PPT《第10章 计算中的隐私》

反之,如果数据对于该目的已经无用,就应该被销毁. (4) 使用的限制:只有在数据的拥有者同意或法律的授权下,数据才能被使用. (5) 安全的防备:防止数据丢失、破坏、销毁和误用的机制应该被建立. (6) 开放性:可以获得这些信息,如数据的收集和存储以及个人数据系统的使用. (7) 个人的参与:数据的主体有权访问和修改属于他的数据. (8) 义务:数据的控制者应该有义务去遵守原则规定的方法. # 这些规则描述了个体的权利,而没有描述对收集者的要求,也就是规则没有要求对收集数据的保护. 10.2.1 公平信息策略(续) Turn和Ware认为收集的数据对于没有授权的攻击者来说是个有吸引力的目标,所以数据应该有自我保护能力.他们提出了四种保护存储数据的方法: (1) 通过限制数据存储量来减少暴露,只保持必要的和经常使用的数据而不是全部. (2) 通过交换数据项或往数据中增加一些晦涩错误来降低数据的敏感性. (3) 通过移动或改变数据的身份来实现数据的隐藏. (4) 加密数据. 10.2.2 美国的隐私法律 《1974年隐私法》虽然只应用于美国政府所持有的数据保护上,但它体现了Ware提及的大多数的隐私规则.它是美国最强的隐私法. 后来的《公平信用报告法》、《健康保险携带和责任法》(HIPAA)、《Cramm-Leach-Bliley》、《儿童网络隐私保护法》、《联邦教育权利和隐私法》也分别在不同领域涉及隐私保护. 10.2.2 美国的隐私法律(续) HIPAA法的公布对公司保密策略的影响包括: (1) 对于数据转移(给其他组织)的声明比HIPAA法公布之前更加明确. (2) 消费者对他们数据的公开或散布仍然缺乏控制. (3) 声明变得长而复杂,使消费者难以理解. (4) 即使在一个工业部门里(例如药品公司),声明差异很大,使得消费者很难比较各个策略. (5) 声明在专门网页中是唯一的,意味着它更精确地覆盖了一个特定网页的内容和功能. 10.2.2 美国的隐私法律(续) 很多法律存在的一个问题是,法律的目标领域有重叠.当然,还存在法律上的空白.就像新的技术(比如计算机、因特网和手机)出现,要么现有的隐私法为了运用于新的技术不得不被重新解释,要么花时间等待新的法律的颁布.有时法律的隐私规定只是法律的次要目的,而被法律的首要目的所隐藏. 10.2.3 美国政府网站的控制 (美国)联邦贸易委员会对于政府网站的隐私策略提出了要求.政府网站必须解决5个隐私要素. (1) 通知:数据的收集者在收集消费者的个人数据前必须公开他们的信息行为. (2) 选择:对于被收集的个人数据将会被如何使用,消费者有权选择. (3) 访问:消费者应该能够查看和讨论关于他们的数据的准确性和完整性. (4) 安全性:数据的收集者必须采取有效的措施,以确保从消费者那收集的信息的准确性和安全性. (5) 强制性:对于不遵守公平信息的行为,必须采取一个可靠的机制进行强制性的约束. 10.2.3 美国政府网站的控制(续) 在2002年,美国国会制定了一项电子政务法案,要求联邦政府机构把隐私政策公布到网上.如下政策必须公开: (1) 将要收集的信息. (2) 信息被收集的原因. (3) 机构使用该信息的目的. (4) 这些信息将与谁共享. (5) 提供给个体的关于什么信息被收集和信息怎样被分享的通知. (6) 确保信息安全的方式. (7) 在隐私法和其他有关保护个人隐私的法律中,个体所享有的权利. 10.2.4 商业网站的控制 禁止欺诈行为 (美国)联邦贸易委员会有权起诉那些从事欺诈交易和不公平商业行为的公司.然而,这种行为却导致了一个荒诞的情况.只要一家公司的隐私政策说了它会做或是至少没有说他们不这样做,这家公司就可以收集个人信息,并可以通过任何形式传给其他人.声明一个与市场上的公司或者 第三方 共享数据的意图会使这种共享是可接受的,无论这个第三方是谁. 10.2.4 商业网站的控制(续) 欺骗行为的例子 (美国)联邦贸易委员会在2005年起诉了CartManager公司,这个公司使用了一个大家非常熟悉的网上购物软件去收集订单,获得客户的姓名和地址,然后决定运输方式以及支付细节.一些零售商会在他们的网页中写出隐私声明,不会出售或分发客户的数据,但是CartManager确实出售了他们收集的数据.联邦贸易委员会认为CartManager公司无视使用者以及他们公布的关于网上商品的政策. 10.2.4 商业网站的控制(续) Jet Blue航空公司从旅客那里收集数据,开始声称不会提供给第三方,之后,又将这些数据给国防部用于安检程序测试. Jet Blue获得数据的唯一理由就是用于处理机票费用.这事件的问题在于:第一,Jet Blue违反了它自己的政策声明.第二,国防部可以通过获取私人公司的数据绕过电子政务法案,这些数据本不能被政府部门收集. 商业网站还没有相关的内容标准.一些公司公布了他们必须遵守的详细的隐私声明.另一方面,一些公司公或许可能根本就没有什么声明,这给公司以最大的灵活性.因为他们什么都没说时,也就不可能出现撒谎的情况. 10.2.5 非美国的隐私原则 在1981年,欧洲理事会采用了第108公约保护涉及个人数据自动处理的个体,接着在1995年,欧盟对个人信息处理采用了95/46/EC指令.95/46/EC指令又称为欧洲隐私指令,要求维持个体隐私的权利,主要内容如下: (1) 公平合法的处理. (2) 收集应具有明确的合法目的,不能采用与这些目的不相符的处理方法. (3) 收集和将要处理的目的要充分、切题和不过分. (4) 随时保证数据的准确性.可采用任何合理的措施去删除或纠正那些不准确或不完整的数据,这些数据已不能满足数据收集或进一步处理的目的. (5) 对于收集或进一步处理的数据,如果不再是必要的,则将它们保留在可识别数据主体的表格中. 10.2.5 非美国的隐私原则(续) 之后又增加了三个原则实现公平信息策略: (1) 敏感数据的特别保护:对于涉及敏感数据的数据收集和处理应该加以更严格的限制. (2) 数据转移:这个原则明确地限制个人信息的授权使用者在没有得到数据主体允许的条件下将数据转移给第三方. (3) 独立的审查:处理个人数据的实体不仅仅应该有责任而且应该承担独立的审查. 在不同的司法体系下,不同的法律不可避免地有冲突.欧盟与美国在隐私方面关系紧张,因为欧盟的法律禁止在各个国家的公司和政府间共享数据,而美国的隐私法却不像欧盟那样严格. 10.2.6 匿名和多重身份 保护隐私的重要问题是保护我们的身份. 匿名 一个人可能想在匿名情况下做一些事情.Mulligan列出了人们倾向于在网络上进行匿名活动的原因.一些人是为了减少自己被歧视的担心.同时,人们在研究什么是隐私事件时,如健康问题时,很可能去寻找他们认为匿名来源的第一手信息,当他们掌握很多情况时就会锁定一个人. 匿名也会出现问题.一个匿名的人如何对他所做的事情负责呢?一个守信的第三方可以完成诚实交易并且保持匿名. 10.2.6 匿名和多重身份(续) 多重身份――有联系或者没有 很多人已经有了多重身份.在银行里某人持有一个123456的账号,在机动车辆局某人持有一个驾驶证编号2334567,在信用卡公司某人持有卡号为345678的信用卡,这些数字都是这个人的身份.作为一名计算机工作者,我们知道可能用程序处理所有这些身份的链接,但是在设计解决方案时,一定要仔细地考虑到所有可能出现的问题. 10.2.6 匿名和多重身份(续) 正确的身份链接可以建立档案和排除匿名带来的隐私风险,但是错误的身份链接将对数据的使用和相关人的隐私带来严重的风险.如果我们仔细地考虑就能从多方面判断系统可能出错的部分,但是解决方法可能昂贵和费时.迅速但不准确的方法也会影响隐私. 使用假名 假名的使用(pseudonymity)是一种隐私保护形式.瑞士银行账户是一个假名使用的典型例子.每一个客户都有一个唯一的号码去访问账号.任何人拥有这个号码都可以进行交易(显然这里有额外的防止猜测的保护方法). 10.2.7 政府和隐私 政府收集和存储关于公民、居民和旅游者的数据.政府促进和规范商业和其他各种个人的活动,在这些角色中,政府既是隐私的保证者和规范者,又是隐私数据的使用者.政府使用隐私数据应该被控制. 鉴别 政府在个人鉴别中扮演了复杂的角色.政府用鉴别关键字和认证关键字来规范商业行为.有些时候,政府会基于这些关键字从其他地方获取数据.在这些复杂的角色中,政府可能会滥用数据和违犯隐私权. 10.2.7 政府和隐私(续) 数据访问风险 从其他部门获取数据有以下风险: (1) 数据错误:范围从撰写错误到不正确的解析. (2) 不正确的链接:两个或更多的正确的数据元素被错误地链接到了某个推测的公共元素上. (3) 格式与内容的差异:精确性、正确性、格式和语义错误. (4) 目标性错误:从一个有意提供错误数据的数据源收集数据. (5) 误报:一个不正确的或过时的结论. (6) 任务扩展:为了某个目的而获得的数据用于其他更广的范围. (7) 缺乏保护:由于处理这些数据的方法导致数据完整性出现问题. 10.2.7 政府和隐私(续) 防止隐私丢失的措施 下面几个........