《第10章计算中的隐私》由会员分享,可在线阅读,更多相关《第10章计算中的隐私(77页珍藏版)》请在金锄头文库上搜索。
1、第10章 计算中的隐私本章要点r 隐私是安全性的一方面 r 鉴别在保护隐私中的作用 r 隐私与因特网 r 新兴技术的隐私问题 隐私问题早在计算机出现之前就已经出现了 。但是计算机具有的快速处理、数据存储和 传输能力,使得影响隐私的数据收集和关联 成为可能。因为隐私是机密性的一部分,所 以也是计算机安全的一个方面。隐私的权利依赖所处的形势和被影响的群体 。隐私与安全的其他方面也可能产生冲突。 隐私是一个涉及很广的话题,它受计算机的 影响但又不仅仅是一个安全话题。本章仅讨 论与计算机相关的部分。10.1 隐私的概述 10.1.1 信息隐私的相关问题信息隐私包括三个方面:可控制的公开、敏感数据 和被
2、影响的主体。可控制的公开隐私是什么?一个很好的定义是,隐私是指有权去 控制谁可以知道关于某人、某人的交际和某人的特 定活动的某些方面。换句话说,某人自愿选择谁能 知道关于自己的事和那些事的哪些部分。然而这个人又不能完全的控制它。这个问题类似于 计算机安全中的传播问题:任何人只要能够访问一 个对象,就能将这个对象或它的内容无限制地复制 、转移或传播给其他人。 10.1.1 信息隐私的相关问题(续)敏感数据大多数人认为应该保密的数据有(不考虑顺序): (1) 身份,私有数据的所有权和控制隐私公开的能力 。(2) 财政,信用卡和银行帐目细节。(3) 法律事务。(4) 医疗条件,药物使用,DNA,易得
3、的疾病。(5) 政治观点:投票,看法,激进组织的成员资格。(6) 倾向性:宗教,性取向。(7) 生物测定,身体上的特征,测谎器的结果,指纹 。(8) 日记、文学作品、信件、记录下来的想法等。(9) 与专家的特别通信,比如:律师、会计师、医生 、顾问和教士。10.1.1 信息隐私的相关问题(续)(10) 表现:学校的记录,工作的评分。(11) 阅读活动:阅读习惯,浏览的网页、音乐、艺术 、视频等。(12) 飞行旅行数据,全部旅行数据,个人地址(现在 和过去)。(13) 通信:邮件、电子邮件、电话号码、免费信息订 阅。(14) 历史:年轻时言行失检事件。(15) 非法活动,犯罪记录。# 一个人对隐
4、私的看法常常依赖于两个方面:谁将被 影响和文化,如,当前流行的隐私的规范是什么。10.1.1 信息隐私的相关问题(续)受影响的主体个人、团体、公司、组织和政府都有他们认 为敏感的数据。我们可以使用诸如主体或所 有者的术语来讨论那些影响人们和群体的隐 私问题。隐私是机密性的一个方面,其中机 密性和可用性之间的冲突最频繁。例如,如 果某人选择不在电话号码簿中公布电话号码 ,那就意味着一些人不能通过电话找到这个 人。10.1.1 信息隐私的相关问题(续)小结下面是关于隐私的相关问题:(1) 隐私是可以控制的公开:主体可以选择哪 些个人数据可以被公开以及对谁公开。(2) 当公开一些信息之后,主体将隐私
5、的很多 控制权让给了接受者。(3) 哪些数据属于敏感数据由主体决定,人们 对哪些数据是敏感的看法不同。(4) 个体,非正式团体和正式组织都有他们认 为是私有的东西。(5) 隐私是有代价的,选择不公布某些数据就 会限制某些利益。10.1.2 与计算机相关的隐私问题隐私在出现计算机之前就存在,计算机和网 络只是影响隐私暴露的可能性。公共的数据 对于研究这些数据的人一直是公开的,但是 计算机的快速处理及存储能力能使我们具有 积累、查询和关联的能力。搜索引擎可以让 我们具有从海量数据中找到想要的数据的能 力。另外,网络的开放性和移动技术极大地 增加了隐私暴露的危险性。10.1.2 与计算机相关的隐私问
6、题(续)与计算相关的隐私的问题的8个方面:(1) 信息的收集:信息数据只有在承认和明确同意的 情况下被收集。(2) 信息的使用:数据只用于某些特别的目的。(3) 信息的保持:数据只保留一段时间。(4) 信息的公布:数据只对授权的人公开。(5) 信息的安全:运用合适的机制对数据进行保护。(6) 访问控制:控制各种收集数据的任何访问方式。(7) 监控:运用日志来记录所有数据访问。(8) 策略变化:宽松的限制性策略不会被运用于已经 获得的数据。10.1.2 与计算机相关的隐私问题(续)数据的收集我们既有存储海量数据的设备,也有需要存储到 这些设备的数据。尽管物理空间的限制无法去保存 (和查找)海量印
7、刷数据,但电子数据与其相比仅需 要极少的空间就能保存(和查找)海量印刷数据。未被告知的允许虽然一些数据来源于公共和商业资源,但另外的 一些是来自有目的的数据转移,更多的是一些私底 下收集(即没有宣布就收集)的数据。用户不知道第 三种类型数据的收集,因此,是未被告知的允许。10.1.2 与计算机相关的隐私问题(续)失控数据在因特网失控的情况可能很严重。例如,实体A把一些 消息放在了个人博客中。接着假设不久又改变了想法想撤回 消息,又删除消息。然而这期间可能已有许多人看到了消息 并且复制到其他博客或其他网页上, A就无法控制了。可以 看见,一旦一些信息在因特网上超出了个人的控制范围,它 将永远不能
8、被删除。因特网像是一个大的历史档案馆,由于 其上存在的档案、缓存和镜像网站,造成了被公布在网上的 信息将永远无法完全删除。第二个关于失控的问题,是涉及 数据的泄露,例如,公司可能泄露员工的信息。数据的拥有权客户的信息细节被交易了,客户无法控制,或者说客户无法 分享带来的利润。在计算机出现之前,客户数据已有价值。 有了计算机,数据的容量和来源得到了飞速增长,但是主体 仍然没有权力。10.2 隐私的原则和策略在美国,对于隐私和计算机数据库的兴趣至 少可以追溯到20世纪70年代早期。那时, 一个委员会提出的隐私原则影响到了美国 的法律和规则,甚至为其他国家的隐私立 法铺平了道路。10.2.1 公平信
9、息策略在1973年,RAND公司的Willis Ware提出了一套合理的信息实 施规则。(1) 收集的限制:数据的获取应合法和公平。(2) 数据的质量:数据应该符合它们的目的、准确性、完整性 和实效性。(3) 目的的说明:如果数据对于某个目的是有用的,就应该能 鉴别;反之,如果数据对于该目的已经无用,就应该被销毁。(4) 使用的限制:只有在数据的拥有者同意或法律的授权下, 数据才能被使用。(5) 安全的防备:防止数据丢失、破坏、销毁和误用的机制应 该被建立。(6) 开放性:可以获得这些信息,如数据的收集和存储以及个 人数据系统的使用。(7) 个人的参与:数据的主体有权访问和修改属于他的数据。(
10、8) 义务:数据的控制者应该有义务去遵守原则规定的方法。# 这些规则描述了个体的权利,而没有描述对收集者的要求, 也就是规则没有要求对收集数据的保护。 10.2.1 公平信息策略(续)Turn和Ware认为收集的数据对于没有授权的攻 击者来说是个有吸引力的目标,所以数据应该 有自我保护能力。他们提出了四种保护存储数 据的方法:(1) 通过限制数据存储量来减少暴露,只保持 必要的和经常使用的数据而不是全部。(2) 通过交换数据项或往数据中增加一些晦涩 错误来降低数据的敏感性。(3) 通过移动或改变数据的身份来实现数据的 隐藏。(4) 加密数据。10.2.2 美国的隐私法律1974年隐私法虽然只应
11、用于美国政府所持 有的数据保护上,但它体现了Ware提及的大 多数的隐私规则。它是美国最强的隐私法。后来的公平信用报告法、健康保险携带 和责任法(HIPAA)、Cramm-Leach-Bliley 、儿童网络隐私保护法、联邦教育权 利和隐私法也分别在不同领域涉及隐私保护 。10.2.2 美国的隐私法律(续)HIPAA法的公布对公司保密策略的影响包括:(1) 对于数据转移(给其他组织)的声明比HIPAA 法公布之前更加明确。(2) 消费者对他们数据的公开或散布仍然缺乏 控制。(3) 声明变得长而复杂,使消费者难以理解。(4) 即使在一个工业部门里(例如药品公司),声 明差异很大,使得消费者很难比
12、较各个策略。(5) 声明在专门网页中是唯一的,意味着它更 精确地覆盖了一个特定网页的内容和功能。10.2.2 美国的隐私法律(续)很多法律存在的一个问题是,法律的目标领 域有重叠。当然,还存在法律上的空白。就 像新的技术(比如计算机、因特网和手机)出现 ,要么现有的隐私法为了运用于新的技术不 得不被重新解释,要么花时间等待新的法律 的颁布。有时法律的隐私规定只是法律的次 要目的,而被法律的首要目的所隐藏。10.2.3 美国政府网站的控制(美国)联邦贸易委员会对于政府网站的隐私策略提 出了要求。政府网站必须解决5个隐私要素。(1) 通知:数据的收集者在收集消费者的个人数据 前必须公开他们的信息行
13、为。(2) 选择:对于被收集的个人数据将会被如何使用 ,消费者有权选择。(3) 访问:消费者应该能够查看和讨论关于他们的 数据的准确性和完整性。(4) 安全性:数据的收集者必须采取有效的措施, 以确保从消费者那收集的信息的准确性和安全性。(5) 强制性:对于不遵守公平信息的行为,必须采 取一个可靠的机制进行强制性的约束。10.2.3 美国政府网站的控制(续)在2002年,美国国会制定了一项电子政务法案,要 求联邦政府机构把隐私政策公布到网上。如下政策 必须公开:(1) 将要收集的信息。(2) 信息被收集的原因。(3) 机构使用该信息的目的。(4) 这些信息将与谁共享。(5) 提供给个体的关于什
14、么信息被收集和信息怎样被 分享的通知。(6) 确保信息安全的方式。(7) 在隐私法和其他有关保护个人隐私的法律中,个 体所享有的权利。10.2.4 商业网站的控制禁止欺诈行为(美国)联邦贸易委员会有权起诉那些从事欺 诈交易和不公平商业行为的公司。然而, 这种行为却导致了一个荒诞的情况。只要 一家公司的隐私政策说了它会做或是至少 没有说他们不这样做,这家公司就可以收 集个人信息,并可以通过任何形式传给其 他人。声明一个与市场上的公司或者“第 三方”共享数据的意图会使这种共享是可 接受的,无论这个第三方是谁。 10.2.4 商业网站的控制(续)欺骗行为的例子(美国)联邦贸易委员会在2005年起诉了
15、 CartManager公司,这个公司使用了一个大家 非常熟悉的网上购物软件去收集订单,获得 客户的姓名和地址,然后决定运输方式以及 支付细节。一些零售商会在他们的网页中写 出隐私声明,不会出售或分发客户的数据, 但是CartManager确实出售了他们收集的数据 。联邦贸易委员会认为CartManager公司无视 使用者以及他们公布的关于网上商品的政策 。10.2.4 商业网站的控制(续)Jet Blue航空公司从旅客那里收集数据,开始 声称不会提供给第三方,之后,又将这些数据 给国防部用于安检程序测试。 Jet Blue获得数 据的唯一理由就是用于处理机票费用。这事件 的问题在于:第一,J
16、et Blue违反了它自己的 政策声明。第二,国防部可以通过获取私人公 司的数据绕过电子政务法案,这些数据本不能 被政府部门收集。商业网站还没有相关的内容标准。一些公司 公布了他们必须遵守的详细的隐私声明。另一 方面,一些公司公或许可能根本就没有什么声 明,这给公司以最大的灵活性。因为他们什么 都没说时,也就不可能出现撒谎的情况。10.2.5 非美国的隐私原则在1981年,欧洲理事会采用了第108公约保护涉及 个人数据自动处理的个体,接着在1995年,欧盟对 个人信息处理采用了95/46/EC指令。95/46/EC指令 又称为欧洲隐私指令,要求维持个体隐私的权利, 主要内容如下:(1) 公平合法的处理。(2) 收集应具有明确的合法目的,不能采用与这些 目的不相符的处理方法。(3) 收集和将要处理的目的要充分、切题和不过分 。(4) 随时保证数据的准确性。可采用任何合理的措 施去删除或纠正那些不准确或不完整的数据,这些 数据已不能满足数据收集或进一步处理的目的。(5) 对于收集或进一步处理的数据,如果不再是必 要的,则将它们保留在可识别数据主体的表格中。10
