编辑: cyhzg | 2014-07-10 |
反之,如果数据对于该目的已经无用,就应该被销毁. (4) 使用的限制:只有在数据的拥有者同意或法律的授权下,数据才能被使用. (5) 安全的防备:防止数据丢失、破坏、销毁和误用的机制应该被建立. (6) 开放性:可以获得这些信息,如数据的收集和存储以及个人数据系统的使用. (7) 个人的参与:数据的主体有权访问和修改属于他的数据. (8) 义务:数据的控制者应该有义务去遵守原则规定的方法. # 这些规则描述了个体的权利,而没有描述对收集者的要求,也就是规则没有要求对收集数据的保护. 10.2.1 公平信息策略(续) Turn和Ware认为收集的数据对于没有授权的攻击者来说是个有吸引力的目标,所以数据应该有自我保护能力.他们提出了四种保护存储数据的方法: (1) 通过限制数据存储量来减少暴露,只保持必要的和经常使用的数据而不是全部. (2) 通过交换数据项或往数据中增加一些晦涩错误来降低数据的敏感性. (3) 通过移动或改变数据的身份来实现数据的隐藏. (4) 加密数据. 10.2.2 美国的隐私法律 《1974年隐私法》虽然只应用于美国政府所持有的数据保护上,但它体现了Ware提及的大多数的隐私规则.它是美国最强的隐私法. 后来的《公平信用报告法》、《健康保险携带和责任法》(HIPAA)、《Cramm-Leach-Bliley》、《儿童网络隐私保护法》、《联邦教育权利和隐私法》也分别在不同领域涉及隐私保护. 10.2.2 美国的隐私法律(续) HIPAA法的公布对公司保密策略的影响包括: (1) 对于数据转移(给其他组织)的声明比HIPAA法公布之前更加明确. (2) 消费者对他们数据的公开或散布仍然缺乏控制. (3) 声明变得长而复杂,使消费者难以理解. (4) 即使在一个工业部门里(例如药品公司),声明差异很大,使得消费者很难比较各个策略. (5) 声明在专门网页中是唯一的,意味着它更精确地覆盖了一个特定网页的内容和功能. 10.2.2 美国的隐私法律(续) 很多法律存在的一个问题是,法律的目标领域有重叠.当然,还存在法律上的空白.就像新的技术(比如计算机、因特网和手机)出现,要么现有的隐私法为了运用于新的技术不得不被重新解释,要么花时间等待新的法律的颁布.有时法律的隐私规定只是法律的次要目的,而被法律的首要目的所隐藏. 10.2.3 美国政府网站的控制 (美国)联邦贸易委员会对于政府网站的隐私策略提出了要求.政府网站必须解决5个隐私要素. (1) 通知:数据的收集者在收集消费者的个人数据前必须公开他们的信息行为. (2) 选择:对于被收集的个人数据将会被如何使用,消费者有权选择. (3) 访问:消费者应该能够查看和讨论关于他们的数据的准确性和完整性. (4) 安全性:数据的收集者必须采取有效的措施,以确保从消费者那收集的信息的准确性和安全性. (5) 强制性:对于不遵守公平信息的行为,必须采取一个可靠的机制进行强制性的约束. 10.2.3 美国政府网站的控制(续) 在2002年,美国国会制定了一项电子政务法案,要求联邦政府机构把隐私政策公布到网上.如下政策必须公开: (1) 将要收集的信息. (2) 信息被收集的原因. (3) 机构使用该信息的目的. (4) 这些信息将与谁共享. (5) 提供给个体的关于什么信息被收集和信息怎样被分享的通知. (6) 确保信息安全的方式. (7) 在隐私法和其他有关保护个人隐私的法律中,个体所享有的权利. 10.2.4 商业网站的控制 禁止欺诈行为 (美国)联邦贸易委员会有权起诉那些从事欺诈交易和不公平商业行为的公司.然而,这种行为却导致了一个荒诞的情况.只要一家公司的隐私政策说了它会做或是至少没有说他们不这样做,这家公司就可以收集个人信息,并可以通过任何形式传给其他人.声明一个与市场上的公司或者 第三方 共享数据的意图会使这种共享是可接受的,无论这个第三方是谁. 10.2.4 商业网站的控制(续) 欺骗行为的例子 (美国)联邦贸易委员会在2005年起诉了CartManager公司,这个公司使用了一个大家非常熟悉的网上购物软件去收集订单,获得客户的姓名和地址,然后决定运输方式以及支付细节.一些零售商会在他们的网页中写出隐私声明,不会出售或分发客户的数据,但是CartManager确实出售了他们收集的数据.联邦贸易委员会认为CartManager公司无视使用者以及他们公布的关于网上商品的政策. 10.2.4 商业网站的控制(续) Jet Blue航空公司从旅客那里收集数据,开始声称不会提供给第三方,之后,又将这些数据给国防部用于安检程序测试. Jet Blue获得数据的唯一理由就是用于处理机票费用.这事件的问题在于:第一,Jet Blue违反了它自己的政策声明.第二,国防部可以通过获取私人公司的数据绕过电子政务法案,这些数据本不能被政府部门收集. 商业网站还没有相关的内容标准.一些公司公布了他们必须遵守的详细的隐私声明.另一方面,一些公司公或许可能根本就没有什么声明,这给公司以最大的灵活性.因为他们什么都没说时,也就不可能出现撒谎的情况. 10.2.5 非美国的隐私原则 在1981年,欧洲理事会采用了第108公约保护涉及个人数据自动处理的个体,接着在1995年,欧盟对个人信息处理采用了95/46/EC指令.95/46/EC指令又称为欧洲隐私指令,要求维持个体隐私的权利,主要内容如下: (1) 公平合法的处理. (2) 收集应具有明确的合法目的,不能采用与这些目的不相符的处理方法. (3) 收集和将要处理的目的要充分、切题和不过分. (4) 随时保证数据的准确性.可采用任何合理的措施去删除或纠正那些不准确或不完整的数据,这些数据已不能满足数据收集或进一步处理的目的. (5) 对于收集或进一步处理的数据,如果不再是必要的,则将它们保留在可识别数据主体的表格中. 10.2........