<div dir="auto">Hi denis,<div dir="auto"><br></div><div dir="auto">I agree that this might be an issue (although personally I haven't looked into it) but I am not quite sure what we can do about it beyond just removing the field.</div><div dir="auto"><br></div><div dir="auto">Free form text fields are complicated and maybe it should be considered separately as I think we want to get a good picture of how big the problem is and what kind of data there is.</div><div dir="auto"><br></div><div dir="auto">Doing some kind of analysis to get an idea of how big the problem is might not be too difficult by trying to detect common elements of addresses and possibly person names.</div><div dir="auto">A first easy step could be to simply look for country names in descr field as that might imply an address.</div><div dir="auto">This isn't perfect of course and will pull in things like "Big Corp Germany GmbH" (just as an example) so a lot of fine tuning is necessary.</div><div dir="auto">However I think this could possibly get good enough to get a picture of the scale of the issue even if it won't be good enough to use as an input filter.</div><div dir="auto"><br></div><div dir="auto">These are just my initial thoughts on the topic and there are probably many other things that I haven't considered.</div><div dir="auto"><br></div><div dir="auto">-Cynthia </div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Jul 4, 2022, 13:47 denis walker via db-wg <<a href="mailto:db-wg@ripe.net">db-wg@ripe.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Colleagues<br>
<br>
I know this has been a long discussion with several elements to<br>
consider. But with just over a week of this discussion period<br>
remaining, are there any comments or thoughts on the "descr:"<br>
attribute containing personal data?<br>
<br>
cheers<br>
denis<br>
Proposal author<br>
<br>
---------- Forwarded message ---------<br>
From: denis walker <<a href="mailto:ripedenis@gmail.com" target="_blank" rel="noreferrer">ripedenis@gmail.com</a>><br>
Date: Wed, 29 Jun 2022 at 13:10<br>
Subject: 2022-01 personal data in the "descr:" attribute<br>
To: Database WG <<a href="mailto:db-wg@ripe.net" target="_blank" rel="noreferrer">db-wg@ripe.net</a>><br>
<br>
<br>
Colleagues<br>
<br>
Up to now we have focused mostly on member's personal data. But this<br>
isn't only about members. The database contains lots of personal data<br>
for end users as well. The INET(6)NUM objects have a "descr:"<br>
attribute. This has been used extensively for (personal) data about<br>
end users, mostly name and address, but maybe also phone numbers.<br>
There may well be more of these who are natural persons than members.<br>
There are 4.2m INETNUM objects in the database. So the scale of the<br>
problem may be far higher here.<br>
<br>
This is also a more complicated problem. The data is entered by<br>
resource holders and possibly multiple levels of sub-allocation<br>
holders. The issue of informed consent is hard to judge. Consent may<br>
be in the small print of a contract and it may not be clear to the<br>
data subject just what they are consenting to. The RIPE Database may<br>
contain the home address of many end users without them knowing what<br>
this database is or what the consequences are of publishing their<br>
personal data in it. This data is also unstructured, unverified,<br>
undefined free text.<br>
<br>
As with member's data there are pros and cons regarding the usefulness<br>
of this data. Also the defined purposes of the database cover adding<br>
the name and phone number of an end user as part of the public<br>
registry, but again not their home address. With the data being<br>
undefined, it is not clear what any address relates to. We don't know<br>
what address the resource holder asked for or what address the end<br>
user supplied. The address, therefore, has no meaning to anyone<br>
reading this data.<br>
<br>
So the question we need to discuss is what do we do with this data in<br>
the "descr:" attributes? Perhaps I can start the discussion with a<br>
suggestion.<br>
<br>
First of all we should never overload free text attributes with<br>
structured data. So if we want to add a name and address to resource<br>
objects we should include user name and address attributes. If we are<br>
going to add a new address field we should break it down into a<br>
structured set of address attributes, as all addresses should have<br>
been from the start. Maybe a phone and/or email attribute is also<br>
needed, keeping in mind most end users don't usually have an<br>
ORGANISATION object. Any new attributes can all be optional, as it is<br>
by choice that resource holders currently add any such data into the<br>
"descr:" attributes.<br>
<br>
The same rules would apply to this data as we have discussed with the<br>
members' data. Phone and email must be business data and not personal<br>
and they will be verified. (I will explain more about verification in<br>
response to Leo's email.) Name may be personal if the end user is a<br>
natural person. In that case any optional address added must not be<br>
more specific than country and region.<br>
<br>
Another possible solution could be to optionally create an<br>
ORGANISATION object for end users. Either way, this data should not be<br>
in the "descr:" attribute.<br>
<br>
Most of this can be discussed later with the implementation details.<br>
What is really important as far as this policy proposal is concerned<br>
is the recognition that the same principles of processing personal<br>
data will be applied to end users as it is to members, regardless of<br>
what objects the data is stored in.<br>
<br>
cheers<br>
denis<br>
Proposal author<br>
<br>
-- <br>
<br>
To unsubscribe from this mailing list, get a password reminder, or change your subscription options, please visit: <a href="https://lists.ripe.net/mailman/listinfo/db-wg" rel="noreferrer noreferrer" target="_blank">https://lists.ripe.net/mailman/listinfo/db-wg</a><br>
</blockquote></div>