信息技术与伦理/隐私与数据保护

在本节中，我们将讨论隐私和数据保护。我们将重点关注一些旨在保护个人在线隐私的法律和政策，特别是关于数据保护的。这是为了应对随着时间推移而出现的众多技术。技术快速发展的问题导致了许多新的途径，不法分子试图获取他人的个人信息。这导致了对数据保护需求的增加。在本节中，我们将讨论隐私的背景以及它为何发生变化。这如何导致了对数据保护的需求？为数据保护开发了哪些技术？为数据保护通过了哪些法律和政策？如前所述，本章主要关注隐私和与数据保护相关的问题。这样，您就可以理解，无论隐私在我们的社会中以何种形式发展，都会不断采取措施来尝试保护个人的隐私及其在网络上的个人信息。

当隐私的概念首次引入我们的社会时，它是以不同的思维方式创造的。它始终被视为一项基本人权，并且始终涵盖了一个人生活中的许多方面。住宅隐私权、财产隐私权、信息隐私权。通常是政府必须保护并确保每个公民在其生活中享有隐私权。虽然澄清起来可能相当困难，因为许多时候关于隐私及其保护主题的文件都含糊不清。具体在美国，第四修正案和第五修正案被用作确定当今侵犯个人隐私行为的主要依据。这是因为宪法中没有明确说明隐私权，有时缺乏文件来帮助澄清隐私，这导致许多人不得不查看他们可以获得的任何文件，并确定这是否被视为个人隐私的一部分。以及受到政府的保护。正如参议员D. Brent Waltz所说：“即使是最普通的美国宪法学术研究者也会注意到，作为一种独立的法律结构的“隐私”概念在我们的建国文件中是缺失的。”（Waltz，2014，第205页）。随着技术的进步和“物联网”的发展，隐私在处理在线信息问题时已成为一个热门话题。^[1]

数据保护可以简单地描述为用于确保个人数据或信息得到保护的措施或技术。具体来说，它旨在保护数据的三个方面，可以通过所谓的CIA三元组来更清晰地阐明。

CIA三元组与CIA（美国中央情报局）无关，而是组织用来关注信息某些方面的模型。它通过确保涵盖几个方面来帮助组织。通过良好地管理这些方面，他们可以创建可靠的网络安全策略和程序来保护这些信息并允许适当的数据保护。CIA代表机密性、完整性和可用性，这些方面允许适当的数据保护。

数据保护试图保护您的信息的机密性。它是限制访问信息和数据的过程。它基本上意味着提供的的信息只能被特定人员查看，并确保任何未经授权的人员都无法查看或访问这些信息。它与隐私相关，因为它回答了谁将使用数据的问题。人们不希望他们的数据被所有人查看或访问。这可能导致其资产或隐私受到损害。为了实现信息的机密性，组织使用政策来教育员工哪些信息可以查看哪些信息不能查看，并使用数据存储和加密等工具来增强信息的安全性。机密性遭到破坏的示例包括数据泄露或互联网上个人信息的披露。

CIA三元组中信息的下一个方面是完整性。它是保护数据的过程，以确保其保持不变并处于接收到的原始状态。这意味着信息不得以任何方式被编辑、修改或删除，除非获得授权。信息完整性在获取、存储或交换信息时都可能面临风险。这可能是由于恶意软件和病毒（如蠕虫、特洛伊木马、逻辑炸弹或引导病毒）的攻击。也可能是由有问题的软件或数据传输时的噪声引起的。为了实现完整性并保持完整性，使用校验和和纠错来验证位或哈希是否发生更改，并查看信息完整性是否丢失。

三元组中信息的最后一个方面是可用性。这意味着始终可以为授权用户提供对信息的访问。为了解释它，就像一栋在门口装有读卡器的大楼。当您扫描您的卡时，您期望能够进入大楼并使用内部的资源。如果读卡器读取了您的卡，但门出现故障而无法打开，则您被拒绝了可用性。这也适用于信息和数据。^[2]

那么数据保护是如何实现上述方面呢？好吧，数据保护通过许多活动来涵盖这一点。^[3]

它是以电子形式收集知识和信息的过程。它是定位、提取、分析和审查数字数据（如图像、文件、电子邮件、网络流量等）的过程。它有助于描绘一幅图景，或者为电子数据取证领域中负责定位重要信息的人员提供指导。

归档是保护信息的过程，特别是将非活动信息保护未知时间或很长时间。信息可以随时提取并进行参考，但目前大多不可用，但仍应受到保护。

备份是创建信息副本的过程。基本上是创建它们的安全的副本，以便如果原始数据被篡改或损坏，可以使用备份副本还原原始数据。

快照是在特定时间记录机器状态的过程。通常对于存储设备而言，拍摄快照是创建数据和信息副本的好方法，类似于备份。数据和信息可以恢复到快照的特定时间。^[4]

复制是数据保护中非常昂贵的一部分，对于灾难恢复过程来说非常必要。它涉及复制和重复数据，然后将其移动到异地位置以进行保护。这更多是为了帮助组织在遭受攻击、自然灾害和其他对他们数据和信息造成重大损害或危害的事件后进行恢复。^[5]

可用性是指确保数据和信息在任何时候都可供任何有权访问的人员访问。确保它不会完全受到限制或无人照料或无人监督。

灾难恢复是指组织确保从灾难中恢复并查看其数据状态的过程。基本上查看可能丢失了哪些机密性、完整性和可用性。这涉及使用上述工具和流程，并尝试找出导致灾难的原因以及如何为将来做好计划，以便在将来再次发生时能够更有效地恢复。^[6]

业务连续性是创建系统和工具以帮助恢复过程并应对未来威胁的过程。基本上是提前计划，保护自己，并确保可以再次解决或避免威胁。

然而，要确保数据保护，不仅仅需要工具和流程。还有许多法规、法律和政策可以帮助并确保适当的数据保护。其中一项被许多人认为是强有力接受的法规是 GDPR。自 1995 年以来，欧洲的数据隐私一直受欧洲议会和理事会 1995 年 10 月 24 日的第 95/46/EC 号指令的监管。^[7]这些法规将涉及保护个人及其数据处理相关的权利，1995 年官方公报 (I. 281)（指令）。^[7]由于技术的快速发展，这些法规被认为是无效的，他们希望为欧盟公民提供更好的保护和权利，并统一数据保护法律。这导致了“通用数据保护条例”（GDPR）的创建，其最终文本于 2016 年获得批准。^[7]GDPR 于 2018 年 5 月 25 日开始实施。

GDPR 的主要目标是让公司对用户数据承担更多责任，并加强用户对其个人数据的控制。它通过包含一些规定来做到这一点，这些规定要求企业保护欧盟公民在欧盟境内发生的每笔交易的个人数据和隐私。GDPR 还规定了将个人数据出口到欧盟以外地区的规定。^[8]这项立法将迫使公司为他们收集的不同类型的数据提供单独的同意表格，以及撤回同意的可能性。它还将阻止公司在未经持有“父母责任”的人同意的情况下收集 16 岁以下儿童的数据。^[9]数据库遭到泄露的公司必须在 72 小时内向受影响者发出通知。^[9]它还将赋予消费者删除公司收集的所有与其相关的数据的能力。GDPR 保护的数据类型包括基本身份信息、网络数据、健康和基因数据、生物识别数据、种族或族裔数据、政治观点和性取向。^[8]GDPR 定义了公司内部负责确保遵守 GDPR 规定的角色。这些角色包括数据控制者、数据处理者和数据保护官 (DPO)。^[8]任何违反 GDPR 规则的公司都将面临最高达其全球年营业额的 4% 或 2000 万欧元罚款，以较高者为准。^[9]

GDPR在第5-11条中规定了所有个人数据应如何处理的原则。^[10] 数据控制者应以合乎道德的方式处理个人数据。六项体现道德数据处理的原则包括：

1. 合法、公平、透明：数据主体的个人信息应以合乎道德、公平且透明的方式处理。在与数据主体相关的情况下，所有流程都应符合法律规定。
2. 目的限制：涉及个人数据的流程应仅限于最初从数据主体收集该数据的目的。
3. 数据最小化：在收集数据时，数据控制者必须确保仅收集与目的相关的必要信息。
4. 准确性：数据主体的个人数据必须准确并保持最新。不准确或过时的数据应删除。
5. 存储限制：收集的个人数据仅在必要时保留。当数据不再用于任何合法目的时，必须将其删除。
6. 完整性和机密性：公司必须采取技术措施来确保个人数据的保护，包括防止未经授权的访问或不合道德的处理，以及防止意外丢失。^[11]

组织应遵循GDPR指南，践行良好的道德规范。根据西北大学的说法，一个人的姓名、电子邮件、电话、地址和社会安全号码都算作用户的个人数据，因为它识别了用户，“实际上，这也包括所有以任何方式分配给个人的数据”。^[12] 由于这些数据被视为个人数据，因此管理它们的政策必须在非常有限的范围内使用这些数据条目。合乎道德的组织应保护这些信息，并且只收集必要的信息。

对于数据处理器而言，数据必须限制在控制器要求的范围内，然后必须迅速删除，以确保用户的信息不能用于除所需目的之外的其他目的。对于数据控制者而言，处理器提供的信息必须根据从问题中得出的结论进行分类以供删除。例如，在Oracle的隐私政策中有一条声明写道：“参与与我们的客户、供应商和业务合作伙伴的交易，以及处理我们产品和服务的购买，将在交易或服务期间保留”。^[13] 未能遵循这些指南不仅是不道德的，还可能导致处罚。

在美国，与数据保护相关的法律非常多样化。他们制定了与不同行业和特定媒介相关的法律，例如，他们对金融公司、电信部门、医疗保健、信用报告、儿童信息收集等制定了不同的法律和法规。此外，美国的50个州都有自己的法律和法规，组织必须遵守。因此，如果有人试图建立一个组织，他们首先必须遵守联邦法律（如果议会通过了该法案），然后是州法律。^[14]

由于美国没有专门针对数据保护或数据泄露的联邦法律，因此所有50个州共同制定了规则和法规。州法律主要侧重于保护数据，组织制定了适当的隐私政策，采取了哪些步骤来保护和保障社会安全号码和驾驶执照号码，以及关于数据泄露的通知时间表。现在，如果我们谈论隐私法，加利福尼亚州位居榜首，它拥有超过25项与数据隐私/保护相关的州法律。最近，该州推出了一项新的法律，即2018年加州消费者隐私法案（CCPA），该法案将于2020年1月1日生效。2018年3月21日，南达科他州签署了一项新法律，该法律适用于在该州开展业务的组织。考虑到拥有最严格的金融行业相关法律的因素，纽约州位居榜首。^[15][16]

尽管美国的隐私法非常复杂且难以理解，但了解并遵守这些规则和法规非常重要。不仅是州政府，州检察长或联邦贸易委员会也有权对组织采取行动。他们也制定了规则和法规。

1. ↑ Waltz, D. B. (2014)。数字时代中的隐私。印第安纳法律评论，48，205。
2. ↑ Samonas, S. & Coss, D. (2014)。中央情报局反击：重新定义安全中的机密性、完整性和可用性。信息系统安全杂志，10（3）。
3. ↑ Pearlman, S. (未注明日期)。什么是数据处理？定义和阶段 - Talend云集成。检索自https://www.talend.com/resources/what-is-data-processing/
4. ↑ 快照技术概述。（2006年4月26日）。检索自https://www.ibm.com/developerworks/tivoli/library/t-snaptsm1/index.html
5. ↑ 数据复制 – 备份技术。（未注明日期）。检索自https://www.delltechnologies.com/en-us/learn/data-protection/data-replication.htm
6. ↑ Schwab, J.，Topping, K. C.，Eadie, C. C.，Deyle, R. E. & Smith, R. A. (1998)。灾后恢复和重建规划（第483-484页）。芝加哥，伊利诺伊州：美国规划协会。
7. ↑ ^{a b c} Petersen, K. (2018)。GDPR：您需要了解的关于欧盟数据保护法的知识（以及原因）。[电子书] 第12-16页。可在以下网址获取：https://www.kmclaw.com/media/article/247_July_Aug_2018_Peterson_Data_Protection.pdf
8. ↑ ^{a b c} Nadeau, M. (2018年4月23日)。通用数据保护条例 (GDPR)：保持合规所需了解的信息。检索自CSO：https://www.csoonline.com/article/3202771/general-data-protection-regulation-gdpr-requirements-deadlines-and-facts.html
9. ↑ ^{a b c} Kharpal, A. (2018年5月25日)。您需要了解的关于可能撼动美国大型科技公司的新欧盟数据法的一切。检索自CNBC：https://www.cnbc.com/2018/03/30/gdpr-everything-you-need-to-know.html
10. ↑ Bhatia, P. 理解6个关键GDPR原则。检索自EU GDPR学院：https://advisera.com/eugdpracademy/knowledgebase/understanding-6-key-gdpr-principles/
11. ↑ 2019年数据保护：法律和法规：美国：ICLG。（未注明日期）。检索自https://iclg.com/practice-areas/data-protection-laws-and-regulations/usa
12. ↑ 论文，O. W. (2018年4月)。Oracle云基础设施和GDPR。检索自Oracle云：https://cloud.oracle.com/iaas/whitepapers/oci-gdpr.pdf

13. ↑ N. (2018年5月25日). 人类研究行为中一般数据保护条例 (GDPR) 合规指南。检索自 https://irb.northwestern.edu/sites/irb/files/documents/GDPR+Guidance.pdf
14. ↑ 数据保护法：概述（报告）。(2019年3月25日). 检索自 https://fas.org/sgp/crs/misc/R45631.pdf
15. ↑ 美国法律。(2019年1月28日). 检索自 https://www.dlapiperdataprotection.com/index.html?c=US&c2=&go-button=GO&t=law
16. ↑ McDaniel, P. & Lipscomb, K. (2018年4月30日). 各州现行的数据泄露法律；联邦数据泄露法律悬而未决。检索自 https://www.securityprivacybytes.com/2018/04/data-breach-laws-on-the-books-in-every-state-federal-data-breach-law-hangs-in-the-balance/