Блог

May 09, 2023

Расследование сбора и использования де

Описание Выводы Обзор Справочный анализ Проблема: PHAC не собирал

Описание

Вынос

Обзор

Фон

Анализ

Проблема: PHAC не собирал личную информацию, как это определено Законом.

Деидентификация и остаточный риск повторной идентификации

Закон о конфиденциальности не содержит конкретных положений об обезличенных или анонимизированных данных.

Является ли доступ к данным в системе TELUS «сбором» согласно Закону?

Определение адекватной защиты от риска повторной идентификации

Поток данных 1: данные мобильной вышки сотовой связи/оператора.

Поток данных 2: данные мобильной геолокации.

Защитные меры в обоих потоках данных, которые снижают серьезную вероятность риска идентификации отдельных лиц.

Другой

Международный бенчмаркинг

Прозрачность

Заключение

Сноски

29 мая 2023 г.

В ходе расследования было проверено, содержат ли данные о мобильных устройствах, собранные и используемые PHAC в ответ на пандемию, личную информацию, как это определено в разделе 3 Закона о конфиденциальности (Закон). В частности, внедрили ли PHAC и его поставщики данных методы деидентификации и меры защиты от повторной идентификации, которые считаются достаточными для снижения риска идентификации человека ниже порога «серьезной вероятности».

Управление комиссара по конфиденциальности Канады получило 12 жалоб в соответствии с Законом о конфиденциальности («Закон») против Агентства общественного здравоохранения Канады («PHAC») и Министерства здравоохранения Канады («HC») в отношении сбора и использования данных о мобильности канадцев. , который состоит из данных геолокации, собранных с течением времени, и другой связанной информации.

Заявители утверждают, что PHAC тайно собирал данные о 33 миллионах мобильных устройств во время пандемии COVID-19 и что согласно запросу предложений, опубликованному в декабре 2021 года, он планировал продолжать собирать данные о мобильности канадцев в течение следующих пяти лет.

PHAC сообщил, что он эффективно использовал данные о мобильности чуть менее 14 миллионов канадцев для получения подробной информации и значимого анализа перемещения населения в Канаде, что помогло отслеживать распространение вируса COVID-19, а также планировать, оценивать и корректировка реакции правительства на пандемию.

PHAC заявила, что полагалась только на обезличенные и агрегированные данные и никогда не собирала и не использовала какую-либо личную информацию, и поэтому Закон о конфиденциальности не применяется.

В ходе нашего расследования в качестве необходимого аналитического условия мы сначала проверили, содержат ли данные о мобильности, собранные и используемые PHAC в ответ на пандемию, личную информацию, как это определено в разделе 3 Закона. В частности, мы оценили, существует ли в данных обстоятельствах серьезная вероятность того, что человека можно будет идентифицировать с использованием данных о мобильности, полученных PHAC, отдельно или в сочетании с другой доступной информацией. Наше расследование не позволило оценить, собирали ли поставщики данных PHAC и использовали ли они данные о местоположении в соответствии с законами о конфиденциальности.

После анализа полученных заявлений и изучения информации по этой теме и концепции идентификации мы пришли к выводу, что сочетание мер деидентификации и мер защиты от повторной идентификации, реализованных PHAC и его поставщиками данных, снизило риск выявление лиц ниже порога «серьезной вероятности». Поэтому мы считаем жалобы по данному вопросунеобоснованно.

Несмотря на вывод нашего расследования о том, что PHAC не нарушил Закон о конфиденциальности в отношении сбора и использования данных о мобильных устройствах во время пандемии COVID-19, мы дали ряд рекомендаций, в частности, PHAC, которые имеют поучительное значение для всех организаций. которые производят, используют или добывают обезличенную информацию в ходе своей деятельности. Мы воодушевлены тем, что PHAC принял наши рекомендации.