Questão nº 24
Questão de Ciência de Dados · FGV CVM 2024 (nº 24)
Uma certa organização gostaria de compartilhar dados com um grupo de pesquisadores de uma universidade para a condução de um estudo sobre problemas ergonômicos nos seus escritórios. Entre os dados coletados, há informações sensíveis sobre seus funcionários; portanto, o responsável pela coleta decidiu anonimizar os dados. Isso foi feito removendo-se nomes e outros campos identificadores e adicionando-se um número identificador próprio a cada funcionário. Dessa forma, a identidade dos funcionários seria preservada. Após a verificação de uma amostra, o pesquisador responsável pelo estudo recomendou medidas que deveriam ser aplicadas antes que os dados pudessem ser aceitos para o estudo.
O problema que mais provavelmente motivou a recomendação do pesquisador e uma medida que pode mitigar esse problema são, respectivamente:
- Aos dados podem ser reidentificados usando uma combinação dos campos restantes → embaralhamento dos campos;
- Bo número identificador não é suficiente para separar os dados → hashing usando os campos restantes;
- Cos dados podem ser reidentificados utilizando dados externos ao conjunto compartilhado → privacidade diferencial; (alternativa correta)
- Dos dados podem ser reidentificados através de engenharia reversa do número identificador → randomização não linear dos identificadores;
- Eo campos restantes podem ser usados para deduzir informação não inclusa no conjunto de dados → k-anonimato.
Resposta comentada
Gabarito Alternativa C
A anonimização de dados é o processo de remover ou modificar informações que podem identificar um indivíduo, visando proteger sua privacidade. No entanto, mesmo após a remoção de identificadores diretos, os dados podem ser reidentificados se combinados com outras informações disponíveis publicamente ou em outros bancos de dados.
- (A) Incorreta: Embora a reidentificação por combinação de campos restantes seja um problema real (via quasi-identificadores), "embaralhamento dos campos" não é uma técnica padrão ou eficaz para mitigar esse risco. Embaralhar campos dentro de um registro não faz sentido, e embaralhar registros não impede a ligação por quasi-identificadores.
- (B) Incorreta: O problema não é que o número identificador não seja suficiente para separar os dados (ele é único para cada funcionário, então separa perfeitamente). O problema é que ele não protege a identidade do funcionário contra reidentificação. Hashing dos campos restantes não resolve o problema da reidentificação via dados externos.
- (C) Correta: O problema mais provável após a remoção de identificadores diretos é que os "outros campos" (quasi-identificadores como idade, departamento, cargo, etc.) podem ser combinados com informações de fontes externas (como redes sociais, registros públicos) para reidentificar os indivíduos. A privacidade diferencial é uma técnica robusta que adiciona ruído aos dados ou aos resultados de consultas, oferecendo uma garantia matemática de que a presença ou ausência de um indivíduo no conjunto de dados não pode ser inferida, mesmo com conhecimento auxiliar arbitrário, protegendo contra reidentificação por dados externos.
- (D) Incorreta: A "engenharia reversa do número identificador" não é o principal vetor de ataque aqui. Se o identificador é apenas um número sequencial ou aleatório, ele não contém informações da identidade original para serem revertidas. O risco é a ligação desse identificador a uma identidade real através de outros dados, não a reversão do próprio ID. A randomização não linear melhora a segurança do ID, mas não aborda o risco de ligação por quasi-identificadores.
- (E) Incorreta: O problema de "deduzir informação não inclusa no conjunto de dados" é uma preocupação válida (ataques de inferência ou divulgação de atributos sensíveis). O k-anonimato é uma técnica que garante que cada registro seja indistinguível de pelo menos k-1 outros registros com base em quasi-identificadores, dificultando a reidentificação. No entanto, o k-anonimato por si só não impede ataques de inferência se todos os k indivíduos compartilharem um atributo sensível. Além disso, a reidentificação por dados externos (alternativa C) é um problema mais direto e comum após a remoção de identificadores diretos. A armadilha aqui é que k-anonimato é uma técnica de anonimização muito conhecida e relevante para quasi-identificadores, mas a descrição do problema na alternativa E ("deduzir informação não inclusa") é mais ampla e pode não ser totalmente resolvida apenas com k-anonimato (exigindo l-diversidade ou t-closeness para proteger atributos sensíveis), enquanto a alternativa C descreve um risco de reidentificação mais direto e universalmente mitigado pela privacidade diferencial.
Fonte: FGV CVM 2024 Analista CVM - Ciência de Dados (Perfil 7) (Caderno Tipo 1). Reproduzida para fins de estudo.