Конфиденциальность при совместном использовании поездок

Сети совместных поездок сталкиваются с проблемами конфиденциальности пользователей, как и другие онлайн-платформы. Проблемы, связанные с приложениями, включают безопасность финансовых данных (которые часто требуются для оплаты услуг), а также конфиденциальность личных данных и местоположения . Проблемы конфиденциальности могут также возникнуть во время поездки, поскольку некоторые водители предпочитают использовать камеры, обращенные к пассажирам, для собственной безопасности. Поскольку использование услуг совместных поездок становится все более распространенным, возникают и проблемы конфиденциальности, связанные с ними.

История

Совместные поездки были концепцией со времен Второй мировой войны, но только в 1990-х годах программы начали оцифровываться. ^[1] Одними из первых телефонных программ подбора поездок были Bellevue Smart Traveler из Вашингтонского университета , Los Angeles Smart Traveler из Los Angeles's Commuter Transportation Services и Rideshare Express из Sacramento Rideshare. ^[1] Однако в этих телефонных программах эксплуатационные расходы начали превышать их доходы, и была предложена альтернатива — подбор поездок через Интернет и электронную почту. Эта программа была протестирована на закрытом кампусе (она была доступна только людям, связанным с Вашингтонским университетом), что оказалось весьма успешным. Две другие программы, ATHENA и MINERVA, были компьютеризированы, но потерпели неудачу. ^[1] Когда в 1990-х годах был создан Интернет, был создан онлайн-подбор поездок. Первоначально на веб-сайтах были списки или форумы, с которых люди могли получить информацию о вариантах совместного использования автомобилей , но Интернет предоставил возможность разрабатывать платформы, которые были более динамичными и интерактивными. Эта концепция не взлетела, потому что механика ничем не отличалась от традиционного совместного использования автомобилей, была упрощена только возможность их нахождения. Поскольку совместное использование автомобилей и совместное использование поездок не были очень популярными вариантами, у небольшого числа людей, которые участвовали, уже были установлены планы, поэтому с точки зрения времени это было не полезно для тех, кому нужен был транспорт за пределами обычных поездок на работу в рабочий день. Крупные компании начали интересоваться партнерством с компаниями по подбору поездок с целью распространения платформы совместного использования поездок. Они набирают все большую популярность по мере того, как доступность мобильных технологий и, следовательно, доступность не из стационарной точки стали более заметными.

Пользовательский ввод/конфиденциальность данных программного обеспечения

Программное обеспечение

Возможности пользовательского ввода

Приложения для совместных поездок имеют несколько общих функций пользовательского ввода:

Пользователи могут ввести место отправления.
Пользователи могут ввести место высадки.
Пользователи могут сохранить домашний или рабочий адрес.
Пользователи могут сохранять уникальные места, если они часто посещаются.
Пользователи также могут указать свое точное местоположение на карте.
Пользователи могут сохранять данные своей кредитной карты для легкого доступа.
Пользователи могут приглашать своих друзей, контакты которых приложение извлекает из контактной информации их телефона.
Пользователи могут создать свой собственный профиль.
Пользователи могут просматривать профили своих потенциальных водителей, а также любые отзывы о них.

Компании, предоставляющие услуги совместных поездок, также имеют несколько функций отслеживания, которые неясны с точки зрения того, какая именно информация о пользователях собирается:

Приложение автоматически подключается и отслеживает текущее местоположение пользователя и прилегающие территории, поэтому при открытии приложения сразу же открывается точная карта, а домашняя страница и местоположение пользователя отслеживаются мгновенно.
Последние адреса, которые были указаны в качестве мест посадки или высадки, сохраняются в истории поиска.
Разрешение приложению подключаться к персональным данным, хранящимся в телефоне, например, к контактам, может предоставить приложению доступ не только к номерам телефонов (адресам, персональной информации), которые были сохранены в контакте на телефоне.

Конфиденциальность Uber

У Uber есть возможность забыть о конфиденциальности пользователя, поскольку они знают, какие данные собирают у пользователя, и действуют прозрачно: ^[2]

Возможность делиться или отменять обмен текущим местоположением, а также возможность всегда включать настройки местоположения.
Возможность получать уведомления о вашем счете и поездке.
Возможность удаления сохраненных контактов, что является еще одним способом связи двух людей, если кто-то отслеживает чью-то информацию.
Возможность поделиться подробностями поездки со службой 911 в случае чрезвычайной ситуации.
Возможность синхронизации личного календаря с приложением.

Конфиденциальность Lyft

Согласно Политике конфиденциальности Lyft [ ^3] , собираемая ими информация включает в себя:

Предоставляемая им регистрационная информация (имя, адрес электронной почты, номер телефона)
Если для регистрации используется учетная запись социальной сети, будет использована информация из этого профиля (имя, пол, фотография профиля, друзья).
Любая информация, которую пользователь решает указать в профиле
Платежная информация для списания средств с пассажиров (хотя данные кредитной карты ими не хранятся)
Любое взаимодействие с командой поддержки
Информация, предоставленная при подаче заявления на получение водительских прав (дата рождения, адрес, номер социального страхования, информация о правах и т. д.)
Платежная информация для оплаты водителям
Информация о местоположении, включая сохраненные местоположения
Информация об устройстве, на котором используется приложение
Данные об использовании
Звонки и текстовые сообщения между пассажирами и водителями
Обратная связь
Контакты (если пользователь это разрешит)
Файлы cookie

Аппаратное обеспечение

Камера внутри автомобиля

Совсем недавно наличие физических камер было реализовано в транспортных средствах совместного пользования. До этого единственными камерами, связанными с автомобилями, были камеры дорожного движения и полицейские машины. Однако наблюдается рост количества камер непрерывной записи, которые не просто следят за дорогой и отслеживают то, что происходит снаружи автомобиля. Внедрение камер внутри автомобилей для записи взаимодействия между водителями и пассажирами — это что-то новое. Однако люди обеспокоены своей конфиденциальностью, поскольку эта запись происходит во время их поездки, и они не дают устного согласия на свою запись. Однако они соглашаются находиться в машине другого человека, поэтому они должны соблюдать правила водителя. Существуют федеральные правила об аудиозаписи, федеральные законы требуют только «согласия одной стороны». ^[4]

Политика правительства в отношении записи

Согласно Закону о борьбе с преступностью и безопасных улицах 1968 года , существуют правила относительно записи аудиоразговоров, включая разъяснения по правилу «одностороннего согласия», которое с ним связано. Что касается аудиоразговоров, незаконно записывать разговор, в котором никто не участвует. Однако им разрешено делать запись, если они сами являются участниками разговора, без необходимости получать согласие другой стороны или сообщать ей о том, что ведется запись.

Обеспокоенность

Потенциальное злоупотребление отслеживанием местоположения

Есть несколько областей, где данные могут потенциально быть использованы приложением, знающим местоположение пассажира. Поскольку данные о поездках собираются, если компания по совместному использованию поездок имеет партнерские отношения с корпорациями, их партнеры могут использовать эти данные для прогнозирования будущих местоположений и иметь возможность определять интересы человека и предлагать ему услуги. ^[5]^[6] Корпорации могут собирать информацию о том, какие типы магазинов и какие бренды чаще всего посещает пользователь, и могут создавать онлайн-профиль, который можно отслеживать. Это также может относиться к рекламным компаниям, которые могут ориентироваться на личные интересы и изменять их онлайн-взаимодействия, чтобы начать показывать рекламу, которая обслуживается и специфична для мест, где пользователь побывал. *цитата*

Есть некоторые случаи, когда могут возникнуть плохие последствия. Если пользователь принимает участие в чем-то, связанном с его политическими взглядами, компании могут сохранить это для получения информации в будущем и потенциально использовать это против пользователя, если он вступит в контакт с компанией в профессиональной обстановке. Это может также относиться к медицинской, религиозной или юридической принадлежности, так как местоположение пользователя и посещенные им места не могут быть оправданы, если смотреть со стороны.

Что касается больше онлайн-профиля, созданного для пользователя, если человек полагается исключительно на службы совместных поездок, чтобы передвигаться, можно отслеживать, как долго пользователь отсутствовал дома и как далеко он от дома. Это становится возможностью для людей преследовать или грабить пользователя, потому что они знают, когда идеальное время, когда людей нет дома. *цитата* Рассматривая в более широком масштабе, основываясь на демографических данных области, с которой взаимодействует пользователь, если он часто посещает одни и те же магазины в определенной области, можно предположить информацию, например, предполагаемый доход. *цитата*

Пользователи могут сохранить домашний или рабочий адрес для легкого доступа. Чаще всего пользователи указывают свой фактический адрес, но в некоторых случаях пользователи, как известно, указывают адрес в паре улиц от основного, просто для своей безопасности на случай утечки данных. Однако, хотя это очень базовый уровень отклонения, указание домашнего адреса в паре улиц от основного все равно дает общее местоположение пользователя.

Приложения, учитывающие местоположение

У людей есть опасения по поводу того, как, что, когда и где хранится их информация о местоположении, а также в какой степени другие имеют к ней доступ. Не только в отношении приложений для совместного использования поездок, но и любых приложений, в которых включена функция совместного использования, существует несколько типов приложений, которые знают о местоположении. Поиск на основе местоположения (LBS) происходит, когда отслеживание пользователя возвращает предметы и здания вокруг текущего местоположения пользователя для отслеживания. Карта рисуется с ориентацией окружающих зданий для определения местоположения. ^{[7] Службы} геолокации отслеживают пользователя с помощью экологического следа. Это оценка местоположения пользователя. Мобильное зондирование - это процесс точного определения физического устройства пользователя, которое имеет датчики и информацию, которую можно собирать. Обмен местоположением - это добровольное состояние, когда пользователь находится в режиме реального времени, а его местоположение постоянно обновляется и отслеживается.

Использование информации о пользователе

Если подробнее рассмотреть приложения и то, как пользователь получает доступ к сервису совместных поездок, то после того, как пользователь вводит данные в приложение, они будут доступны в сети навсегда. Даже если пользователь удалит информацию или удалит свою учетную запись, информация была создана на онлайн-платформе и теперь существует независимо от того, соглашается ли на это пользователь или нет. Эти приложения запрашивают информацию пользователя, такую как номер телефона, адрес электронной почты и фотография профиля, все функции, которые можно использовать для отслеживания личности пользователя. Как только эта информация попадает в базу данных приложения, к ней может получить доступ само приложение, а также косвенно любые партнеры приложения.

В большинстве приложений оплата взимается и выполняется до того, как пользователь может подключиться к своей поездке. Пользователи имеют возможность хранить данные кредитной карты для легкого доступа вместо того, чтобы повторно вводить платежную информацию. Хотя есть дополнительный уровень безопасности, такой как пароль или Touch ID перед каждой транзакцией, это не гарантирует безопасность этой информации в приложении. Это только гарантирует, что текущая транзакция выполняется с согласия пользователя.

Обратный поиск изображений

Пользователям разрешено вводить фотографию профиля в свои приложения. Это делается с целью помочь водителям определить предполагаемых пассажиров. Однако это может вызвать проблему, поскольку если каким-то образом изображение пассажира сохраняется и загружается в Интернет, могут быть установлены связи с личными аккаунтами. Например, с помощью усовершенствованного алгоритма распознавания лиц Facebook проще идентифицировать личности людей по внешним фотографиям.

Решения

Распределение шума

Исследователи пришли к выводу, который представляет решение этих проблем, а именно систему, которая помогает как с конфиденциальностью данных, так и с анонимностью пользователя. ^[8] Решение представляет собой программу, которая создает распределение шума, так что определенное местоположение пользователя смещается. По сути, это помещает местоположение пользователя через некоторое шифрование и сообщает это местоположение, которое только система знает, как прочитать, поэтому это не манипулирование фактическим местоположением, а просто то, как эти данные вводятся в систему. Это решение уже было реализовано в двух основных операционных системах, Mac OS и Linux . Это решение помогает тем, кто с подозрением относится к использованию этих приложений для совместного использования поездок из-за страха вторжения в их личную жизнь или потенциальной кражи данных, но это программное обеспечение доказало, что оно может справиться с защитой данных, а также сохранить анонимность пользователя. Это больше похоже на дополнительный уровень безопасности, который создает еще одно одеяло, чтобы скрыть пользователя.

К-анонимность

K-anonymity служит в качестве анонимизирующего сервера, который является доверенным сторонним сервером, который отвечает за предоставление анонимного прикрытия для пользователей. K-anonymity используется для сохранения конфиденциальности местоположения путем создания маскировки местоположения без знания фактического местоположения пользователя. ^[9] Программное обеспечение пытается найти несколько пользователей, близких к фактическим пользователям, поскольку тогда точные местоположения не могут быть соотнесены с исходным пользователем, о котором идет речь, и эти несколько местоположений, которые не могут быть идентифицированы пользователями, находящимися в непосредственной близости, защитят исходного пользователя. Не существует способа различить всех пользователей. ^[9]

Системы нечетких помех

Другое решение — попытаться использовать системы нечетких помех применительно к мобильным геосервисам. ^[10] Это решение будет использовать различные детали для идентификации пользователя, которые не будут склонны к злоупотреблению полученной информацией организациями. В настоящее время службы, основанные на местоположении, могут раскрывать несколько конфиденциальных фрагментов информации, таких как ближайшие религиозные учреждения, которые могут раскрывать личность пользователя, которую организации используют в чисто коммерческих целях. В статье предлагается решение — анонимизация, которое защищает данные пользователя в случае случайных нарушений. Существует объяснение системы нечетких выводов и того, как она работает *объясните, как она работает*, а затем потенциальный метод импликации в отношении водителей такси, чтобы увидеть, является ли это эффективным способом защиты информации людей, поскольку нет конкретной конструкции с анонимизацией, которая доказала бы свою эффективность. Существуют различные уровни точности, которые система определения местоположения может сузить до пользователя. Эти системы преобразуют количественные данные в качественные, которые скроют личность и местоположение пользователя. После пробной реализации с водителями такси возникло несколько осложнений, в основном из-за человеческого непонимания, но в будущем, инвестируя больше времени в это решение и объединяя его с уже существующими решениями, можно было бы получить более эффективное решение. Для тех, кто боится, что их местоположение будет отслеживаться и это будет использоваться для отслеживания пользователя, это решение делает данные пользователя нечеткими, поэтому если их отслеживают, то это не совсем точно. Существуют таблицы данных, которые показывают экспериментальные расстояния того, насколько близко программное обеспечение для отслеживания было к тем, кто реализовал нечеткое решение. Это решение использует другой подход, поскольку оно не полностью решает проблему того, как полностью защитить конфиденциальность пользователя, но оно работает в этом направлении, поскольку у решения не было достаточно времени для созревания, поскольку оно находится только на вводных стадиях. Оно проливает свет на тот факт, что программное обеспечение для отслеживания местоположения все еще не является частным, даже когда были приняты решения, чтобы попытаться преодолеть это решение, но оставляет открытый финал, поскольку оно заканчивается тем, что с большим количеством исследований и ресурсов, вложенных в него (и конкретно указанием того, какие области можно было бы улучшить), оно могло бы расширяться и развиваться лучше. ^[11]

Трансформация местоположения

Одним из предлагаемых решений является модель, которая оценивает, насколько сложно внешним источникам получить доступ к чьей-либо личной информации. Предлагается несколько механизмов, которые могут быть полезны для сокрытия данных, включая сокрытие местоположения, возмущение, путаницу и подавление, а также криптографические методы. ^[7]

Сокрытие местоположения

Скрытие местоположения пользователя означает скрытие местоположения пользователя. Координаты местоположения пользователя все еще сохраняются, однако точность просто ухудшается. ^[12] Однако это не может быть полным решением, поскольку это просто игнорирует всю причину услуг на основе местоположения. Поэтому избирательность в том, что приложение скрывает, поможет с защитой. ^[7]

Существует программа, называемая алгоритмом NRand, который определяет количество помех, которые накладываются на данные о местоположении пользователя. С этим алгоритмом возникает пара проблем, включая определение того, сколько шума должно быть реализовано, и достаточно ли изменения данных, чтобы изменить их до неузнаваемой формы из исходного состояния. ^[13]

Возмущение местоположения

На карте местоположение фиксируется на чем-то в непосредственной близости, но не на точном местоположении пользователя из-за добавленного шума. С этим добавленным слоем, если есть другое местоположение в достаточно близком диапазоне, переход будет добавлен к нескольким местоположениям и замаскирует все точки интереса. ^[7]^[13]

Замешательство и подавление

Фиктивное местоположение устанавливается как истинное местоположение. Это делается путем точного определения конкретного местоположения пользователя и преобразования его в несколько других местоположений, при этом сохраняя истинное местоположение. Подавление — это подмножество этих различных приложений, где на короткий период времени, когда пользователь входит в область, информация пользователя временно приостанавливается, и личность пользователя теряется, поэтому, когда он выходит обратно из защищенной области, у него есть новая личность. ^[7]

Криптографические методы

Исходные данные невозможно отследить, поскольку информация проходит через своего рода криптографический интерпретатор и может быть преобразована в несколько различных точек данных. ^[7]

Смотрите также

Ссылки

^ abc Chan, Nelson D.; Shaheen, Susan A. (январь 2012 г.). «Совместные поездки в Северной Америке: прошлое, настоящее и будущее» (PDF) . Transport Reviews . 32 (1): 93– 112. doi :10.1080/01441647.2011.621557. ISSN 0144-1647. S2CID 131187130.
^ "Uber Privacy". privacy.uber.com . Получено 2019-03-14 .
^ "Политика конфиденциальности Lyft". Lyft . Получено 21.04.2019 .
^ "Reporter's Recording Guide". Комитет репортеров за свободу прессы . Получено 2020-12-01 .
^ Hallgren, Per; Orlandi, Claudio; Sabelfeld, Andrei (август 2017 г.). «PrivatePool: Privacy-Preserving Ridesharing». 2017 IEEE 30th Computer Security Foundations Symposium (CSF) . Санта-Барбара, Калифорния: IEEE. стр. 276–291 . doi :10.1109/CSF.2017.24. ISBN 978-1-5386-3217-8. S2CID 10509617.
^ Кикучи, Хироаки; Такахаши, Кацуми (июль 2015 г.). «Модель распределения Ципфа для количественной оценки риска повторной идентификации по данным траектории». 2015 13-я ежегодная конференция по конфиденциальности, безопасности и доверию (PST) . IEEE. стр. 14–21 . doi :10.1109/pst.2015.7232949. ISBN 978-1-4673-7828-4.
^ abcdef Дамиани, Мария Л. (октябрь 2014 г.). «Модели конфиденциальности местоположения в мобильных приложениях: концептуальный взгляд и направления исследований». GeoInformatica . 18 (4): 819– 842. doi :10.1007/s10707-014-0205-7. S2CID 1536208. ProQuest 1562335430.
^ Pingley, Aniket; Yu, Wei; Zhang, Nan; Fu, Xinwen; Zhao, Wei (июль 2012 г.). «Контекстно-зависимая схема для сохраняющих конфиденциальность служб на основе местоположения». Computer Networks . 56 (11): 2551– 2568. doi :10.1016/j.comnet.2012.03.022. ISSN 1389-1286.
^ ab Biswas, Pratima; Sairam, Ashok Singh (июль 2018 г.). «Моделирование подходов к обеспечению конфиденциальности для служб на основе местоположения». Computer Networks . 140 : 1– 14. doi : 10.1016/j.comnet.2018.04.016. ISSN 1389-1286. S2CID 47021116.
^ Хашеми, Махди; Малек, Мохаммад Реза (июль 2012 г.). «Защита конфиденциальности местоположения в мобильных геосервисах с использованием систем нечеткого вывода». Компьютеры, окружающая среда и городские системы . 36 (4): 311– 320. doi :10.1016/j.compenvurbsys.2011.12.002. ISSN 0198-9715.
^ Цзи, Руи; Ян, Юпу (2013-06-19). «Гладкое обучение опорных векторов для систем классификации на основе нечетких правил». Интеллектуальный анализ данных . 17 (4): 679– 695. doi :10.3233/ida-130600. ISSN 1571-4128.
^ Сурбаран, Майра; Вайтман, Педро; Бровелли, Мария; Оксоли, Даниэле; Илифф, Марк; Химено, Мигель; Салазар, Аугусто (17 августа 2018 г.). «NRand-K: Минимизация влияния запутывания местоположения в пространственном анализе». Транзакции в ГИС . 22 (5): 1257–1274 . doi :10.1111/tgis.12462. ISSN 1361-1682. S2CID 53013020.
^ ab Hua, Jingyu; Tong, Wei; Xu, Fengyuan; Zhong, Sheng (2017). «Гео-неразличимый механизм возмущения местоположения для служб на основе местоположения, поддерживающих частые запросы». IEEE Transactions on Information Forensics and Security . 13 (5): 1155– 1168. doi :10.1109/tifs.2017.2779402. ISSN 1556-6013. S2CID 25233842.

[Chan_2012-1] Chan, Nelson D.; Shaheen, Susan A. (январь 2012 г.). «Совместные поездки в Северной Америке: прошлое, настоящее и будущее» (PDF) . Transport Reviews . 32 (1): 93– 112. doi :10.1080/01441647.2011.621557. ISSN 0144-1647. S2CID 131187130.

[2] "Uber Privacy". privacy.uber.com . Получено 2019-03-14 .

[3] "Политика конфиденциальности Lyft". Lyft . Получено 21.04.2019 .

[4] "Reporter's Recording Guide". Комитет репортеров за свободу прессы . Получено 2020-12-01 .

[5] Hallgren, Per; Orlandi, Claudio; Sabelfeld, Andrei (август 2017 г.). «PrivatePool: Privacy-Preserving Ridesharing». 2017 IEEE 30th Computer Security Foundations Symposium (CSF) . Санта-Барбара, Калифорния: IEEE. стр. 276–291 . doi :10.1109/CSF.2017.24. ISBN 978-1-5386-3217-8. S2CID 10509617.

[6] Кикучи, Хироаки; Такахаши, Кацуми (июль 2015 г.). «Модель распределения Ципфа для количественной оценки риска повторной идентификации по данным траектории». 2015 13-я ежегодная конференция по конфиденциальности, безопасности и доверию (PST) . IEEE. стр. 14–21 . doi :10.1109/pst.2015.7232949. ISBN 978-1-4673-7828-4.

[Damiani_2014-7] Дамиани, Мария Л. (октябрь 2014 г.). «Модели конфиденциальности местоположения в мобильных приложениях: концептуальный взгляд и направления исследований». GeoInformatica . 18 (4): 819– 842. doi :10.1007/s10707-014-0205-7. S2CID 1536208. ProQuest 1562335430.

[Pingley_2012-8] Pingley, Aniket; Yu, Wei; Zhang, Nan; Fu, Xinwen; Zhao, Wei (июль 2012 г.). «Контекстно-зависимая схема для сохраняющих конфиденциальность служб на основе местоположения». Computer Networks . 56 (11): 2551– 2568. doi :10.1016/j.comnet.2012.03.022. ISSN 1389-1286.

[Biswas_2018-9] Biswas, Pratima; Sairam, Ashok Singh (июль 2018 г.). «Моделирование подходов к обеспечению конфиденциальности для служб на основе местоположения». Computer Networks . 140 : 1– 14. doi : 10.1016/j.comnet.2018.04.016. ISSN 1389-1286. S2CID 47021116.

[10] Хашеми, Махди; Малек, Мохаммад Реза (июль 2012 г.). «Защита конфиденциальности местоположения в мобильных геосервисах с использованием систем нечеткого вывода». Компьютеры, окружающая среда и городские системы . 36 (4): 311– 320. doi :10.1016/j.compenvurbsys.2011.12.002. ISSN 0198-9715.

[11] Цзи, Руи; Ян, Юпу (2013-06-19). «Гладкое обучение опорных векторов для систем классификации на основе нечетких правил». Интеллектуальный анализ данных . 17 (4): 679– 695. doi :10.3233/ida-130600. ISSN 1571-4128.

[12] Сурбаран, Майра; Вайтман, Педро; Бровелли, Мария; Оксоли, Даниэле; Илифф, Марк; Химено, Мигель; Салазар, Аугусто (17 августа 2018 г.). «NRand-K: Минимизация влияния запутывания местоположения в пространственном анализе». Транзакции в ГИС . 22 (5): 1257–1274 . doi :10.1111/tgis.12462. ISSN 1361-1682. S2CID 53013020.

[Hua_2017-13] Hua, Jingyu; Tong, Wei; Xu, Fengyuan; Zhong, Sheng (2017). «Гео-неразличимый механизм возмущения местоположения для служб на основе местоположения, поддерживающих частые запросы». IEEE Transactions on Information Forensics and Security . 13 (5): 1155– 1168. doi :10.1109/tifs.2017.2779402. ISSN 1556-6013. S2CID 25233842.