an pemrosesan otomatis data pribadi. saat sistem otomatis menjadi lebih meresap, Uni
Eropa (E.U.) pada tahun 1995 mengadopsi Directive 95/46/EC tentang pemrosesan data pribadi.
Directive 95/46/EC, sering disebut European Privacy Directive, mengharuskan hak privasi individu
dipertahankan dan data tentang mereka disimpan
• diproses secara adil dan sah.
• dikumpulkan untuk tujuan tertentu, eksplisit, dan sah dan tidak diproses lebih lanjut dengan
cara yang tidak sesuai dengan tujuan ini (kecuali perlindungan yang tepat melindungi
privasi).
• memadai, relevan, dan tidak berlebihan dalam kaitannya dengan tujuan pengumpulan atau
pemrosesan lebih lanjut.
• akurat dan, jika perlu, selalu up to date. Memang, jika data ditemukan tidak akurat atau tidak
lengkap, setiap langkah yang wajar harus diambil untuk memastikan bahwa data ini
dihapus atau diperbaiki, sehubungan dengan tujuan pengumpulannya atau pemrosesan
lebih lanjut.
• disimpan dalam bentuk yang memungkinkan identifikasi subjek data tidak lebih lama dari
yang diperlukan untuk tujuan pengumpulan data atau tujuan mereka diproses lebih lanjut.
Selain itu, individu memiliki hak untuk mengakses data yang dikumpulkan tentang mereka, untuk
mengoreksi data yang tidak akurat atau tidak lengkap, dan untuk meminta koreksi ini
dikirimkan kepada mereka yang telah menerima data ini . Anda dapat melihat bahwa aturan
ini mencerminkan Praktik Informasi yang Adil yang dijelaskan dalam laporan Ware. Selain itu, E.U.
arahan privasi menambahkan tiga prinsip lagi:
• Perlindungan khusus untuk data sensitif. Harus ada pembatasan yang lebih besar pada
pengumpulan dan pemrosesan data yang melibatkan “data sensitif.” Di bawah E.U. arahan
perlindungan data, informasi bersifat sensitif jika melibatkan “asal ras atau etnis, pendapat politik,
keyakinan agama, persuasi filosofis atau etis … [atau] kesehatan atau kehidupan seksual.”
• Transfer data. Prinsip ini secara eksplisit membatasi pemakai yang berwenang atas informasi
pribadi untuk mentransfer informasi ini kepada pihak ketiga tanpa izin dari subjek data.
• Pengawasan independen. Entitas yang memproses data pribadi tidak hanya harus bertanggung
jawab namun juga harus tunduk pada pengawasan independen. Dalam kasus pemerintah, prinsip
ini memerlukan pengawasan oleh kantor atau departemen yang terpisah dan independen dari unit
yang menangani pengolahan data. Di bawah arahan perlindungan data, pengawas independen
harus memiliki wewenang untuk mengaudit sistem pemrosesan data, menyelidiki keluhan yang
diajukan oleh individu, dan memberlakukan sanksi atas ketidakpatuhan.
Ringkasan singkat dari undang-undang yang lebih panjang ini memberi Anda Gambaran tentang
pendekatan privasi yang berbeda dan lebih komprehensif yang diambil oleh Uni Eropa. Uni Eropa.
Persyaratan arahan perlindungan data berlaku untuk pemerintah, bisnis, dan organisasi lain yang
mengumpulkan data pribadi. Sejak arahan asli tahun 1995 diterbitkan, Uni Eropa telah memperluas
cakupannya ke sistem telekomunikasi dan membuat perubahan lain untuk beradaptasi dengan
kemajuan teknologi. Anda dapat menemukan arahan lengkap dan keputusan yang relevan di http://
ec.europa.eu/justice/data protection/law/index_en.htm.
Hukum yang Bertentangan
Hukum yang berbeda di yurisdiksi yang berbeda pasti akan berbenturan. Hubungan antara Uni
Eropa dan Amerika Serikat telah tegang sebab privasi sebab Uni Eropa. undang-undang melarang
berbagi data dengan perusahaan atau pemerintah di negara-negara yang undang-undang privasinya
tidak sekuat undang-undang E.U. (Amerika Serikat dan Uni Eropa telah menyetujui seperangkat
prinsip “pelabuhan aman” yang memungkinkan perusahaan AS berdagang dengan negara-negara
Eropa meskipun mereka tidak memenuhi semua undang-undang privasi Eropa.) Di penelitian Kasus
5-3 Anda dapat melihat bagaimana perbedaan ini hukum dapat mempengaruhi perdagangan dan,
pada akhirnya, hubungan diplomatik.
penelitian Kasus 5-3 : Saat Prinsip Privasi Berbenturan
Privasi yaitu bisnis yang serius. Perdagangan, perjalanan, atau komunikasi dapat
berhenti saat data dibagikan di antara organisasi atau negara dengan prinsip
privasi yang berbeda. Misalnya, dalam upaya mengamankan perbatasannya sesudah
serangan 11 September 2001, Amerika Serikat membuat program untuk menyaring
penumpang maskapai penerbangan untuk kemungkinan hubungan teroris. Program ini
memakai informasi di Penumpang Name Record (PNR): data yang dikumpulkan
oleh maskapai penerbangan saat Anda memesan penerbangan dari satu tempat
ke tempat lain. PNR mencakup 34 kategori informasi: tidak hanya nama dan detail
penerbangan Anda, namun juga nomor telepon, informasi kartu kredit, preferensi
makanan, alamat, dan banyak lagi. sebab orang Eropa merupakan kelompok
pengunjung terbesar ke Amerika Serikat (13,25 juta pada tahun 2013, menurut
Statista.com), orang Amerika meminta maskapai Eropa untuk menyediakan data
PNR dalam waktu 15 menit dari keberangkatan pesawat ke Amerika Serikat.
Ingatlah bahwa Arahan Privasi Eropa melarang pemakaian data untuk tujuan selain
tujuan pengumpulannya. Permintaan AS jelas melanggar arahan. sesudah negosiasi
yang cukup panjang, Komisi Eropa dan Dewan Eropa mencapai kesepakatan pada
Mei 2004 untuk mengizinkan maskapai penerbangan memberikan data ke Amerika
Serikat.
Namun, Parlemen Eropa keberatan, dan pada tanggal 30 Mei 2006, Pengadilan
Eropa, pengadilan tertinggi di Uni Eropa, memutuskan bahwa Komisi Eropa dan
Dewan Eropa tidak memiliki wewenang untuk membuat kesepakatan semacam itu
dengan Amerika Serikat. Prinsip-prinsip privasi bukanlah dasar utama dari keputusan
ini , namun mereka memiliki dampak yang besar: “Secara khusus, pengadilan
mengatakan catatan penumpang dikumpulkan oleh maskapai penerbangan untuk
pemakaian komersial mereka sendiri, sehingga Uni Eropa tidak dapat secara hukum
setuju untuk memberikannya kepada maskapai penerbangan. otoritas Amerika,
bahkan untuk tujuan keamanan publik atau penegakan hukum.” [CLA06] Seorang
juru bicara Departemen Keamanan Dalam Negeri AS membantah bahwa privasi
bukanlah masalah, sebab data dapat diminta dari setiap penumpang yang tiba di
Amerika Serikat.
Tanpa data yang diminta, Amerika Serikat secara teori dapat menolak hak pendaratan
untuk maskapai yang tidak berpartisipasi. Hampir setengah dari semua perjalanan
udara asing ke Amerika Serikat yaitu trans-Atlantik, sehingga gangguan ini
dapat menelan biaya jutaan untuk semua ekonomi yang terlibat. Benturan prinsip
privasi ini diselesaikan dengan membuat serangkaian praktik "Safe Harbor" yang
memastikan perlindungan yang memadai bagi individu yang datanya sedang
ditransfer. Kerangka kerja Safe Harbor juga telah dibuat antara Amerika Serikat dan
Swiss (bukan anggota Uni Eropa) untuk alasan yang sama. Rincian setiap kerangka
kerja dapat ditemukan di http://export.gov/safeharbor/.
5.2.2 Tindakan Individu untuk Melindungi Privasi
Sejauh ini, kita telah membahas cara bagi pemerintah dan perusahaan untuk mengumpulkan,
menyimpan, dan berbagi informasi pribadi. namun ada tindakan yang dapat Anda ambil sebagai
individu untuk melilindungi privasi Anda sendiri. Salah satu caranya yaitu dengan menjaga identitas
Anda. Tidak setiap konteks mengharuskan kita masing-masing untuk mengungkapkan identitas kita,
dan ada cara bagi sebagian orang untuk memakai bentuk topeng elektronik.
Anonimitas
Terkadang orang mungkin ingin melakukan sesuatu secara anonim. Misalnya, seorang bintang
rock yang membeli rumah pantai mungkin ingin menghindari perhatian yang tidak diinginkan dari
tetangga, atau pelaku yang memposting ke daftar kencan mungkin ingin melihat balasan sebelum
membuat kencan.
Deirdre Mulligan mencantumkan beberapa alasan mengapa orang mungkin lebih memilih aktivitas
anonim di web. Dia menjelaskan bahwa beberapa orang menyukai anonimitas web sebab
mengurangi ketakutan akan diskriminasi. Keadilan dalam perumahan, pekerjaan, dan pergaulan
lebih mudah dipastikan saat dasar untuk potensi diskriminasi disembunyikan. Juga, orang yang
meneliti apa yang mereka anggap sebagai masalah pribadi, seperti masalah kesehatan atau orientasi
seksual, mungkin lebih cenderung mencari informasi terlebih dahulu dari apa yang mereka anggap
sebagai sumber anonim, beralih ke manusia saat mereka mengetahui lebih banyak tentang situasi
mereka.
Anonimitas, selain memiliki manfaat, juga dapat menimbulkan masalah. Jika Anda mencoba untuk
menjadi anonim, bagaimana Anda membayar sesuatu? Anda dapat memakai pihak ketiga yang
tepercaya (misalnya, agen real estat atau pengacara) untuk menyelesaikan penjualan dan menjaga
anonimitas Anda. Tapi kemudian pihak ketiga tahu siapa Anda. David Chaum, mempelajari masalah
ini dan merancang seperangkat protokol yang dengannya pembayaran semacam itu dapat terjadi
tanpa mengungkapkan pembeli kepada penjual.
Beberapa Identitas—Tertaut atau Tidak
Kebanyakan orang sudah memiliki banyak identitas. Bagi bank Anda, Anda yaitu nomor rekening
Anda. Untuk biro kendaraan bermotor Anda, Anda yaitu nomor SIM Anda. Dan bagi perusahaan
kartu kredit Anda, Anda yaitu nomor kartu kredit Anda. Untuk tujuan tertentu, nomor-nomor ini
yaitu identitas Anda; fakta bahwa masing-masing dapat (atau mungkin tidak) diadakan atas nama
Anda tidak relevan. Nama menjadi penting jika dipakai sebagai cara untuk menghubungkan
angka-angka ini dan catatan terkaitnya. Berapa banyak orang yang membagikan nama Anda?
Bisakah (atau haruskah) ada nilai kunci untuk menautkan basis data terpisah ini? Dan komplikasi
apa yang muncul saat kami mempertimbangkan salah eja dan beberapa bentuk nama Anda yang
valid (dengan dan tanpa inisial tengah, dengan nama tengah lengkap, dengan salah satu dari dua
nama tengah jika Anda memiliki dua, dan seterusnya)?
Selain itu, bagaimana jika Anda memiliki nama yang umum dipakai , atau nama Anda berubah
sewaktu-waktu? Misalkan Anda mengubah nama Anda secara legal namun tidak pernah mengubah
nama di kartu kredit Anda. Maka nama Anda tidak dapat dengan mudah dipakai sebagai kunci
untuk ditautkan. Anda dapat mencoba memakai sifat sekunder sebagai pemverifikasi,
seperti alamat. Namun, alamat menghadirkan risiko lain: Mungkin seorang penjahat tinggal di
rumah Anda sebelum Anda membelinya. Anda tidak harus mempertahankan reputasi Anda sebab
penghuni sebelumnya yang tidak terkait. Kami juga bisa mencocokkan tanggal, jadi kami hanya
menghubungkan orang-orang yang benar-benar tinggal di rumah pada waktu yang sama. Tapi
kemudian rumah kelompok atau teman sekamar menimbulkan masalah tambahan. Sebagai ilmuwan
komputer, kita tahu bahwa memprogram semua kemungkinan ini yaitu mungkin, namun memerlukan
pertimbangan yang cermat dan memakan waktu tentang potensi masalah sebelum merancang
solusi. Sayangnya, kita tahu bahwa terlalu sering keanehan yang tidak biasa namun kritis seperti
itu tidak dipertimbangkan sampai sesudah kode dikembangkan dan dipasang, dan kemudian setiap
kasus luar biasa dianggap sendiri dan sering kali dengan tergesa-gesa. Kita bisa melihat potensi
penyalahgunaan dan ketidaktepatan.
Menautkan identitas dengan benar untuk membuat berkas dan menghancurkan anonimitas
menciptakan risiko privasi, namun menautkannya secara tidak benar menciptakan risiko yang jauh
lebih serius untuk pemakaian data dan privasi orang yang terkena dampak. Jika kita berpikir
dengan hati-hati, kita dapat menentukan banyak cara sistem seperti itu akan gagal—pendekatan
yang mungkin efektif namun berpotensi mahal dan memakan waktu. Godaan untuk bertindak cepat
namun tidak tepat juga akan mempengaruhi privasi.
Nama samaran
Terkadang, kami tidak menginginkan anonimitas penuh. Anda mungkin ingin memesan umbi bunga
namun tidak ditempatkan di banyak milis untuk perlengkapan berkebun. namun Anda juga ingin dapat
melakukan pemesanan serupa lagi, meminta tulip warna yang sama seperti sebelumnya. Situasi ini
membutuhkan nama samaran, pengidentifikasi unik yang dapat dipakai untuk menghubungkan
catatan dalam database server namun tidak dapat dipakai untuk melacak kembali ke identitas
asli.
Banyak identitas juga bisa nyaman; misalnya, Anda mungkin memiliki akun email profesional dan
akun sosial. Demikian pula, identitas sekali pakai (yang Anda gunakan untuk sementara waktu dan
kemudian berhenti dipakai ) bisa nyaman. saat Anda mendaftar untuk sesuatu dan Anda tahu
alamat email Anda selanjutnya akan dijual berkali-kali, Anda mungkin mendapatkan alamat email
baru untuk dipakai hanya sampai email yang tidak diminta menjadi menindas. Seigneur dan
Jensen [SEI03] membahas pemakaian alias email untuk menjaga privasi. pemakaian ini, yang
disebut nama samaran, melindungi privasi kami sebab kami tidak perlu membocorkan apa yang
kami anggap sebagai data sensitif.
Rekening bank Swiss memberikan contoh klasik nama samaran. Setiap nasabah hanya memiliki
nomor untuk mengidentifikasi dan mengakses rekening, dan hanya beberapa pegawai bank terpilih
yang boleh mengetahui identitas Anda; semua karyawan lain hanya melihat nomor rekening Anda.
Pada laporan rekening, tidak ada nama yang muncul: Hanya nomor rekening atau nama samaran
yang dicetak. “Hanya dalam kasus investigasi kriminal untuk pelanggaran narkoba, pendanaan
terorisme atau kejahatan berat lainnya, identitas pemilik manfaat akan diungkapkan kepada pihak
berwenang … Anda dilindungi oleh undang-undang kerahasiaan bank Swiss.” (http://swiss- banking-
law.com/faq/)
Beberapa orang mendaftarkan nama samaran dengan penyedia email, sehingga mereka memiliki
kotak drop anonim untuk email. Yang lain memakai nama samaran di ruang obrolan atau
dengan layanan kencan online. Kami meninjau kembali gagasan nama samaran nanti dalam bab
ini, saat kami mempelajari privasi untuk email.
Pemerintah dan Privasi
Pemerintah mengumpulkan dan menyimpan data tentang warga, penduduk, dan pengunjung. Pada
saat yang sama, pemerintah juga memfasilitasi dan mengatur perdagangan dan mengawasi kegiatan
pribadi seperti perawatan kesehatan, pekerjaan, pendidikan, dan perbankan. Dalam peran ini ,
pemerintah merupakan enabler atau pengatur privasi sekaligus pemakai data pribadi. Pada bagian
ini, kami mempertimbangkan beberapa implikasi dari akses pemerintah ke data pribadi.
Autentikasi
Pemerintah memainkan peran yang kompleks dalam otentikasi pribadi. Banyak instansi pemerintah
(seperti biro kendaraan bermotor) memakai pengenal untuk melakukan pekerjaan mereka:
mengautentikasi siapa Anda (misalnya, dengan paspor atau dokumen tempat tinggal) dan
mengeluarkan dokumen autentikasi terkait (seperti SIM). Pemerintah juga dapat mengatur bisnis
yang memakai materi identifikasi dan otentikasi. Dan terkadang pemerintah memperoleh data
berdasar materi ini dari pihak lain (misalnya, pemerintah dapat membeli informasi laporan
kredit dari perusahaan swasta untuk membantu menyaring daftar penumpang maskapai penerbangan
untuk teroris). Dalam peran ganda ini, selalu ada potensi pemerintah untuk menyalahgunakan data
dan melanggar hak privasi.
Risiko Akses Data
Menyadari risiko ini dalam akses pemerintah ke data pribadi, Menteri Pertahanan AS menunjuk
sebuah komite untuk menyelidiki dan mendokumentasikan sifat risiko dalam pengumpulan data
ini . Komite Penasihat Teknologi dan Privasi, yang diketuai oleh Newton Minow, mantan
ketua Komisi Komunikasi Federal, membuat laporannya di 2004. Meskipun awalnya diminta untuk
meninjau privasi dan pengumpulan data hanya di dalam Departemen Pertahanan, komite merasa
tidak mungkin untuk memisahkan Departemen Pertahanan dari pemerintah lainnya. Akibatnya,
deskripsinya berlaku untuk pemerintah Federal secara keseluruhan.
Di antara risiko yang diakui saat pemerintah memperoleh data dari pihak lain yaitu sebagai
berikut:
• kesalahan data: berkisar dari kesalahan transkripsi hingga analisis yang salah
• penautan yang tidak akurat: dua atau lebih item data benar namun ditautkan secara salah oleh
elemen yang dianggap sama
• perbedaan bentuk dan isi: presisi, akurasi, format, dan kesalahan semantik
• sengaja salah: dikumpulkan dari sumber yang dengan sengaja memberikan data yang salah,
seperti kartu identitas palsu atau alamat palsu yang diberikan untuk menyesatkan
• tuduhan palsu: kesimpulan yang salah atau kedaluwarsa bahwa pemerintah tidak memiliki data
untuk memverifikasi atau menolak, misalnya, tunggakan pembayaran pajak negara
• misi merayap: data diperoleh untuk satu tujuan yang mengarah ke pemakaian yang lebih luas
sebab data akan mendukung misi itu
• tidak terlindungi dengan baik: data dengan integritas yang meragukan sebab cara pengelolaan
dan penanganannya
Langkah-Langkah untuk Melindungi dari Kehilangan Privasi
Komite merekomendasikan beberapa langkah yang dapat diambil pemerintah untuk membantu
menjaga data pribadi:
• Minimisasi data. Dapatkan data paling sedikit yang diperlukan untuk tugas ini . Misalnya,
jika tujuannya yaitu untuk mempelajari penyebaran suatu penyakit, hanya kondisi, tanggal, dan
lokasi yang tidak jelas (kota atau kabupaten) yang cukup; nama atau informasi kontak pasien
mungkin tidak diperlukan.
• Anonimisasi data. Jika memungkinkan, ganti informasi pengenal dengan kode yang tidak dapat
dilacak (seperti nomor catatan). Namun pastikan kode ini tidak dapat ditautkan ke database
lain yang mengungkapkan data sensitif.
• Audit. Catat siapa yang telah mengakses data dan kapan, baik untuk membantu mengidentifikasi
pihak yang bertanggung jawab jika terjadi pelanggaran dan untuk mendokumentasikan tingkat
kerusakan.
• Keamanan dan akses terpengendalian . Cukup melindungi dan mengontrol akses ke data sensitif.
• Pelatihan. Pastikan bahwa orang yang mengakses data memahami apa yang harus dilindungi
dan bagaimana melakukannya.
• Kualitas. Mempertimbangkan tujuan pengumpulan data, cara penyimpanan, usia, dan faktor
serupa untuk menentukan kegunaan data.
• pemakaian terbatas. Berbeda dengan pengendalian akses, tinjau semua usulan pemakaian
data untuk menentukan apakah pemakaian ini konsisten dengan tujuan pengumpulan
data dan cara penanganannya (divalidasi, disimpan, dikendalikan).
• Data tertinggal di tempatnya. Jika memungkinkan, tinggalkan data pada pemilik atau kolektor
asli. Langkah ini membantu menjaga dari kemungkinan penyalahgunaan data dari misi yang
diperluas hanya sebab data tersedia.
• Kebijakan. Tetapkan kebijakan yang jelas untuk privasi data. Mencegah pelanggaran kebijakan
privasi.
Langkah-langkah ini secara signifikan akan membantu memastikan perlindungan privasi. Juga,
Amerika Serikat mulai membahas gagasan untuk menggabungkan banyak undang-undang
pelanggaran data berbasis negara bagian menjadi satu undang-undang yang komprehensif. Pada
tahun 2002, California meloloskan undang-undang di seluruh negara bagian pertama untuk mengatasi
masalah yang berkembang dari pelanggaran keamanan database konsumen informasi pribadi. Oleh
sebab itu, undang-undang California mewajibkan setiap “lembaga negara bagian, atau orang atau
bisnis yang menjalankan bisnis di California, yang memiliki atau melisensikan data terkomputerisasi
yang mencakup informasi pribadi, sebagaimana didefinisikan, untuk mengungkapkan dengan cara
tertentu, setiap pelanggaran keamanan data, didefinisikan, untuk setiap penduduk California yang
informasi pribadinya yang tidak terenkripsi, atau secara wajar diyakini telah, diperoleh oleh orang
yang tidak berwenang.” Undang-undang mengizinkan pemberitahuan yang tertunda hanya “jika
lembaga penegak hukum memutuskan bahwa itu akan menghambat penyelidikan kriminal.” Ini juga
mewajibkan setiap lembaga yang melisensikan informasi ini , seperti biro kendaraan bermotor
atau departemen urusan regulasi, untuk memberi tahu pemilik atau penerima lisensi informasi tentang
pelanggaran keamanan apa pun yang dapat mengancam privasi atau integritas data.
Pencurian identitas
Sesuai dengan namanya, pencurian identitas berarti mengambil atau mengambil identitas orang
lain. Misalnya, memakai kartu kredit orang lain tanpa izin yaitu penipuan. Pada tahun
1998 di Amerika Serikat, dengan Pencurian Identitas dan Undang-Undang Pencegahan Asumsi,
mengeluarkan kartu kredit baru atas nama orang lain juga merupakan kejahatan: pencurian identitas.
Pencurian identitas telah meningkat sebagai masalah dari masalah yang relatif jarang terjadi di tahun
1970-an menjadi masalah yang mempengaruhi 1 dari 20 konsumen saat ini. Pada tahun 2005, Komisi
Perdagangan Federal AS menerima lebih dari 250.000 pengaduan tentang pencurian identitas namun
Laporan Penipuan Identitas 2014 Javelin mencatat bahwa pencurian identitas terjadi di Amerika
Serikat setiap dua detik. Memang insiden pencurian identitas secara keseluruhan mempengaruhi
5,3 persen konsumen pada tahun 2013, naik dari 4,9 persen pada tahun 2012.
Pencurian identitas terjadi dalam banyak cara: pembukaan akun yang tidak sah atas nama orang
lain, mengubah informasi akun untuk memungkinkan pencuri mengambil alih dan memakai
akun atau layanan orang lain, atau melakukan penipuan dengan mendapatkan dokumen identitas
atas nama curian. Sebagian besar kasus pencurian identitas menjadi jelas satu atau dua bulan
sesudah data dicuri, saat tagihan atau transaksi penipuan mulai datang atau muncul di file korban.
Pada saat itu, pencuri kemungkinan telah mendapat untung dan telah menghapus identitas yang
dicuri, beralih ke korban baru.
Memiliki sifat identifikasi unik yang relatif sedikit memudahkan pencurian identitas: Seorang
pencuri yang mendapatkan satu kunci, seperti nomor identitas nasional, dapat memakai nya
untuk mendapatkan yang kedua, dan keduanya untuk mendapatkan yang ketiga. Setiap kunci
memberikan akses ke lebih banyak data dan sumber daya. Beberapa perusahaan atau agensi
dibentuk untuk mengajukan pertanyaan otentikasi yang benar-benar diskriminatif (seperti toko grosir
tempat Anda sering berbelanja atau kota tempat Anda baru saja membeli tiket pesawat atau digit
ketiga pada baris empat dari pengembalian pajak terakhir Anda). sebab ada sedikit kunci otentikasi,
kami sering diminta untuk memberikan kunci yang sama (seperti nama gadis ibu) kepada banyak
orang, beberapa di antaranya mungkin menjadi kaki tangan paruh waktu dalam pencurian identitas.
Departemen Kehakiman A.S. mengelola situs web pencurian identitas, dengan informasi tentang
cara mencegah pencurian identitas dan apa yang harus dilakukan jika Anda menjadi korban: http://
www.justice.gov/criminal/fraud/websites/idtheft.html.
5.3 Otentikasi dan Privasi
Kami tahu bahwa kata sandi yaitu pembeda yang buruk dan jelas bukan pengidentifikasi. Anda
tidak akan mengharapkan semua pemakai sistem memilih kata sandi yang berbeda. Yang kita
butuhkan hanyalah pasangan ID-sandi menjadi unik. Di ujung lain spektrum, sidik jari dan pola
pembuluh darah di retina mata dianggap unik: Mengingat pola sidik jari atau retina, kami berharap
hanya mendapatkan satu identitas yang sesuai atau tidak menemukan kecocokan dalam database.
Situasi itu mengasumsikan kita bekerja dengan citra yang baik. Jika sidik jari kabur atau tidak
lengkap (bukan kontak yang lengkap atau pada permukaan yang sebagian tidak sesuai), kami
mungkin mendapatkan beberapa kemungkinan kecocokan. Autentikator lain masih kurang canggih.
Geometri tangan atau penampilan wajah tidak membedakan dengan baik. Pengenalan wajah,
khususnya, sangat bergantung pada kualitas gambar wajah: Mengevaluasi foto satu orang yang
menatap langsung ke kamera sangat berbeda dengan mencoba mengidentifikasi satu wajah dalam
Gambar orang banyak.
Dua tujuan yang berbeda bekerja di sini, meskipun keduanya terkadang membingungkan. Untuk
otentikasi, kami memiliki identitas dan beberapa data otentikasi, dan kami menanyakan apakah data
otentikasi cocok dengan pola untuk identitas yang diberikan. Artinya, pelaku mengaku sebagai
orang X, dan otentikasi memverifikasi bahwa orang ini benar-benar X. Untuk identifikasi,
kami hanya memiliki data otentikasi, dan kami menanyakan identitas mana yang sesuai dengan
autentikator. Artinya, kami tidak memiliki siapa pun yang mengklaim identitas, namun kami harus
mencari tahu siapa orang itu dari data otentikasi. Pertanyaan kedua ini (siapa ini?) Jauh lebih sulit
dijawab dibandingkan yang pertama (apakah ini X?).
Untuk menjawab yang pertama, kami memiliki sifat X dalam database kami, kami
membandingkan orang ini dengan X, dan kami menyatakan cocok atau tidak cocok (atau
terkadang probabilitas cocok). Untuk menjawab pertanyaan kedua, kita tidak tahu apakah subjeknya
genap dalam database. Jadi, kita harus memeriksa setiap orang yang mungkin dalam database
untuk melihat apakah ada kecocokan yang solid. namun bahkan jika kami menemukan beberapa
kecocokan parsial yang potensial, kami tidak tahu apakah mungkin ada kecocokan yang lebih baik
dengan pelaku yang tidak ada dalam database kami. Selain itu, pada contoh pertama, kami
hanya melakukan satu perbandingan: apakah ini X? Dalam contoh kedua, kita membutuhkan n
perbandingan, di mana n yaitu jumlah orang dalam database.
Apa Arti Otentikasi
Kami sebenarnya memakai istilah otentikasi untuk mengartikan tiga hal yang berbeda.
Kami mengotentikasi individu, identitas, atau atribut. Seorang individu yaitu pribadi yang unik.
Mengautentikasi seorang individu yaitu apa yang kita lakukan saat kita mengizinkan pelaku
memasuki ruangan yang dikendalikan: Kita hanya ingin manusia itu yang diizinkan masuk. Identitas
yaitu rangkaian karakter atau deskripsi serupa, namun tidak harus sesuai dengan satu orang, juga
tidak setiap orang hanya memiliki satu nama. Identitas dapat menggambarkan sekelompok atau
kategori orang yang memenuhi deskripsi yang diberikan. Misalnya, divisi penjualan perusahaan
dapat didefinisikan sebagai identitas beberapa orang, yang memungkinkan siapa pun dalam grup
ini untuk merespons di sales@company.com. Demikian pula, kami mengautentikasi identitas
saat kami mengakui bahwa siapa pun (atau apa pun) yang mencoba masuk sebagai admin telah
menunjukkan autentikator yang valid untuk akun ini . Mengautentikasi identitas di ruang obrolan
sebab SuzyQ tidak mengatakan apa pun tentang orang yang memakai pengenal itu: Mungkin
seorang gadis berusia 16 tahun atau sepasang detektif polisi pria paruh baya, yang di lain waktu
memakai identitas FreresJacques.
Akhirnya, kami mengotentikasi atribut jika kami memverifikasi bahwa pelaku memiliki atribut itu.
Atribut yaitu sifat , seperti sidik jari atau profil DNA. Berikut yaitu contoh mengautentikasi
atribut. Beberapa bar, restoran, atau pub mengharuskan pengunjung berusia minimal 21 tahun untuk
dapat minum alkohol. Penjaga pintu klub memverifikasi usia pelaku dan mencap tangan orang
ini untuk menunjukkan bahwa pelindungnya berusia di atas 21 tahun. Perhatikan bahwa untuk
memutuskan, penjaga pintu mungkin telah melihat kartu identitas yang mencantumkan tanggal
lahir orang ini , sehingga penjaga pintu mengetahui usia pasti orang ini untuk menjadi
24 tahun, 6 bulan, 3 hari. Sebagai alternatif, penjaga pintu mungkin diberi wewenang untuk melihat
wajah pelaku dan memutuskan apakah orang dengan rambut beruban dan kerutan terlihat jauh
melampaui usia 21 tahun sehingga tidak perlu diverifikasi. Otentikator stempel hanya menandakan
bahwa orang ini memiliki atribut berusia 21 tahun atau lebih.
Dalam aplikasi komputasi, kami sering mengotentikasi individu, identitas, dan atribut. Masalah privasi
dapat muncul saat kita mengacaukan autentikasi yang berbeda ini dan apa artinya. Misalnya, nomor
jaminan sosial A.S. tidak pernah dimaksudkan sebagai pengenal, namun sekarang sering berfungsi
sebagai pengenal, autentikator, kunci basis data, atau ketiganya. saat satu nilai data melayani dua
atau lebih kegunaan, pelaku yang memperolehnya untuk satu tujuan dapat memakai nya
untuk tujuan lain.
Menghubungkan identitas dengan pelaku itu rumit. Dalam Bab 5 kami menceritakan kisah
rootkit, perangkat lunak berbahaya yang dengannya orang yang tidak berwenang dapat memperoleh
kendali pengawasan komputer. Misalkan polisi menangkap Michel sebab pelanggaran ringan dan
menyita komputernya. Dengan memeriksa komputer, polisi menemukan bukti yang menghubungkan
komputer itu dengan kasus spionase. Polisi menemukan pesan email yang memberatkan dari
Michel di komputer Michel dan menagihnya. Dalam pembelaannya, Michel menunjuk ke rootkit di
komputernya. Dia mengakui bahwa komputernya mungkin telah dipakai dalam spionase, namun
dia menyangkal bahwa dia terlibat secara pribadi. Polisi, katanya, telah menarik hubungan yang
tidak dapat dibenarkan antara identitas Michel dalam email dan Michel orang ini . Rootkit
yaitu penjelasan yang masuk akal tentang bagaimana orang lain bertindak memakai identitas
Michel (komputernya). Contoh ini menunjukkan mengapa kita harus hati-hati membedakan antara
otentikasi individu, identitas, dan atribut.
Otentikasi Individu
Ada relatif sedikit cara untuk mengidentifikasi individu. saat Anda lahir, kelahiran Anda dicatat
di kantor catatan pemerintah, dan kantor ini menerbitkan akta kelahiran kepada orang tua
Anda. Beberapa tahun kemudian, orang tua Anda mendaftarkan Anda di sekolah, menunjukkan
akta kelahiran sehingga sekolah dapat mengeluarkan Anda kartu identitas sekolah. Masih nanti,
Anda menyerahkan akta kelahiran dan foto untuk mendapatkan paspor atau kartu identitas nasional.
Dengan cara yang sama, masing-masing dari kita menerima banyak nomor dan kartu otentikasi
lainnya sepanjang hidup.
Proses seumur hidup ini dimulai dengan akta kelahiran bayi. namun deskripsi fisik bayi (tinggi, berat,
bahkan warna rambut) akan berubah secara signifikan hanya dalam beberapa bulan. Akta kelahiran
mungkin berisi sidik jari bayi, namun mencocokkan sidik jari bayi yang baru lahir dengan sidik jari
orang dewasa sangat sulit.
Untungnya, di sebagian besar pengaturan, dapat diterima untuk menerima otentikasi yang lemah
untuk individu: Seorang teman yang telah mengenal Anda sejak kecil, seorang guru sekolah,
tetangga, dan rekan kerja dapat mendukung klaim identitas.
Otentikasi Identitas
Kita semua memakai banyak identitas yang berbeda. saat Anda membeli sesuatu dengan
kartu kredit, Anda melakukannya di bawah identitas pemegang kartu kredit. Di beberapa tempat
Anda dapat membayar tol dengan perangkat frekuensi radio di mobil Anda, sehingga sensor
mengautentikasi Anda sebagai pemegang perangkat tol tertentu. Anda mungkin memiliki paket
makan yang dapat diakses melalui kartu, sehingga kasir mengautentikasi Anda sebagai pemilik
kartu. Anda check in ke hotel dan mendapatkan kartu strip magnetik alih-alih kunci, dan pintu ke
kamar Anda mengautentikasi Anda sebagai penduduk yang sah selama tiga malam berikutnya.
Jika Anda memikirkan hari Anda, Anda mungkin akan menemukan lusinan cara beberapa aspek
identitas Anda telah diautentikasi.
Dari sudut pandang privasi, mungkin ada atau tidak ada cara untuk menghubungkan semua identitas
yang berbeda ini. Kartu kredit menautkan ke nama dan alamat pembayar kartu, yang mungkin Anda,
pasangan Anda, atau siapa pun yang bersedia membayar pengeluaran Anda. Perangkat tol otomatis
Anda menautkan ke nama dan mungkin alamat siapa pun yang membayar tol: Anda, pemilik mobil,
agen persewaan, atau pemberi kerja. saat Anda melakukan panggilan telepon, ada otentikasi ke
pemegang rekening telepon, dan sebagainya.
Terkadang kita tidak menginginkan suatu tindakan dikaitkan dengan suatu identitas. Misalnya, tip
anonim atau pemakaian saluran telepon "whistle blower" yaitu sarana untuk memberikan informasi
anonim tentang aktivitas ilegal atau tidak pantas. Jika Anda tahu bos Anda menipu perusahaan,
menghadapi atasan Anda mungkin bukan langkah yang baik untuk meningkatkan karier. Anda
mungkin bahkan tidak ingin ada catatan yang memungkinkan atasan Anda menentukan siapa yang
melaporkan penipuan ini . Jadi Anda melaporkannya secara anonim. Anda mungkin mengambil
tindakan pencegahan menelepon dari telepon umum sehingga tidak akan ada cara untuk melacak
orang yang menelepon. Dalam hal ini, Anda dengan sengaja mengambil langkah-langkah untuk
mencegah pengenal umum menautkan Anda ke laporan.
Namun, sebab akumulasi data dari waktu ke waktu, penautan masih dapat dilakukan. Saat Anda
meninggalkan kantor untuk pergi ke telepon umum, ada catatan lencana yang Anda usap di pintu.
Sebuah kamera pengintai menunjukkan Anda berdiri di telepon umum. Catatan kedai kopi termasuk
stempel waktu yang menunjukkan saat Anda membeli kopi (memakai kartu loyalitas pelanggan
Anda) sebelum kembali ke kantor Anda. Waktu perincian ini sesuai dengan waktu tip telepon anonim.
Secara abstrak item data ini tidak menonjol dari jutaan lainnya. namun pelaku yang menyelidiki
beberapa menit di sekitar waktu tip dapat membuat tautan ini . Menghubungkan bisa dilakukan
dengan tangan. namun teknologi yang terus berkembang memungkinkan lebih banyak persamaan
seperti ini untuk ditarik oleh komputer dari titik data yang tampaknya tidak berhubungan dan tidak
menarik.
Oleh sebab itu, untuk menjaga privasi kami, kami dapat menggagalkan upaya untuk menautkan
catatan. Seorang teman memberi nama fiktif saat mendaftar kartu loyalitas pelanggan di toko. Teman
lain membuat reservasi makan malam dengan nama samaran. Di toko tetangga, pegawai toko selalu
menanyakan nomor telepon Anda saat Anda membeli sesuatu, bahkan jika Anda membayar tunai.
Anda dapat dengan senang hati memberi mereka satu; itu bukan nomor asli Anda. Banyak situs
(lihat http://www.dmoz.org/Computers/Internet/E-mail/Spam/Preventing/Temporary_Addresses/)
menawarkan alamat email sementara untuk pemakaian satu kali, untuk periode validitas terbatas
(hingga beberapa bulan), atau sampai alamat dihapus.
Catatan Anonim
Terkadang, elemen data individual tidak sensitif, namun hubungan di antara mereka sensitif. Misalnya,
pelaku bernama Erin, pelaku memiliki kondisi medis diabetes; tak satu pun dari fakta itu
sensitif. Keterkaitan bahwa Erin mengidap diabetes menjadi sensitif.
Peneliti medis ingin mempelajari populasi untuk menentukan kejadian penyakit, faktor umum, tren,
dan pola. Untuk menjaga privasi, peneliti sering berurusan dengan catatan anonim: catatan dari
mana informasi identitas telah dihapus. Jika catatan ini dapat dihubungkan kembali ke informasi
identitas, privasi menderita. Jika, misalnya, nama telah dihapus dari catatan namun nomor telepon
tetap ada, peneliti dapat memakai basis data nomor telepon yang berbeda untuk menentukan
pasien, atau setidaknya nama yang ditetapkan untuk telepon ini . Menghapus informasi yang
cukup untuk mencegah identifikasi atau identifikasi ulang sulit dilakukan dan juga dapat membatasi
kemungkinan penelitian.
Seperti dijelaskan di penelitian Kasus 5-5, Ross Anderson diminta untuk mempelajari database utama
yang sedang disiapkan untuk warga Islandia. Basis data akan bergabung dengan beberapa basis data
perawatan kesehatan untuk dipakai oleh peneliti dan profesional perawatan kesehatan. Anderson
menunjukkan bahwa meskipun catatan telah dianonimkan, masih mungkin untuk menghubungkan
catatan tertentu dengan orang individu. Meskipun ada kesulitan privasi yang signifikan, Islandia
melanjutkan rencana untuk membangun database gabungan.
penelitian Kasus 5-5 : Islandia Menimbang Anonimitas Terhadap Manfaat Publik
Pada tahun 1998, Islandia mengizinkan pembuatan database catatan medis, silsilah,
dan informasi genetik warga negara. Seolah-olah, database ini akan memberikan data
tentang penyakit genetik kepada para peneliti—profesional medis dan perusahaan
obat. Islandia sangat menarik untuk penelitian penyakit genetik sebab kumpulan gen
tetap stabil untuk waktu yang lama; beberapa orang luar telah pindah ke Islandia, dan
beberapa orang Islandia telah beremigrasi. Untuk privasi, semua nama atau nomor
pengenal akan diganti dengan nama samaran yang unik. Departemen kesehatan
Islandia meminta pakar keamanan komputer Ross Anderson untuk menganalisis
aspek keamanan dari pendekatan ini.
Anderson menemukan beberapa kekurangan dengan pendekatan yang diusulkan:
• Pencantuman dalam database silsilah memperumit tugas menjaga anonimitas
individu sebab fitur keluarga yang khas. Selain itu, bagian dari database silsilah
sudah terbuka untuk umum sebab informasi tentang individu diterbitkan dalam
catatan kelahiran dan kematian mereka. Misalnya, akan lebih mudah untuk
mengidentifikasi pelaku dalam keluarga dengan tiga anak yang lahir masing-
masing pada tahun 1910, 1911, dan 1929.
• Bahkan riwayat hidup peristiwa medis dapat mengidentifikasi pelaku .
Banyak orang mungkin mengetahui identitas pelaku yang kakinya patah
saat bermain ski pada suatu musim dingin dan terkena penyakit kulit pada musim
panas berikutnya, jika kedua peristiwa itu terjadi tepat pada satu orang dalam
database.
• Bahkan batasan sampel kecil pada kueri akan gagal melindungi dari serangan
aljabar.
• Untuk menganalisis data genetik, yang menurut sifatnya pasti sangat detail,
peneliti perlu membuat pertanyaan yang kompleks dan spesifik. Kemampuan
kueri kuat yang sama ini dapat memicu pemilihan kombinasi hasil yang
sewenang-wenang.
Untuk alasan ini (dan lainnya), Anderson merekomendasikan untuk tidak melanjutkan
pengembangan database publik. Terlepas dari masalah ini, Parlemen Islandia memilih
untuk melanjutkan pembangunan dan rilis publik.
Dalam salah satu analisis paling menakjubkan tentang memperoleh identitas, Latanya Sweeney
melaporkan bahwa 87 persen populasi Amerika Serikat kemungkinan besar dapat diidentifikasi
dengan kombinasi kode pos 5 digit (disebut kode pos di Amerika Serikat) , jenis kelamin, dan
tanggal lahir. Statistik itu luar biasa saat Anda mempertimbangkan bahwa hampir 8.000 penduduk
AS harus memiliki tanggal lahir yang sama atau bahwa populasi rata-rata di area kode pos 5 digit
yaitu 10.000. Sweeney mendukung analisis statistiknya dengan penelitian kehidupan nyata. Pada
tahun 1997 dia menganalisis daftar pemilih Cambridge, Massachusetts, sebuah kota berpenduduk
sekitar 50.000 orang, salah satunya yaitu gubernur saat itu. Dia mengambil dia sebagai contoh
dan menemukan bahwa hanya enam orang yang memiliki tanggal lahirnya, hanya tiga dari mereka
yaitu laki-laki, dan dia yaitu satu-satunya dari tiga yang hidup dalam kode posnya. Sebagai figur
publik, ia telah mempublikasikan tanggal lahirnya dalam literatur kampanyenya, namun tanggal lahir
terkadang tersedia dari catatan publik. Pekerjaan serupa dalam memperoleh identitas dari catatan
anonim menunjukkan seberapa besar kemungkinan pelaku untuk menyimpulkan identitas dari
data lain yang mudah diperoleh.
Karya Sweeney menunjukkan dengan meyakinkan betapa sulitnya menganonimkan data secara
efektif. Banyak catatan medis dikodekan dengan setidaknya jenis kelamin dan tanggal lahir, dan
catatan ini sering dianggap dapat dirilis untuk tujuan penelitian anonim. Selanjutnya, peneliti
medis mungkin menginginkan kode pos untuk menghubungkan kondisi medis dengan geografi dan
demografi; misalnya, para peneliti mungkin ingin melacak penyebaran penyakit di seluruh wilayah
geografis atau berdasar sifat pribadi. Hanya sedikit orang yang akan berpikir bahwa
menambahkan kode pos akan memicu tingginya tingkat pelanggaran privasi.
Kesimpulan
Seperti yang telah kita lihat, identifikasi dan otentikasi yaitu dua aktivitas berbeda yang mudah
dikacaukan. Bagian dari kebingungan muncul sebab orang tidak membedakan dengan jelas
konsep yang mendasarinya. Kebingungan diperkuat saat item data dipakai untuk lebih dari
satu tujuan.
345
Otentikasi tergantung pada sesuatu yang mengkonfirmasi properti. Dalam kehidupan, hanya ada
sedikit autentikator suara, jadi kita cenderung memakai yang kita miliki secara berlebihan: nomor
identifikasi, tanggal lahir, atau nama keluarga. Namun, seperti yang kami jelaskan, pengautentikasi
ini terkadang juga dipakai sebagai kunci basis data, dengan konsekuensi negatif terhadap
privasi.
Kami juga telah mempelajari kasus-kasus di mana kami tidak ingin diidentifikasi. Anonimitas dan
nama samaran berguna dalam konteks tertentu. namun pengumpulan dan korelasi data, dalam skala
yang hanya dimungkinkan dengan komputer, dapat mengalahkan anonimitas dan pseudonimitas.
Saat kami para profesional komputer memperkenalkan kemampuan komputer baru, kami perlu
mendorong debat publik tentang masalah privasi terkait.
Pada bagian selanjutnya kita mempelajari data mining, proses pengambilan data yang melibatkan
menghubungkan database.
Keamanan Privasi Data mining
Dalam Bab 7 kami menjelaskan proses dan beberapa masalah keamanan dan privasi data mining.
Di sini kami mempertimbangkan bagaimana menjaga privasi dalam konteks data mining.
Data mining sektor swasta yaitu industri yang menguntungkan dan berkembang pesat. Semakin
banyak data yang dikumpulkan, semakin terbuka peluang untuk belajar dari berbagai agregasi.
Menentukan tren, preferensi pasar, dan sifat mungkin baik sebab mengarah pada pasar
yang efisien dan efektif. namun orang menjadi sensitif atau bahkan mungkin dirugikan jika informasi
pribadi mereka diketahui tanpa izin. Lihat Kasus 5-6 untuk contoh sejauh mana pelacakan data
dapat mempelajari individu.
penelitian Kasus 5-6 : Perusahaan Tahu Lebih Banyak tentang Anda dibandingkan Anda
Sendiri
Kumpulan big data memungkinkan organisasi membuat prediksi tentang Anda,
tidak hanya menyesuaikan iklan namun juga menyarankan kemungkinan perubahan
kesehatan atau perilaku. Misalnya, Duhigg menjelaskan bagaimana Target
Corporation mengumpulkan data tentang setiap pelanggan aktual dan potensial.
“Selama beberapa dekade, Target telah mengumpulkan sejumlah besar data
tentang setiap orang yang secara teratur masuk ke salah satu tokonya. Kapan pun
memungkinkan, Target memberikan kode unik kepada setiap pembelanja—dikenal
secara internal sebagai nomor ID Tamu—yang mengawasi semua yang mereka
beli. 'Jika Anda memakai kartu kredit atau kupon, atau mengisi survei, atau
mengirimkan pengembalian dana, atau menghubungi saluran bantuan pelanggan,
atau membuka email yang kami kirimkan kepada Anda atau mengunjungi Situs Web
kami, kami akan mencatatnya dan tautkan ke ID Tamu Anda,'” kata salah satu analis
data Target. “Kami ingin tahu semua yang kami bisa.”
Duhigg menjelaskan bagaimana Target memakai data ini untuk mengidentifikasi
wanita yang kemungkinan besar berada di trimester kedua kehamilan mereka, untuk
menawarkan harga khusus pada barang-barang yang berhubungan dengan bayi.
Ayah seorang wanita muda marah saat iklan Target terkait kehamilan muncul di
surat permukaan—hanya untuk mengetahui dari seorang putri yang malu bahwa
tes kehamilan mengkonfirmasi apa yang sudah dicurigai Target.
Prediksi ini cukup mengganggu saat mereka benar, namun mereka dapat merusak
saat mereka salah. Orang dapat ditolak kredit, pekerjaan atau hipotek, berdasar
prediksi tentang kemungkinan perilaku mereka. Seperti yang telah kita lihat dalam
bab ini, data bisa salah, prediksi bisa salah, dan orang-orang yang terpengaruh bisa
jadi tidak sadar bahwa pilihan mereka dibatasi dengan cara ini.
Data Mining Pemerintah
Terutama yang meresahkan bagi sebagian orang yaitu prospek data mining pemerintah. Kami
percaya kami dapat menghentikan ekses dan perilaku mengganggu perusahaan swasta dengan
memakai pengadilan, publisitas yang tidak diinginkan, atau bentuk tekanan lainnya. Jauh
lebih sulit untuk menghentikan tindakan pemerintah. Orang takut pemerintah atau penguasa yang
telah mengambil retribusi terhadap warga dianggap musuh, dan bahkan demokrasi yang dianggap
bertanggung jawab dapat membuat kesalahan dalam menangani data. Banyak pengumpulan
dan analisis data pemerintah terjadi tanpa publisitas; beberapa program tidak diumumkan dan
yang lainnya sengaja dirahasiakan. Dengan demikian, warga tidak nyaman dengan apa yang bisa
dilakukan pemerintah yang tidak terkendali. Dan sebab data mining tidak sempurna atau tepat,
mengoreksi data yang salah yang dipegang oleh pemerintah dan kesimpulan yang salah yang
diambil dari data mining hampir tidak mungkin.
Privacy Preserving Data Mining
sebab data mining dapat mengancam privasi, para peneliti telah mencari cara untuk melindungi
privasi selama operasi data mining. Pendekatan yang naif dan tidak efektif mencoba untuk menghapus
semua informasi pengenal dari database yang sedang ditambang. Namun, terkadang, informasi
pengidentifikasi diperlukan untuk penambangan dan bahkan mungkin menjadi tujuan data mining.
Lebih penting lagi, identifikasi dimungkinkan bahkan saat informasi identitas yang jelas dihapus
dari database. Data mining biasanya memakai dua pendekatan—korelasi dan agregasi. .
Privasi untuk Korelasi (Correlation)
Korelasi melibatkan penggabungan database pada bidang umum. Seperti halnya melindungi
hubungan sensitif antara Erin dan diabetes, pelestarian privasi untuk korelasi mencoba mengendalikan
hubungan itu.
John Vaidya dan Chris Clifton membahas gangguan data sebagai cara untuk mencegah korelasi
yang membahayakan privasi. Sebagai contoh sederhana, asumsikan dua database hanya berisi
tiga record, seperti yang ditunjukkan pada Tabel 5-1. Bidang ID yang menghubungkan basis data
ini memudahkan untuk melihat bahwa Riko menderita diabetes.
Salah satu bentuk gangguan data melibatkan pertukaran bidang data untuk mencegah penautan
catatan. Mengganti nilai kondisi Riko dan Ningsih (namun bukan nilai ID) memutuskan hubungan Riko
dengan diabetes. Properti lain dari database dipertahankan: Tiga pasien memiliki nama sebenarnya
dan tiga kondisi menggambarkan pasien secara akurat. Mengganti semua nilai data dapat mencegah
analisis yang berguna, namun pertukaran yang terbatas akan menyeimbangkan privasi dan akurasi.
Dengan contoh kami menukar Riko dan Ningsih saja, Anda masih tahu bahwa salah satu peserta
menderita diabetes, namun Anda tidak dapat mengetahui apakah Ningsih (yang sekarang memiliki
ID=1) telah ditukar atau tidak. Pada gilirannya, jika Anda tidak dapat mengetahui apakah suatu nilai
telah ditukar, Anda tidak dapat berasumsi bahwa korelasi yang Anda peroleh yaitu benar.
Tentu saja, dengan menghancurkan tautan dalam database, kami juga menolak kemampuan peneliti
untuk memeriksa data untuk koneksi lain; misalnya, jika Tabel pertama juga berisi usia, peneliti
mungkin ingin menganalisis data untuk melihat apakah usia pasien berkorelasi dengan adanya
diabetes.
Contoh tiga titik data kami, tentu saja, terlalu kecil untuk aplikasi data mining yang realistis, namun
kami membangunnya hanya untuk menunjukkan bagaimana pertukaran nilai akan dilakukan. Peluang
satu dari tiga untuk mengidentifikasi orang dengan diabetes dengan benar tampaknya cukup tinggi
untuk meyakinkan beberapa orang bahwa Ningsih yaitu orangnya. Tapi contoh yang lebih realistis
akan melibatkan database ribuan titik data, sehingga kemungkinan inferensi yang benar menjadi
sangat kecil.
Pertimbangkan contoh yang lebih realistis dari database yang lebih besar. Kita mungkin memiliki
alamat alih-alih nama, dan tujuan data mining yaitu untuk menentukan apakah ada korelasi antara
lingkungan dan penyakit, seperti campak. Bertukar semua alamat akan mengalahkan kemampuan
untuk menarik kesimpulan yang benar tentang lingkungan. Bertukar sejumlah kecil tapi signifikan
alamat akan menimbulkan ketidakpastian untuk menjaga privasi. Beberapa pasien campak mungkin
dipindahkan dari lingkungan dengan insiden tinggi, namun pasien campak lainnya juga akan ditukar.
Jika lingkungan memiliki insiden yang lebih tinggi dibandingkan populasi umum, pertukaran acak akan
memicu lebih banyak kerugian dibandingkan keuntungan, sehingga mengurangi kekuatan
korelasinya. sesudah pertukaran nilai, korelasi yang sudah lemah mungkin menjadi sangat lemah
sehingga secara statistik tidak signifikan. namun korelasi yang sebelumnya kuat akan tetap signifikan,
hanya saja tidak sekuat itu.
Dengan demikian, pertukaran nilai yaitu teknik yang dapat membantu menyeimbangkan tujuan
privasi dan akurasi dalam data mining.
Privasi untuk Agregasi
Agregasi tidak perlu secara langsung mengancam privasi. Seperti yang ditunjukkan dalam Bab 7,
agregat (seperti jumlah, median, atau hitungan) sering kali bergantung pada begitu banyak item
data sehingga sensitivitas item kontribusi tunggal disembunyikan. Statistik pemerintah menunjukkan
hal ini dengan baik: Data sensus, statistik tenaga kerja, dan hasil sekolah menunjukkan tren dan
pola untuk kelompok (seperti lingkungan atau distrik sekolah) namun tidak melanggar privasi satu
orang pun.
Seperti yang juga kami jelaskan di Bab 7, serangan inferensi dan agregasi bekerja lebih baik di
dekat ujung distribusi. Jika ada sangat sedikit atau sangat banyak titik dalam subset basis data,
sejumlah kecil persamaan dapat mengungkapkan data pribadi. Rata-rata dari satu nilai data yaitu
nilai ini secara tepat. Dengan tiga nilai data, rata-rata setiap pasangan menghasilkan tiga
persamaan dalam tiga tidak diketahui, yang Anda tahu dapat diselesaikan dengan mudah dengan
aljabar linier. Pendekatan serupa bekerja untuk himpunan bagian yang sangat besar dari seluruh
database. Subset berukuran sedang menjaga privasi dengan cukup baik. Jadi privasi dipertahankan
dengan aturan n item, lebih dari k persen.
Gangguan data dapat dipakai untuk mengurangi risiko dari agregasi. Gangguan tidak
membatasi kemampuan peneliti untuk bekerja dengan statistik kumpulan data; itu hanya mencegah
menghubungkan identitas individu dengan item data tertentu, sehingga menjaga privasi. Seringkali,
peneliti dapat menarik kesimpulan dari distribusi dan besarnya populasi, sehingga menjaga privasi
tanpa menghalangi penelitian yang valid.
Vaidya dan Clifton juga menjelaskan metode dimana database dapat dipartisi untuk menjaga privasi.
Contoh sepele kami di Tabel 9-1 bisa menjadi contoh database yang dipartisi secara vertikal untuk
memisahkan asosiasi sensitif nama dan kondisi.
Ringkasan Privasi Data Mining
Seperti yang telah kami jelaskan di bagian ini, data mining dan privasi tidak saling eksklusif: Kami
dapat memperoleh hasil dari data mining tanpa mengorbankan privasi. Benar, beberapa akurasi
hilang dengan gangguan. Sebuah kontra-argumen yaitu bahwa melemahnya kepercayaan dalam
kesimpulan paling serius mempengaruhi hasil yang lemah; kesimpulan yang kuat menjadi hanya
sedikit kurang kuat. Penelitian tambahan kemungkinan akan menghasilkan teknik tambahan untuk
menjaga privasi selama operasi data mining.
Kami dapat memperoleh hasil tanpa mengorbankan privasi, namun privasi tidak akan ada secara
otomatis. Teknik yang dijelaskan di sini harus diterapkan oleh orang yang memahami dan menghormati
implikasi privasi. Jika dibiarkan, data mining berpotensi merusak privasi. Profesional keamanan
perlu terus menekan privasi dalam aplikasi data mining.
Privasi di Web
Internet terkadang dipandang sebagai ancaman terbesar terhadap privasi. Seperti yang dikatakan
Bab 7, keuntungan dari Internet, yang juga merupakan kerugian, yaitu anonimitas. Seorang
pemakai dapat mengunjungi situs web, mengirim pesan, dan berinteraksi dengan aplikasi tanpa
mengungkapkan identitas. Setidaknya itulah yang ingin kami pikirkan. Sayangnya, sebab hal-hal
seperti cookie, adware, spybots, dan kode berbahaya, anonimitas itu dangkal dan sebagian besar
sepihak. Aplikasi web yang canggih dapat mengetahui banyak tentang seorang pemakai , namun
pemakai ini mengetahui sedikit tentang aplikasi ini .
Topiknya jelas sangat menarik: pencarian Google baru-baru ini menghasilkan lebih dari 7 miliar klik
untuk istilah "web" dan "privasi" secara bersamaan, dan 634.000 klik untuk frasa "privasi web". Di
bagian ini kami menyelidiki beberapa cara hilangnya privasi pemakai di Internet.
5.5.1 Memahami Lingkungan Online
Internet seperti bazar besar yang tidak diatur. Setiap kata yang Anda ucapkan dapat didengar oleh
banyak orang lain. Dan tenda-tenda para pedagang tidak seperti kelihatannya: pedagang rempah-
rempah sebenarnya menjalankan sarang perjudian, dan wanita baik hati yang menjual syal yaitu
tiga saudara bajak laut dan seekor harimau. Anda merogoh saku Anda untuk mendapatkan uang
hanya untuk menemukan bahwa dompet Anda telah dikosongkan. Kemudian polisi memberi tahu
Anda bahwa mereka akan senang membantu namun , sayangnya, tidak ada undang-undang yang
berlaku. Penghapus peringatan di excelsis.
Kami sebelumnya telah menjelaskan anonimitas web: Sulit bagi dua pihak yang tidak terkait untuk
mengotentikasi satu sama lain. Otentikasi internet paling sering mengkonfirmasi identitas pemakai ,
bukan server, sehingga pemakai tidak yakin apakah situs web itu sah. Ketidakpastian ini membuat
sulit untuk memberikan informed consent untuk pelepasan data pribadi: Bagaimana persetujuan
dapat diinformasikan jika Anda tidak tahu kepada siapa Anda memberikannya? Untuk contoh
pelacakan dan privasi Internet, lihat Kasus 5-7.
penelitian Kasus 5-7 : The Terrorists, Inc., Departemen TI
Pada tahun 2010, distrik sekolah Lower Merion dekat Philadelphia, Pennsylvania,
ditemukan melacak siswanya secara online. Sekolah mungkin memiliki alasan yang
sah untuk memantau pemakaian Internet oleh siswa, misalnya, saat di sekolah
untuk menjauhkan anak-anak dari situs dewasa. Namun, dalam kasus ini, distrik
sekolah telah mengeluarkan komputer untuk dibawa pulang oleh siswa dan ingin
mempertanggungjawabkannya jika terjadi kehilangan atau pencurian. Tidak, sekolah
tidak hanya memantau untuk menentukan lokasi semua komputer milik sekolah yang
ditugaskan kepada siswa, namun juga secara aktif memantau aktivitas fisik siswa
melalui web cam. Seorang siswa mengetahui pelacakan hanya saat asisten kepala
sekolah menuduhnya dengan perilaku yang tidak pantas di rumahnya sendiri dan
menunjukkan Gambar web-cam sebagai bukti. (Siswa mengaku makan permen,
tidak memakai narkoba.)
Distrik sekolah menyatakan bahwa mereka mengaktifkan kamera web dan
mengumpulkan Gambar diam hanya untuk membantu melacak komputer yang hilang
atau dicuri. Belakangan diketahui bahwa sekolah ini telah memperoleh 50.000
Gambar selama periode dua tahun, dan bahwa Gambar-Gambar ini menangkap
siapa pun yang ada di depan kamera, tanpa sepengetahuan atau persetujuan.
Keluarga siswa menggugat, dengan alasan pelanggaran Computer Fraud and Abuse
Act (1986), Electronic Communications Privacy Act (1986), dan berbagai undang-
undang Pennsylvania.
Distrik sekolah menyelesaikan dua tuntutan hukum atas insiden ini dengan
biaya sekitar $600.000. FBI memutuskan untuk tidak mengajukan tuntutan terhadap
distrik sekolah sebab mereka tidak dapat menetapkan niat kriminal. (Sumber: WHYY
News, 12 Okt 2010.) Seperti yang ditunjukkan oleh kasus ini, pelacakan komputer
memiliki implikasi hak privasi yang penting.
Kebocoran data seperti ini bukanlah hal baru, namun pertumbuhan Internet telah
memudahkan untuk menjangkau jutaan orang, seperti yang ditunjukkan oleh
postingan WikiLeaks (http://wikileaks.org).
Pembayaran dalam Web
Pelanggan pedagang online harus dapat membayar secara online untuk pembelian. Ada dua
pendekatan dasar: Pelanggan memberikan informasi kartu kredit mereka kepada pedagang atau
mereka mengatur pembayaran melalui sistem pembayaran online seperti PayPal.
Pembayaran Kartu Kredit
Dengan kartu kredit, pemakai memasukkan nomor kartu kredit, nomor khusus yang tercetak
pada kartu (mungkin untuk menunjukkan bahwa pemakai benar-benar memiliki kartu), tanggal
kedaluwarsa kartu (untuk memastikan bahwa kartu saat ini aktif), dan alamat penagihan kartu
kredit (mungkin untuk melindungi dari pencurian kartu kredit). Semua perlindungan ini ada di pihak
pedagang: Mereka menunjukkan bahwa pedagang melakukan upaya terbaik untuk menentukan
bahwa pemakaian kartu kredit itu sah. Tidak ada perlindungan kepada pelanggan bahwa pedagang
akan mengamankan data ini. sesudah pelanggan memberikan informasi ini kepada satu pedagang,
informasi yang sama yaitu semua yang diperlukan untuk pedagang lain untuk menerima penjualan
yang dibebankan ke kartu yang sama.
Selanjutnya, potongan informasi ini menyediakan banyak kunci statis yang dipakai untuk
menghubungkan database. Seperti yang telah kita lihat, nama bisa jadi sulit untuk dikerjakan
sebab risiko salah eja, variasi dalam penyajian, pemotongan, dan sejenisnya. Nomor kartu kredit
merupakan kunci yang sangat baik sebab dapat disajikan hanya dengan satu cara dan bahkan ada
digit cek yang sepele untuk memastikan bahwa nomor kartu yaitu urutan yang valid.
Kartu debit juga dapat dipakai untuk pembayaran online. Meskipun bekerja dengan cara yang
sama seperti kartu kredit, mereka biasanya tidak diberikan perlindungan yang sama seperti kartu
kredit; ada risiko yang jauh lebih besar bagi pembayar untuk memakai debit dibandingkan kredit.
sebab masalah dengan nomor kartu kredit yang dicuri, beberapa bank bereksperimen dengan kartu
kredit sekali pakai: kartu yang dapat Anda gunakan untuk satu transaksi atau untuk jangka waktu
yang tetap. Dengan begitu, jika nomor kartu dicuri atau disadap, tidak dapat dipakai kembali.
Selain itu, memiliki beberapa nomor kartu membatasi kemampuan untuk memakai nomor kartu
kredit sebagai kunci untuk mengkompromikan privasi melalui data mining.
Skema Pembayaran
Cara lain untuk melakukan pembayaran web yaitu dengan skema pembayaran online, seperti
PayPal. Anda membayar PayPal sejumlah uang dan menerima nomor rekening dan PIN. Anda
kemudian dapat masuk ke situs pusat PayPal, memberikan alamat email dan jumlah yang harus
dibayar, dan PayPal mentransfer jumlah ini . sebab di Amerika Serikat, PayPal tidak diatur
di bawah undang-undang perbankan yang sama seperti kartu kredit, ia menawarkan perlindungan
konsumen yang lebih sedikit dibandingkan kartu kredit. Namun, keuntungan privasi yaitu bahwa
kartu kredit atau detail keuangan pemakai hanya diketahui oleh PayPal, sehingga mengurangi
risiko dicuri. Skema serupa, seperti Square, memakai ponsel untuk melakukan pembayaran.
Sistem lain, seperti Bitcoin, sedang ditetapkan sebagai mata uang virtual, terlepas dari penerbitan
pemerintah. Nilai dan kelangsungan hidup mata uang virtual belum ditunjukkan.
5.5.3 Pendaftaran Situs dan Portal
Banyak situs memerlukan pendaftaran untuk dipakai . Situs meminta informasi dari Anda sebagai
imbalan untuk memberi Anda akses ke informasi dan layanan situs. Seringkali pendaftarannya gratis;
Anda tinggal memilih user ID dan password. Surat kabar dan portal web (seperti Yahoo! atau MSN)
sangat menyukai teknik ini, dan penjelasan yang mereka berikan terdengar menenangkan: Mereka
ingin melacak perilaku Anda di situs untuk meningkatkan pengalaman menjelajah Anda (apa pun
artinya) dan dapat menawarkan konten kepada orang-orang dengan kebutuhan serupa di seluruh
dunia. Pada kenyataannya, situs ingin mendapatkan demografi pelanggan, yang kemudian dapat
mereka jual ke pemasar atau tunjukkan kepada pengiklan untuk menjamin iklan mereka.
Orang mengalami kesulitan mengingat banyak ID, sehingga mereka cenderung default ke yang
sederhana, sering memakai variasi pada nama mereka. Dan sebab orang-orang kesulitan
mengingat ID, situs-situs menjadi lebih mudah: Banyak sekarang meminta Anda untuk memakai
alamat email Anda sebagai ID Anda. Anda tidak hanya mengorbankan privasi alamat email Anda,
Anda memberi situs pengidentifikasi Anda, yang juga pengidentifikasi Anda ke banyak situs lain.
Masalah dengan memakai ID yang sama di banyak situs yaitu bahwa ID itu sekarang
menjadi kunci basis data di mana basis data yang sebelumnya terpisah dari situs yang berbeda
dapat digabungkan. Parahnya lagi, sebab ID atau alamat email seringkali berkaitan erat dengan
nama asli individu, tautan ini juga menghubungkan identitas pelaku dengan data lain yang
dikumpulkan. Jadi sekarang, agregator data dapat menyimpulkan bahwa V. Putin menelusuri situs
web New York Times mencari artikel tentang vodka dan umur panjang, lalu membeli 200 lembar
saham di penyulingan Rusia.
Anda tentu saja dapat mencoba mengingat banyak ID yang berbeda. Atau Anda dapat memilih
persona sekali pakai, mendaftar untuk akun email gratis dengan nama seperti xxxyyy, dan tidak
pernah memakai akun untuk apa pun kecuali pendaftaran gratis wajib ini. Dan seringkali
tampak bahwa saat ada kebutuhan, muncullah suatu pelayanan. Lihat www.bugmenot.com untuk
layanan yang akan memberikan ID dan kata sandi acak yang tidak dapat dilacak untuk situs yang
memerlukan pendaftaran.
Alasan pendaftaran biasanya tidak ada hubungannya dengan surat kabar atau portal; itu ada
hubungannya dengan pengiklan, orang-orang yang membayar agar konten web dapat disediakan.
Web menawarkan kemungkinan pelacakan yang jauh lebih rinci dibandingkan media lain. Misalkan
Anda melihat papan iklan untuk permen di pagi hari dan iklan yang sama itu tetap ada di pikiran
Anda sampai waktu makan siang; jika Anda kemudian membeli permen yang sama saat makan
siang, pengiklan sangat senang: Uang iklan telah terbayar. namun pengiklan tidak memiliki cara
untuk mengetahui apakah Anda benar-benar melihat iklan (dan jika ya, yang mana). Ada beberapa
tindakan kasar: Jika penjualan naik sesudah kampanye iklan, kampanye mungkin memiliki beberapa
efek. namun pengiklan benar-benar ingin hubungan sebab-akibat yang lebih dekat, hubungan yang
mudah diterapkan di web.
Iklan Pihak Ketiga
Anda mengunjungi Yahoo! Halaman web atau aplikasi olahraga, dan Anda mungkin melihat iklan
untuk hipotek, perbankan, pinjaman mobil, dan majalah olahraga, tawaran televisi kabel, dan kupon
diskon untuk rantai makanan cepat saji. Anda mengklik salah satu tautan, dan Anda langsung
membuka formulir "beli di sini sekarang" atau Anda mendapatkan kupon khusus yang bernilai
untuk pembelian Anda secara langsung. Iklan web jauh lebih terhubung dengan vendor: Anda
melihat iklan, Anda mengkliknya, dan baik pembeli maupun pemilik halaman web tahu bahwa iklan
melakukan tugasnya dengan menarik perhatian Anda. (Sebaliknya, pengiklan jarang tahu apakah
Anda sedang menonton papan reklame jalan raya atau lalu lintas mereka.) Jika Anda mengklik dan
membeli, iklan ini benar-benar terbayar. Jika Anda mengeklik dan kemudian menunjukkan
kupon, nomor pelacakan pada kupon memungkinkan vendor dan pemilik laman web menautkan
pembelian Anda ke iklan di situs web tertentu. Dari sudut pandang vendor, umpan balik langsung
dan keterlacakan sangat bagus.
namun apakah Anda ingin pihak-pihak yang terlibat ini mengetahui bahwa Anda menyukai bola basket
dan sedang mencari hipotek kedua? Ingatlah bahwa, sejak Anda masuk ke situs portal, mereka
sudah memiliki identitas yang dapat ditautkan ke nama Anda yang sebenarnya. Selain itu, Anda
mungkin berurusan dengan lebih dari sekadar vendor dan situs web. Banyak jenis pihak ketiga
yang dapat terlibat, banyak di antaranya memakai informasi untuk memahami kebiasaan dan
preferensi Anda dan kemudian memberi Anda iklan bertarget.
Gambar 5-3 yaitu cuplikan layar beranda Pearson Higher Education, penerbit artikel ini. Pearson
memakai pelacak, cookie, dan suar untuk menangkap informasi tentang perilaku Anda secara
online. Seperti yang diungkapkan oleh program Ghostery dan tercantum dalam kotak di kanan
atas, ada tiga pelacak di halaman beranda Pearson: untuk mengumpulkan dan menampilkan
data kunjungan halaman (Google Analytics), mengizinkan pengujian presentasi halaman yang
berbeda (Optimalkan), dan mengatur penyisipan kode pelacakan pada halaman terpisah (Adobe
Tag Manager). Masing-masing panggilan tunggal ini dapat memanggil fungsi lain dari situs mana
pun, sehingga ketiga pelacak ini dapat menjadi ujung dari upaya pemantauan yang jauh lebih besar.
Nanti di bab ini, kita akan memeriksa beberapa jenis perangkat yang dipakai untuk melacak
perilaku Anda secara online, serta strategi untuk membuatnya terlihat dan mengendalikan aktivitas
mereka.
Sayembara dan Penawaran
Sulit untuk menolak sesuatu yang gratis. Kami akan mendaftar untuk kesempatan memenangkan
hadiah besar, bahkan jika kami hanya memiliki peluang kecil untuk berhasil. Pengiklan tahu itu.
Jadi kontes dan penawaran khusus sering meyakinkan orang untuk membocorkan detail pribadi.
Pengiklan juga tahu bahwa orang-orang antusias pada saat itu, namun antusiasme dan perhatian
mereka berkurang dengan cepat; akibatnya, pengiklan bekerja keras untuk "menutup kesepakatan"
dengan cepat.
Promosi tipikal menawarkan sesuatu yang kecil secara gratis, untuk memikat Anda agar berkomitmen
pada produk atau layanan. Pada hari-hari iklan pisau cukur yang aman, semboyannya yaitu ,
"Beri mereka pisau cukur, lalu jual pisaunya kepada mereka." Saat ini, tawarannya lebih cenderung
menjadi "Beri mereka layanan gratis selama satu bulan, lalu d
