在“匿名”数据显示涉嫌使用 Grindr 后，天主教神父辞职

在公开报道去匿名化的手机位置数据后，一名公众人物被驱逐，这似乎是第一次，公开了有关他生活的敏感和以前私人的细节。杰弗里·伯里尔 (Jeffrey Burrill) 主教是美国天主教主教会议 (USCCB) 的秘书长，实际上是美国最高级别的非主教神父，之前从数据经纪人获得的 Grindr 使用记录与他的公寓、工作地点相关联、度假屋、家庭成员的地址等。 Grindr 是一个同性恋联播应用程序，虽然显然 Burrill 的所有行为都不违法，但天主教会的神职人员禁止任何形式的性关系。 USCCB 甚至不鼓励天主教徒参加同性恋婚礼。伯里尔的案件“意义重大”，电子信息隐私中心执行董事艾伦巴特勒告诉 Ars。 “这是一个明确而突出的例子，说明了我的世界中的人们、隐私权倡导者和专家多年来一直在屋顶上尖叫的确切问题，即唯一可识别的数据不是匿名的。”据报道，导致 Burrill 下台的数据是通过合法途径获得的。移动运营商将位置数据出售给经纪人，经纪人将其汇总并出售给一系列买家，包括广告商、执法部门、路边服务，甚至赏金猎人。运营商在 2018 年被发现向经纪人出售实时位置数据，这引起了国会的愤怒。但在运营商公开道歉并承诺改革这种做法后，调查显示手机位置数据仍在不该出现的地方出现。今年，T-Mobile 甚至扩大了其产品范围，将客户的网络和应用程序使用数据出售给第三方，除非人们选择退出。披露 Burrill 私人应用程序使用情况的出版物 The Pillar 是一份涵盖天主教会的通讯，但并未具体说明它从何处或如何获取 Burrill 的数据。但它确实说明了它如何对聚合数据进行去匿名化，以将 Grindr 应用程序的使用与似乎是 Burrill 的手机的设备相关联。 Pillar 表示，它获得了 24 个月的“商业应用信号数据记录”，涵盖了 2018 年、2019 年和 2020 年的部分时间，其中包括 Grindr 使用情况和应用程序使用位置的记录。该出版物将重点放在 Burrill 经常出现的地址上，并挑出出现在这些位置的设备标识符。主要地点包括 Burrill 在 USCCB 的办公室、他在 USCCB 拥有的住所以及 USCCB 在他出席的其他城市举行的会议和活动。分析还考察了更远的其他地方，包括他的家庭湖边别墅、家人的住所，以及据报道他住在威斯康星州家乡的一套公寓。去匿名化的数据显示，出现在这些位置的移动设备（可能是 Burrill 的手机，The Pillar 说）几乎每天都在使用 Grindr。它还说，与牧师电话“相关”的数据表明他去过同性恋酒吧，包括在出差途中。 Pillar 在发布之前将这一信息提交给了 USCCB，昨天，会议宣布 Burrill 辞职。电子前沿基金会消费者隐私工程主管安德烈斯·阿列塔 (Andrés Arrieta) 告诉 Ars，虽然这可能是第一个通过汇总数据披露公众人物在线活动的案例，但“不幸的是，这种情况经常发生”普通大众。 “有些公司利用寻找广告标识符背后的真人。”此外，以 The Pillar 的方式去匿名化数据非常容易。 Arrieta 说，购买数据所需要做的就是假装自己是一家公司。他补充说，筛选数据不需要特殊的技术技能。

Arrieta 说，来自 Grindr 等应用程序的数据不仅有可能侵犯人们的隐私，还有可能侵犯他们的安全。 “当你为边缘化人群服务时，他们的生活在世界许多地区都处于危险之中，或者他们的工作甚至在美国也处于危险之中，你需要有非常高的隐私和安全标准。支柱能够去匿名化数据，因为它首先不是真正的匿名。与个人姓名无关但仍保留唯一标识符的数据就是所谓的“假名数据”，巴特勒说。要真正匿名化数据，有有几种方法。一种常见的策略被称为“差异隐私”，其中将噪声注入数据中，这使得它可用于统计目的，但会阻碍将离散数据点与个人联系起来的努力。另一方面，假名数据使将个人记录与个人相关联相对容易，具体取决于集合中的内容。“当你谈论位置数据时，从根本上不可能有可用的假名，因为位置数据印记是如此具有启发性，”巴特勒说。 “一旦位置数据与记录相关联，就很容易将其与个人联系起来，”他说。 “大多数人在他们的生活中基本上都有一个位置指纹。他们住在家里，去工作，去某些有限的地方。有研究表明，仅根据我们在给定一周内去的几个关键位置点，我们就可以唯一地识别出来。”拜登总统最近的行政命令提请注意对用户数据的监视以及他向联邦贸易委员会提名 Lena Khan，这表明可能很快就会采取行动。 “需要为此类数据提供实用、技术和法律保护，并为个人提供保护，以防止此类滥用，”巴特勒说。