Large scale cellular network accessing records are generated by mobile users on daily basis, which leave fine-grained footprints that have potential to compromise the privacy of user mobility. Abundant previous researches have demonstrated that simple anonymization has limited effect in preserving user’s privacy due to prevalence of re-identification attacks. As a result, the mobile operators and application vendors usually turn to a more aggressive solution that is removing the identifier (ID) of each entry in the records. Cellular data sets owners believe that such procedure is sufficient for preserving user’s privacy, since the attackers cannot directly put together the cellular records that belong to one individual, let alone recover user’s identity. However, in this paper, we argue and prove that simply removing the IDs is not sufficient for preserving mobile users’ privacy. We develop a mechanism that is able to extract the mobility patterns of users from cellular records and associate ID-removed records belonging to same individuals. Extensive experiments show that 70%~80% records of each user on average can be accurately recovered for two data sets collected from both mobile application and mobile operator side at the scale of several thousands to tens of thousands users. We find that the number of users released, the temporal and spatial granularity, and the speed of user movement are key factors that determine the privacy leakage in the ID-removed cellular data sets.

中文翻译：

---

点点滴滴：去除 ID 的蜂窝数据不保护用户隐私

移动用户每天都会生成大规模蜂窝网络访问记录，这些记录会留下细粒度的足迹，有可能损害用户移动的隐私。大量先前的研究表明，由于重新识别攻击的普遍存在，简单的匿名化在保护用户隐私方面的效果有限。因此，移动运营商和应用程序供应商通常会转向更积极的解决方案，即删除记录中每个条目的标识符 (ID)。蜂窝数据集所有者认为，这样的程序足以保护用户的隐私，因为攻击者无法直接将属于一个人的蜂窝记录放在一起，更不用说恢复用户的身份了。然而，在这篇论文中，我们论证并证明仅仅删除 ID 不足以保护移动用户的隐私。我们开发了一种机制，能够从蜂窝记录中提取用户的移动模式，并关联属于同一个人的 ID 删除记录。大量的实验表明，从移动应用端和移动运营商端收集的两个数据集，在几千到几万用户的规模下，平均可以准确恢复每个用户70%~80%的记录。我们发现释放的用户数量、时空粒度以及用户移动速度是决定去除 ID 蜂窝数据集中隐私泄漏的关键因素。我们开发了一种机制，能够从蜂窝记录中提取用户的移动模式，并关联属于同一个人的 ID 删除记录。大量的实验表明，从移动应用端和移动运营商端收集的两个数据集，在几千到几万用户的规模下，平均可以准确恢复每个用户70%~80%的记录。我们发现释放的用户数量、时空粒度以及用户移动速度是决定去除 ID 蜂窝数据集中隐私泄漏的关键因素。我们开发了一种机制，能够从蜂窝记录中提取用户的移动模式，并关联属于同一个人的 ID 删除记录。大量的实验表明，从移动应用端和移动运营商端收集的两个数据集，在几千到几万用户的规模下，平均可以准确恢复每个用户70%~80%的记录。我们发现释放的用户数量、时空粒度以及用户移动速度是决定去除 ID 蜂窝数据集中隐私泄漏的关键因素。大量的实验表明，从移动应用端和移动运营商端收集的两个数据集，在几千到几万用户的规模下，平均可以准确恢复每个用户70%~80%的记录。我们发现释放的用户数量、时空粒度以及用户移动速度是决定去除 ID 蜂窝数据集中隐私泄漏的关键因素。大量的实验表明，从移动应用端和移动运营商端收集的两个数据集，在几千到几万用户的规模下，平均可以准确恢复每个用户70%~80%的记录。我们发现释放的用户数量、时空粒度以及用户移动速度是决定去除 ID 蜂窝数据集中隐私泄漏的关键因素。