信息技术与伦理/数据保护伦理

在本节中，我们将讨论隐私和数据保护。我们将重点关注一些旨在保护个人在线隐私的法律和政策，特别是关于数据保护的。这是为了应对随着时间推移而出现的众多技术。问题在于，随着技术快速发展。这些进步为那些试图获取他人个人信息的恶意人士创造了许多新的途径。这导致了对数据保护需求的增加。在本节中，我们将讨论隐私的背景，以及它为什么发生了变化？这是如何导致对数据保护的需求的？为数据保护开发了哪些技术？为数据保护制定了哪些法律和政策？如前所述，本章主要关注隐私和与数据保护相关的问题。这样你就可以理解，无论隐私在我们社会中以何种形式发展，都会不断采取措施来尝试保护个人的隐私以及他们在网络上的个人信息。

当隐私的概念引入我们社会时，它是以不同的思维方式创建的。它一直被认为是一项基本人权，并且始终涵盖了个人生活中的许多领域。住宅隐私权、财产隐私权、信息隐私权。通常是政府必须保护并确保每个公民在其生活中享有隐私权。尽管如此，澄清起来可能相当困难，因为许多关于隐私及其保护主题的文件都很模糊。特别是在美国，第四修正案和第五修正案被用作确定当今哪些行为侵犯个人隐私的主要来源。这是因为宪法没有明确阐明隐私权。有时缺乏文件来帮助澄清隐私，因此导致许多人不得不查看他们可以找到的任何文件，并决定这是否被视为个人隐私的一部分。以及政府的保护。正如参议员D. 布伦特·沃尔茨所说：“即使是最普通的美国宪法学术研究者也会注意到，‘隐私’作为一个独特的法律概念，在我们的建国文件中是缺失的。”（Waltz，2014，第205页）。随着技术的进步和“物联网”的发展，隐私在处理在线信息问题时已成为一个热门话题。^[1]

数据保护可以简单地描述为用于确保个人数据或信息得到保护的措施或技术。具体来说，它旨在保护数据的三个方面，这可以通过所谓的CIA三元组来更清楚地阐明。

CIA三元组与中央情报局无关，它是组织关注信息某些方面的模型。它通过确保这些方面得到覆盖来帮助这些组织。通过妥善管理这些方面，他们可以制定可靠的网络安全策略和程序来保护这些信息并实现适当的数据保护。其中CIA代表机密性、完整性和可用性。

数据保护试图保护信息的机密性。它是限制信息和数据访问的过程。它基本上意味着提供的信息只能被某些人看到，并确保任何未经授权的人员都无法查看或访问这些信息。它与隐私相关，因为它回答了谁将使用数据的问题。人们不希望他们的数据被所有人看到或访问。这可能导致其资产或隐私受到损害。为了实现信息的机密性，组织会使用教育员工哪些信息可以查看哪些信息不能查看的政策，以及数据存储和加密等工具来增强信息安全性。机密性被违反的例子包括数据泄露或互联网上个人信息的披露。

CIA三元组中信息的下一个方面是完整性。它是保护数据以确保其保持不变并处于接收时的原始状态的过程。这意味着信息不得以任何方式被编辑、修改或删除，除非获得授权。信息完整性在获取、存储或交换信息时都可能面临风险。这可能是由于恶意软件和病毒（如蠕虫、特洛伊木马、逻辑炸弹或引导病毒）的攻击。也可能是由有错误的软件或数据传输时的噪声引起的。为了实现和维护完整性，可以使用校验和和纠错来验证位或哈希是否发生更改，并查看信息完整性是否丢失。

三元组中信息的最后一个方面是可用性。这意味着始终可以随时向获得授权的人员提供对信息的访问。为了解释它，就像一栋建筑物，门口装有刷卡器。当你刷卡时，你希望能够进入建筑物并使用内部的资源。如果读卡器读取了你的卡，但门出现故障且无法打开，则你被拒绝了可用性。这也适用于信息和数据。^[2]

那么数据保护是如何实现上述方面的呢？好吧，数据保护通过许多活动来实现这一点。^[3]

它是以电子形式收集知识和信息的过程。它是定位、提取、分析和审查数字数据（如图像、文件、电子邮件、网络流量等）的过程。它有助于描绘一幅图景，或者为从事电子数据发现并负责查找重要信息的专业人士提供指导。

归档是保护信息的过程，尤其是将非活动信息保护未知时间或极长时间。信息可以随时调出并被参考，但目前大多不可用，但仍应受到保护。

备份是指创建信息的副本。基本上是创建一个安全的副本，以便如果原始数据被篡改或损坏，可以使用备份副本恢复原始数据。

快照是记录机器在特定时间的状态的过程。通常对于存储设备来说，拍摄快照是创建数据和信息副本的好方法，类似于备份。数据和信息可以恢复到快照的特定时间。^[4]

复制是数据保护中非常昂贵的一部分，对于灾难恢复过程来说是必不可少的。它涉及复制和重复数据，然后将其移动到异地位置以进行保护。这更多是为了组织在遭受攻击、自然灾害和其他对数据和信息造成重大损害或危害的事件后进行恢复。^[5]

可用性是指确保数据和信息在任何时候都可以被有权访问的人访问。以确保它不会完全受到限制和无人照管或无人监督。

灾难恢复是指组织确保从灾难中恢复并查看其数据状态的过程。基本上是查看哪些可能丢失了保密性、完整性和可用性。这涉及使用上述工具和流程，以及尝试找出导致灾难的原因以及如何规划未来，以便在灾难再次发生时能够更有效地恢复。^[6]

业务连续性是指创建系统和工具以帮助恢复过程并应对未来威胁的过程。基本上是提前计划，保护自己，并确保可以再次解决或避免威胁。

然而，确保数据保护不仅仅是工具和流程。还有许多法规、法律和政策可以帮助并确保适当的数据保护。其中一项被许多人认为得到广泛接受的法规是 GDPR。自 1995 年以来，欧洲的数据隐私一直受欧洲议会和理事会 1995 年 10 月 24 日的第 95/46/EC 号指令的监管。^[7] 该法规将侧重于保护个人及其数据处理的相关问题，1995 年官方公报 (I. 281) (指令)。^[7] 由于技术的快速发展，这些法规被认为是无效的，他们希望为欧盟公民提供更好的保护和权利，并统一数据保护法律。这导致了“通用数据保护条例”（GDPR）的创建，其最终文本于 2016 年获得批准。^[7] GDPR 于 2018 年 5 月 25 日开始实施。

GDPR 的主要目标是让公司对用户数据承担更多责任，并加强用户对其个人数据的控制。它通过制定条款来做到这一点，这些条款要求企业在欧盟境内发生的每一笔交易中都保护欧盟公民的个人数据和隐私。GDPR 也规范了将个人数据出口到欧盟以外地区的情况。^[8] 这项立法将迫使公司为其收集的不同类型的数据提供单独的同意表格，以及撤回同意的可能性。它还将阻止公司在未经持有“父母责任”的人同意的情况下收集 16 岁以下儿童的数据。^[9] 数据库被泄露的公司必须在 72 小时内向受影响者发布通知。^[9] 它还将赋予消费者擦除公司已收集的所有其数据的能力。GDPR 保护的数据类型包括基本身份信息、网络数据、健康和基因数据、生物识别数据、种族或族裔数据、政治观点和性取向。^[8] GDPR 定义了公司内部负责确保遵守 GDPR 规定的角色。这些角色包括数据控制者、数据处理者和数据保护官 (DPO)。^[8] 任何违反 GDPR 规则的公司都将面临高达其全球年营业额的 4% 或 2000 万欧元罚款，取其较高者。^[9]

GDPR 在第 (5-11) 条中规定了所有个人数据应如何处理的原则。^[10] 数据控制者应以合乎道德的方式处理个人数据。六项体现合规数据处理的原则是：

1. 合法、公平、透明：数据主体个人信息应以合法、公平、透明的方式进行处理。在与数据主体相关的方面，所有流程都应符合法律规定。
2. 目的限定：涉及个人数据的流程应仅限于从数据主体处收集其数据的最初目的。
3. 数据最小化：在收集数据时，数据控制者必须确保仅收集与目的相关的必要信息。
4. 准确性：数据主体的个人数据必须准确并保持最新。不准确或过时的数据应予删除。
5. 存储限制：收集的个人数据仅在必要时保留。当数据不再用于任何合法目的时，必须将其删除。
6. 完整性和机密性：公司必须采取技术措施，确保保护个人数据，防止未经授权的访问或不合规的处理以及意外丢失。^[11]

组织应遵循 GDPR 指南，践行良好的道德规范。根据西北大学的说法，一个人的姓名、电子邮件、电话、地址和社会安全号码都属于用户的个人数据，因为它可以识别用户，“实际上，这些还包括所有以任何方式分配给个人的数据”。^[12] 由于这些数据被视为个人数据，因此管理它们的政策必须非常有限地使用这些数据。负责任的组织应保护这些信息，并且只收集必要的信息。

对于数据处理方，数据必须限制在数据控制方要求的范围内，然后必须迅速删除，以确保用户的个人信息不会用于除必要目的之外的其他用途。对于数据控制方，数据处理方提供的信息必须根据问题解决的结论进行分类，以便删除。例如，Oracle 的隐私政策中有一条声明：“与我们的客户、供应商和业务合作伙伴进行交易，以及处理我们产品和服务的购买，将在交易或服务期间保留”。^[13] 未能遵守这些指南不仅是不道德的，还可能导致处罚。

在美国，与数据保护相关的法律非常多样化。它们制定了与不同行业和媒介相关的特定数据安全法律，例如，它们对金融公司、电信部门、医疗保健、信用报告、儿童信息收集等应用了不同的法律法规。此外，美国的 50 个州都有自己的法律法规，组织必须遵守。因此，如果有人试图建立一个组织，他们首先必须遵守联邦法律（如果法案由国会通过），然后是州法律。^[14]

由于美国没有专门针对数据保护或数据泄露的联邦法律，因此所有 50 个州共同制定了规则和法规。州法律主要侧重于保护数据、组织创建适当的隐私政策、采取哪些措施来保护社会安全号码和驾驶执照号码，以及通知数据泄露的时间线。现在，如果我们谈论隐私法，加州首当其冲，它拥有超过 25 项与数据隐私/保护相关的州法律。最近，该州推出了一项新的法律，即 2018 年加州消费者隐私法案 (CCPA)，该法案将于 2020 年 1 月 1 日生效。2018 年 3 月 21 日，南达科他州签署了一项新的法律，该法律适用于在该州开展业务的组织。考虑到拥有与金融行业相关的最严格法律的因素，纽约首当其冲。^[15][16]

尽管美国隐私法非常复杂，难以理解，但了解并遵守这些规则和法规非常重要。不仅是州，州的司法部长或联邦贸易委员会也有权对组织采取行动。他们也制定了规则和法规。

1. ↑ Waltz, D. B. (2014)。数字时代的隐私。印第安纳法律评论，48，205。
2. ↑ Samonas, S. & Coss, D. (2014)。中央情报局反击：重新定义安全中的机密性、完整性和可用性。信息系统安全杂志，10(3)。
3. ↑ Pearlman, S. (未注明日期)。什么是数据处理？定义和阶段 - Talend 云集成。检索自 https://www.talend.com/resources/what-is-data-processing/
4. ↑ 快照技术概述。(2006 年 4 月 26 日)。检索自 https://www.ibm.com/developerworks/tivoli/library/t-snaptsm1/index.html
5. ↑ 数据复制 – 备份技术。(未注明日期)。检索自 https://www.delltechnologies.com/en-us/learn/data-protection/data-replication.htm
6. ↑ Schwab, J.，Topping, K. C.，Eadie, C. C.，Deyle, R. E. & Smith, R. A. (1998)。灾后恢复和重建规划（第 483-484 页）。伊利诺伊州芝加哥：美国规划协会。
7. ↑ ^{a b c} Petersen, K. (2018)。GDPR：您需要了解的关于欧盟数据保护法的知识（以及原因）。[电子书] 第 12-16 页。可在以下网址获取：https://www.kmclaw.com/media/article/247_July_Aug_2018_Peterson_Data_Protection.pdf
8. ↑ ^{a b c} Nadeau, M. (2018 年 4 月 23 日)。通用数据保护条例 (GDPR)：保持合规需要了解的内容。检索自 CSO：https://www.csoonline.com/article/3202771/general-data-protection-regulation-gdpr-requirements-deadlines-and-facts.html
9. ↑ ^{a b c} Kharpal, A. (2018 年 5 月 25 日)。关于可能重塑大型美国科技公司的新欧盟数据法律，您需要了解的一切。检索自 CNBC：https://www.cnbc.com/2018/03/30/gdpr-everything-you-need-to-know.html
10. ↑ Bhatia, P. 理解 6 个 GDPR 核心原则。检索自欧盟 GDPR 学院：https://advisera.com/eugdpracademy/knowledgebase/understanding-6-key-gdpr-principles/
11. ↑ 2019 年数据保护：法律法规：美国：ICLG。(未注明日期)。检索自 https://iclg.com/practice-areas/data-protection-laws-and-regulations/usa
12. ↑ Oracle 白皮书。(2018 年 4 月)。Oracle 云基础设施和 GDPR。检索自 Oracle 云：https://cloud.oracle.com/iaas/whitepapers/oci-gdpr.pdf
13. ↑ N. (2018 年 5 月 25 日)。在开展人类研究过程中遵守通用数据保护条例 (GDPR) 的指南。检索自 https://irb.northwestern.edu/sites/irb/files/documents/GDPR+Guidance.pdf
14. ↑ 数据保护法：概述（报告）。(2019 年 3 月 25 日)。检索自 https://fas.org/sgp/crs/misc/R45631.pdf
15. ↑ 美国法律。(2019 年 1 月 28 日)。检索自 https://www.dlapiperdataprotection.com/index.html?c=US&c2=&go-button=GO&t=law
16. ↑ McDaniel, P. & Lipscomb, K. (2018 年 4 月 30 日)。每个州现行的违反数据法；联邦违反数据法悬而未决。检索自 https://www.securityprivacybytes.com/2018/04/data-breach-laws-on-the-books-in-every-state-federal-data-breach-law-hangs-in-the-balance/