Lectură: confidențialitatea informațiilor / Introducere în aplicații și concepte informatice

Introducere
tipuri de informații
Internet
televiziune prin cablu
Medical
financiar
localizare
politic
educațional
legalitate
programul Safe Harbor și problemele de înregistrare a numelui pasagerilor
protejarea confidențialității în sistemele informatice
comunicare politică
Policy Enforcement
protejarea vieții private pe Internet

Introducere

coperta revistei Time intitulată "datele dvs.: de Vânzare."

confidențialitatea informațiilor sau confidențialitatea datelor (sau protecția datelor) este relația dintre colectarea și difuzarea datelor, tehnologie, așteptarea publică a vieții private și problemele juridice și politice care le înconjoară.

preocupările privind confidențialitatea există oriunde sunt colectate și stocate informații de identificare personală sau alte informații sensibile – în formă digitală sau în alt mod. Controlul divulgării necorespunzător sau inexistent poate fi cauza principală a problemelor de confidențialitate. Problemele de Confidențialitate a datelor pot apărea ca răspuns la informații dintr-o gamă largă de surse, cum ar fi:

evidențe medicale
investigații și proceduri judiciare penale
instituții financiare și tranzacții
trăsături biologice, cum ar fi materialul genetic
rezidență și înregistrări geografice
etnie
încălcarea confidențialității
servicii bazate pe locație și geolocalizare

provocarea în ceea ce privește confidențialitatea datelor este de a partaja date protejând în același timp informațiile de identificare personală. Domeniile securității datelor și securității informațiilor proiectează și utilizează software, hardware și resurse umane pentru a aborda această problemă. Deoarece legile și reglementările legate de Protecția Datelor se schimbă în mod constant, este important să fiți la curent cu orice modificări ale legii și să reevaluați continuu conformitatea dvs. cu reglementările privind confidențialitatea și securitatea datelor.

tipuri de informații

diferite tipuri de informații cu caracter personal sunt adesea supuse unor probleme de confidențialitate.

Internet

capacitatea de a controla informațiile pe care cineva le dezvăluie despre Sine prin Internet și cine poate accesa aceste informații, a devenit o preocupare tot mai mare. Aceste preocupări includ dacă e-mailul poate fi stocat sau citit de terți fără consimțământ sau dacă terții pot continua să urmărească site-urile web pe care le-a vizitat cineva. O altă preocupare este site-urile web care sunt vizitate colectează, stochează și, eventual, partajează informații de identificare personală despre utilizatori.

apariția diferitelor motoare de căutare și utilizarea extragerii datelor au creat o capacitate pentru ca datele despre persoane să fie colectate și combinate dintr-o mare varietate de surse foarte ușor. FTC a furnizat un set de linii directoare care reprezintă concepte acceptate pe scară largă privind practicile corecte de informare pe o piață electronică numită principiile practicii corecte de informare.

pentru a nu oferi prea multe informații personale, e-mailurile ar trebui criptate și navigarea paginilor web, precum și a altor activități online, ar trebui făcută fără urme prin anonimizatori sau, în cazurile în care acestea nu sunt de încredere, prin anonimizatori Distribuiți open source, așa-numitele rețele mix, cum ar fi I2P-routerul Onion sau Tor.

e-mailul nu este singura utilizare a Internetului cu îngrijorare de confidențialitate. Totul este accesibil pe Internet în zilele noastre. Cu toate acestea, o problemă majoră cu confidențialitatea se referă la rețelele sociale. De exemplu, Există milioane de utilizatori pe Facebook, iar reglementările s-au schimbat. Oamenii pot fi etichetați în fotografii sau au informații valoroase expuse despre ei înșiși, fie prin alegere, fie de cele mai multe ori în mod neașteptat de către alții. Este important să fie precaut de ceea ce se spune pe Internet și ce informații sunt afișate, precum și fotografii, deoarece toate acestea pot căutat pe web și utilizate pentru a accesa baze de date private, ceea ce face mai ușor pentru oricine pentru a merge rapid on-line și profilul unei persoane.

televiziune prin cablu

capacitatea de a controla ce informații se dezvăluie despre sine prin intermediul televiziunii prin cablu și cine poate accesa aceste informații. De exemplu, terții pot urmări programele IP TV pe care cineva le-a vizionat la un moment dat.

adăugarea oricărei informații într-un flux de difuzare nu este necesară pentru un sondaj de evaluare a audienței, nu sunt solicitate dispozitive suplimentare pentru a fi instalate în casele spectatorilor sau ascultătorilor și, fără necesitatea cooperării acestora, evaluările audienței pot fi efectuate automat în timp real.

Medical

este posibil ca o persoană să nu dorească ca dosarele sale medicale să fie dezvăluite altora. Acest lucru se poate datora faptului că au îngrijorarea că ar putea afecta acoperirea asigurărilor sau ocuparea forței de muncă. Sau poate fi pentru că ei nu ar dori ca alții să știe despre condițiile medicale sau psihologice sau tratamente care ar fi jenant. Dezvăluirea datelor medicale ar putea dezvălui și alte detalii despre viața personală. Încălcarea confidențialității există trei categorii majore de confidențialitate medicală: Informațional (gradul de control asupra informațiilor personale), fizic (gradul de inaccesibilitate fizică față de ceilalți) și psihologic (măsura în care medicul respectă credințele culturale ale pacienților, gândurile interioare, valorile, sentimentele și practicile religioase și le permite să ia decizii personale). Medicii și psihiatrii din multe culturi și țări au standarde pentru relațiile medic-pacient care includ menținerea confidențialității. În unele cazuri, privilegiul medic-pacient este protejat legal. Aceste practici sunt în vigoare pentru a proteja demnitatea pacienților și pentru a se asigura că pacienții se vor simți liberi să dezvăluie informații complete și exacte necesare pentru a primi tratamentul corect. Statele Unite au legi care reglementează confidențialitatea informațiilor private de sănătate, a se vedea HIPAA și Legea HITECH.

financiar

informațiile despre tranzacțiile financiare ale unei persoane, inclusiv valoarea activelor, pozițiile deținute în acțiuni sau fonduri, datoriile restante și achizițiile pot fi sensibile. Dacă infractorii au acces la informații precum conturile unei persoane sau numerele cărților de credit, acea persoană ar putea deveni victima unei fraude sau a furtului de identitate. Informațiile despre achizițiile unei persoane pot dezvălui multe despre istoricul acelei persoane, cum ar fi locurile pe care le-a vizitat, cu care a contactat, produsele pe care le-a folosit, activitățile și obiceiurile sale sau medicamentele pe care le-a folosit. În unele cazuri, corporațiile ar putea dori să utilizeze aceste informații pentru a viza persoanele cu marketing personalizat în funcție de preferințele personale ale persoanei respective, lucru pe care persoana respectivă îl poate aproba sau nu.

localizare

o hartă a Regatului Unit cu puncte care arată toate locațiile unui iPhone.

punctele arată toate locațiile înregistrate de un iPhone fără știrea utilizatorului.

pe măsură ce capacitățile de urmărire a locației dispozitivelor mobile sunt în creștere (serviciu bazat pe locație), apar probleme legate de confidențialitatea utilizatorilor. Datele despre locație sunt într-adevăr printre cele mai sensibile date colectate în prezent. O listă de informații profesionale și personale potențial sensibile care ar putea fi deduse despre o persoană care cunoaște doar urmele sale de mobilitate a fost publicată recent de Electronic Frontier Foundation. Acestea includ mișcările unei forțe de vânzări concurente, participarea la o anumită biserică sau prezența unei persoane într-un motel sau la o clinică de avort. Un studiu recent al MIT realizat de De Montjoye și colab. a arătat că 4 puncte spațio-temporale, locuri și ore aproximative, sunt suficiente pentru a identifica în mod unic 95% din 1.5 milioane de persoane într-o bază de date de mobilitate. Studiul arată în continuare că aceste constrângeri se mențin chiar și atunci când rezoluția setului de date este scăzută. Prin urmare, chiar și seturile de date grosiere sau neclare oferă puțină anonimitate.

politic

viața privată politică a fost o preocupare de când sistemele de vot au apărut în cele mai vechi timpuri. Votul secret este cea mai simplă și cea mai răspândită măsură pentru a se asigura că opiniile politice nu sunt cunoscute de nimeni altul decât alegătorul însuși—este aproape universal în democrația modernă și considerat a fi un drept de bază al cetățeniei. De fapt, chiar și în cazul în care alte drepturi de confidențialitate nu există, acest tip de Confidențialitate foarte des.

educațional

în Regatul Unit, în 2012, Secretarul Educației Michael Gove a descris baza de date națională a elevilor ca un „set de date bogat” a cărui valoare ar putea fi „maximizată”, făcându-l mai deschis accesibil, inclusiv companiilor private. Kelly Fiveash din Registru a spus că acest lucru ar putea însemna că „viața școlară a unui copil, inclusiv rezultatele examenelor, participarea, evaluările profesorilor și chiar caracteristicile” ar putea fi disponibile, organizațiile terțe fiind responsabile pentru anonimizarea oricăror publicații, mai degrabă decât datele fiind anonimizate de guvern înainte de a fi predate. Un exemplu de solicitare de date despre care Gove a indicat că a fost respinsă în trecut, dar ar putea fi posibilă în temeiul unei versiuni îmbunătățite a reglementărilor privind confidențialitatea, a fost pentru „analiza exploatării sexuale.”

legalitate

protecția juridică a dreptului la viață privată în general – și a confidențialității datelor în special – variază foarte mult în întreaga lume.

nimeni nu va fi supus unei ingerințe arbitrare în intimitatea, familia, casa sau corespondența sa, nici atacurilor la adresa onoarei și reputației sale. Orice persoană are dreptul la protecția legii împotriva unor astfel de interferențe sau atacuri.- Declarația Universală a Drepturilor Omului, articol 12

există o provocare semnificativă pentru organizațiile care dețin date sensibile să realizeze și să mențină conformitatea cu atât de multe reglementări care au relevanță pentru confidențialitatea informațiilor.

programul Safe Harbor și problemele de înregistrare a numelui pasagerilor

foto: comandantul Pazei de coastă Adm.Thad W. Allen, dreapta, oferă observații în calitate de șef al operațiunilor navale Adm. Gary Roughead se uită după semnarea Memorandumului de acord pentru programul Safe Harbor în timpul unei ceremonii de semnare la Pentagon.

comandantul Pazei de coastă, amiralul Thad W. Allen, are dreptate, face remarci în timp ce șeful operațiunilor navale, amiralul Gary Roughead, se uită după semnarea Memorandumului de acord pentru programul Safe Harbor în timpul unei ceremonii de semnare la Pentagon.

Departamentul de Comerț al Statelor Unite a creat Programul Internațional de certificare a principiilor de confidențialitate Safe Harbor ca răspuns la Directiva din 1995 privind protecția datelor (Directiva 95/46/CE) a Comisiei Europene. Directiva 95/46 / CE declară în Capitolul IV articolul 25 că datele cu caracter personal pot fi transferate numai din țările din Spațiul Economic European către țări care asigură o protecție adecvată a vieții private. Din punct de vedere istoric, stabilirea caracterului adecvat a necesitat crearea unor legislații naționale în general echivalente cu cele puse în aplicare de Directiva 95/46/UE. Deși există excepții de la această interdicție generală – de exemplu în cazul în care divulgarea către o țară din afara SEE se face cu acordul persoanei relevante [articolul 26 alineatul (1) litera(A)] – acestea sunt limitate în domeniul de aplicare practic. Drept urmare, articolul 25 a creat un risc legal pentru organizațiile care transferă date cu caracter personal din Europa în Statele Unite.

programul are o problemă importantă privind schimbul de informații din registrul cu numele pasagerilor între UE și SUA. Conform Directivei UE, datele cu caracter personal pot fi transferate către țări terțe numai dacă țara respectivă oferă un nivel adecvat de protecție. Unele excepții de la această regulă sunt prevăzute, de exemplu, atunci când operatorul însuși poate garanta că destinatarul va respecta normele de protecție a datelor.

Comisia Europeană a înființat „grupul de lucru pentru protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter Personal”, cunoscut sub numele de „grupul de lucru pentru articolul 29”. Grupul de lucru oferă consiliere cu privire la nivelul de protecție din Uniunea Europeană și din țările terțe.

grupul de lucru a negociat cu reprezentanții SUA cu privire la protecția datelor cu caracter personal, principiile Safe Harbor au fost rezultatul. Fără a aduce atingere acestei aprobări, abordarea de autoevaluare a Safe Harbor rămâne controversată cu o serie de autorități de reglementare și comentatori europeni în materie de confidențialitate.

programul Safe Harbor abordează această problemă într-un mod unic: mai degrabă decât o lege generală impusă tuturor organizațiilor din Statele Unite, un program voluntar este aplicat de FTC. Organizațiile americane care se înregistrează la acest program, după ce și-au autoevaluat conformitatea cu o serie de standarde, sunt „considerate adecvate” în sensul articolului 25. Informațiile personale pot fi trimise unor astfel de organizații din SEE fără ca expeditorul să încalce articolul 25 sau echivalentele sale naționale din UE. Safe Harbor a fost aprobat ca oferind o protecție adecvată a datelor cu caracter personal, în sensul articolului 25 alineatul(6), de către Comisia Europeană la 26 iulie 2000.

Safe Harbor nu este o soluție perfectă la provocările prezentate de articolul 25. În special, organizațiile adoptive trebuie să analizeze cu atenție conformitatea acestora cu obligațiile de transfer ulterior, în cazul în care datele cu caracter personal originare din UE sunt transferate către portul sigur al SUA și apoi către o țară terță. Abordarea alternativă de conformitate a „regulilor corporatiste obligatorii”, recomandată de multe autorități de reglementare a confidențialității din UE, rezolvă această problemă. În plus, orice litigiu care apare în legătură cu transferul datelor de resurse umane către US Safe Harbor trebuie să fie audiat de un grup de autorități de reglementare din UE în materie de confidențialitate.

în iulie 2007, a fost semnat un nou acord controversat privind registrul cu numele pasagerilor între SUA și UE. La scurt timp după aceea, administrația Bush a acordat scutire pentru Departamentul Securității Interne, pentru sistemul de informații privind sosirea și plecarea (ADIS) și pentru sistemul țintă automatizat din 1974 Privacy Act.

în februarie 2008, Jonathan Faull, șeful Comisiei pentru Afaceri Interne a UE, s-a plâns de politica bilaterală a SUA privind PNR. SUA au semnat în februarie 2008 un memorandum de înțelegere (MOU) cu Republica Cehă în schimbul unui sistem de exonerare de obligația de a deține viză, fără a mai fi concertat anterior cu Bruxelles-ul. Tensiunile dintre Washington și Bruxelles sunt cauzate în principal de un nivel mai scăzut de protecție a datelor în SUA, mai ales că străinii nu beneficiază de Legea SUA privind confidențialitatea din 1974. Alte țări abordate pentru Memorandumul de înțelegere bilaterală au inclus Regatul Unit, Estonia, Germania și Grecia.

protejarea confidențialității în sistemele informatice

deoarece sistemele informatice eterogene cu reguli de confidențialitate diferite sunt interconectate și informațiile sunt partajate, aparatele de politică vor trebui să reconcilieze, să aplice și să monitorizeze o cantitate tot mai mare de reguli (și legi) ale politicii de confidențialitate. Există două categorii de tehnologii pentru a aborda protecția vieții private în sistemele IT comerciale: comunicarea și aplicarea.

comunicare politică

P3P – platforma pentru preferințele de Confidențialitate. P3P este un standard pentru comunicarea practicilor de confidențialitate și compararea acestora cu preferințele persoanelor.

Policy Enforcement

XACML – Extensible Access Control Markup Language împreună cu profilul său de confidențialitate este un standard pentru exprimarea politicilor de confidențialitate într-un limbaj care poate fi citit de mașină pe care un sistem software îl poate utiliza pentru a aplica politica în sistemele IT ale întreprinderii.
EPAL – limba de autorizare a confidențialității întreprinderii este foarte asemănătoare cu XACML, dar nu este încă un standard.
ws-Privacy – „confidențialitatea serviciului Web” va fi o specificație pentru comunicarea politicii de confidențialitate în serviciile web. De exemplu, poate specifica modul în care informațiile despre politica de confidențialitate pot fi încorporate în plicul SOAP al unui mesaj de serviciu web.

protejarea vieții private pe Internet

pe Internet aproape întotdeauna oferi o mulțime de informații despre tine: E-mailurile necriptate pot fi citite de administratorii serverului de e-mail, dacă conexiunea nu este criptată (fără https), iar furnizorul de servicii de Internet și alte părți care adulmecă traficul acelei conexiuni pot cunoaște conținutul. În plus, același lucru se aplică oricărui tip de trafic generat pe Internet (navigare pe internet,mesagerie instantanee, printre altele) pentru a nu oferi prea multe informații personale, e-mailurile pot fi criptate și navigarea paginilor web, precum și a altor activități online se poate face fără urmă prin anonimizatori sau, în cazurile în care acestea nu sunt de încredere, prin anonimizatori Distribuiți open source, așa-numitele mix nets. Renumitele rețele mix open-source sunt I2P-rețeaua anonimă sau tor.