante una combinación adecuada de ciertos tipos de eventos en clases, se pueden prevenir estos escenarios de ataque. Por ejemplo, todos los eventos (recepción SMS, entrada de llamadas, etc.) que se pueden activar por terceros se pueden combinar en una clase común que incrementa el esfuerzo de un atacante para rastrear patrones de comportamiento respectivos dentro de la base de datos.
La presente invención también se refiere a un método para anonimización de datos estáticos relacionados con abonados individuales de una red de comunicación móvil con una combinación de características de acuerdo con la reivindicación 1.
Las realizaciones preferidas son materia objeto de las reivindicaciones dependientes.
De acuerdo con la invención, cada conjunto de datos estáticos, también señalados como datos de clase de cliente (CCD), consiste en diferentes atributos que se refieren a información personal sobre el abonado. La información contenida en un único conjunto de datos se define por lo tanto por la combinación de los diferentes atributos que se refieren a información personal y otros atributos no personales. El método inventivo asegura que el número de casos de conjuntos de datos con información personal idéntica (es decir, combinación idéntica de atributos con información personal) sea mayor que un umbral configurable. Esto se puede lograr mediante el uso de una implementación de kanonimato. La implementación general del k-anonimato se propuso por P. Samarati y L. Sweeney. En este contexto, se hace referencia a P. Samarati y L. Sweeney, "Generalizing Data to provide Anonymy When Disclosuring Information", Proceedings of the 17enth ACM SIGACT-SIGMOD-SIGART symposium on Principles of Database Systems, págs. 188, 1998 (ACM).
Por lo tanto, el método inventivo aplica k-anonimato para anonimización de datos estáticos relacionados con abonados individuales de una red de comunicación móvil al ya sea suprimir valores de atributo particulares o mediante generalización de valores de atributo, lo que significa de manera efectiva que los conjuntos de datos se transforman para mantener información menos específica.
Por lo tanto, los valores de al menos un tipo de atributo se reemplazan por valores generales. La selección de atributos que se van a generalizar, es decir, clasificados, se puede considerar en un orden jerárquico, por ejemplo clasificación de todos los atributos con respecto a un tiempo se realiza primero. Si el requisito con respecto a la desanonimización no se cumple, la clasificación se aplica a un tipo diferente de atributos, por ejemplo, relacionados con información de ubicación o evento. También es posible tener un orden jerárquico para clasificación dentro de un cierto tipo de atributo. Por ejemplo, la inexactitud de la información de ubicación de un atributo de ubicación se incrementa en pasos. La información de ubicación se puede proporcionar mediante un identificador de celda y reemplazarse por un código postal de varios dígitos. Para incrementar aún más la inexactitud de esta información de ubicación, el código postal se puede reducir a un menor número de dígitos.
El proceso de clasificación se realiza preferentemente al reemplazar un cierto atributo de dos o más conjuntos de datos estáticos con un atributo común generalizado. El paso de clasificación se realiza además preferentemente hasta que el número de conjuntos de datos estáticos de cada grupo exceda un umbral definido.
Es posible que al menos un atributo del conjunto de datos estáticos se relacione con el género o la fecha de nacimiento o la edad o la profesión o el lugar de residencia de un abonado individual de la red de comunicación móvil.
La clasificación se puede hacer al generalizar varias fechas de nacimiento de diferentes abonados a un intervalo de tiempo específico que incluye las diferentes fechas de nacimiento. Además, el atributo que se refiere a la profesión de un abonado se reemplazará por un atributo que describe el sector industrial de las respectivas profesiones. Por ejemplo, los profesionales de la salud y enfermeras se clasificarán como personas que trabajan en el sector de la salud.
En una realización preferida de acuerdo con el método para anonimización de datos estáticos, un subconjunto de los datos estáticos totales disponibles en la red de comunicación móvil se determina previamente dependiendo de al menos un criterio donde el método de anonimización solo se realiza para el subconjunto predeterminado. Hasta ahora, la anonimización de datos estáticos se aplica a toda la base de clientes (base de datos estática) o a todas las personas en la base de datos del proveedor de red móvil. Sin embargo, si un abonado muestra una discrepancia con el comportamiento normal, por ejemplo, si el abonado está de vacaciones y la ubicación real difiere de la ubicación residencial durante mucho tiempo, el abonado será visible durante el proceso de filtrado que requiere un filtrado del abonado. De lo contrario, el resultado de filtro será bastante grueso. Una limitación de toda la base de datos a un subconjunto de los datos estáticos mejorará los resultados de anonimización, en particular el grado de precisión puede incrementar.
La predeterminación preferible adicional para un subconjunto se basa en un período de tiempo relevante y/o sección geográfica relevante. Por ejemplo, la sección geográfica se define a una cierta ubicación como "Berlin Alexanderplatz" y el período de tiempo se define por una fecha actual "22.12.2014" e intervalo de tiempo "13:00 - 20:00 reloj". Además, se definen atributos relevantes (por ejemplo, "sexo" y "área de origen") que pueden ser de interés para el agregador de datos de recepción.
Si la ventana de tiempo considerada cubre varios días (intervalos de tiempo generalmente cortos ST), también sería posible realizar una consulta sobre la frecuencia de la recurrencia de un cierto evento. Los ID de tiempo corto que son válidos (constantes) durante un tiempo corto para evitar la creación de perfiles dinámicos y que están presentes en un área A (por ejemplo, agregador de datos) se transfieren a otro campo organizacional B (por ejemplo, diferente entidad responsable, por ejemplo, un tercero o proveedor de datos) mediante solicitud. La sección B posee la clave respectiva para convertir ID a corto plazo en ID a largo plazo mediante el algoritmo MAP como se describirá con referencia a las realizaciones. Debido al hecho de que varios ID a corto plazo de A se pueden asociar entre sí en la sección B, es posible derivar una declaración de recurrencia de un determinado evento dentro de un intervalo de tiempo a largo plazo. Sin embargo, se preserva el anonimato ya que A solo transmite ID y la sección B no recibe información sobre los datos de eventos que se refieren a los ID. Como respuesta, A solo recibe datos agregados y k anónimos. Con referencia al ejemplo anterior ("Alexanderplatz") B ni siquiera sabe que la solicitud recibida de A se relaciona con la ubicación de Alexanderplatz o con un intervalo de tiempo particular. A recibe los datos k-anónimos agregados sin información adicional con la cual se relaciona el ID de estos datos agregados. En consecuencia, A solo está en posesión de datos de eventos y los datos estáticos se ubican y se limitan a la sección B. La lógica de solicitud preferible permite una declaración de ambos tipos de datos sin fusionar los tipos de datos.
Se puede concebir que el subconjunto está predeterminado y solicitado por un agregador de datos que recibe los datos estáticos anónimos. Esta solicitud entonces se envía a un módulo que realiza el proceso de anonimización que incluye generalización y/o supresión con el fin de lograr un nivel suficiente de k-anonimato. El agregador de datos comprende solo datos basados en eventos, por ejemplo datos de eventos de ubicación aprobados recibidos del proceso de filtrado de datos de eventos de ubicación como se describe teniendo en cuenta el primer aspecto de la presente invención. El proveedor de datos comprende solo datos estáticos (datos CRM y datos de eventos derivados de las estadísticas). Al usar diferentes identificadores personales ofuscados en ambas áreas, los datos se pueden relacionar entre sí solo a través de esta solicitud del agregador de datos.
Puede ser ventajoso si el método de anonimización (generalización/supresión) es configurable individualmente para cada subconjunto predeterminado individualmente, donde los parámetros de configuración preferibles se pasan junto con una solicitud del agregador de datos. Esto permite una adaptación dinámica de los ajustes de filtro que se optimizan para cada subconjunto solicitado.
Por ejemplo, la configuración puede incluir una priorización de los atributos que se van a generalizar/suprimir y/o una definición de un nivel de jerarquía máximo/mínimo para cada atributo y/o una definición de la relación entre generalización y supresión. Por ejemplo, la priorización proporciona una ponderación de los atributos relevantes, es decir, qué atributo se debe generalizar con mayor prioridad. Además, el nivel mínimo de jerarquía se refiere a un grado mínimo de precisión que se desea para un atributo relevante. El nivel de jerarquía máxima de cada atributo se refiere a un nivel de generalización máximo permitido antes de que el conjunto de datos se suprima en lugar de generalizarse. Por último, también se puede definir una ponderación general entre supresión y generalización para lograr una razón deseada.
Para evitar la creación de huellas dactilares estáticas como se indica en la parte introductoria de la solicitud, las propiedades estáticas reales de un ID siempre se deben ofuscar (generalizar) de manera que no aprovechen el criterio de desproporción en relación con una reidentificación si se consideran por sí mismas o en cualquier combinación con otros datos, especialmente en combinación con datos de eventos de ubicación de origen dinámico.
Una característica especial de la presente invención es la introducción de un flujo de trabajo técnico, que por un lado previene eficazmente las huellas dactilares estáticas mediante la integración de una lógica de solicitud y, sin embargo, al mismo tiempo proporciona una alta flexibilidad para cada solicitud asegurando una máxima calidad de importancia para cada solicitud individual.
La invención también se relaciona con un sistema de comunicación para realizar el método de acuerdo con cualquiera de las reivindicaciones 1 a 6.
Es obvio que el sistema de comunicación se caracteriza por las propiedades y ventajas de acuerdo con el método inventivo. Por lo tanto, se considera que es innecesaria una descripción repetida.
Otras ventajas y propiedades adicionales de la presente invención se describen con base en dos realizaciones mostradas en las figuras. Las figuras muestran:
La figura 1 es una visión general arquitectónica sobre el sistema usando filtrado de datos de eventos de ubicación de acuerdo con la invención,
La figura 2 es una visión general arquitectónica sobre un sistema de acuerdo con la figura 1 y adicional que incluye filtrado de datos estáticos,
La figura 3 es una visión general esquemática sobre los pasos básicos de método del proceso de anonimización de múltiples niveles (MAP),
La figura 4 es un diagrama de flujo que muestra el proceso de filtrado de datos de eventos de ubicación,
La figura 5 es una visión general arquitectónica de una realización preferida de un sistema de acuerdo con la figura 2 con un paso de predeterminación opcional para solicitar solo un subconjunto de datos estáticos y
La figura 6 es el sistema de la figura 5 utilizado por una lógica de selección y extrapolación adicional.
La figura 3 ilustra la idea fundamental de un proceso de anonimización de múltiples niveles (MAP). La idea básica de ese proceso de anonimización se refiere a un procedimiento de anonimización de datos para permitir el uso de datos de ubicación masiva para aplicaciones de macrodatos con pleno respeto de las normas europeas de protección de datos. Los datos de ubicación masiva se recopilaran por proveedores de redes de comunicación móviles o inalámbricas, así como proveedores que recopilan información que se basa en otras tecnologías de ubicación como GPS; Galileo, Glonass, Compass, redes de sensores, etc. que, además, pueden poseer información personal detallada y verificada sobre sus abonados. Además, los proveedores de redes móviles pueden extraer datos de eventos de ubicación de los abonados. La información anónima y agregada recopilada por los operadores de redes móviles puede proporcionar información interesante para diferentes aplicaciones por terceros.
Por ejemplo, los proveedores de redes móviles podrían proporcionar datos anónimos y agregados a consejos locales, empresas de transporte público, infraestructura combinada, como proveedores de transporte público o proveedores de electricidad, minoristas, organizadores de eventos importantes de organismos de seguridad pública que utilizan esta información para mejorar los procesos de toma de decisiones y otros usos aún desconocidos.
Sin embargo, es obligatorio cuidar la privacidad de cada abonado y la información personal de abonado. Al dividir el proceso en varios pasos del proceso que se ejecutan dentro de diferentes sistemas que, además, pueden estar ubicados en diferentes zonas de seguridad con derechos de acceso específicos o incluso en premisas legales de entidades independientes, se evita la posibilidad de generar una tabla de asignación entre identificadores anónimos y no anónimos.
Como se puede ver en la figura 3, un proveedor de datos al que se hace referencia como DS se conecta comunicativamente a través de una red pública o privada virtual a un agregador de datos al que se hace referencia como DA. La entidad proveedora de datos DS puede ser cualquier proveedor de datos de movimiento y/o personales. Como se describe, el Ds y el DA se separan físicamente y se asignan a sistemas independientes. Generalmente, el DS y el DA cumplen diferentes tareas que se pueden asignar a diferentes usuarios que tienen diferentes perfiles de autoridad en un sistema común o se realizan dentro de diferentes zonas de seguridad de un sistema común.
Las realizaciones de ejemplo de acuerdo con las figuras se basan en un sistema de red móvil como un proveedor de datos DS que proporciona los conjuntos de datos mencionados anteriormente que contienen datos personales, así como datos de eventos de ubicación sobre sus abonados. Cada abonado individual de la red general del DS se identifica mediante un identificador personal PID que podría ser un identificador conocido como el IMSI de un abonado. Para tener una anonimización real de acuerdo con las normas europeas de protección de datos, es necesario, entre otras cosas, tener la separación del PID inicial y su contraparte, el O-PID (identificador personal ofuscado). En este contexto, el esfuerzo de reunir estos dos identificadores debe ser injustificadamente alto en comparación con el rendimiento que se podría obtener por esta acción. Este requisito se cumple si la separación se realiza físicamente dentro de las instalaciones de dos entidades legalmente independientes por lo que una entidad solo conoce el PID y la otra solo el O-PID. Sin embargo, la separación del DS y el DA también se puede realizar mediante una de las posibilidades alternativas propuestas anteriormente. En cualquier caso, es necesario cifrar y transmitir el O-PID a un tercero nombrado como agregador de datos DA. Ese identificador personal se combina con un conjunto de datos con atributos de datos adicionales que describen un determinado evento de ubicación. Por ejemplo, estos atributos de datos de eventos caracterizan una acción de un abonado en un lugar determinado. Los posibles atributos son el tipo de evento, la ubicación de evento y la marca de tiempo. En este ejemplo, el cifrado solo se realiza para el identificador personal, pero también se puede realizar para otros datos.
La ofuscación de los datos sensibles se debe realizar mediante un proceso de anonimización de múltiples niveles (MAP) realizado en el DS para proteger la privacidad del usuario. En un primer paso 1, se realiza una anonimización de base al aplicar un algoritmo hash con clave no reversible y al PID, donde la clave (clave DS) solo se conoce por el proveedor de datos DS. Este algoritmo hash debe ser una función hash criptográfica fuerte. Diferentes claves DS pueden estar disponibles en el lado de DS que tiene diferentes vidas útiles como ST/LT (tiempo corto/tiempo largo), a manera de ejemplo. La salida del primer paso del método es un único PID ofuscado al que se hace referencia como O-PID. La vida útil de este O-PID depende del intervalo en el que se cambia la clave DS. Es decir, si la clave DS es, por ejemplo, constante durante 24 horas, el DA obtendrá un identificador ofuscado estático durante exactamente este período de tiempo. El tipo de clave DS utilizada para ofuscar el PID depende del conjunto de datos/atributos de datos que se transmiten al DA o tercero en combinación con el PID ofuscado. Por ejemplo, se utiliza una clave de corto plazo (clave ST) para ofuscar el PID que se envía en combinación con datos de clase de cliente donde una clave LT se utiliza para el proceso MAP cuando se ofusca el PID para transmitir conjuntos de datos de eventos de ubicación.
En un segundo paso 2, se añade un componente o cadena aleatoria, por ejemplo, preferentemente un número aleatorio de varios dígitos al O-PID de salida del procedimiento de anonimización base de acuerdo con el primer paso 1. Se observa que el número aleatorio se puede insertar en cualquier posición del O-PID donde la posición se tiene que conocer por el DA. Se observa además que cualquier otra cadena de caracteres generada aleatoriamente y cualquier otro procedimiento de combinación de las dos cadenas podría ser apropiado. La longitud de intervalo del número aleatorio utilizado también podría ser variable, pero se tiene que conocer por el DA. La salida del segundo paso se marca como O-PID+RC.
En el último paso 3, se ejecuta un cifrado de segundo nivel que también se denomina cifrado adicional "AE" con base en un mecanismo de cifrado asimétrico que utiliza la clave pública clave DA-Pub de la segunda entidad DA. El cifrado asimétrico se aplica al resultado del paso 2 O-PID RC que da por resultado un resultado que se marca como OO-PID. En consecuencia, el PID se ofusca doblemente para proteger la privacidad del usuario.
La vida útil del identificador doble cifrado OO-PID solo depende del intervalo en el que se cambia el número aleatorio utilizado en el paso 2. Esto significa que el OO-PID es constante siempre y cuando el RC sea constante, que es importante para los cálculos realizados en el OO-PID por un socio de confianza (por ejemplo, construcción de índices estadísticos). En contraste, el valor real del número aleatorio no se requiere para decodificación del OO-PID en el DA. Los pasos 1 a 3 se implementan en una unidad de trabajo atómica. Es imposible que el proveedor de datos DS lea o escriba cualquier información generada entre los pasos individuales. El componente aleatorio utilizado en el paso 2 puede cambiar en condiciones predeterminadas, preferentemente para cada conjunto de datos.
Los pasos 2 y 3 se pueden realizar en múltiples iteraciones, cada iteración realizada al usar una clave diferente.
En el lado de agregador de datos DA, se ejecuta descifrado en el cifrado adicional de acuerdo con el paso 3 al usar su clave privada clave DA-Priv para descifrar el identificador cifrado recibido OO-PID. El resultado O-PID+RC se procesará adicionalmente al borrar el número conocido de dígitos al final de la cadena que representan el número aleatorio. El resultado resultante es el O-PID. La vida útil de este identificador único cifrado O-PID en el lado de agregador de datos DA se define por la longitud de intervalo de la clave DS generada. Si la longitud de intervalo de la clave DS ha transcurrido una nueva clave DS y, por lo tanto, se generará un nuevo O-PID en el DS.
El cambio regular del PID disminuye la probabilidad de creación de perfiles dinámicos y, por lo tanto, la desproporción entre el esfuerzo de reidentificación y la necesidad de protección se ve afectada de dos maneras
El PID original solo es visible en el lado de proveedor de datos DS, ya que el lado de agregador de datos DA solo conoce el identificador único cifrado O-PID. Por lo tanto, es imposible construir un catálogo (una tabla que asigne cada PID no anónimo a su contraparte anónima, el O-PID) dentro de las instalaciones de una sola parte.
El resultado del proceso de anonimización de múltiples niveles (MAP) explicado anteriormente es que el proveedor de datos DS no es capaz de encontrar el PID ofuscado. Lo mismo se aplica al agregador de datos DA que no es capaz de encontrar el PID original con base en el PID ofuscado suministrado.
Sin embargo, como se explica en la parte introductoria de la descripción, todavía es posible la desanonimización directa para conjuntos de datos de eventos de ubicación que se activan por eventos visibles. Un atacante potencial podría observar a un abonado y un evento visible y asignar su observación a un conjunto de datos de eventos de ubicación específico suministrado por el proveedor de datos. En ese caso, se identifica el abonado anónimo, por ejemplo, el O-PID.
Para evitar la desanonimización directa, se integra un componente de anonimización adicional que se refiere a la idea inventiva de la solicitud en el proceso de anonimización completo. La figura 1 muestra una posible realización de la presente invención.
Describe una solución técnica para la anonimización de diferentes conjuntos de datos distribuidos por un único proveedor de datos DS. La anonimización, así como la transmisión de estos conjuntos de datos a un solo agregador de datos DA, se procesa mediante procesos completamente separados que se ejecutan en el proveedor de datos DS. Los diferentes tipos de conjuntos de datos se pueden combinar con base en los identificadores iguales O-PID en el agregador de datos DA.
Todo el proceso se subdivide en dos procesos independientes de anonimización multinivel (MAP) donde los identificadores personales PID (como elementos únicos entre los conjuntos de datos) se anonimizan por separado y se transmiten al agregador de datos junto con sus respectivos conjuntos de datos. Por lo tanto, el primer proceso MAP 10 es responsable de transmitir los llamados datos de clase de cliente que incluyen atributos que clasifican a los abonados en diferentes grupos de clase de abonado, por ejemplo, grupos de género o de edad.
El segundo proceso MAP 20 es responsable de transmitir los llamados conjuntos de datos de eventos de ubicación con atributos que incluyen el tipo de evento, una marca de tiempo cuando ocurrió el evento y la ubicación de abonado que define la ubicación donde ocurrió el evento. El conjunto de datos de ubicación incluye obligatoriamente al menos una marca de tiempo, atributos adicionales como el tipo de evento y ubicación son opcionales. El PID se anonimiza mediante la anonimización base y el cifrado de adición que se realiza de forma iterativa durante dos veces.
Como se puede ver en la figura 1, los conjuntos de datos de eventos de ubicación en combinación con su PID ofuscado se transmiten a un socio de confianza TP que ejecuta el filtrado de datos de eventos de ubicación 50 que se refiere al método inventivo de la presente invención. Antes de la ejecución del proceso de filtrado 50, se deshace el segundo cifrado adicional 51. El proceso de filtrado de datos de eventos de ubicación de la invención solo aprobará aquellos conjuntos de datos de eventos de ubicación que muestren un riesgo minimizado de desanonimización directa. Los conjuntos de datos de eventos de ubicación aprobados se transmitirán al agregador de datos DA. El agregador de datos puede usar los conjuntos de datos de eventos de ubicación aprobados para procesamiento adicional.
Los detalles del proceso de filtrado de datos de eventos de ubicación 50 de acuerdo con la invención se explicarán con base en las figuras 4a, 4b 4c que muestran varios diagramas de flujo de los respectivos subprocesos. La figura 4a muestra un diagrama de bloques de los pasos necesarios para deshacer el cifrado adicional en el proceso 51 de la figura 1. En el bloque 100, el socio de confianza TP recibe un conjunto de datos de eventos de ubicación anónimos. Debido al proceso de anonimización de múltiples niveles (MAP) anterior con k cifrados adicionales invertidos por el DA, cada conjunto de datos de eventos de ubicación no proporciona ninguna información al abonado individual referenciado al conjunto de datos de eventos de ubicación. Por ejemplo, en la figura 1 k es igual a 2. Por lo tanto, en el segundo paso 200, el último cifrado adicional del PID ofuscado se invierte al usar la clave privada 210. El resultado resultante 220 es el PID ofuscado k-1 que incluye un componente aleatorio. El componente aleatorio se elimina en el bloque 230 dando como resultado un k-1 identificador anonimizado ofuscado en el bloque 240. Si solo se aplicó una iteración de cifrado adicional en el DS (k=1), el resultado será efectivamente el identificador anónimo base O-PID.
El conjunto de datos de eventos de ubicación 301 que incluye el k-1 PID resultante de acuerdo con el bloque 240 y los atributos no cifrados se transfiere al proceso de filtrado 50. El bloque de filtrado comienza con la llamada ofuscación de marca de tiempo de subproceso 300 que se muestra en la figura 4b. En el bloque 310, el subproceso verifica la base de datos/configuración de reglas 311 si existen reglas de filtrado especificadas dependiendo del tipo de evento del conjunto de datos de eventos de ubicación 301. Por ejemplo, el bloque 310 verifica si el tipo de evento incluido del conjunto de datos de eventos de ubicación es un evento observable, que se puede observar por un atacante potencial. Si el tipo de evento es un tipo de evento no observable, el método pasará al bloque 340. Ejemplos para un tipo de evento observable son la transmisión de un mensaje corto, la iniciación de una llamada saliente, la recepción de una llamada entrante o la iniciación de una sesión de datos. Un ejemplo para un tipo de evento no observable es un procedimiento de traspaso dentro de una red de comunicación móvil que entrega una terminal móvil de un abonado desde una primera celda móvil a una celda móvil adyacente. Se debe señalar que este procedimiento de traspaso también se realiza durante la operación de una red de área de ubicación inalámbrica.
Si la parte de confianza descubre que el tipo de evento del conjunto de datos de eventos de ubicación verificados es un tipo de evento observable, el método continúa con el bloque 330. En el bloque 330, el atributo de marca de tiempo incluido del conjunto de datos de eventos de ubicación se ofusca por manipulación. En detalle, la marca de tiempo se modificará como se describe más adelante para evitar cualquier desanonimización directa al observar el evento respectivo. La modificación de la marca de tiempo se puede hacer al asignar el evento a un periodo de tiempo, redondeando la marca de tiempo real o desplazando la marca de tiempo por cierto desplazamiento, preferentemente determinado aleatoriamente. Después, el método pasará al subproceso 400 para filtrado.
La figura 4c divulga el filtrado de ubicaciones con muy poca actividad. En resumen, el proceso de filtrado compara la ubicación de varios conjuntos de datos de eventos de ubicación recibidos dentro de un cierto intervalo de tiempo de monitoreo y cuenta el número de diferentes PID ofuscados para cada ubicación detectada. De este modo, se crea una lista de ubicaciones citando todas las ubicaciones y el número de OO-PID diferentes que activaron un evento en esa ubicación. El intervalo de tiempo de monitoreo generalmente corresponde a la vida útil de la primera clave privada utilizada en el proveedor de datos para la ofuscación única del PID. El proceso de filtrado también se puede aplicar a identificadores personales PID no ofuscados como preprocesamiento de datos. Generalmente, el proceso de filtrado inventivo es un proceso independiente que se puede realizar en cualquier etapa de ubicación del sistema descrito o cualquier otro sistema.
En detalle, en el bloque 401 se determina la ubicación del atributo de ubicación del conjunto de datos de eventos de ubicación recibidos y se compara con una lista de ubicación 402. Si la lista ya contiene una ubicación coincidente, el ID anónimo (k-1)-PID se añade a la ubicación almacenada en el paso 404. Si la lista 402 no contiene una entrada coincidente, se crea una nueva ubicación como una nueva entrada en la lista de ubicación 402 y se marca como "bloqueada" de acuerdo con el paso 403. Estas ubicaciones que se marcan como bloqueadas no están aprobadas para transmisión a la entidad DA, donde la ubicación marcada como "desbloqueada" se aprueba para transmisión. Además, cada ubicación se marca por su estado actual "bloqueado/desbloqueado" junto con una marca de tiempo que caracteriza el punto de tiempo en el que se produjo un cambio de estado. Posteriormente al paso 403, el (k-1)-PID se añadirá a la nueva ubicación en la lista en el paso 404.
En el siguiente paso 405, el proceso verifica el estado actual de la ubicación a la que se ha añadido actualmente un (k-1)-PID. Si la ubicación se marca actualmente como "desbloqueada", el proceso volverá a verificar en el paso 406 si el estado aún es elegible. Si "sí", el conjunto de datos de eventos de ubicación respectivo se reenvía a la siguiente etapa de procesamiento 500 que incluye la transmisión al DA. Si el marcado de la ubicación no es elegible, la ubicación se marca como "bloqueada" en el paso 407 y el proceso continúa con el paso 408 que también se ejecuta cuando el primer registro en el paso 405 ha revelado que la ubicación se marca actualmente como "bloqueada".
El paso 408 cuenta el número de diferentes (k-1)-PID que se han añadido a la ubicación determinada del conjunto de datos de eventos de ubicación dentro de un cierto intervalo de tiempo. El inicio de este intervalo se define por la marca de tiempo almacenada para cada ubicación. Si el número de k-1-PID diferentes por ubicación no excede un cierto umbral, el conjunto de datos de eventos de ubicación respectivo se añade a una cola temporal 411 en el paso 409. Si el estado de estas ubicaciones permanece "bloqueado" durante un cierto intervalo de tiempo, se aplica un proceso de filtrado de eventos de ubicación a estos conjuntos de datos en el subproceso 600. El subproceso 600 se explicará más adelante.
Si el número excede el umbral, la ubicación se marca como "desbloqueada" junto con una marca de tiempo y todos los conjuntos de datos de eventos de ubicación incluidos en la cola 411 y que se refieren a los (k-1)-PID contados se reenvían a la siguiente etapa de procesamiento 500 que es responsable de la transmisión de los conjuntos de datos al agregador de datos DA.
Los conjuntos de datos de eventos de ubicación que se refieren a ubicaciones "bloqueadas" que no se han desbloqueado en un periodo de tiempo determinado se pueden procesar mediante tres opciones diferentes en el subproceso 600.
Como primera opción, estos conjuntos de datos de eventos de ubicación se descartan por completo.
Como segunda opción, es posible cancelar los (k-1)-PID incluidos en los conjuntos de datos de eventos de ubicación de las ubicaciones "bloqueadas". Posteriormente, los conjuntos de datos de eventos de ubicación de ubicaciones "bloqueadas" se transmiten al agregador de datos sin ninguna información de identificación. De hecho, el agregador de datos DA puede usar los datos de eventos de ubicación recibidos para aplicaciones adicionales, sin embargo, no habrá referencia entre los conjuntos de datos de eventos de ubicación diferentes recibidos. Por ejemplo, no se puede determinar si se han generado diferentes conjuntos de datos por uno o más abonados.
Como una tercera opción, también es posible combinar los conjuntos de datos de eventos de ubicación de dos o más ubicaciones adyacentes y acumular sus números de abonados diferentes. Por ejemplo, si la lista incluye dos ubicaciones que tienen cada una un número bajo de abonados diferentes, ambas ubicaciones se combinan entre sí para superar el umbral respectivo para el número de abonados diferentes.
Una ubicación se puede definir como un área geográfica determinada. Se prefiere combinar aquellas ubicaciones que muestran el menor número de abonados y ubicadas adyacentes entre sí. Si la combinación de ubicaciones no aprobadas no alcanza el umbral definido, también es posible combinar una ubicación no aprobada con una ubicación aprobada. Para la aprobación es obligatorio que las ubicaciones combinadas alcancen el umbral respectivo de los diferentes abonados. Si se excede el umbral necesario, los atributos de ubicación del conjunto de datos de eventos de ubicación respectivo de ubicaciones combinadas se reemplazan por un atributo de ubicación común que define el área de ubicación combinada. Sin embargo, también es posible combinar áreas geográficas congenéricas que no están ubicadas adyacentes entre sí. Posteriormente, estos conjuntos de datos de eventos de ubicación se transmiten al agregador de datos DA.
El paso de combinación también se puede realizar al incrementar el área geográfica y/o incrementando el radio del área geográfica para la cual se cuenta el número de conjuntos de datos de eventos de ubicación y/o al incrementar la inexactitud del área o la decisión de si se produjo un evento dentro del área
La figura 2 muestra un enfoque extendido de la realización ilustrada en la figura 1. Como se puede ver, además del proceso de filtrado de datos de eventos de ubicación 50, se realiza el filtrado de datos de clase de cliente/datos estáticos en el socio de confianza TP.
Los datos de clase de cliente anónimos 10 se envían al socio de confianza TP y se analizan mediante el proceso de filtrado de datos separado 60. De este modo, el proceso de filtrado 60 identifica perfiles demasiado específicos. Si se detecta este perfil, el proceso de filtrado 60 ofrece dos posibilidades diferentes.
Como primera opción, es posible soltar todo el perfil detectado o en su lugar los conjuntos de datos de eventos de ubicación respectivos identificados por el proceso de filtrado 60. Como segunda opción, es posible soltar o generalizar solo atributos individuales incluidos en los datos de clase de cliente. Por ejemplo, si los datos de clase de cliente incluyen atributos que se refieren a la edad o género de un determinado abonado, es posible generalizar la edad de atributo. La generalización se puede realizar al reemplazar la edad de atributo original que incluye una cierta edad por un intervalo de edad, por ejemplo, de 30 a 40 años. Debido a esa manipulación de un cierto atributo del grupo de clases de clientes, un cierto grupo de atributos contendrá más abonados diferentes. El número creciente de abonados por grupo complica la identificación de perfiles de abonados específicos. Por lo tanto, se evita una desanonimización indirecta a través de perfiles de datos estáticos individuales. Después de una generalización de los perfiles de datos estáticos, los datos de grupo de clientes se aprueban y se envían al agregador de datos DA.
Hasta ahora, el filtrado se aplica a toda la base de clientes o a todas las personas en la base de datos del proveedor de red móvil y los datos filtrados se proporcionan al agregador de datos en su conjunto. Esto puede conducir a en su lugar a resultados gruesos que se buscan lograr un nivel suficiente de anonimato. Sin embargo, si un abonado muestra una discrepancia con el comportamiento normal, por ejemplo, si el abonado está de vacaciones y la ubicación real difiere de la ubicación residencial durante mucho tiempo, el abonado será visible durante el proceso de filtrado que requiere un filtrado del abonado, llamado supresión. Dado que el filtro de datos estáticos en este punto del proceso no es consciente de una ubicación de abonados, una vista puramente estática podría no ser suficiente. Teniendo en cuenta lo anterior, es una realización preferida de esta invención proporcionar datos estáticos filtrados y, por lo tanto, anónimos al agregador de datos solo con base en la predeterminación de un subconjunto de datos y no como un todo.
Una predeterminación del subconjunto se activa mediante una cierta solicitud del agregador de datos que se envía al filtro de datos estáticos 60 que maneja la solicitud entrante y que proporciona datos estáticos filtrados al agregador de datos de acuerdo con la solicitud recibida. El agregador de datos comprende solo datos basados en eventos, por ejemplo datos de eventos de ubicación aprobados recibidos del proceso de filtrado de datos de eventos de ubicación 50. El proveedor de datos DS comprende solo datos estáticos (datos CRM y datos de eventos derivados de las estadísticas). Al usar diferentes ID (PID) en ambas áreas, los datos se pueden relacionar entre sí solo a través de esta solicitud del agregador de datos DA.
La función general del filtro de datos estáticos 60 como se describe con respecto a la figura 2 sigue siendo la misma. Se implementa una lógica de solicitud que selecciona un subconjunto de toda la base de datos al filtro de datos estáticos 60 donde este subconjunto es individual para cada solicitud. Esto permite que el proceso de filtrado proporcione una "mejor calidad de datos posible" en tanto que cumple con las regulaciones de anonimato. Además, el filtro de datos estáticos 60 se actualiza mediante una interfaz de configuración que permite una configuración de filtro individual para cada solicitud. Por lo tanto, es posible definir para cada caso individual la "mejor calidad de datos posible" (por ejemplo, relación entre supresión y generalización).
Este procedimiento de predeterminación se ilustra en la figura 5. Los "datos de ubicación" de base de datos 70 incluyen conjuntos de datos de eventos para los cuales solo se conoce su ID ofuscado doble de tiempo corto correspondiente (ST-OO-PID). En el bloque 1 "Definición de Solicitud" en el agregador de datos se hace una definición de una sección geográfica y temporal que se va a solicitar, por ejemplo "Berlin Alexanderplatz" el "22.12.2014 13:00 - 20:00 reloj". La ventana de tiempo se puede definir para cada solicitud dentro de un máximo de un año que corresponde al intervalo de tiempo largo máximo (LT). Por lo tanto, los conjuntos de datos de eventos predeterminados corresponden a un subconjunto de todos los usuarios o registros posibles de los datos estáticos. Además, se definen los atributos relevantes (por ejemplo, "sexo" y "área de origen"). Si la ventana de tiempo considerada cubre varios días (intervalos de tiempo generalmente cortos sT), es posible realizar una consulta para la frecuencia de la recurrencia de un cierto evento.
El bloque 1 podría contener opcionalmente los siguientes pasos. Se puede definir una configuración de filtro de datos estáticos para cada solicitud individual. Por ejemplo, esta configuración contiene información sobre la ponderación de los atributos relevantes, es decir, qué atributo se debe generalizar con mayor prioridad. Además, se puede establecer el nivel mínimo de jerarquía de cada atributo, es decir, el grado mínimo de precisión que se desea para un atributo relevante. Además, el nivel de jerarquía máxima de cada atributo se puede determinar definiendo el nivel de generalización máximo permitido antes de que el conjunto de datos se suprima. Por último, se puede definir una ponderación general entre supresión y generalización.
Además, los ID activos se determinan dentro del bloque 1.
El abstractor de ubicación 2 realiza un mapeo entre las secciones geográficas definidas en el bloque 1 y las celdas móviles de la red de comunicación móvil. El proceso de mapeo podría incluir niveles intermedios "virtuales" (estructura GRID) y algoritmos para mejora estadística de la precisión geográfica, por ejemplo, diferentes ponderaciones de diferentes áreas geográficas (calles o lugares públicos con alta densidad de uso versus bosques o lagos con baja densidad de uso, etc.).
El extractor de ID 3 deriva los ID relevantes que han estado activos dentro de la ventana de tiempo definida y la sección geográfica real (o posiblemente virtual) definida por la solicitud del bloque 1.
En el paso 4 se crea el mensaje de solicitud que contiene un ID de solicitud, el período de actividad de la solicitud asociada a un intervalo de tiempo prolongado (LT) considerado, una lista de todos los ID relevantes derivados por el extractor de ID 3, una lista de atributos relevantes como se determina por la definición de solicitud en el bloque 1 y opcionalmente una configuración de filtro de datos estáticos. Posteriormente, la solicitud se reenvía a la zona de procesamiento temporal TPZ, que normalmente se encuentra en un socio de confianza TP (figura 2).
En el bloque 5 en la zona de procesamiento temporal TPZ se verifica la autorización del servicio solicitado. Si el proceso de autorización es exitoso, un tipo de servicio (aquí: Servicio de Estadísticas de Grupo) se elige y se acepta la solicitud entrante. El módulo 6 descifra los ID transmitidos incluidos en la solicitud recibida al usar la clave de descifrado de período respectiva que es válida para el período de actividad. El proceso de descifrado crea LT-ID (LT-O-PID).
Si una consulta sobre la frecuencia de la recurrencia de un cierto evento dentro de un intervalo de tiempo corto se definió como un atributo relevante en el bloque 1, el módulo "manejador de duplicados" 7 calcula las clases (clases recurrentes) que se repitieron dentro del intervalo de tiempo definido. El cálculo se implementa al contar la frecuencia de recurrencia de varios ID a corto plazo (ST-O-PID) para cada ID a largo plazo (LT-O-PID). Se asigna la clase recurrente calculada respectiva a cada ID a largo plazo. Por ejemplo, el ID a largo plazo X estuvo activa durante un número total de cuatro veces dentro de diferentes ID a corto plazo A, B, C, D. El ID a largo plazo X se asigna por lo tanto, a la clase recurrente no. 4. Los ID a corto plazo son irrelevantes para el proceso posterior y se descartan después de la formación de las clases recurrentes.
Además, el módulo 7 sondea los atributos relevantes para cada ID a largo plazo como se define por la solicitud de la base de datos estática 80 que se ubica en la zona de almacenamiento SZ (regularmente en el proveedor de datos DS). En respuesta al paso de sondeo, los atributos cifrados se distribuyen al módulo "descifrado de atributos" que descifra los valores de atributos solicitados con la clave de descifrado correspondiente que es independiente de la clave utilizada para el descifrado de los ID a corto plazo.
Los atributos descifrados se reenvían al filtro de datos estáticos 60 que genera segmentos para cada combinación única de atributos relevantes como se define por la definición de solicitud del módulo 1. El filtro realiza un ajuste dinámico de la precisión para cada atributo hasta que cada segmento que comprende al menos cinco ID a largo plazo.
El ajuste se ejecuta con base en niveles de jerarquía definidos donde el nivel de jerarquía mínimo y/o máximo preestablecido se considera en el filtro 60. Además de una generalización de registros a largo plazo de ID individuales que también es posible descartar completamente (supresión) conjuntos de datos individuales. La relación preferida entre la generalización (información menos precisa para el mayor número posible de ID originalmente consultados) y la supresión (más detalles para un número posiblemente menor de ID originalmente solicitados) se puede preestablecer opcionalmente por el agregador de datos.
En caso de un servicio de estadísticas de grupo, el filtro de datos estáticos 60 proporciona una información de segmento agregada para un número mínimo de ID diferentes. Los ID a largo plazo utilizados por el filtro estático 60 se descartan después del proceso de filtrado.
Luego, se genera una respuesta en el módulo 5 con base en la salida del filtro. La respuesta incluye el ID de respuesta respectivo que se refiere al ID de solicitud, las definiciones de segmento y el número de ID a largo plazo para cada segmento (por ejemplo, el segmento 673 comprende 15 ID). La respuesta se muestra y/o almacena y transmite al agregador de datos.
La definición y uso de los niveles jerárquicos antes mencionados se explica en lo siguiente. El filtro de datos estáticos 60 combina dinámicamente las expresiones concretas (valores) de atributos individuales a clases. Cada clase incluye un rango específico de valores. Para las clases de generalización con un intervalo más pequeño de valores (información más detallada) se pueden agrupar en clases con un intervalo más amplio de valores (= información inexacta). Los niveles de jerarquía especifican cómo se anidan las clases individuales entre sí.
Por ejemplo, para el atributo "edad" se podrían determinar los siguientes niveles de jerarquía:
Nivel 5: n / a
Nivel 4: <= 49; > = 50
Nivel 3: <= 29; 30-49;
Nivel 2: <= 18; 19-29; 30-39; 40-49; 50-59 > = 60 Level1 : <= 18; 19-24; 25-29; 30-34; 35-39; 40-44; 45-49; 50­
54; 55-59; 60-64; >=65
Ambas clases como los niveles de jerarquía deben ser fijos dependiendo del servicio y solo se pueden ajustar en casos excepcionales. Mediante la especificación opcional de un nivel de jerarquía mínimo y/o máximo dentro de una solicitud, la precisión/inexactitud de una información se puede especificar dinámicamente para el mejor caso (nivel mínimo en la jerarquía) o el peor caso (nivel máximo de jerarquía).
Por ejemplo, para el atributo "edad" el nivel 2 se podría definir como el nivel mínimo en la jerarquía, cuando se solicita información sobre grupos de edad que tienen una diferencia de edad de 10 (diez) años. En el caso de una solicitud combinada de más de un atributo, una generalización preestablecida del atributo "edad" puede exigir menos generalización de otro atributo (por ejemplo, área de origen) para lograr el número mínimo requerido de ID para ambos atributos.
Además, el nivel 3 se podría definir como el nivel máximo de la jerarquía si la información de edad que es más inexacta que una de las tres clases <= 29; 30-49; > = 50 del nivel 3, no tiene relevancia para la solicitud determinada. En este caso, el algoritmo no considerará conjuntos de datos filtrados para los cuales la edad solo se puede generalizar por nivel 4 o 5 para cumplir con los criterios de anonimización. Se descartarán conjuntos de datos de ID a largo plazo para los que sea necesaria una generalización de la edad de atributo en el nivel 4 o 5 (supresión).
El sistema de acuerdo con la figura 6 es básicamente el mismo que el sistema mostrado en la figura 5. Sin embargo, se integra un motor de selección y extrapolación adicional que extrapola el subconjunto predeterminado de datos estáticos antes del proceso de filtrado. Además, la realización de la figura 6 proporciona un módulo de autenticación mejorado A que permite una configuración más flexible de los derechos de usuario, por ejemplo, se permiten comandos de selección y es posible una definición de las direcciones de respuesta si la respuesta se debe dirigir a una dirección de terceros.
Opcionalmente, una preselección de datos procesados con base en comandos de selección definidos para la solicitud es posible debido a la integración del motor de selección de memoria B. Por ejemplo, datos estáticos asociados a ID con el área de origen y/o trabajo a una determinada ubicación se pueden soltar directamente.
El motor de extrapolación extrapola la vista de muestra MNO a la población total con base en varios criterios, por ejemplo cuota de mercado real en diferentes áreas de origen dentro de las clases de edad.
El receptor de respuesta adicional D en la dirección de terceros permite separación de instalaciones de solicitud y respuesta para permitir opcionalmente las "solicitudes de círculo".

Claims (7)

REIVINDICACIONES
1. Un método para anonimización de conjuntos de datos estáticos relacionados con abonados individuales de una red de comunicación móvil donde cada conjunto de datos estáticos consiste en diferentes atributos, donde un proveedor de datos comprende solo conjuntos de datos estáticos e identifica perfiles específicos derivables de un subconjunto predeterminado de los conjuntos de datos estáticos totales disponibles en el proveedor de datos y ya sea suprime uno o más atributos respectivos del subconjunto y/o clasifica/generaliza dos o más conjuntos de datos estáticos del subconjunto a un determinado grupo que tiene al menos un atributo coincidente, caracterizado porque el subconjunto está predeterminado por un agregador de datos que comprende solo datos de eventos de ubicación, con base en datos de eventos de ubicación ocurridos dentro de un período de tiempo relevante y/o en una sección geográfica relevante y el agregador de datos solicita el subconjunto al transmitir identificadores personales ofuscados, PID asociados a abonados que activaron los datos de eventos de ubicación dentro del período de tiempo relevante y/o en la sección geográfica relevante al proveedor de datos.
2. El método de acuerdo con la reivindicación 1, donde la generalización/clasificación se realiza al reemplazar un cierto atributo de dos o más conjuntos de datos estáticos con un atributo común generalizado.
3. El método de acuerdo con cualquiera de las reivindicaciones 1 o 2, donde el paso de clasificación se realiza hasta que el número de conjuntos de datos estáticos de cada grupo exceda un umbral definido.
4. El método de acuerdo con cualquiera de las reivindicaciones 1 a 3, donde al menos un atributo se refiere al género o la fecha de nacimiento o la edad o profesión o lugar de residencia de un abonado individual de la red de comunicación móvil.
5. El método de acuerdo con cualquiera de las reivindicaciones anteriores 1 a 4, donde el método de anonimización es configurable individualmente para cada subconjunto predeterminado individualmente, donde los parámetros de configuración preferibles se pasan junto con una solicitud del agregador de datos.
6. El método de acuerdo con las reivindicaciones 1 a 5, donde la configuración del método de anonimización incluye una priorización de los atributos que se van a generalizar/suprimir y/o una definición de un nivel de jerarquía máximo/mínimo para cada atributo y/o una definición de la relación entre generalización y supresión.
7. Un sistema de comunicación para realizar el método de acuerdo con cualquiera de las reivindicaciones 1 a 6.
ES14789796T 2013-10-24 2014-10-24 Un método para anonimización de datos recopilados dentro de una red de comunicación móvil Active ES2911288T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP13005086.7A EP2866484B1 (en) 2013-10-24 2013-10-24 A method for anonymization of data collected within a mobile communication network
PCT/EP2014/002875 WO2015058860A1 (en) 2013-10-24 2014-10-24 A method for anonymization of data collected within a mobile communication network

Publications (1)

Publication Number Publication Date
ES2911288T3 true ES2911288T3 (es) 2022-05-18

Family

ID=49546206

Family Applications (2)

Application Number Title Priority Date Filing Date
ES13005086T Active ES2704467T3 (es) 2013-10-24 2013-10-24 Un método para anonimizar los datos recopilados dentro de una red de comunicación móvil
ES14789796T Active ES2911288T3 (es) 2013-10-24 2014-10-24 Un método para anonimización de datos recopilados dentro de una red de comunicación móvil

Family Applications Before (1)

Application Number Title Priority Date Filing Date
ES13005086T Active ES2704467T3 (es) 2013-10-24 2013-10-24 Un método para anonimizar los datos recopilados dentro de una red de comunicación móvil

Country Status (6)

Country Link
US (2) US10762237B2 (es)
EP (2) EP2866484B1 (es)
KR (1) KR101826003B1 (es)
ES (2) ES2704467T3 (es)
PL (1) PL2866484T3 (es)
WO (1) WO2015058860A1 (es)

Families Citing this family (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10230742B2 (en) * 2015-01-30 2019-03-12 Anomali Incorporated Space and time efficient threat detection
US9866532B2 (en) 2015-10-07 2018-01-09 International Business Machines Corporation Anonymization of traffic patterns over communication networks
US10360372B1 (en) * 2016-07-29 2019-07-23 Microsoft Technology Licensing, Llc Preventing timestamp-based inference attacks
US10318763B2 (en) * 2016-12-20 2019-06-11 Privacy Analytics Inc. Smart de-identification using date jittering
US11093640B2 (en) 2018-04-12 2021-08-17 International Business Machines Corporation Augmenting datasets with selected de-identified data records
US10770171B2 (en) 2018-04-12 2020-09-08 International Business Machines Corporation Augmenting datasets using de-identified data and selected authorized records
US10663305B2 (en) 2018-07-16 2020-05-26 Here Global B.V. Map matched aggregation for K-anonymity in trajectory data
US10546043B1 (en) 2018-07-16 2020-01-28 Here Global B.V. Triangulation for K-anonymity in location trajectory data
US11562168B2 (en) 2018-07-16 2023-01-24 Here Global B.V. Clustering for K-anonymity in location trajectory data
WO2020023759A1 (en) * 2018-07-26 2020-01-30 Insight Sciences Corporation Secure electronic messaging system
US11349296B2 (en) 2018-10-01 2022-05-31 Intelesol, Llc Solid-state circuit interrupters
US11463274B2 (en) * 2018-11-07 2022-10-04 Amber Semiconductor, Inc. Third party application enablement for node networks deployed in residential and commercial settings
EP3940572B1 (en) * 2019-03-11 2023-07-26 Nippon Telegraph And Telephone Corporation Data generalization device, data generalization method, and program
FR3094109A1 (fr) * 2019-03-21 2020-09-25 Roofstreet Procédé et système de traitement de données numériques provenant d’équipements connectés en garantissant la sécurité des données et la protection de la vie privée
US11314893B2 (en) 2019-08-27 2022-04-26 Toyota Motor Engineering & Manufacturing North America, Inc. Systems and methods for securing personally identifiable information within telematics data
US11431682B2 (en) 2019-09-24 2022-08-30 International Business Machines Corporation Anonymizing a network using network attributes and entity based access rights
US20240095400A1 (en) * 2019-11-04 2024-03-21 Hewlett-Packard Development Company, L.P. Anonymization protocols
US11429602B2 (en) * 2020-01-24 2022-08-30 Bank Of America Corporation Multi-dimensional modeling of resource interaction processors
US11838399B2 (en) * 2020-05-12 2023-12-05 Apple Inc. Anonymous aggregation service for sensitive data
CN116195158A (zh) 2020-08-11 2023-05-30 安泊半导体公司 智能能源监测和选择控制系统
US11477615B2 (en) * 2020-10-30 2022-10-18 Hewlett Packard Enterprise Development Lp Alerting mobile devices based on location and duration data
CN113010525B (zh) * 2021-04-01 2023-08-01 东北大学 一种基于pid的海洋时空大数据并行knn查询处理方法

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1950684A1 (en) * 2007-01-29 2008-07-30 Accenture Global Services GmbH Anonymity measuring device
US8856939B2 (en) * 2008-09-05 2014-10-07 Iowa State University Research Foundation, Inc. Cloaking with footprints to provide location privacy protection in location-based services
US20110010563A1 (en) * 2009-07-13 2011-01-13 Kindsight, Inc. Method and apparatus for anonymous data processing
US20120066138A1 (en) * 2009-08-24 2012-03-15 Waldeck Technology, Llc User affinity concentrations as social topography
JP5454262B2 (ja) * 2010-03-18 2014-03-26 富士通株式会社 プライバシー保護装置、プライバシー保護方法、プライバシー保護プログラム、及びライフログ管理システム
DE102010047117A1 (de) * 2010-10-02 2012-04-05 Joachim Linz Verfahren zum Schutz von Persönlichkeitsdaten bei Netzmonitoring mit Kunden-Terminals
JP5858292B2 (ja) * 2010-11-09 2016-02-10 日本電気株式会社 匿名化装置及び匿名化方法
WO2012136245A1 (en) * 2011-04-04 2012-10-11 Nokia Siemens Networks Oy Considering privacy when using area-based minimization of drive-tests (mdt)
US8463289B2 (en) 2011-06-17 2013-06-11 Microsoft Corporation Depersonalizing location traces
WO2013178284A1 (en) * 2012-06-01 2013-12-05 Telefonaktiebolaget L M Ericsson (Publ) Protecting location information
US10643222B2 (en) * 2012-09-27 2020-05-05 David Cristofaro Selecting anonymous users based on user location history
ES2787262T3 (es) * 2012-11-28 2020-10-15 Telefonica Germany Gmbh & Co Ohg Método de anonimización mediante transmisión de un conjunto de datos entre diferentes entidades

Also Published As

Publication number Publication date
EP2866484B1 (en) 2018-10-10
US20170169252A1 (en) 2017-06-15
US10762237B2 (en) 2020-09-01
KR101826003B1 (ko) 2018-02-06
WO2015058860A1 (en) 2015-04-30
US20190026493A1 (en) 2019-01-24
KR20160078402A (ko) 2016-07-04
EP2866484A1 (en) 2015-04-29
ES2704467T3 (es) 2019-03-18
EP3061280A1 (en) 2016-08-31
PL2866484T3 (pl) 2019-05-31
EP3061280B1 (en) 2022-01-19

Similar Documents

Publication Publication Date Title
ES2911288T3 (es) Un método para anonimización de datos recopilados dentro de una red de comunicación móvil
ES2751359T3 (es) Método de anonimización mediante transmisión de un conjunto de datos entre diferentes entidades
Primault et al. The long road to computational location privacy: A survey
KR102430649B1 (ko) 익명화를 위해 속성들을 자동으로 식별하기 위한 컴퓨터 구현 시스템 및 방법
Sei et al. Differential private data collection and analysis based on randomized multiple dummies for untrusted mobile crowdsensing
US9202078B2 (en) Data perturbation and anonymization using one way hash
EP2926307B1 (en) Method for anonymisation by transmitting a data set between different entities
De Carli et al. WeTrace--a privacy-preserving mobile COVID-19 tracing approach and application
US8266712B2 (en) Privacy through artificial contextual data generation
Minami et al. Protecting location privacy against inference attacks
Mun et al. PDVLoc: A personal data vault for controlled location data sharing
Brucker et al. Attribute-based encryption with break-glass
Liu Privacy and location anonymization in location-based services
Liu et al. Privacy-preserving travel time prediction with uncertainty using GPS trace data
Raskar et al. Adding location and global context to the google/apple exposure notification bluetooth api
Green et al. Using mobile phone data for epidemic response in low resource settings—A case study of COVID-19 in Malawi
Peters et al. Generating privacy zones in smart cities
Che et al. SALS: semantics-aware location sharing based on cloaking zone in mobile social networks
Riaz et al. On the privacy of frequently visited user locations
De Montjoye Computational privacy: towards privacy-conscientious uses of metadata
Burmeister et al. Modeling the C (o) urse of privacy-critical location-based services–exposing dark side archetypes of location tracking
KR102253953B1 (ko) K-익명성 모델 및 데이터 교란화를 이용한 위치추적정보 보안 기법 및 장치
KR101585985B1 (ko) 개인정보 비식별화 전송장치 및 전송방법
McKenzie et al. Platial k-Anonymity: Improving Location Anonymity Through Temporal Popularity Signatures
Schanzenbach et al. Identity and access management in a doping control use case: An approach to privacy-enhancing and location-based access control for PARADISE