Ponovna identifikacija ljudi putem nosivih zdravstvenih podataka i strojnog učenja

Istraživači sa Sveučilišta Massachusetts Lowell identificirali su novu vrstu napada na privatnost temeljenu na nosivim zdravstvenim podacima. Napad ponovnom identifikacijom osobe (PRI-Attack) koristi javno dostupne podatke usklađene s HIPAA-om iz zdravstvenih nosivih uređaja za utvrđivanje identiteta pojedinaca na temelju otkucaja srca, disanja i podataka o gestikulaciji, između ostalog.

Ranjivost je omogućena u SAD-u činjenicom da Zakon o prenosivosti i odgovornosti zdravstvenog osiguranja (HIPAA), iako zahtijeva da medicinski podaci ostanu anonimni, ne smatra sirove podatke senzora (kao što su temperatura kože i podaci akcelerometra (ACC)) kao osjetljiv na privatnost, te stoga ne zahtijeva da javno dijeljeni podaci ove vrste budu šifrirani ili podložni istim općim zaštitama koje pružaju tradicionalnim oblicima podataka o pacijentima, kao što su zdravstveni kartoni.

Od vektora do vizualnog

PRI-napad koristi interpretirane podatke slike kako bi razaznao uobičajene obrasce koji se koreliraju s drugim vrstama zdravstvenih podataka. Na primjer, reakcija kože osobe može biti procijenjeno iz videa (fotopletizmografija) i u korelaciji s onim što bi trebalo biti potpuno anonimna vektorska informacija iz uređaja za praćenje zdravlja kao što su nosivi satovi i druge vrste aparata za praćenje. Fotopletizmografija daje podatke o otkucajima srca, koji se mogu upariti s neidentificiranim nosivim srčanim podacima.

Prepoznavanje gesti je još jedan 'ključ' koji se može trivijalno prevesti iz vektorskih podataka u vizualnu matricu koja, opet, omogućuje korelaciju interpretiranih slikovnih/video podataka s naizgled anonimnim informacijama akcelerometra u zdravstvenim podacima.

Informacije o gesti ruke iz podataka nosivih uređaja. Izvor: https://arxiv.org/pdf/2106.11900.pdf

Podaci senzora kao PII

Istraživanje, koje je proveo docent Mohammad Arif Ul Alam na UML-u, tvrdi da podaci fizioloških senzora doista mogu predstavljati PII, te su zapravo biološki analog tehnikama otiska prsta preglednika koji se trenutno koriste Vjeruje se potkopati nove inicijative za zaštitu privatnosti korisnika na webu.

Kako bi testirao hipotezu, istraživač je razvio okvir za prepoznavanje pokreta rukom i lokalizaciju koji tumači podatke o gestama (snimljeni vektorski pokret) iz nosivog akcelerometra i prevodi pokrete u vizualni zapis koji se može povezati s pokretima zabilježenim nosivim zdravstvenim uređajem uređaja.

Multimodalni Sijamska neuronska mreža (mm-SNN) konstruiran je za tumačenje informacija o gestama klasificiranih putem Support Vector Machine (SVM). Jedna mreža se bavi vektorskim informacijama (tumačenim kao slikovne informacije u 3D prostoru), a druga mreža tretira fiziološke podatke snimljene iz podataka senzora.

Ispitivanje

Sustav je testiran na raznim skupovima podataka, uključujući 'Skup podataka o umoru igrača' dobiven prikupljanjem podataka o petero volontera studenata u dobi od 19 do 25 godina koji su sedam dana igrali videoigre noseći Empatica E4. manšeta. Sat ima senzore ACC, elektrodermalni kontekst (EDA), temperaturu kože i fotopletizmografiju (PPG).

E4 je također korišten u novom skupu podataka 'podaci restorana', gdje je osam volontera pripremalo i jelo sendviče dvadeset minuta, te u skupu podataka 'starije odrasle osobe', gdje je 22 starije osobe u dobi od 75 do 95 godina izvelo 13 planiranih aktivnosti dok je nosilo sat.

Konačno, istraživači su koristili javno dostupni „Skup podataka o umoru zdravih odraslih osoba“, u kojem je praćeno 28 zdravih muškaraca i žena prosječne dobi od 42 godine tijekom 1-219 uzastopnih dana dok su nosili multisenzorski nosivi uređaj, uglavnom sličan mogućnostima prikupljanja podataka E4, uključujući 3-osni ACC, galvansku elektrodu za odgovor kože, temperaturne i fotosenzore te barometar.

Rezultati pokazuju da su otkucaji srca i brzina disanja najsigurnije sredstvo za ponovnu identifikaciju, postižući prosječnu stopu točnosti >66%+.

Rezultati testiranja PRI-Attack metodologije. Jaslice: PPG: fotopletizmografija; HR: otkucaji srca; BR: brzina disanja; PVP: Puls volumena krvi (dobiven iz PPG-a); IBI: Inter Beat Interval (preuzeto od PPG-a); TC: Tonička komponenta EDA signala; Fazna komponenta EDA podataka (Ibid); Temp: Temperatura.

Istraživanje zaključuje:

„Iako se moderna tehnologija računalnog vida može lako koristiti za učenje gestikulacije rukama i odgovarajućih fizioloških signala (otkucaji srca, brzina disanja) s javnih nadzornih kamera, napadači mogu lako iskoristiti ovu ogromnu količinu snimljenih videozapisa za učenje korisničkih biometrijskih podataka kako bi otkrili identitet iz pohranjenih podataka senzora koji su u skladu s HIPPA-om.“

HIPAA smatra PHR podatke 'anonimnima prema zadanim postavkama'

Američka vlada priznala je rast osobnih zdravstvenih kartona (PHR), i klasificira takav zapis (uključujući podatke iz zdravstvenih nosivih predmeta) kao „elektronički zapis zdravstvenih podataka pojedinca pomoću kojeg pojedinac kontrolira pristup informacijama i može upravljati, pratiti i sudjelovati u vlastitoj zdravstvenoj skrbi“.

Ipak, budući da se radi o fenomenu iz privatnog sektora, Vlada ne dopušta službeni nadzor nad takvim podacima, jer je utvrdila da oni ne sadrže osobne podatke (PII). A prijaviti u lipnju 2016. o subjektima koji nisu obuhvaćeni HIPAA-om Ministarstvo zdravstva i socijalnih usluga SAD-a navodi:

„[Velike] praznine u politikama oko pristupa, sigurnosti i privatnosti i dalje postoje, a zbunjenost i dalje postoji i među potrošačima i među inovatorima. Nosivi fitness trackeri, društvene mreže za zdravlje i mobilne zdravstvene aplikacije temelje se na ideji angažmana potrošača. Međutim, naši zakoni i propisi nisu pratili te nove tehnologije.“