Czytanie: prywatność informacji / Wprowadzenie do aplikacji i pojęć komputerowych

wprowadzenie
rodzaje informacji
Internet
telewizja kablowa
Medyczne
finansowe
lokalizacja
Polityka
edukacyjny
legalność
Safe Harbor Program and Passenger Name Record issues
ochrona prywatności w systemach informatycznych
komunikacja w Polityce
egzekwowanie zasad
Ochrona Prywatności w Internecie

wprowadzenie

okładka magazynu Time zatytułowana "Twoje dane: na sprzedaż."

prywatność informacji lub Prywatność danych (lub ochrona danych) to związek między gromadzeniem i rozpowszechnianiem danych, technologią, publicznym oczekiwaniem na prywatność oraz związanymi z nimi kwestiami prawnymi i politycznymi.

obawy dotyczące prywatności istnieją wszędzie tam, gdzie gromadzone i przechowywane są dane osobowe lub inne poufne informacje – w formie cyfrowej lub w inny sposób. Niewłaściwa lub nieistniejąca Kontrola ujawnienia może być główną przyczyną problemów z prywatnością. Problemy z prywatnością danych mogą pojawić się w odpowiedzi na informacje z wielu różnych źródeł, takich jak:

dokumentacja medyczna
dochodzenia i postępowania w sprawach karnych
instytucje finansowe i transakcje
cechy biologiczne, takie jak materiał genetyczny
dokumentacja pobytowa i geograficzna
pochodzenie etniczne
naruszenie prywatności
usługi oparte na lokalizacji i geolokalizacja

wyzwaniem w zakresie prywatności danych jest udostępnianie danych przy jednoczesnej ochronie danych osobowych. Dziedziny bezpieczeństwa danych i bezpieczeństwa informacji projektują i wykorzystują oprogramowanie, Sprzęt i zasoby ludzkie, aby rozwiązać ten problem. Ponieważ przepisy i regulacje dotyczące ochrony danych stale się zmieniają, ważne jest, aby być na bieżąco z wszelkimi zmianami prawa i stale oceniać zgodność z przepisami dotyczącymi prywatności i bezpieczeństwa danych.

rodzaje informacji

różne rodzaje danych osobowych często podlegają ochronie prywatności.

Internet

zdolność kontrolowania informacji, które ujawnia się o sobie przez Internet, i kto może uzyskać dostęp do tych informacji, staje się coraz większym problemem. Obawy te obejmują, czy wiadomości e-mail mogą być przechowywane lub odczytywane przez osoby trzecie bez zgody, lub czy osoby trzecie mogą nadal śledzić odwiedzane witryny internetowe. Innym problemem są odwiedzane strony internetowe, które zbierają, przechowują i ewentualnie udostępniają dane osobowe użytkowników.

pojawienie się różnych wyszukiwarek i wykorzystanie eksploracji danych stworzyło możliwość gromadzenia i łączenia danych o osobach z wielu różnych źródeł. FTC dostarczyła zestaw wytycznych, które reprezentują powszechnie akceptowane koncepcje dotyczące uczciwych praktyk informacyjnych na rynku elektronicznym, zwane zasadami uczciwej praktyki informacyjnej.

aby nie ujawniać zbyt wielu danych osobowych, e-maile powinny być szyfrowane, a przeglądanie stron internetowych i innych działań online powinno odbywać się bez śledzenia za pomocą anonimizerów, lub, w przypadkach, gdy nie są one zaufane, przez rozproszone anonimizery open source, tak zwane sieci mix, takie jak I2P-Router Onion lub Tor.

e-mail to nie jedyne korzystanie z Internetu z troską o prywatność. W dzisiejszych czasach wszystko jest dostępne przez Internet. Jednak poważny problem z prywatnością odnosi się do sieci społecznościowych. Na przykład na Facebooku są miliony użytkowników, a Przepisy się zmieniły. Ludzie mogą być oznaczeni na zdjęciach lub mają cenne informacje ujawnione o sobie z wyboru lub przez większość czasu nieoczekiwanie przez innych. Ważne jest, aby być ostrożnym z tym, co jest powiedziane przez Internet i jakie informacje są wyświetlane, a także zdjęcia, ponieważ to wszystko może być wyszukiwane w Internecie i wykorzystywane do dostępu do prywatnych baz danych, co ułatwia każdemu szybkie przejście do trybu online i profilowanie osoby.

telewizja kablowa

możliwość kontrolowania, jakie informacje ujawnia się o sobie przez telewizję kablową i kto ma dostęp do tych informacji. Na przykład osoby trzecie mogą śledzić programy telewizyjne IP, które ktoś oglądał w danym momencie.

dodanie jakichkolwiek informacji w strumieniu nadawczym nie jest wymagane do badania oceny oglądalności, dodatkowe urządzenia nie są wymagane do zainstalowania w domach widzów lub słuchaczy, a bez konieczności ich współpracy oceny publiczności mogą być automatycznie wykonywane w czasie rzeczywistym.

Medyczne

osoba może nie życzyć sobie, aby jej dokumentacja medyczna została ujawniona innym. Może to być spowodowane obawą, że może to wpłynąć na ich ubezpieczenie lub zatrudnienie. Może to być dlatego, że nie chcieliby, aby inni wiedzieli o warunkach medycznych lub psychologicznych lub metodach leczenia, które byłyby żenujące. Ujawnienie danych medycznych może również ujawnić inne szczegóły dotyczące życia osobistego. Naruszenie prywatności istnieją trzy główne kategorie prywatności medycznej: informacyjny (stopień kontroli nad danymi osobowymi), fizyczny (stopień fizycznej niedostępności dla innych) i psychologiczny (stopień, w jakim lekarz szanuje kulturowe przekonania, wewnętrzne myśli, wartości, uczucia i praktyki religijne pacjentów i pozwala im podejmować osobiste decyzje). Lekarze i psychiatrzy w wielu kulturach i krajach mają standardy dotyczące relacji lekarz-pacjent, które obejmują zachowanie poufności. W niektórych przypadkach tajemnica lekarska jest prawnie chroniona. Praktyki te są stosowane w celu ochrony godności pacjentów i zapewnienia, że pacjenci będą mieli swobodę ujawniania kompletnych i dokładnych informacji wymaganych do ich prawidłowego leczenia. W Stanach Zjednoczonych obowiązują przepisy regulujące prywatność prywatnych informacji zdrowotnych, patrz HIPAA i HITECH Act.

finansowe

informacje o transakcjach finansowych danej osoby, w tym kwota aktywów, pozycje w akcjach lub funduszach, niespłacone długi i zakupy mogą być wrażliwe. Jeśli przestępcy uzyskają dostęp do informacji, takich jak konta danej osoby lub numery kart kredytowych, może ona stać się ofiarą oszustwa lub kradzieży tożsamości. Informacje o zakupach danej osoby mogą ujawnić wiele informacji o historii tej osoby, takich jak miejsca, które odwiedziła, z którymi się skontaktowała, produkty, z których korzystała, jej działania i nawyki lub leki, które używała. W niektórych przypadkach korporacje mogą chcieć wykorzystać te informacje, aby kierować reklamy do osób z marketingiem dostosowanym do osobistych preferencji danej osoby, co ta osoba może lub nie może zatwierdzić.

lokalizacja

Mapa Wielkiej Brytanii z kropkami pokazującymi wszystkie lokalizacje iPhone ' a.

kropki pokazują wszystkie lokalizacje zarejestrowane przez iPhone ’ a bez wiedzy użytkownika.

wraz ze wzrostem możliwości śledzenia lokalizacji urządzeń mobilnych (usługa oparta na lokalizacji) pojawiają się problemy związane z prywatnością użytkowników. Dane o lokalizacji należą do najbardziej wrażliwych danych, które są obecnie gromadzone. Lista potencjalnie wrażliwych informacji zawodowych i osobistych, które można wywnioskować o osobie, która zna tylko swój ślad mobilności, została niedawno opublikowana przez Electronic Frontier Foundation. Należą do nich ruchy sił sprzedaży konkurencji, obecność w kościele partykularnym lub obecność osoby w motelu lub w klinice aborcyjnej. Ostatnie badanie MIT przeprowadzone przez de Montjoye et al. wykazał, że 4 punkty przestrzenno-czasowe, przybliżone miejsca i czasy, wystarczą, aby jednoznacznie zidentyfikować 95% z 1.5 mln osób w bazie mobilności. Badanie pokazuje ponadto, że ograniczenia te utrzymują się nawet wtedy, gdy rozdzielczość zestawu danych jest niska. Dlatego nawet grube lub rozmyte zbiory danych zapewniają niewielką anonimowość.

Polityka

prywatność Polityczna jest problemem od czasu pojawienia się systemów głosowania w czasach starożytnych. Tajne głosowanie jest najprostszym i najbardziej rozpowszechnionym środkiem, który ma zapewnić, że poglądy polityczne nie są znane nikomu innemu niż wyborcy—jest prawie powszechne we współczesnej demokracji i uważane za podstawowe prawo obywatelskie. W rzeczywistości nawet tam, gdzie inne prawa do prywatności nie istnieją, ten rodzaj Prywatności bardzo często ma.

edukacyjny

w Wielkiej Brytanii w 2012 roku Sekretarz Edukacji Michael Gove opisał krajową bazę danych uczniów jako „bogaty zbiór danych”, którego wartość można „zmaksymalizować”, czyniąc ją bardziej dostępną, w tym dla firm prywatnych. Kelly Fiveash z The Register powiedziała, że może to oznaczać, że „życie szkolne dziecka, w tym wyniki egzaminów, frekwencja, oceny nauczycieli, a nawet cechy” może być dostępne, a organizacje zewnętrzne są odpowiedzialne za anonimizację wszelkich publikacji, a nie za anonimizację danych przez rząd przed przekazaniem. Przykładem żądania danych, które wskazywał Gove, zostało odrzucone w przeszłości, ale może być możliwe w ulepszonej wersji przepisów dotyczących prywatności, było ” analiza wykorzystywania seksualnego.”

legalność

ochrona prawna prawa do prywatności w ogóle – a w szczególności prywatności danych – różni się znacznie na całym świecie.

nikt nie może być poddawany arbitralnej ingerencji w jego prywatność, rodzinę, dom lub korespondencję, ani atakom na jego honor i reputację. Każdy ma prawo do ochrony prawa przed taką ingerencją lub atakami.- Powszechna Deklaracja Praw Człowieka, Artykuł 12

dla organizacji przechowujących dane wrażliwe istnieje duże wyzwanie, aby osiągnąć i utrzymać zgodność z tak wieloma przepisami, które mają znaczenie dla prywatności informacji.

Safe Harbor Program and Passenger Name Record issues

Zdjęcie: Komendant Straży Przybrzeżnej Adm.Thad W. Allen, right, przedstawia uwagi jako szef operacji morskich Adm. Gary Roughead patrzy po podpisaniu memorandum of agreement dla programu Safe Harbor podczas ceremonii podpisania w Pentagonie.

Komendant Straży Przybrzeżnej Adm. Thad W. Allen, z prawej, wygłasza uwagi jako szef operacji morskich Adm. Gary Roughead patrzy po podpisaniu memorandum of agreement dla programu Safe Harbor podczas ceremonii podpisania w Pentagonie.

Departament Handlu Stanów Zjednoczonych stworzył międzynarodowy program certyfikacji Safe Harbor Privacy Principles w odpowiedzi na dyrektywę Komisji Europejskiej z 1995 r.w sprawie ochrony danych (Dyrektywa 95/46/WE). Dyrektywa 95/46 / WE oświadcza w rozdziale IV Artykuł 25, że dane osobowe mogą być przekazywane wyłącznie z krajów Europejskiego Obszaru Gospodarczego do krajów, które zapewniają odpowiednią ochronę prywatności. Z historycznego punktu widzenia ustalenie adekwatności wymagało stworzenia przepisów krajowych zasadniczo równoważnych z przepisami wdrażanymi na mocy dyrektywy 95/46 / UE. Chociaż istnieją wyjątki od tego ogólnego zakazu – na przykład w przypadku, gdy ujawnienie informacji krajowi spoza EOG odbywa się za zgodą danej osoby (art. 26 ust. 1 lit.a)) – ich zakres praktyczny jest ograniczony. W rezultacie Artykuł 25 stworzył ryzyko prawne dla organizacji, które przesyłają dane osobowe z Europy do Stanów Zjednoczonych.

program ma ważną kwestię w zakresie wymiany informacji dotyczących przelotu pasażera między UE a USA. Zgodnie z dyrektywą UE dane osobowe mogą być przekazywane do państw trzecich tylko wtedy, gdy kraj ten zapewnia odpowiedni poziom ochrony. Istnieją pewne wyjątki od tej zasady, na przykład gdy sam administrator może zagwarantować, że odbiorca będzie przestrzegał zasad ochrony danych.

Komisja Europejska powołała” grupę roboczą ds. ochrony osób fizycznych w związku z przetwarzaniem danych osobowych”, powszechnie znaną jako”grupa robocza art. 29″. Grupa Robocza udziela porad na temat poziomu ochrony w Unii Europejskiej i krajach trzecich.

Grupa Robocza negocjowała z przedstawicielami USA w sprawie ochrony danych osobowych, Zasady Safe Harbor były wynikiem. Niezależnie od tej zgody, podejście do samooceny Safe Harbor pozostaje kontrowersyjne z wieloma europejskimi organami regulacyjnymi i komentatorami ds. prywatności.

program Safe Harbor rozwiązuje ten problem w unikalny sposób: zamiast powszechnego prawa nałożonego na wszystkie organizacje w Stanach Zjednoczonych, dobrowolny program jest egzekwowany przez FTC. Organizacje Amerykańskie, które rejestrują się w tym programie, po samoocenie ich zgodności z szeregiem standardów, są „uznane za odpowiednie” do celów artykułu 25. Dane osobowe mogą być przesyłane do takich organizacji z EOG bez naruszenia przez nadawcę artykułu 25 lub jego krajowych odpowiedników UE. Safe Harbor został zatwierdzony przez Komisję Europejską w dniu 26 lipca 2000 r.jako zapewniający odpowiednią ochronę danych osobowych do celów art. 25 ust. 6.

Bezpieczna przystań nie jest idealnym rozwiązaniem dla wyzwań, jakie stawia art. 25. W szczególności organizacje adopcyjne muszą dokładnie rozważyć, czy przestrzegają obowiązków w zakresie dalszego przekazywania danych, w przypadku gdy dane osobowe pochodzące z UE są przekazywane do US Safe Harbor, a następnie do państwa trzeciego. Alternatywne podejście do przestrzegania „Wiążących reguł korporacyjnych”, zalecane przez wiele unijnych organów regulacyjnych ds. prywatności, rozwiązuje ten problem. Ponadto wszelkie spory powstałe w związku z przekazaniem danych HR do US Safe Harbor muszą być rozpatrywane przez panel unijnych organów regulacyjnych ds. prywatności.

w lipcu 2007 r.podpisano nową, kontrowersyjną umowę między USA a UE dotyczącą zapisu przelotu pasażera. Krótko potem administracja Busha zwolniła Departament Bezpieczeństwa Wewnętrznego, system informacji o przylocie i odlocie (Adis) oraz zautomatyzowany system docelowy z ustawy o ochronie prywatności z 1974 roku.

w lutym 2008 roku Jonathan Faull, szef unijnej Komisji Spraw Wewnętrznych, skarżył się na dwustronną politykę USA dotyczącą danych PNR. Stany Zjednoczone podpisały w lutym 2008 r.protokół ustaleń (MOU) z Republiką Czeską w zamian za system zniesienia wiz, nie nawiązując wcześniej z Brukselą. Napięcia między Waszyngtonem a Brukselą są głównie spowodowane niższym poziomem ochrony danych w USA, zwłaszcza że cudzoziemcy nie korzystają z amerykańskiej Ustawy o prywatności z 1974 roku. Inne kraje, które zgłosiły się do dwustronnego protokołu ustaleń, to Wielka Brytania, Estonia, Niemcy i Grecja.

ochrona prywatności w systemach informatycznych

ponieważ heterogeniczne systemy informatyczne o różnych zasadach prywatności są ze sobą powiązane, a informacje są udostępniane, konieczne będzie uzgodnienie, egzekwowanie i monitorowanie coraz większej liczby zasad Polityki Prywatności (i przepisów). Istnieją dwie kategorie technologii zajmujących się ochroną prywatności w komercyjnych systemach informatycznych: komunikacja i egzekwowanie prawa.

komunikacja w Polityce

P3P – Platforma preferencji Prywatności. P3P jest standardem komunikowania praktyk dotyczących prywatności i porównywania ich z preferencjami osób fizycznych.

egzekwowanie zasad

XACML – rozszerzalny język znaczników kontroli dostępu wraz z profilem prywatności jest standardem wyrażania Polityki Prywatności w języku czytelnym dla komputera, którego system oprogramowania może używać do egzekwowania zasad w systemach informatycznych przedsiębiorstwa.
EPAL-Enterprise Privacy Authorization Language jest bardzo podobny do XACML, ale nie jest jeszcze standardem.
WS-Privacy – „Web Service Privacy” będzie specyfikacją komunikowania Polityki Prywatności w usługach internetowych. Na przykład może określić, w jaki sposób informacje o polityce prywatności mogą być osadzone w kopercie SOAP wiadomości usługi internetowej.

Ochrona Prywatności w Internecie

w Internecie prawie zawsze zdradzasz wiele informacji o sobie: Niezaszyfrowane wiadomości e-mail mogą być odczytywane przez administratorów serwera poczty e-mail, jeśli połączenie nie jest szyfrowane (brak https), a także dostawca usług internetowych i inne strony wykrywające ruch tego połączenia są w stanie poznać zawartość. Co więcej, to samo dotyczy każdego rodzaju ruchu generowanego w Internecie (przeglądanie stron internetowych,komunikatory internetowe, między innymi) aby nie ujawniać zbyt wielu danych osobowych, e-maile mogą być szyfrowane, a przeglądanie stron internetowych, jak również inne działania online mogą być wykonywane bez śladu za pomocą anonimizerów, lub, w przypadkach, gdy nie są one zaufane, za pomocą rozproszonych anonimizerów open source, tzw. sieci mix. Renomowanymi sieciami typu open-source są I2P-sieć anonimowa lub tor.