6.6.2 Κατανόηση και διαχείριση ενημερωτικό κινδύνου

Ο κίνδυνος πληροφόρησης είναι ο πιο κοινός κίνδυνος στην κοινωνική έρευνα. έχει αυξηθεί δραματικά. και είναι ο δυσκολότερος κίνδυνος κατανόησης.

Η δεύτερη δεοντολογική πρόκληση για την έρευνα ψηφιακής ηλικίας είναι ο ενημερωτικός κίνδυνος , η πιθανότητα βλάβης από την αποκάλυψη πληροφοριών (National Research Council 2014) . Οι πληροφοριακές βλάβες από την αποκάλυψη προσωπικών πληροφοριών θα μπορούσαν να είναι οικονομικές (π.χ. απώλεια εργασίας), κοινωνική (π.χ., αμηχανία), ψυχολογική (π.χ. κατάθλιψη), ή ακόμα και εγκληματική (π.χ., σύλληψη για παράνομη συμπεριφορά). Δυστυχώς, η ψηφιακή εποχή αυξάνει δραματικά τον ενημερωτικό κίνδυνο - υπάρχουν πολύ περισσότερες πληροφορίες για τη συμπεριφορά μας. Και ο πληροφοριακός κίνδυνος έχει αποδειχθεί πολύ δύσκολο να κατανοηθεί και να διαχειριστεί σε σύγκριση με κινδύνους που αποτελούσαν ανησυχίες στην κοινωνική έρευνα ανάλογης ηλικίας, όπως ο φυσικός κίνδυνος.

Ένας τρόπος που κοινωνικούς ερευνητές μειώνουν ενημερωτική κίνδυνος είναι «ανωνυμία» των δεδομένων. "Ανωνυμοποίηση" είναι η διαδικασία αφαίρεσης προφανή προσωπικά αναγνωριστικά, όπως το όνομα, τη διεύθυνση και τον αριθμό τηλεφώνου από τα δεδομένα. Ωστόσο, η προσέγγιση αυτή είναι πολύ λιγότερο αποτελεσματική από ό, τι πολλοί άνθρωποι συνειδητοποιούν, και είναι, στην πραγματικότητα, βαθιά και ουσιαστικά περιορισμένη. Για το λόγο αυτό, κάθε φορά που περιγράφω "ανωνυμίας," εγώ θα χρησιμοποιήσετε εισαγωγικά για να σας υπενθυμίσω ότι αυτή η διαδικασία δημιουργεί την εμφάνιση της ανωνυμίας, αλλά δεν είναι αλήθεια ανωνυμία.

Ένα έντονο παράδειγμα της αποτυχίας της «ανωνυμίας» προέρχεται από τα τέλη της δεκαετίας του 1990 στη Μασαχουσέτη (Sweeney 2002) . Η Επιτροπή Ασφάλισης Ομίλου (GIC) ήταν κρατική υπηρεσία υπεύθυνη για την αγορά ασφάλισης υγείας για όλους τους κρατικούς υπαλλήλους. Μέσα από αυτό το έργο, το GIC συνέλεξε λεπτομερή ιατρικά αρχεία για χιλιάδες κρατικούς υπαλλήλους. Σε μια προσπάθεια να προωθήσει την έρευνα, η GIC αποφάσισε να απελευθερώσει αυτά τα αρχεία στους ερευνητές. Ωστόσο, δεν μοιράστηκαν όλα τα δεδομένα τους. Αντίθετα, "ανώνυζαν" αυτά τα δεδομένα, αφαιρώντας πληροφορίες όπως ονόματα και διευθύνσεις. Ωστόσο, άφησαν άλλες πληροφορίες που θεωρούσαν χρήσιμες για ερευνητές όπως δημογραφικές πληροφορίες (ταχυδρομικός κώδικας, ημερομηνία γέννησης, εθνικότητα και φύλο) και ιατρικές πληροφορίες (δεδομένα επίσκεψης, διάγνωση, διαδικασία) (σχήμα 6.4 (Ohm 2010) . Δυστυχώς, αυτή η "ανωνυμοποίηση" δεν ήταν επαρκής για την προστασία των δεδομένων.

Σχήμα 6.4: Η ανωνυμοποίηση είναι η διαδικασία αφαίρεσης προφανώς αναγνωριστικών πληροφοριών. Για παράδειγμα, κατά την απελευθέρωση των ιατρικών αρχείων των κρατικών υπαλλήλων, η Επιτροπή Ασφάλισης Ομίλου της Μασαχουσέτης (GIC) κατάργησε ονόματα και διευθύνσεις από τα αρχεία. Χρησιμοποιώ τα εισαγωγικά γύρω από την ανώνυμη λέξη επειδή η διαδικασία παρέχει την εμφάνιση της ανωνυμίας αλλά όχι την πραγματική ανωνυμία.

Σχήμα 6.4: Η "ανωνυμοποίηση" είναι η διαδικασία αφαίρεσης προφανώς αναγνωρίσιμων πληροφοριών. Για παράδειγμα, κατά την απελευθέρωση των ιατρικών αρχείων των κρατικών υπαλλήλων, η Επιτροπή Ασφάλισης Ομίλου της Μασαχουσέτης (GIC) κατάργησε ονόματα και διευθύνσεις από τα αρχεία. Χρησιμοποιώ τα εισαγωγικά γύρω από τη λέξη "ανώνυμο" επειδή η διαδικασία παρέχει την εμφάνιση της ανωνυμίας αλλά όχι την πραγματική ανωνυμία.

Για να δείξει τις αδυναμίες της "ανωνυμοποίησης" του GIC, η Latanya Sweeney, τότε πτυχιούχος φοιτητής στο MIT, πλήρωσε 20 δολάρια για να πάρει τα αρχεία ψηφοφορίας από την πόλη Cambridge, την πατρίδα του κυβερνήτη της Μασαχουσέτης William Weld. Αυτά τα αρχεία ψηφοφορίας περιελάμβαναν πληροφορίες όπως όνομα, διεύθυνση, ταχυδρομικό κώδικα, ημερομηνία γέννησης και φύλο. Το γεγονός ότι το αρχείο ιατρικών δεδομένων και το αρχείο ψηφοφόρων μοιράζονταν πεδία-ταχυδρομικός κώδικας, ημερομηνία γέννησης και σεξ - σήμαινε ότι ο Sweeney θα μπορούσε να τους συνδέσει. Ο Sweeney γνώριζε ότι τα γενέθλια του Weld ήταν 31 Ιουλίου 1945 και τα αρχεία ψηφοφορίας περιελάμβαναν μόνο έξι άτομα στο Cambridge με αυτά τα γενέθλια. Επιπλέον, από αυτούς τους έξι ανθρώπους, μόνο τρεις ήταν άνδρες. Και, από τους τρεις αυτούς άντρες, μόνο ένας κοινός ταχυδρομικός κώδικας του Weld. Έτσι, τα δεδομένα ψηφοφορίας έδειξαν ότι ο καθένας στα ιατρικά δεδομένα με τον συνδυασμό της ημερομηνίας γέννησης, του φύλου και του ταχυδρομικού κώδικα του Weld ήταν ο William Weld. Στην ουσία, αυτά τα τρία στοιχεία έδωσαν ένα μοναδικό δακτυλικό αποτύπωμα σε αυτά στα δεδομένα. Χρησιμοποιώντας αυτό το γεγονός, η Sweeney μπόρεσε να εντοπίσει τα ιατρικά αρχεία του Weld και, για να τον ενημερώσει για το κατόρθωμα της, του έστειλε ένα αντίγραφο των αρχείων του (Ohm 2010) .

Εικόνα 6.5: Επαναπροσδιορισμός ανωνυμοποιημένων δεδομένων. Η Latanya Sweeney συνένωσε τα ανώνυμα αρχεία υγείας με τα αρχεία ψηφοφορίας για να βρει τα ιατρικά αρχεία του κυβερνήτη William Weld Adapted από το Sweeney (2002), σχήμα 1.

Σχήμα 6.5: Επαναπροσδιορισμός δεδομένων "ανώνυμων". Η Latanya Sweeney συνένωσε τα "ανώνυμα" αρχεία υγείας με τα αρχεία ψηφοφορίας για να βρει τα ιατρικά αρχεία του κυβερνήτη William Weld Adapted από το Sweeney (2002) , σχήμα 1.

Το έργο του Sweeney περιγράφει τη βασική δομή των επιθέσεων επαναπροσδιορισμού - να υιοθετήσει έναν όρο από την κοινότητα ασφάλειας υπολογιστών. Σε αυτές τις επιθέσεις, δύο σύνολα δεδομένων, από τα οποία κανένα από τα οποία δεν αποκαλύπτουν ευαίσθητες πληροφορίες, συνδέονται μεταξύ τους και μέσω αυτής της διασύνδεσης εκτίθενται ευαίσθητες πληροφορίες.

Ανταποκρινόμενοι στο έργο του Sweeney και σε άλλες σχετικές εργασίες, οι ερευνητές γενικά αφαιρούν πολύ περισσότερες πληροφορίες - όλες τις αποκαλούμενες "πληροφορίες προσωπικής ταυτοποίησης" (PII) (Narayanan and Shmatikov 2010) κατά τη διάρκεια της διαδικασίας "ανωνυμοποίησης". Επιπλέον, πολλοί ερευνητές τώρα συνειδητοποιούν ότι ορισμένα στοιχεία -όπως τα ιατρικά αρχεία, τα οικονομικά αρχεία, οι απαντήσεις σε ερωτήσεις έρευνας σχετικά με την παράνομη συμπεριφορά- είναι πιθανώς πολύ ευαίσθητα στην απελευθέρωση ακόμη και μετά την "ανωνυμοποίηση". Ωστόσο, τα παραδείγματα που πρόκειται να δώσω δείχνουν ότι οι κοινωνικοί ερευνητές χρειάζονται να αλλάξουν τη σκέψη τους. Ως πρώτο βήμα, είναι λογικό να υποθέσουμε ότι όλα τα δεδομένα είναι δυνητικά αναγνωρίσιμα και όλα τα δεδομένα είναι δυνητικά ευαίσθητα. Με άλλα λόγια, αντί να πιστεύουμε ότι ο ενημερωτικός κίνδυνος ισχύει για ένα μικρό υποσύνολο έργων, θα πρέπει να υποθέσουμε ότι εφαρμόζεται - σε κάποιο βαθμό - σε όλα τα έργα.

Και οι δύο πτυχές αυτού του αναπροσανατολισμού απεικονίζονται στο βραβείο Netflix. Όπως περιγράφεται στο κεφάλαιο 5, η Netflix κυκλοφόρησε 100 εκατομμύρια αξιολογήσεις ταινιών από σχεδόν 500.000 μέλη και είχε μια ανοιχτή κλήση, όπου άνθρωποι από όλο τον κόσμο υπέβαλαν αλγόριθμους που θα μπορούσαν να βελτιώσουν την ικανότητα του Netflix να προτείνει ταινίες. Πριν από την απελευθέρωση των δεδομένων, η Netflix αφαιρέθηκε κάθε προφανή προσωπική ταυτότητα, όπως ονόματα. Έκαναν επίσης ένα επιπλέον βήμα και εισήγαγαν μικρές διαταραχές σε μερικές από τις εγγραφές (π.χ., αλλάζοντας κάποιες βαθμολογίες από 4 αστέρια σε 3 αστέρια). Σύντομα όμως ανακάλυψαν ότι, παρά τις προσπάθειές τους, τα δεδομένα δεν ήταν σε καμία περίπτωση ανώνυμα.

Μόλις δύο εβδομάδες μετά την απελευθέρωση των δεδομένων, οι Arvind Narayanan και Vitaly Shmatikov (2008) έδειξαν ότι ήταν δυνατόν να μάθουμε τις προτιμήσεις των συγκεκριμένων ανθρώπων. Το κόλπο για την επίθεση επαναπροσδιορισμού τους ήταν παρόμοιο με το Sweeney's: συγχωνεύουν δύο πηγές πληροφοριών, μία με δυνητικά ευαίσθητες πληροφορίες και καμία προφανώς αναγνωρίσιμη πληροφορία και μία που περιέχει ταυτότητες ανθρώπων. Κάθε μία από αυτές τις πηγές δεδομένων μπορεί να είναι μεμονωμένα ασφαλής, αλλά όταν συνδυάζονται, το συγχωνευμένο σύνολο δεδομένων μπορεί να δημιουργήσει πληροφοριακό κίνδυνο. Στην περίπτωση των δεδομένων Netflix, εδώ είναι πώς θα μπορούσε να συμβεί. Φανταστείτε ότι επιλέγω να μοιραστώ με τους συναδέλφους μου τις σκέψεις μου για κινηματογραφικές ταινίες δράσης και κωμωδίας, αλλά προτιμώ να μην μοιραστώ τη γνώμη μου για θρησκευτικές και πολιτικές ταινίες. Οι συνεργάτες μου θα μπορούσαν να χρησιμοποιήσουν τις πληροφορίες που μοιράστηκα μαζί τους για να βρω τα αρχεία μου στα δεδομένα Netflix. οι πληροφορίες που μοιράζομαι θα μπορούσαν να είναι ένα μοναδικό αποτύπωμα ακριβώς όπως η ημερομηνία γέννησης του William Weld, ο ταχυδρομικός κώδικας και το φύλο. Στη συνέχεια, εάν βρήκαν το μοναδικό δακτυλικών αποτυπωμάτων μου στα δεδομένα, θα μπορούσαν να μάθουν τις βαθμολογίες μου για όλες τις ταινίες, συμπεριλαμβανομένων των ταινιών που επιλέγω να μην μοιραστώ. Εκτός από αυτό το είδος στοχοθετημένης επίθεσης που επικεντρώθηκε σε ένα μόνο άτομο, ο Narayanan και ο Shmatikov έδειξαν επίσης ότι ήταν δυνατό να εκτελεστεί μια ευρεία επίθεση -η οποία αφορούσε πολλούς ανθρώπους- με τη συγχώνευση των δεδομένων Netflix με προσωπικά δεδομένα και δεδομένα βαθμολόγησης ταινιών που έχουν επιλέξει ορισμένοι άνθρωποι για δημοσίευση στη βάση δεδομένων ταινιών Internet (IMDb). Πολύ απλά, οποιαδήποτε πληροφορία που είναι ένα μοναδικό αποτύπωμα σε ένα συγκεκριμένο άτομο - ακόμη και το σύνολο των αξιολογήσεων ταινιών - μπορεί να χρησιμοποιηθεί για την αναγνώρισή τους.

Παρόλο που τα δεδομένα του Netflix μπορούν να επαναπροσδιοριστούν είτε σε στοχοθετημένη είτε σε ευρεία επίθεση, εξακολουθεί να φαίνεται ότι είναι χαμηλού κινδύνου. Μετά από όλα, οι βαθμολογίες ταινιών δεν φαίνονται πολύ ευαίσθητες. Ενώ αυτό μπορεί να ισχύει εν γένει, για μερικούς από τους 500.000 ανθρώπους στο σύνολο δεδομένων, οι βαθμολογίες ταινιών μπορεί να είναι αρκετά ευαίσθητες. Στην πραγματικότητα, ως απάντηση στην επαναπροσδιορισμό, μια κλειστή λεσβιακή γυναίκα εντάχθηκε σε μια κατηγορία αγωγής κατά της Netflix. Δείτε πώς παρουσιάστηκε το πρόβλημα στην αγωγή τους (Singel 2009) :

"Τα δεδομένα [M] ovie και αξιολόγησης περιέχουν πληροφορίες με ... πολύ προσωπικό και ευαίσθητο χαρακτήρα. Τα δεδομένα ταινίας του μέλους εκθέτουν το προσωπικό συμφέρον του μέλους του Netflix ή / και αγωνίζονται με διάφορα ιδιαίτερα προσωπικά ζητήματα, όπως η σεξουαλικότητα, η ψυχική ασθένεια, η αποκατάσταση από τον αλκοολισμό και η θυματοποίηση από την αιμομιξία, τη σωματική κακοποίηση, την ενδοοικογενειακή βία, τη μοιχεία και τον βιασμό ».

Η επαναπροσδιορισμός των δεδομένων του Βραβείου Netflix δείχνει ότι όλα τα δεδομένα είναι πιθανόν να αναγνωριστούν και ότι όλα τα δεδομένα είναι δυνητικά ευαίσθητα. Σε αυτό το σημείο, ίσως να πιστεύετε ότι αυτό ισχύει μόνο για τα δεδομένα που θεωρούνται ότι αφορούν τους ανθρώπους. Παραδόξως, αυτό δεν συμβαίνει. Απαντώντας σε αίτημα του νόμου για την Ελευθερία Πληροφοριών, η κυβέρνηση της Νέας Υόρκης δημοσίευσε τα αρχεία για κάθε ταξί στη Νέα Υόρκη το 2013, συμπεριλαμβανομένων των χρόνων παραλαβής και αποβίβασης, τοποθεσίες και ποσά ναύλων (ανάκληση από το κεφάλαιο 2 ότι ο Farber (2015) χρησιμοποίησε παρόμοια δεδομένα για να δοκιμάσει σημαντικές θεωρίες στην οικονομία της εργασίας). Αυτά τα δεδομένα σχετικά με ταξίδια ταξί μπορεί να φαίνονται καλοήθεις επειδή δεν φαίνεται να παρέχουν πληροφορίες για τους ανθρώπους, αλλά ο Anthony Tockar συνειδητοποίησε ότι αυτό το σύνολο ταξί περιείχε στην πραγματικότητα πολλές δυνητικά ευαίσθητες πληροφορίες για τους ανθρώπους. Για να το φανταστεί, κοίταξε όλα τα ταξίδια που ξεκίνησαν από το Hustler Club - ένα μεγάλο club strip στη Νέα Υόρκη - από τα μεσάνυχτα έως τις 6 το πρωί και στη συνέχεια βρήκαν τις θέσεις τους. Αυτή η αναζήτηση αποκάλυψε - κατ 'ουσίαν - μια λίστα διευθύνσεων μερικών ατόμων που επισκέπτονταν το Hustler Club (Tockar 2014) . Είναι δύσκολο να φανταστεί κανείς ότι η κυβέρνηση της πόλης είχε αυτό κατά νου όταν κυκλοφόρησε τα δεδομένα. Στην πραγματικότητα, αυτή η ίδια τεχνική θα μπορούσε να χρησιμοποιηθεί για να βρεθούν οι διευθύνσεις σπιτιών των ανθρώπων που επισκέπτονται οποιοδήποτε μέρος της πόλης - μια ιατρική κλινική, ένα κυβερνητικό κτίριο ή ένα θρησκευτικό ίδρυμα.

Αυτές οι δύο περιπτώσεις του τιμολογίου Netflix και των δεδομένων ταξί της Νέας Υόρκης δείχνουν ότι σχετικά εξειδικευμένοι άνθρωποι μπορεί να αποτύχουν να εκτιμήσουν σωστά τον ενημερωτικό κίνδυνο στα δεδομένα που απελευθερώνουν - και αυτές οι περιπτώσεις δεν είναι καθόλου μοναδικές (Barbaro and Zeller 2006; Zimmer 2010; Narayanan, Huey, and Felten 2016) . Επιπλέον, σε πολλές τέτοιες περιπτώσεις, τα προβληματικά δεδομένα παραμένουν ελεύθερα διαθέσιμα στο διαδίκτυο, υποδεικνύοντας τη δυσκολία να καταργηθεί ποτέ η απελευθέρωση δεδομένων. Συλλογικά, αυτά τα παραδείγματα - καθώς και η έρευνα στον τομέα της πληροφορικής σχετικά με την προστασία της ιδιωτικής ζωής - οδηγούν σε ένα σημαντικό συμπέρασμα. Οι ερευνητές θα πρέπει να υποθέσουν ότι όλα τα δεδομένα είναι πιθανώς αναγνωρίσιμα και όλα τα δεδομένα είναι δυνητικά ευαίσθητα.

Δυστυχώς, δεν υπάρχει απλή λύση στα γεγονότα ότι όλα τα δεδομένα είναι δυνητικά αναγνωρίσιμα και ότι όλα τα δεδομένα είναι δυνητικά ευαίσθητα. Ωστόσο, ένας τρόπος για να μειώσετε τον ενημερωτικό κίνδυνο ενώ εργάζεστε με τα δεδομένα είναι να δημιουργήσετε και να ακολουθήσετε ένα σχέδιο προστασίας δεδομένων . Αυτό το σχέδιο θα μειώσει την πιθανότητα διαρροής των δεδομένων σας και θα μειώσει τη ζημιά εάν συμβεί κάποια διαρροή. Οι ιδιαιτερότητες των σχεδίων προστασίας δεδομένων, όπως η μορφή κρυπτογράφησης που θα χρησιμοποιηθεί, θα αλλάξουν με την πάροδο του χρόνου, αλλά οι υπηρεσίες δεδομένων του Ηνωμένου Βασιλείου διοργανώνουν τα στοιχεία ενός σχεδίου προστασίας δεδομένων σε πέντε κατηγορίες που ονομάζουν πέντε χρηματοκιβώτια : ασφαλή έργα, , ασφαλείς ρυθμίσεις, ασφαλή δεδομένα και ασφαλείς εξόδους (πίνακας 6.2) (Desai, Ritchie, and Welpton 2016) . Κανένα από τα πέντε χρηματοκιβώτια δεν παρέχει ξεχωριστή προστασία. Αλλά από κοινού σχηματίζουν ένα ισχυρό σύνολο παραγόντων που μπορούν να μειώσουν τον ενημερωτικό κίνδυνο.

Πίνακας 6.2: Τα "Πέντε Χρηματοκιβώτια" είναι Αρχές Σχεδιασμού και Εκτέλεσης Σχεδίου Προστασίας Δεδομένων (Desai, Ritchie, and Welpton 2016)
Ασφαλής Δράση
Ασφαλή έργα Περιορίζει τα έργα με δεδομένα σε αυτά που είναι ηθικά
Ασφαλείς άνθρωποι Η πρόσβαση περιορίζεται σε άτομα που μπορούν να εμπιστευθούν με δεδομένα (π.χ. άτομα που έχουν υποβληθεί σε ηθική εκπαίδευση)
Ασφαλή δεδομένα Τα δεδομένα απαλείφονται και συγκεντρώνονται στο μέτρο του δυνατού
Ασφαλείς ρυθμίσεις Τα δεδομένα αποθηκεύονται σε υπολογιστές με κατάλληλη φυσική προστασία (π.χ. κλειδωμένη αίθουσα) και λογισμικό (π.χ. προστασία με κωδικό πρόσβασης, κρυπτογραφημένη)
Ασφαλής έξοδος Τα αποτελέσματα της έρευνας επανεξετάζονται για να αποφευχθούν τυχαίες παραβιάσεις της ιδιωτικής ζωής

Εκτός από την προστασία των δεδομένων σας ενώ τα χρησιμοποιείτε, ένα βήμα στην ερευνητική διαδικασία όπου ο πληροφοριακός κίνδυνος είναι ιδιαίτερα σημαντικός είναι η ανταλλαγή δεδομένων με άλλους ερευνητές. Η ανταλλαγή δεδομένων μεταξύ των επιστημόνων αποτελεί βασική αξία της επιστημονικής προσπάθειας και διευκολύνει σημαντικά την πρόοδο της γνώσης. Ακολουθεί ο τρόπος με τον οποίο η Βουλή των Κοινοτήτων του Ηνωμένου Βασιλείου περιέγραψε τη σημασία της ανταλλαγής δεδομένων (Molloy 2011) :

"Η πρόσβαση στα δεδομένα είναι θεμελιώδης, προκειμένου οι ερευνητές να αναπαράγουν, να ελέγχουν και να αξιοποιούν τα αποτελέσματα που αναφέρονται στη βιβλιογραφία. Το τεκμήριο πρέπει να είναι ότι, εκτός αν υπάρχει άλλος ισχυρός λόγος, τα δεδομένα πρέπει να γνωστοποιούνται πλήρως και να δημοσιοποιούνται. "

Ωστόσο, μοιράζοντας τα δεδομένα σας με έναν άλλο ερευνητή, μπορεί να αυξάνετε τον ενημερωτικό κίνδυνο για τους συμμετέχοντες. Επομένως, μπορεί να φαίνεται ότι η ανταλλαγή δεδομένων δημιουργεί μια θεμελιώδη ένταση μεταξύ της υποχρέωσης ανταλλαγής δεδομένων με άλλους επιστήμονες και της υποχρέωσης ελαχιστοποίησης του πληροφοριακού κινδύνου για τους συμμετέχοντες. Ευτυχώς, αυτό το δίλημμα δεν είναι τόσο σοβαρό όσο φαίνεται. Αντίθετα, είναι προτιμότερο να σκεφτόμαστε ότι η ανταλλαγή δεδομένων πέφτει κατά μήκος ενός συνεχούς, με κάθε σημείο της συνέχειας να παρέχει ένα διαφορετικό συνδυασμό οφέλους για την κοινωνία και κίνδυνο για τους συμμετέχοντες (σχήμα 6.6).

Στο ένα άκρο, μπορείτε να μοιράζεστε τα δεδομένα σας με κανέναν, ο οποίος ελαχιστοποιεί τον κίνδυνο για τους συμμετέχοντες αλλά επίσης ελαχιστοποιεί τα κέρδη για την κοινωνία. Στο άλλο άκρο, μπορείτε να απελευθερώσετε και να ξεχάσετε , όπου τα δεδομένα είναι "ανώνυμα" και δημοσιεύτηκε για όλους. Σχετικά με την μη απελευθέρωση δεδομένων, η απελευθέρωση και η ξεχασία προσφέρουν τόσο υψηλότερα οφέλη για την κοινωνία όσο και υψηλότερο κίνδυνο για τους συμμετέχοντες. Μεταξύ αυτών των δύο ακραίων περιπτώσεων είναι μια σειρά από υβρίδια, συμπεριλαμβανομένου του τι θα ονομάσω μια περιφραγμένη προσέγγιση κήπου . Στο πλαίσιο αυτής της προσέγγισης, τα δεδομένα μοιράζονται με άτομα που πληρούν ορισμένα κριτήρια και συμφωνούν να δεσμεύονται από ορισμένους κανόνες (π.χ. εποπτεία από IRB και σχέδιο προστασίας δεδομένων). Η προσέγγιση με περιφραγμένο κήπο παρέχει πολλά από τα οφέλη της απελευθέρωσης και ξεχνάμε με μικρότερο κίνδυνο. Φυσικά, μια τέτοια προσέγγιση δημιουργεί πολλά ερωτήματα - ποιος πρέπει να έχει πρόσβαση, υπό ποιους όρους και για πόσο καιρό, ποιος πρέπει να πληρώσει για να συντηρήσει και να αστυνομεύσει τον περιφραγμένο κήπο κ.λπ. - αλλά αυτά δεν είναι ανυπέρβλητα. Στην πραγματικότητα, υπάρχουν ήδη εργαζόμενοι περιφραγμένοι κήποι που μπορούν να χρησιμοποιήσουν οι ερευνητές αυτή τη στιγμή, όπως το αρχείο δεδομένων της Διαπανεπιστημιακής Κοινοπραξίας Πολιτικής και Κοινωνικής Έρευνας του Πανεπιστημίου του Μίτσιγκαν.

Σχήμα 6.6: Οι στρατηγικές απελευθέρωσης δεδομένων μπορούν να πέσουν κατά μήκος ενός συνεχούς. Όπου πρέπει να βρίσκεστε σε αυτό το συνεχές δίκτυο εξαρτάται από τις συγκεκριμένες λεπτομέρειες των δεδομένων σας και η αναθεώρηση από τρίτους μπορεί να σας βοηθήσει να αποφασίσετε την κατάλληλη ισορροπία κινδύνου και οφέλους στην περίπτωσή σας. Το ακριβές σχήμα αυτής της καμπύλης εξαρτάται από τις ιδιαιτερότητες των δεδομένων και των ερευνητικών στόχων (Goroff 2015).

Σχήμα 6.6: Οι στρατηγικές απελευθέρωσης δεδομένων μπορούν να πέσουν κατά μήκος ενός συνεχούς. Όπου πρέπει να βρίσκεστε σε αυτό το συνεχές δίκτυο εξαρτάται από τις συγκεκριμένες λεπτομέρειες των δεδομένων σας και η αναθεώρηση από τρίτους μπορεί να σας βοηθήσει να αποφασίσετε την κατάλληλη ισορροπία κινδύνου και οφέλους στην περίπτωσή σας. Το ακριβές σχήμα αυτής της καμπύλης εξαρτάται από τις ιδιαιτερότητες των δεδομένων και των ερευνητικών στόχων (Goroff 2015) .

Έτσι, πού θα έπρεπε τα δεδομένα της μελέτης σας να είναι για το συνεχές της μη διαμοιρασμού, το περιφραγμένο κήπο, και να απελευθερώσει και να ξεχάσει; Αυτό εξαρτάται από τις λεπτομέρειες των δεδομένων σας: οι ερευνητές πρέπει να εξισορροπήσουν το σεβασμό για τα άτομα, την ευεργετικότητα, τη δικαιοσύνη και τον σεβασμό στο νόμο και το δημόσιο συμφέρον. Από την άποψη αυτή, η ανταλλαγή δεδομένων δεν αποτελεί διακριτικό ηθικό αίνιγμα. είναι μία από τις πολλές πτυχές της έρευνας στην οποία οι ερευνητές πρέπει να βρουν μια κατάλληλη δεοντολογική ισορροπία.

Ορισμένοι επικριτές γενικά αντιτίθενται στην ανταλλαγή δεδομένων, διότι, κατά την άποψή μου, επικεντρώνονται στους κινδύνους - οι οποίοι είναι αναμφισβήτητα πραγματικοί - και αγνοούν τα οφέλη της. Επομένως, για να ενθαρρύνω την εστίαση τόσο στους κινδύνους όσο και στα οφέλη, θα ήθελα να προσφέρω μια αναλογία. Κάθε χρόνο, τα αυτοκίνητα ευθύνονται για χιλιάδες θανάτους, αλλά δεν προσπαθούμε να απαγορευτούμε την οδήγηση. Στην πραγματικότητα, μια έκκληση για απαγόρευση της οδήγησης θα ήταν παράλογη, διότι η οδήγηση επιτρέπει πολλά θαυμάσια πράγματα. Αντίθετα, η κοινωνία θέτει περιορισμούς σε όσους μπορούν να οδηγήσουν (π.χ. την ανάγκη να είναι μια ορισμένη ηλικία και να έχουν περάσει ορισμένες δοκιμές) και πώς μπορούν να οδηγήσουν (π.χ. κάτω από το όριο ταχύτητας). Η κοινωνία έχει επίσης επιφορτιστεί με την επιβολή αυτών των κανόνων (π.χ. της αστυνομίας), και τιμωρούμε τους ανθρώπους που τους πιάστηκαν να τους παραβιάζουν. Το ίδιο είδος ισορροπημένης σκέψης που εφαρμόζει η κοινωνία στη ρύθμιση της οδήγησης μπορεί επίσης να εφαρμοστεί στην ανταλλαγή δεδομένων. Δηλαδή, αντί να προτείνω απόλυτα επιχειρήματα υπέρ ή κατά της ανταλλαγής δεδομένων, πιστεύω ότι θα σημειώσουμε την μεγαλύτερη πρόοδο εστιάζοντας στο πώς μπορούμε να μειώσουμε τους κινδύνους και να αυξήσουμε τα οφέλη από την ανταλλαγή δεδομένων.

Εν κατακλείδι, ο κίνδυνος πληροφόρησης έχει αυξηθεί δραματικά και είναι πολύ δύσκολο να προβλεφθεί και να ποσοτικοποιηθεί. Ως εκ τούτου, είναι καλύτερο να υποθέσουμε ότι όλα τα δεδομένα είναι δυνητικά αναγνωρίσιμα και δυνητικά ευαίσθητα. Για να μειωθεί ο ενημερωτικός κίνδυνος κατά την έρευνα, οι ερευνητές μπορούν να δημιουργήσουν και να ακολουθήσουν ένα σχέδιο προστασίας δεδομένων. Επιπλέον, ο ενημερωτικός κίνδυνος δεν εμποδίζει τους ερευνητές να μοιράζονται δεδομένα με άλλους επιστήμονες.