Fritak er lagt til etter forskere sa innsats for å demonstrere utilstrekkelig anonymisering kunne komme i konflikt med loven

Data og datasikkerhet

Data protection bill endret for å beskytte sikkerheten forskere

Fritak er lagt til etter forskere sa innsats for å demonstrere utilstrekkelig anonymisering kunne komme i konflikt med loven

@alexhern

Tir 9 Jan ’18 18.45 GMT

Sist endret på Tir 9 Jan ’18 18.59 GMT

Regjeringen er å endre data protection lovforslag for å beskytte sikkerheten forskere som arbeider for å avdekke misbruk av personlige data, quelling frykter at regningen kan ved et uhell criminalise legitim forskning.

Flyttingen følger en Verge rapport om bekymringer, og har blitt ønsket velkommen av en av forskerne som slo alarm. “Jeg er veldig fornøyd med endringene,” sa Lukasz Olejnik, en uavhengig cybersecurity og personvern forsker.

Regningen vil inneholde en klausul som gjør det til en forbrytelse å “forsettlig eller uaktsomt re-identifisere enkeltpersoner fra anonymisert eller pseudonymisert data”, med potensial for et ubegrenset fint for lovbrytere.

Når den først ble publisert i August, sikkerhet forskere fryktet at de kunne komme i konflikt med loven hvis de utføres forskning viser utilstrekkelig anonymisering på en del av andre.

Nå har regjeringen innført et tillegg til bill som gir et unntak for forskere å gjennomføre “effektivitet testing”. Forskerne ville ha til å gi Informasjon Commissioner ‘ s Office (ICO) innen tre dager etter vellykket deanonymising data, og vise at de hadde handlet i offentlig interesse, og uten hensikt å forårsake skade eller ubehag i re-identifiserende data.

Matt Hancock, ny kultur og digital sekretær, sa: “Vi er å styrke Storbritannias lover om databeskyttelse for å gjøre dem passe for den digitale alder ved å gi folk mer kontroll over sine egne data. Denne endringen vil sikre våre verdensledende cybersecurity forskere til å fortsette sitt viktige arbeid for å avdekke misbruk av personopplysninger.”

Olejnik sa endringer tilbudt “en rimelig kompromiss” mellom behovene til forskere og risikoen for at unntak kan bli misbrukt. “Jeg er spesielt imponert med å utforme en ansvarlig måte for å sende personvern svakheter direkte til ICO. På denne måten, rolle ICO er også styrket som en mellommann mellom forskere og organisasjoner.

“Hele saken understreker behovet for en grundig analyse av foreslåtte regelverk, enten i NORGE eller utenfor. I disse dager, dårlig utformet teknologi forskrifter har potensial til å negativt påvirke hele samfunn.”

Dårlig anonymisering av data er et vanlig problem. I 2006 AOL frigitt “anonymisert” utvalget av søk som åpenbart saker, sykdommer og kriminell aktivitet når det var deanonymised bare gjennom kryssreferanser med telefonlister. Samme år som Netflix ble saksøkt etter det utgitt dårlig anonymisert vurderinger som outed en hemmelighetsfulle lesbisk.

I August i fjor et par av tyske forskere har kjøpt “anonym” – surfing vaner av 3 millioner Tyskere fra en data megler, og lyktes i å avdekke porno vaner av en dommer, medisinske problemer av MP og detaljer om aktive kriminelle tilfeller.