〔編譯魏國金/綜合報導〕美國麻省理工學院(MIT)的研究發現,只要從信用卡蒐集4筆匿名交易資料,比如,某天在哪裡買咖啡,或者在何處買新毛衣、新鞋子等,就可以辨識出持卡人。該研究顯示,信用卡辨識個人身分的成效,如同手機紀錄一樣可靠,換言之,即使是匿名的「後設資料(Metadata,另譯:元資料)」也有侵犯個人隱私之虞。
MIT的研究團隊針對某一工業國的110萬名民眾,在3個月的時間,於1萬間商店的信用卡消費進行分析。研究人員僅透露這個國家是經濟合作暨發展組織(OECD)會員國,資料來源是一家「大銀行」,研究成果發表於30日出刊的「科學」期刊。
研究人員處理的是不具持卡人姓名、帳號的匿名化資料,所剩的有用資料為交易時間、地點等的「後設資料」。研究發現,要在龐大的金融後設資料中辨識出特定個人,只需要「4個有關使用者的外部資料」,而高達9成的個人可依此被辨識出來。
研究指出,比如,在匿名化的信用卡資料組中,要找史考特這個人,「我們知道史考特2件事:他在9月23日去麵包店、9月24日去餐廳」,從資料的搜尋顯示,在整堆的資料組中有1人,而且唯有1人在這2天去了這2個地方。而如果知道交易的價格可以讓辨識過程更快、更簡單。
女性、高收入者 更易辨識
研究也發現,女性比男性更易被辨識,此外,高收入者的身分也更易被暴露,其原因可能是「他們在如何分配時間於造訪商店上,有獨特模式」。
該研究撰述者之一潘特蘭說:「研究顯示,我們被告知的隱私並非真實。」另一研究員德蒙如耶也表示:「即使在任一或所有面向上提供粗略資訊的資料組,都非匿名性的。」
美國普渡大學資訊安全教育與研究中心主任史派佛德指出,該研究使人們期待的隱私只不過是「假象」,普林斯頓大學電腦科學家娜拉雅納認為:「根據該研究,應謹慎限制資訊管理人對資料的接觸與取得。」