信息技术与伦理/隐私章节：已完成

隐私，是确保对某一实体的某些信息的机密性和访问权受到保护的保证。在信息技术方面，这意味着保护个人/敏感信息，这些信息除个人本身之外，其他人无法访问。一般来说，隐私有很多类型。但与本章最相关的类型是

• 网络隐私 - 与通过互联网在线进行的任何活动相关的隐私。
• 信息隐私 - 专门与个人或公司信息相关的隐私。

以下内容是关于信息技术中隐私的主题的概要。

第一章将深入讨论隐私规则和概念。它将包括隐私立法和指导原则，以及公司如何收集和使用个人数据，以及同意和数据保留标准。- 隐私政策和原则

第二章将重点关注社交网站对隐私的影响。社交媒体已经成为日常生活的一部分，但它也带来各种隐私风险。本节将探讨使用社交网站如何影响隐私，包括数据收集、跟踪以及在使用社交网站时保护隐私的措施。- 隐私与社交网站

第三章将集中讨论物联网 (IoT) 及其对隐私的影响。随着我们家中、工作场所甚至身体上连接的电子设备越来越多，保持隐私变得越来越困难。本节将讨论与物联网相关的各种隐私风险，以及减轻这些风险的方法。- 隐私与物联网

第四章将深入探讨医疗保健中的隐私。医疗保健行业处理敏感的个人数据，隐私违规会造成严重后果。本节将讨论保护个人患者健康信息的重要性，以及监管患者隐私的法律框架。- 隐私与医疗保健

第五章将介绍数据保护及其对隐私的影响。随着产生的个人数据越来越多，保护个人数据免遭未经授权的访问、使用或泄露变得至关重要。本节讨论了为确保数据保护和隐私而采取的各种措施和立法。- 隐私与数据保护

第六章将介绍金融及其对隐私的影响。由于在处理金钱时安全和保障的重要性，在与金融互动时维护隐私至关重要。本节讨论了关于金融和隐私的重要法律和统计数据。- 隐私与金融

第七章将探讨儿童与隐私的关系。随着技术的发展，它变得越来越容易被儿童接触，因此最近更加重视保护儿童及其数据的隐私。本节将深入探讨隐私问题、法律以及儿童隐私的重要性。- 隐私与儿童

什么是隐私政策？

策略可以被认为是在公司、市政当局甚至大学等组织中制定的规则。这些规则本质上是为了规范员工、教职工或学生的行动，符合之前确立的行为准则。策略控制着其员工、教师或学生的行为，使其符合已经确立的道德准则。当谈到策略时，可以将其视为“......从外部强加的声明，必须遵守以避免遭受某种处罚......”。^[1]

隐私政策是一系列旨在保护个人和组织隐私的指南。这些指南通常是关于如何在使用特定技术时保持隐私的说明。^[2]

什么是隐私原则？

隐私原则是定义个人或组织如何看待隐私的基本价值观或理论。这些原则有助于塑造和指导管理个人信息处理的法律、政策和实践。隐私原则可能包括透明度、问责制和同意等。

为了确保隐私政策的有效性，必须以清晰的语言进行传达，并以所有人都能理解的简单语言进行表达。这在工作场所或高等教育等环境中尤其重要，因为个人可能来自不同的背景，并且拥有不同程度的教育和对隐私问题的熟悉程度。使用基本术语并避免技术术语可以使政策更容易获取，并帮助确保每个人都了解自己的权利和义务。此外，隐私政策应该简洁、组织良好且易于浏览，以便个人能够快速找到他们需要的信息，并对其个人数据做出明智的决定。^[2]

政策和原则的适当内容

所有政策中有一些共同的方面，使它们有效，尤其是在工作场所或高等教育环境中。政策应该始终用简单的术语写成，以便大多数人能够理解，这也意味着必须遵循清晰的语言。在制定政策时，会考虑到利益相关者或受影响个人的利益。

政策应该平衡，既不限制个人，也不过于自由和宽泛。它还具有明确定义且易于理解的步骤，在这种情况下，是为维护隐私而采取的步骤。而最重要的方面之一是，受政策影响的个人能够理解它，以便他们能够尽其所能地遵守它。

政府隐私原则

政府隐私原则因国家及其法律框架而异。然而，总的来说，政府隐私原则旨在保护公民由政府机构收集、使用和披露的个人信息。^[3]

以下是一些常见的原则

1. 收集限制：个人信息应仅为与政府机构职能或活动相关的特定目的而收集。
2. 数据质量：个人信息应准确、完整和最新。
3. 目的说明：收集个人信息的目的是什么，应向个人明确说明并使其理解。
4. 使用限制：个人信息应仅用于收集该信息的用途，除非获得个人的同意或法律要求。
5. 安全措施：为了保护个人信息免遭未经授权的访问、披露或滥用，政府机构应实施适当的安全措施。
6. 透明度：政府机构应对其隐私规则和程序保持透明，并使其能够被公众免费获取。
7. 个人参与：个人应有权查看和修改政府实体维护的其个人信息。
8. 问责制：政府机构应对其遵守隐私规则和法规负责，并应能够向公众证明其合规性。

以下是美国联邦贸易委员会制定的隐私政策。

FTC

1998年，美国联邦贸易委员会对互联网普及之前就已经存在的隐私基本原则进行了编纂。该报告名为“网络隐私：致国会的报告”，一开始就写着

“在过去四分之一个世纪里，美国、加拿大和欧洲的政府机构一直在研究实体收集和使用个人信息（其“信息实践”）的方式，以及确保这些实践公平并提供充分隐私保护所需的保障措施。结果是一系列报告、指南和模型代码，这些代码代表了关于公平信息实践的广泛接受的原则。”^[4]

在这份报告中，FTC 为其如何参与执行美国隐私问题奠定了基础。并在此基础上指出了五个隐私保护原则，包括通知/意识、选择/同意、访问/参与、完整性/安全和执行/补救。

   通知/意识

   通知的概念是指了解或意识到正在采取的某些行动。在网络隐私方面，用户会被告知网站如何看待所有权、安全实践和使用条款（例如最终用户许可协议）。这方面的例子包括用户需要点击才能通过的首页，明确说明用户点击后就接受了使用条款。一个常见例子是通知用户网站正在使用 cookie 来跟踪他们的访问。

   网站的隐私声明还将以更规范的语言，提供一种向用户发出隐私通知的方式。FTC 认为，以下所有或部分内容应包含在任何隐私声明中，并确保用户了解他们在提供个人信息时所做的事情。

• 收集数据的实体的标识
• 数据将被用于的用途的标识
• 任何潜在数据接收者的标识
• 收集数据的性质以及如果不明确的话，收集数据的方式（被动地，通过电子监控，或主动地，通过要求消费者提供信息）
• 提供请求的数据是自愿的还是强制性的，以及拒绝提供请求的信息的后果，以及
• 数据收集者为确保日期的机密性、完整性和质量而采取的步骤^[4]

   选择/同意

   该原则的主要目的是让最终用户对其个人数据的使用拥有管辖权。FTC 主要希望关注数据的二次使用，即“超出完成预期交易所需的用途”。^[4] 有两种方法已成为处理选择/同意的普遍方式，即选择加入或选择退出。选择加入是指用户明确允许特定使用其数据。而选择退出是指用户明确拒绝使用其数据。两者之间的区别在于默认选项，选择加入用户默认允许使用其数据，而选择退出默认拒绝使用用户的资料做任何超出初始交易范围的事情。

访问/参与

   第三项原则涉及让人们知道公司是否拥有有关他们的信息，并允许他们对信息准确性提出异议。根据 FTC 的说法，“......访问必须包括及时且廉价地访问数据......”。^[4] 这意味着用户能够快速且廉价地提交更改。这些更改的机制也必须简单，公司能够验证提交的信息，并且能够将更正后的信息传播给所有数据接收者。

  完整性/安全

   该原则与访问/参与原则密切相关，其中该原则的目标是确保数据准确且安全。该原则将责任放在数据收集者身上，要求他们采取适当的措施。例如，向消费者提供适当的数据访问权限，使用信誉良好的数据源，调查数据来源，以及相关技术措施来保护数据一旦在其手中。FTC 包含的一些技术措施包括

• 在数据传输和存储中使用加密
• 通过使用密码限制访问
• 数据存储在安全的服务器或计算机上，这些服务器或计算机无法通过调制解调器访问

   执行/补救

   最终的隐私原则指出，“......只有当存在执行机制时，隐私保护的核心原则才能有效。”^[4] 这实际上意味着，为了使任何这些国家隐私原则有效，必须存在适当的机制来执行它们。在没有执行或补救机制的情况下，外部力量将占主导地位，例如行业自我监管、政府立法，甚至通过民事和刑事制裁引发的监管方案。

在社交媒体时代，我们的个人信息比以往更容易受到侵犯。随着社交网络服务的普及，隐私已成为消费者关注的首要问题。虽然这些网站为用户提供了与众多受众分享私人信息的可能性，但也使他们面临着身份盗窃、网络欺凌和其他网络危险的风险。在这种情况下，社交网站上的隐私问题已成为关键问题。本简介的目的是讨论用户在社交网站上维护其用户隐私时所面临的困难。

社交媒体指的是旨在让人们快速、高效地实时分享内容的网站和应用程序。也可以说社交媒体是智能手机或平板电脑上的应用程序，但事实上，这个通信平台起源于电脑使用互联网。它最初只是加入一些群组，后来发展为在线聊天室，再到人们用来分享视频、图片和想法、营销、约会以及影响他人的功能齐全的网站和应用程序。

那么，社交媒体和社交网络有什么区别呢？社交媒体指的是人们在线发布的内容，比如博客、幻灯片、播客等等。而社交网站则是人们建立关系、社区、粉丝等的中介。此外，也可以说社交网络只是社交媒体的一个子集。^[5]

回顾一下历史可以帮助我们更全面地理解社交媒体是如何变得如此重要的。追溯到 1978 年，BBS 诞生了，它是一个通过拨号模型访问的公告板系统，主要用于有特定兴趣的社区。紧随其后的是 CompuServe，它流行起来，人们可以在上面分享文件，了解最新消息和其他事件。他们可以通过电子邮件进行互动。1994 年，AOL 和 Yahoo Groups 成为了第一个社交网站，人们可以在上面加入社区，成员拥有个人资料。快进到 2002 年，Friendster 出现了，它鼓励人们与有共同兴趣的人建立联系。同年，LinkedIn 推出，旨在进行职业社交，但直到 2010 年才获得很大发展。^[6]

2003 年，Myspace 诞生，年轻人可以在上面看到彼此的活动，只要他们彼此相连。2004 年，Facebook 出现了，它改变了游戏规则，它将人们与他们的朋友联系起来，并拥有许多其他功能，包括发布视频、图片和内容分享，让朋友们以及那些可以在线搜索到你的人看到。2005 年，YouTube 诞生了，它是一个专门的视频上传和分享平台，至今仍是第一名。2006 年，Twitter 诞生，它通过评论和发布推文的形式限制了互动。Instagram 在 2010 年首次亮相，专注于成为唯一的图片分享/编辑应用程序，然后是 2011 年的 Snapchat，它允许用户与朋友分享瞬间。^[7]

正如大家所见，社交媒体就是这样开始获得动力的，不同的网站/应用程序在他们的平台上提供独特的功能，这使得每个年轻人/普通大众都必须成为其中的一部分，才能跟上时代，尽可能多地与每个人保持联系。如今最受欢迎的社交网站是 Facebook、Messenger、Instagram、Snapchat、Twitter、WhatsApp 和 TikTok。^[8]

话虽如此，社交网络的出现也带来了各种各样的问题，其中最大的问题是隐私。但很长一段时间，很少有人真正意识到隐私。事实上，由于它很新，年轻一代以及那些与很多熟人和新朋友建立联系的老年人，并没有意识到他们在很多社交网络平台上的对话也可能会被其他人看到。这只是社交网络平台算法的构建方式，它允许网络外的人看到内容，并关注/跟踪其他人，包括一个人在该特定社交网站上的活动。

根据 2014 年的一项调查，91% 的美国人“同意”或“强烈同意”“人们感觉他们失去了对所有机构如何收集和使用个人信息的控制权”。80% 的社交媒体用户表示，他们对广告商和组织能够使用在社交媒体平台上发布的数据感到不安，64% 的人认为政府应该在数据处理方面更加积极主动，因为这些数据正在被营销人员使用。^[9]

尽管一直在努力解决隐私问题，但社交网站仍然令人担忧。2018 年，一家名为剑桥分析的政治咨询公司非法窃取了数百万 Facebook 用户的数据，这起事件对 Facebook 产生了重大影响。随着技术的进步，预计将出现新的方法来保护用户隐私并确保他们的个人数据在网上得到保护。总的来说，社交网站在我们的生活中继续扮演着重要角色，但使用它们时，隐私保护仍然是首要任务。

在一项独立研究中，CPO 杂志发现，隐私不可能完全实现，因为朋友总是会很可能将用户的信息分享给网络外的其他人。还有一个关于个人隐私选择的概念，它完全取决于个人想要与世界分享多少信息。^[10] 考虑到以上说法，个人隐私的倡导者会说，一个人不可能完全隐藏信息。因此，最好完全不要将其发布到网上。有些人不同意这种观点，他们说，如果人们在社交媒体上分享个人信息，就不应该指望隐私成为一个重要因素，因为他们是在自愿地这样做，并将其留给朋友以及那些想要查看他们信息的人。

在当今的数字环境中，与社交媒体相关的隐私问题是一个大问题。以下是一些例子

这些设置的构建方式是，如果用户不够警惕，他们最终可能会无意间将他们的个人数据以及他们的活动分享给公司和其他第三方，这些公司和第三方始终在努力改进他们自己的网站可访问性和营销。

启用用户的 GPS 位置，从手机中获取数据，这“可以用来构建你日常活动的照片。位置数据可以与其他数据结合并聚合，以创建一个人生活和习惯的非常具体的画面”。^[11] 这也会鼓励跟踪，并且除了侵犯隐私外，还可以用于其他恶意目的。

黑客行为会导致盗取用户的身份，并且如果在线发布错误信息并且从他们的账户中实施了各种恶意行为，也会损害一个人在朋友和粉丝面前的名誉和形象，其中包括窃取信用卡号码、银行账户号码和登录密码。

创建虚假资料，试图勾引年轻的青少年，并引诱他们进行身体虐待或情感勒索，无论是他们之间还是他们认识的人，都可以无限制地持续下去，直到被举报。特别是如果亲密照片/视频/音频被犯罪者泄露到网上。

不仅可以跟踪位置，如果潜在的跟踪者在手机上启用了该功能，他们也可以随时关注目标的动向。这有助于潜伏者根据目标的在线活动来判断和试图了解这个人，然后可能相应地计划自己的行动，以伤害他们的目标或绑架他们，或者更糟。

人们可能在社交媒体平台上被匿名欺凌和骚扰。 这可能会对一个人的心理健康和整体福祉产生负面影响。

深度伪造技术允许创建虚假图片和视频，这些图片和视频可用于传播宣传和虚假信息。

社交媒体网络收集大量用户数据，这些数据通常用于营销和广告。 用户可能不知道他们的数据是如何被使用的，这引发了围绕此数据收集的隐私问题。

社交媒体平台可能会将用户信息透露给外部开发者、营销人员和其他企业，这引发了有关这些信息如何被使用的疑问。

在接下来的段落中，我们将探讨 Facebook 和其他公司如何利用不存在的隐私法律，以及为什么因此制定了新规则。 在某种程度上，它们确实带来了与时俱进的变化，也暴露了最初需要制定严格的政策和法律。

这首先始于 2006 年^[12]，当时关于 Facebook 新闻提要功能的网络网站有很多争议，而由此产生的担忧是，这助长了跟踪行为，并且侵犯了隐私。 用户当时对他们共享的信息几乎没有控制权，包括用户个人资料的更改和其他与他们相关的信息。 当扎克伯格为新闻提要引入了隐私功能并为没有在隐私方面考虑用户意见道歉时，这种情况得到解决。 同样，三年后，Facebook 当时是主要的社交网络网站，他们连续引入了一系列变化，因此不断针对用户的隐私。

其他一些主要事件包括

2007 年至 2009 年 - Facebook 推出了“Beacon”，它允许其用户在第三方网站购物时将其购买信息广播到其朋友的账户。 Facebook 收到此第三方信息并共享，除非用户在第三方网站的简短弹出窗口期间选择退出。 这遭到了很多反对，一些组织比如 MoveOn.org 要求 Facebook 允许明确选择退出共享此信息。 后来，他们确实修改了 Beacon 的隐私功能，赋予用户有限的选择加入权限。 接近 2008 年末，Facebook 推出了“社交广告”，允许“营销人员创建 Facebook 个人资料并购买针对其他用户个人资料信息的广告。 此外，在用户以某种方式与营销人员互动后，该用户的姓名和图片将被显示给其朋友，以推广产品”。 欧洲专家组发布了关于如何维护用户隐私以及如何处理与他们相关的信息的指导意见。“主题包括敏感数据和图像的处理、广告和直效营销以及数据保留”。^[12] Facebook 宣布更改用户隐私设置，但没有解决用户数据通过定向广告与第三方共享的问题。 加拿大隐私专员也建议 Facebook 应该改进其隐私政策。^[12]

2010 年至 2012 年 - Twitter 加入 Gmail 和 Facebook，默认情况下对所有用户使用“https”功能，以保护数据和隐私。 Facebook 时间线再次更改了其用户隐私设置，改为“发布存档的用户资料信息，使旧帖子在 Facebook 当前降级的隐私设置下可用”。^[12] 它还发现 DHS 正在使用 Facebook 和 Twitter 进行秘密社交网络监控计划。 马里兰州通过了禁止雇主要求 Facebook 信息的法案，加州和伊利诺伊州也随之效仿。 Myspace 被发现参与欺骗性行为，并不得不支付和解金，因为他们违反了承诺保护个人信息的承诺，将个人信息泄露给了第三方。 Facebook 还收购了 Face.com，这引发了人们对个人生物特征数据的隐私担忧。 接近 2012 年末，Facebook 更新了其隐私控制，并从个人资料中删除了个人资料保护功能。 Instagram 也在那个时期发布了其在隐私政策方面的变化，这引发了一些法律问题。^[12]

2013 年至 2015 年 - Snapchat 受到调查，因为尽管声称用户可以永远删除他们的视频和图片，但他们仍在收集 PII，WhatsApp 也受到质疑，并因 Facebook 收购该公司而引发的投诉。 Facebook 在更改政策后开始在未经同意的情况下跟踪用户的网络活动。^[12]

2018 年 - Facebook 剑桥分析丑闻成为头条新闻。 剑桥分析公司在未经同意的情况下侵入数百万人的 Facebook 个人资料的个人数据，并将其用于政治广告。 Facebook 因此受到了很多批评，Facebook 不得不重新考虑其隐私政策，以维持公司运营并留住消费者。^[13]

为了解决隐私问题，已经进行了很多改革，包括引入法律来改变社交网络平台如何维护隐私政策以留住客户。 以下是与社交网络相关的法律：

1. 1974 年隐私法 -“任何机构不得通过任何通信方式向任何人或其他机构披露系统记录中包含的任何记录，除非根据与该记录相关联的个人书面请求或经其事先书面同意”，它还取决于 12 个例外情况。^[14] 这基本上意味着当时的公司实际上没有责任让他们的消费者/任何其他机构知道他们的个人信息是如何被使用的，除非有书面请求或该人的书面同意，以披露相同的信息，但某些情况下除外。 其中一些包括根据法院命令向政府机构提供此信息，如果认为对个人、执法机构、债务催收机构、统计研究、信息自由法很重要，以维护健康或安全，仅举几例。 这些例外在后来确实成为 Facebook、Snapchat、Twitter 等公司可以绕过并仍然使用其用户个人资料来定向广告并将数据出售给第三方机构，以及成为跟踪、虐待、社交分析和各种其他非法行为目标的点。
2. 雇员和学生隐私保护法 - 这阻止了对雇员和学生具有特殊权力，从而对雇员和学生提出此类要求的雇主和教育机构。 它允许雇员和学生保护其个人在线账户的隐私。 它得到了统一法律委员会的批准，但尚未被几个州的教育机构以及尚未采用该法案的几个州的一些雇主采用。^[15]
3. GDPR - 通用数据保护条例于 2016 年 4 月提出，并于 2018 年 5 月正式实施。该条例要求企业加强对用户数据的保护，并使用户更容易了解哪些数据被收集以及用于什么目的。违反 GDPR 的企业可能会被处以高达其全球收入的 4% 或 2000 万欧元的巨额罚款。此外，由于企业从全球各地收集数据，而 GDPR 适用于欧盟公民，因此企业必须为所有用户制定符合 GDPR 规则的隐私政策。这对消费者来说是一个胜利，因为他们的个人数据将受到保护，拥有更多隐私，并且如果他们的个人信息遭到泄露，他们将被告知。^[16] 更多关于 GDPR 的信息可以在本章的隐私和数据保护部分找到。
4. CCPA - 加州消费者隐私法于 2020 年 1 月 1 日生效。该法律旨在限制企业收集个人信息，如生日、电话号码、电子邮件地址和其他数据。像 Facebook、LinkedIn、Twitter、Instagram、Snapchat 等社交媒体巨头必须遵守该法律，并相应地更新他们的隐私政策，告知他们在加州的消费者其信息的使用情况，并允许他们选择退出将信息共享给第三方网络。^[17] 关于 CCPA 的更多内容也在本章的隐私和数据保护部分提及。
5. COPPA - 美国儿童在线隐私保护法 (COPPA) 规定了从 13 岁以下儿童收集个人数据的规则。在收集未成年人的数据之前，企业必须获得父母的同意。^[18]
6. LGPD - 巴西的一项名为 Lei Geral de Proteção de Dados (LGPD) 的法律规定了个人数据的收集、使用和处理。它赋予人们访问和删除其数据的权利，并要求企业在收集或处理个人数据之前获得授权。^[19]
7. PIPEDA - 加拿大的一项名为《个人信息保护和电子文件法》(PIPEDA) 的法律规定了私人部门如何收集、使用和披露个人信息。它保证人们有权访问和更新其个人信息，并要求企业在收集个人信息之前获得同意。^[20]
8. HIPAA - 美国的一项名为《健康保险流通与责任法案》(HIPAA) 的法律规定了个人健康信息的用途和共享方式。患者有权访问和管理其健康信息，医疗保健从业人员和机构必须采取措施保护患者隐私。^[21]
9. ECPA - 美国的一项名为《电子通讯隐私法》(ECPA) 的法律规定了拦截和共享电子通讯的规则。政府机构必须在获取电子通讯（如电子邮件和短信）之前获得搜查令。^[22]
10. 隐私盾 - 根据欧盟-美国隐私盾协议，个人数据可以从欧盟转移到美国。它赋予欧盟居民访问和更新其个人数据的权利，并对美国企业实施严格的数据保护规则。

以下措施可以帮助您在使用社交网络时保持隐私

1. 阅读隐私政策：仔细阅读和理解您使用的社交网络的隐私政策。了解他们如何处理、共享和收集您的个人数据。
2. 调整您的隐私设置：大多数社交网络允许您调整隐私设置，以控制谁可以看到您的信息和活动。定期检查这些设置，并根据您的舒适程度进行调整，确保它们没有在您不知情的情况下更改。
3. 使用双因素身份验证：双因素身份验证通过在密码之外要求额外的身份验证形式（例如短信或身份验证应用程序）来增加一层保护。
4. 注意您分享的内容：在社交网络上发布私人信息、图片或视频之前，请三思而后行。考虑您的帖子的受众以及您的数据可能被用于什么目的。
5. 关注您的帐户：定期检查您的社交网络帐户是否有任何可疑活动或您的信息或设置更新。
6. 保持最新：关注有关隐私和社交网络的新闻和发展，以保持了解。考虑阅读可靠的新闻来源，并参加有关隐私和安全的研讨会或网络研讨会。

总而言之，保持对隐私问题和社交网络的意识需要您积极主动，并承诺定期审查和调整您的设置和行为。

总之，自社交网络出现以来，隐私一直是一个重大问题。尽管这些平台已采取措施缓解这些担忧，包括实施隐私措施和用户许可要求，但数据收集、第三方访问、网络欺凌和深度伪造技术仍然存在问题。为了缓解这些担忧，许多国家已经制定了不同的规则和法规来保护用户在线隐私。由于社交网络在我们的生活中扮演着越来越重要的角色，用户需要意识到这些隐私问题，并采取措施保护他们的个人信息安全。

“物联网”一词是指通过广泛部署具有嵌入式标识、传感和/或执行能力的空间分布式设备，将互联网和网络在物理上扩展到各个方面。物联网系统的规模庞大，异质性程度高，很可能加剧当前互联网的安全风险，而当前互联网正被用于支持人、机器和机器人之间的交互，无论组合方式如何。^[23]

在本节中，我们将介绍物联网及其与隐私相关的挑战，以及一些最常见的问题，并提供相应的示例。我们还将讨论物联网如何成为用户安全和隐私责任的情况。如前所述，本章主要关注物联网的隐私问题，因此您可能会注意到，我们强调

物联网系统可以被视为一群协同工作的智能设备，共同实现一个目标。在技术层面上，物联网系统根据其目标可能使用不同的处理和通信架构、技术和设计方法。由于其计算能力有限，传统的安全措施和隐私保护措施无法有效地应用于物联网技术；此外，大量联网设备也带来了扩展方面的挑战。与此同时，为了获得用户的完全信任，必须定义适用于物联网应用的有效安全、隐私和信任模型。由于设备可能处理敏感信息，因此在隐私法规方面，必须确保数据保护和用户信息保密。

个人对信息隐私的理解和认知各不相同，其执行需要政府和技术的共同努力。在物联网系统中，数据通常由终端设备收集，通过通信网络传输，由本地/远程服务器处理，最后提供给各种应用。^[24] 因此，必须在体系结构堆栈的各个阶段保护机密数据。在这种情况下，根据数据生命周期中各层的功能实施适当的隐私设计策略至关重要。否则，在特定层实施的技术可能会变得不足或冗余。^[25]

物联网技术与其与现实世界的紧密联系意味着它应该被设计为安全且保护隐私的。这意味着安全应被视为系统级的重要属性，并在设计物联网解决方案的架构和流程时加以考虑。隐私规定了可以访问与特定用户相关的数据的条件。隐私成为物联网核心需求的关键原因是物联网应用领域和所部署的技术。医疗保健应用是最突出的应用领域，物联网技术的采用受到缺乏可接受的个人和/或敏感信息隐私保护系统的阻碍。这预计将成为确保用户接受度和广泛采用的关键先决条件。如果没有系统级保密性、真实性和隐私的保证，关键利益相关者不太可能大规模采用物联网解决方案。

无线媒体在数据交换中的广泛应用可能会引发对隐私侵犯的新担忧。由于其远程访问功能，无线信道增加了违规的风险，可能会使系统暴露于窃听和欺诈攻击。因此，隐私是一个严重的开放性问题，可能会阻碍物联网的发展。为物联网应用构建隐私保护机制的现实方法的开发仍然面临着各种挑战。定义一个能够表示所有物联网基本项目及其交互的通用模型将有助于具体实现的开发。此外，实现应包含能够处理物联网场景的容量和动态性的执行机制。为了满足这些需求，应提供能够执行动态数据流访问控制的系统。

在未经用户同意的情况下收集和共享个人数据是物联网最严重的隐私问题之一。许多物联网设备收集大量数据，这些数据可能会揭示有关个人兴趣、生活方式和习惯的敏感信息。智能恒温器、门锁和安全摄像头等智能家居设备可以监控人们的日常活动、睡眠模式以及进出家门的次数。

另一个问题是，物联网设备收集和存储敏感数据，这会导致漏洞和隐私风险。例如，如果智能家居设备遭到入侵，黑客可能会访问智能家居中的所有东西，包括智能手机、电视、摄像头和其他智能设备。

用户对其数据的缺乏控制是物联网最严重的隐私问题之一。设备可以在用户不知情或无法控制的情况下收集和发送数据，以及无法控制收集或传输哪些数据。例如，智能家居和健身追踪器会收集用户日常活动的数据，并将这些数据传输给第三方公司，而无需用户的知情或同意。

物联网设备创建的大量数据通常在未经用户同意的情况下与第三方共享，这会引发严重的隐私问题以及数据泄露、身份盗窃和其他隐私侵犯的风险。例如，在 2019 年，研究人员发现亚马逊的 Ring 门铃（一种物联网设备）在未经用户知情的情况下与第三方分析公司共享客户的个人信息。

大多数消费者都知道可能会在他们激活时感染其手机的网络钓鱼电子邮件和链接，但很少有人担心他们的电视。自从中央情报局在 2014 年向他们的工程师提供了包括对三星 F 系列智能电视攻击的文档以来，智能电视已被证明是可以黑客入侵的。根据中央情报局的文档，确切的漏洞需要一个人能够访问智能电视以连接到 USB 驱动器并转储存储在电视中的信息，以及下载包含键盘记录器、视觉控制和音频控制的恶意程序。之前提到的恶意软件的功能可以用来成功地监视个人；毕竟，电视屏幕是大多数家庭中最大屏幕和摄像机视图。

几年后，在 Defcon27 上，一位名叫 Pedro Cabrera 的独立安全研究人员展示了如何使用更复杂的技术入侵智能电视。Cabrera 使用配备了天线和笔记本电脑的无人机劫持了电视网络提供商的信号，导致智能电视播送 Cabrera 想要播放的任何内容。Cabrera 声称，只要他无人机天线的信号强于网络提供商的信号，他就可以劫持信号并获得目标智能电视的访问权限。将无人机放在电视附近，无论是在屋顶上还是在窗户附近，都是提高无人机天线信号的简便方法。随着无人机越来越靠近目标房屋，无人机天线的信号强度会增加。^[26]

此外，近年来，许多用户已经意识到，大多数设备和组织都不会通过电话或电子邮件请求密码。但是，由于大多数人购买智能电视是为了提高质量而不是先进的技术功能，他们并不知道电视与手机和电脑一样，也需要小心保管^[27]。Cabrera 在 Defcon27 上演示了另一个解决这个问题的黑客攻击，他展示了如何让一个弹出窗口出现在电视上，要求用户重新输入 WIFI 凭据，因为服务提供商进行了更新。由于提要停止，并且用户无法继续观看，除非他们提交黑客要求的信息，这使得这个弹出窗口看起来很真实。

为了确保物联网服务的真正扩展，必须遵守适当的安全和保护规范。物联网存在各种安全和信息保证挑战。物联网设备数据收集、数据安全、缺乏用户控制以及第三方共享问题对个人隐私权构成严重威胁。政策制定者、组织和购买者应解决这些问题，以确保以尊重个人隐私和自主权的方式制造和使用物联网设备。只有认真考虑物联网的隐私影响，我们才能充分实现这项技术的变革承诺，同时保护基本人权。^[28]

在美国医疗保健体系中，通常使用三个重要理念来保证医疗保健数据的安全：保密、保护和安全。但是，所有这些理念都具有不同的关键意义和独特作用。医疗记录中最重要的是隐私。医疗记录包含有关患者病史到其数据的详细资料。^[29]

保护患者的医疗保健数据是患者及其家人、医疗保险公司和专家最迫切的需求。政府法律要求大量人员和协会能够处理医疗保健数据，并且还可以提供安全保障，确保患者医疗保健数据的隐私，无论这些数据是保存在纸质记录中还是电子记录中。

在美国，当涉及医疗记录安全时，最常听到的是“HIPAA”，即“1996 年健康保险流通与责任法案”。该法案是在互联网开始在日常生活中发挥越来越重要作用的时候通过的。该法案旨在使医疗记录从纸质记录转移到电子数据。^[30] HIPAA 负责医疗保健数据的隐私、安全和泄露通知。隐私规则赋予有关医疗保健数据的权利，该规则由卫生与公众服务部 (HHS) 制定，旨在保护个人健康信息的机密性。HIPAA 还允许患者限制其医疗保健数据的用途，而安全规则赋予患者选择和了解如何通过权威、专业和物理保护来确保其医疗记录安全的自由。患者必须同意通过合同披露个人健康信息。患者可能根据其州的法律享有额外的保险和医疗记录权利。还有一些联邦法律保护医疗记录。^[31]

医疗保健研究和安全保障都为社会带来了重大的优势。医疗研究对于改善人类健康和医疗服务至关重要。保护参与研究的患者并维护他们的权利是一项基本道德义务。确保个人隐私的必要合法性是确保人们愿意为研究提供其数据的利益。患者必须提供其医疗数据以供进一步研究；这可以极大地加快研究进程，并且对社会非常有利。同时，临床研究可以使人们受益；例如，它鼓励获得新的治疗方法、改进的诊断方法以及更有效的方法来预防疾病。^[32]

没有医疗隐私，病人可能会避免必要的医疗保健，医生可能不会将重要信息输入病人的记录。医疗记录包含关于每个人的敏感信息，这些信息可能被用来对一个人的生活产生负面影响。这包括生育、堕胎、物质/身体虐待、性病等。获取此类信息会损害一个人的声誉，从而对他们的生活造成持久的影响。我们的医疗记录还包含一些普通内容，如身高、体重或是否曾经骨折。医生需要访问我们的完整医疗记录才能做出准确的诊断。没有准确的诊断，病人可能要支付昂贵的、不必要的治疗费用，或者被错误地诊断为疾病。^[33]

在社会保险中，保护以病人为中心的收集到的数据是一个基本信念。保护不同的结构是信任的关键。增强隐私包括各个方面，包括个人空间（物理安全）、个人信息（信息保护）、个人决定，包括社会和严格的隶属关系（决定性保护）以及个人与亲属和不同内衣的联系（联谊安全）。

医生必须努力在所有环境中确保隐私保护，并应

• (a) 最小化外部人员对医疗记录的干扰。
• (b) 如果发生侵犯，无论直接或间接影响患者，都要告知患者。
• (c) 注意到，某些患者可能对这些领域的安全有特殊担忧。 ^[34]

保护医疗信息可以分解成三个概念

• 隐私：保护个人隐私至关重要，患者有权对其医疗记录保密。 ^[35]
• 保密性：根据协议，对个人健康信息进行选择性控制，与护理提供者或监护人共享信息，该协议限制了可以发布的信息。 ^[33]
• 安全：有助于维护信息访问的完整性和可用性的政策和原则。

• 确保系统

由于黑客拥有各种技术可以侵入医疗服务机构的网络，医疗保健 IT 部门需要使用多种设备来尝试阻止黑客。在很多情况下，大多数公司在边缘安全方面投入了大量资金，例如防火墙和防病毒软件，而专家警告说，他们也应该采用可以限制攻击发生时造成的损害的技术。

• 培训员工的安全意识

无论出于什么恶意，员工由于疏忽大意而导致数据泄露的情况很多。因此，所有 IT 安全程序都依赖于员工培训，包括培训员工了解哪些行为构成 HIPAA 违规，哪些行为不构成 HIPAA 违规。员工应该接受关于网络钓鱼、社会工程和针对员工的其他攻击的培训，并且应该选择非常非常强壮的密码。

• 保护远程系统
  

大多数医疗机构越来越多地依靠远程操作系统来运营他们的办公室。然而，不幸的是，这些远程系统通常会给安全带来许多漏洞。例如，可以通过侵入这些系统来窃取信息，尤其是在机构依赖过时的技术的情况下，例如，如果医疗机构使用非常“有线等效隐私 (WEP) 安全标准”。对于黑客来说，侵入这些系统将轻而易举。

• 删除无用的信息

一个机构保存的信息越多，黑客可窃取的信息就越多。医疗机构应该删除冗余数据，这些数据现在已经不再需要或有用。此外，定期审查无用的数据会消耗更多能量和资源，因此机构可以了解存储了什么数据，并能够识别可以删除哪些数据。

• 改进物理安全控制

即使电子健康记录变得越来越普遍，医疗机构仍然可能保留大量敏感信息的纸质文档。因此，供应商必须确保门窗和文件柜被锁和安全，并使用摄像头和其他物理安全控制措施。此外，机构应该通过锁定服务器机房并使用电缆锁或其他设备来确保 IT 硬件的安全，使 PC 和工作站固定在办公家具上。

• 事件响应计划

做好最坏打算至关重要；机构几乎不可能完全阻止所有可能的 IT 安全事件。这就是制定应急计划以应对事件发生时至关重要的原因。 ^[36]

从以上部分可以清楚地看出，大多数人希望保护自己的信息；他们中的大多数人希望过一种非常私密的生活。除此之外，医疗机构发生了大量的数据泄露事件，导致患者向医生隐瞒敏感信息；因此，他们无法得到针对疾病的有效治疗。因此，保护医疗信息不仅仅是为了保护信息免遭黑客攻击。保持医疗信息的秘密可以鼓励患者提供有关其医疗状况的详细信息。保护健康信息还可以帮助患者站出来，为进一步研究提供他们的医疗记录，从而提高医院的护理标准。通过采用本文提供的建议，可以阻止许多数据泄露攻击成功。患者希望提供他们的医疗信息，但由于缺乏隐私，他们没有这样做。如果医疗机构能够实现高水平的隐私，这将对全人类大有裨益。

在本节中，我们将讨论隐私和数据保护。我们将重点介绍一些通过的法律和政策，以保护个人在线隐私，特别是关于数据保护的隐私。这是对随着时间推移而出现的许多技术的回应。技术的快速发展带来了许多新的途径，让那些试图获取他人个人信息的不法分子有机可乘。这导致了对数据保护需求的增加。在本节中，我们将讨论隐私的背景以及它为何发生变化。这是如何导致对数据保护的需求的？为数据保护而开发了哪些技术？为数据保护通过了哪些法律和政策？如前所述，本章主要侧重于隐私以及与数据保护有关的问题。这样你就可以理解，无论我们的社会中的隐私以多少种形式发展，都会不断采取措施来保护个人在网络上的隐私和个人信息。

当隐私的概念首次被引入我们的社会时，它是在不同的思维方式下产生的。它一直被认为是一项基本人权，并且一直涵盖着一个人生活的许多方面。住宅隐私权、财产隐私权、信息隐私权。通常是政府必须保护并确保每个公民在其生活中享有隐私权。然而，界定起来可能相当困难，因为许多关于隐私及其保护主题的文档都很模糊。尤其是在美国，宪法第四修正案和第五修正案被用作确定当今侵犯个人隐私行为的主要来源。这是因为隐私权在宪法中没有明确说明，有时缺乏文件来帮助阐明隐私，这导致许多人不得不查看他们可以找到的任何文件并决定这些文件是否被认为是个人隐私的一部分。以及得到政府的保护。正如参议员 D. Brent Waltz 所说：“即使是最不专业的美国宪法学研究者也会注意到，‘隐私’作为一个独立的法律概念在我们建国文件中是缺失的。”（Waltz，2014，p. 205）。随着科技的发展和“物联网”的出现，隐私在处理在线信息问题时已成为一个热门话题。 ^[37]

数据保护可以简单地描述为用于确保个人数据或信息得到保护的措施或技术。具体而言，它的目标是保护数据的三个方面，这可以通过所谓的 CIA 三元组来进一步阐明。

C.I.A 三元组与中情局 (CIA) 无关，而是一个用于组织审视信息某些方面的模型。它通过确保覆盖多个方面来帮助组织。通过有效地管理这些方面，组织可以制定可靠的网络安全政策和程序，以保护信息并允许适当的数据保护。C.I.A 代表机密性 (Confidentiality)、完整性 (Integrity) 和可用性 (Availability)，这些方面允许适当的数据保护。

数据保护试图保护您的信息的机密性。它是限制访问信息和数据的过程。它基本上意味着提供的信息只能被特定的人看到，并确保任何未经授权的人不能查看或访问信息。它与隐私相关，因为它回答了谁将使用数据的问题。人们不希望他们的数据被所有人看到或访问。这会导致他们的资产或隐私受到损害。为了实现信息的机密性，组织使用政策来教育员工哪些信息可以查看，哪些信息不能查看，并使用数据存储和加密等工具来增加信息的安全。机密性遭到破坏的示例包括数据泄露或互联网上个人信息的公开。

C.I.A 三元组中信息的下一个方面是完整性。它是保护数据的过程，以确保数据保持不变，并保持接收时的原始状态。这意味着信息不得以任何方式进行编辑、修改或删除，除非获得授权。信息完整性在获取、存储或交换信息时都可能面临风险。这可能是由于来自恶意软件和病毒（例如蠕虫、木马、逻辑炸弹或引导病毒）的攻击。这也可能由错误的软件或数据传输时的噪声引起。为了实现完整性并保持完整性，使用校验和和纠错来验证位或哈希值是否发生改变，并查看信息完整性是否丢失。

三元组中信息的最后一个方面是可用性。这意味着始终可以随时向获得授权的人提供访问信息的权限。为了解释它，就像一座带有门禁卡阅读器的大楼。当您刷卡时，您希望能够进入大楼并使用里面的资源。如果阅读器读到了您的卡片，但门故障且打不开，您将被拒绝访问。这同样适用于信息和数据。^[38]

那么数据保护是如何实现上述方面的呢？数据保护通过许多活动来实现。^[39]

它是以电子形式收集知识和信息的过程。它是定位、提取、分析和审查数字数据（如图像、文件、电子邮件、网络流量等）的过程。它有助于描绘一幅图景，或者为负责定位重要信息的电子取证领域的专业人士提供指南。

归档是确保信息安全的过程，特别是将非活动信息安全保存未知时间或很长时间。信息可以随时取出并参考，但目前大多不可用，但仍应受到保护。

备份是创建信息的副本。基本上是创建它们的安全的副本，以便如果原始数据被篡改或损坏，您可以使用备份副本恢复原始数据。

快照是记录机器在特定时间状态的过程。通常对于存储设备，拍摄快照是创建数据和信息副本的良好方法，类似于备份。数据和信息可以恢复到快照的特定时间。^[40]

复制是数据保护中一项非常昂贵的组成部分，对灾难恢复过程至关重要。它涉及复制和重复数据，然后将其迁移到异地位置以进行保护。这更适合组织在遭受攻击、自然灾害和其他造成其数据和信息严重损坏或损害的事件后进行恢复。^[41]

可用性是指确保数据和信息在任何时候都可供任何有权访问它的人使用。确保它不会完全被限制和无人照管或无人监督。

灾难恢复是组织确保从灾难中恢复并查看其数据状态的过程。基本上是查看哪些数据可能丢失了机密性、完整性和可用性。这涉及使用上述工具和流程，并试图找出灾难的原因以及如何规划未来，以便他们能够在灾难再次发生时更有效地恢复。^[42]

业务连续性是创建系统和工具来帮助恢复过程并应对未来威胁的过程。基本上是提前计划，以确保自身安全，并确保可以再次解决或避免威胁。

然而，除了工具和流程外，还有更多措施可以确保数据保护。还有许多法规、法律和政策可以帮助并确保适当的数据保护。其中一项被许多人认为是强力认可的法规是 GDPR。自 1995 年以来，欧洲的数据隐私一直受欧洲议会和理事会 1995 年 10 月 24 日指令 95/46/EC 的监管。^[43] 该法规将关于保护个人在数据处理方面的权利，1995 年 OJ (I. 281)（指令）。^[43] 由于技术的快速发展，这些法规被认为无效，他们希望为欧盟公民提供更好的保护和权利，以及数据保护法律的统一。这导致了“通用数据保护条例”（GDPR）的创建，其最终文本于 2016 年获批。^[43] GDPR 于 2018 年 5 月 25 日开始实施。

GDPR 的主要目标是让公司对用户数据承担更多责任，并加强用户对其个人数据的控制。它通过规定要求企业在欧盟境内发生的每次交易中保护欧盟公民的个人数据和隐私来实现这一目标。GDPR 还规范了个人数据在欧盟境外的出口。^[44]该立法将迫使公司为他们收集的不同类型的数据提供单独的同意表格，以及撤回同意的可行性。它还将阻止公司在未经“负有父母责任”的人同意的情况下收集未满 16 岁儿童的数据。^[45]数据库被泄露的公司必须在 72 小时内向受影响者发布通知。^[45]它还将赋予消费者删除公司收集的所有有关他们数据的权利。GDPR 保护的数据类型包括基本身份信息、网络数据、健康和遗传数据、生物识别数据、种族或民族数据、政治观点以及性取向。^[44]GDPR 定义了公司内部负责确保遵守 GDPR 规定的角色。这些角色包括数据控制者、数据处理者和数据保护官 (DPO)。^[44]任何违反 GDPR 规则的公司都将面临最高罚款，罚款金额为其全球年度营业额的 4% 或 2000 万欧元，取较大者。^[45]

GDPR 在第 (5-11) 条中规定了所有个人数据应如何处理的原则。^[46]数据控制者应以道德的方式处理个人数据。六项体现道德数据处理原则的是

1. 合法、公平、透明：数据主体个人信息应以道德、公平、透明的方式处理。在与数据主体有关的情况下，所有流程都应符合法律规定。
2. 目的限制：涉及个人数据的流程应仅限于从数据主体收集数据的原始目的。
3. 数据最小化：数据控制者在收集数据时必须确保仅收集与目的相关的必要信息。
4. 准确性：数据主体的个人数据必须准确并保持最新。不准确或过时的数据应予以删除。
5. 存储限制：收集的个人数据仅在必要时才应保留。数据在不再需要用于任何合法目的时必须删除。
6. 完整性和机密性：公司必须采取技术措施来确保个人数据的保护，包括防止未经授权的访问或不道德的处理，以及防止意外丢失。^[47]

组织应遵循 GDPR 指南，践行良好的道德规范。根据西北大学的说法，一个人的姓名、电子邮件、电话、地址和社会安全号码都属于用户的个人数据，因为它识别了用户，“实际上，这也包括以任何方式分配或可以分配给个人的所有数据”。^[48]由于这些数据条目被视为个人数据，因此管理它们的政策必须在非常有限的范围内使用这些数据条目。具有道德规范的组织应保护这些信息，并只收集必要的 信息。

对于处理者而言，数据必须限制在控制者要求的范围内，然后必须迅速删除，以确保用户的 信息只能用于必要目的，而不能用于其他目的。对于控制者而言，处理者提供的信息必须根据从问题中得出的结论进行分类，以便删除。例如，在 Oracle 的隐私政策中有一项声明，其中写道：“参与与我们客户、供应商和业务合作伙伴的交易，以及处理我们产品和服务的购买，将被保留在交易或服务期间”。^[49]不遵守这些指南不仅不道德，还会导致处罚。

在美国，与数据保护相关的法律非常多样。它们定义了与不同部门和特定媒介的数据安全相关的法律，例如，它们对金融公司、电信部门、医疗保健、信用报告、儿童信息收集等采用不同的法律和法规。此外，美国 50 个州都有自己的法律和法规，组织必须遵守。因此，如果有人试图建立一个组织，他们首先必须遵守联邦法律（如果该法案已由国会通过），然后遵守州法律。^[50]

由于美国没有专门针对数据保护或数据泄露的联邦法律，因此所有 50 个州共同制定了规则和法规。州法律主要侧重于保护数据、组织制定的适当隐私政策、如何以及采取哪些步骤来保护和维护社会安全号码和驾驶执照号码，以及数据泄露通知的时间线。现在，如果我们谈论隐私法，加州首屈一指，它拥有 25 多项与数据隐私/保护相关的州法律。该州最近出台了一项新法律《2018 年加州消费者隐私法案》（CCPA），该法案将于 2020 年 1 月 1 日生效。2018 年 3 月 21 日，南达科他州签署了一项新法律，该法律适用于在该州开展业务的组织。考虑到拥有最严格的金融相关法律因素，纽约位居榜首。^[51][52]

尽管美国隐私法非常复杂，难以理解，但了解并遵守这些规则和法规至关重要。不仅是州，州检察长或联邦贸易委员会也有权对组织采取行动。他们也制定了规则和法规。

数字交易的隐私变得越来越重要。数据泄露现在是我们数字生活不可避免的一部分，但与其他全球事件不同，许多金融机构会定期收集有关其客户的信息，作为其提供产品或服务的业务的一部分。例如，当您申请贷款时，您会提供您的姓名、电话号码、地址、收入以及有关您的资产的详细信息。随着机构考虑您的申请，它可能会从其他来源收集更多详细信息，例如信用局编制的信用报告。即使您使用金融产品（例如信用卡），您的机构也会记录您购买和借款的金额、您喜欢购物的地方以及您是否按时偿还余额。除了导致更多不必要的垃圾邮件和电话推销电话以及信用卡盗刷外，隐私侵犯和信息共享还可能导致保险或贷款被拒。隐私侵犯还导致昂贵的敲诈勒索、身份盗窃和跟踪。^[53]

在处理金融隐私时，有一些重要的风险因素需要关注。这些是金融隐私领域中可能比其他领域更容易受到攻击或泄露的领域。其中一个领域是私人凭据。这些凭据用于访问金融信息，如银行对账单或账户。根据 Ponemon 2021 年的一项研究，这些详细信息的泄露占泄露事件的 20%。^[54]这是一个非常重要的因素，因为一旦获得这些凭据，安全系统就很难识别它们是伪造的或被误用。因此，保持这些凭据的私密性有助于维护财务和金融机构的隐私。

在财务方面，另一个重要的风险领域是遵守当地、州和/或联邦法律。 通常，数据需要保密，不仅出于道德义务，还出于法律要求。 例如，如果美国的一家医疗机构未能遵守《健康保险流通与责任法案》（HIPAA），他们可能会面临高达 25,000 美元的民事违规罚款，以及高达 50,000 美元的刑事违规罚款，外加监禁。^[54] 在美国，没有全国性的隐私法，因此这些情况将因州而异。 但是，欧盟（EU）的通用数据保护条例（GDPR）确实对违反其隐私法规的行为者处以 2000 万欧元或全球年度总收入的 4%（以较高者为准）的罚款。

每年，在美国都会发生数百万起身份盗窃和欺诈事件。 以下是联邦贸易委员会 (FTC) 消费者哨兵网络从 2018 年到 2022 年的一些统计数据。 这些统计数据显示，近年来身份盗窃和欺诈的报告数量一直在增加，只有在 2022 年的总报告数量有所下降。

2018 年至 2022 年美国身份盗窃和欺诈报告^[55]

年份	身份盗窃投诉	欺诈投诉	其他消费者投诉	总数
2018	444,338	1,523,295	1,203,425	3,171,058
2019	650,523	1,893,941	982,142	3,526,606
2020	1,388,539	2,365,362	1,318,247	5,072,148
2021	1,434,693	2,923,241	1,633,677	5,991,611
2022	1,108,609	2,369,527	1,694,993	5,173,129

了解最普遍的身份盗窃形式也很重要。 在 2022 年，最常见的身份盗窃形式是信用卡欺诈，犯罪分子会在别人的名义下开立一张新的信用卡，并自行使用。 以下是 FTC 消费者哨兵网络在 2022 年其他最常见的身份盗窃形式的一些统计数据。

2022 年美国五大最常见的身份盗窃形式^[55]

身份盗窃类型	报告数量	前五名的比例
信用卡欺诈 - 新账户	409,981	43.7%
其他身份盗窃*	263,419	28.1%
银行欺诈 - 新账户	110,513	11.8%
税务欺诈	78,588	8.4%
商业/个人贷款	76,020	8.1%
总数	938,521	100%

* 这指的是在线购物和支付账户欺诈、电子邮件和社交媒体欺诈、医疗服务欺诈、保险和证券账户欺诈以及其他类型的身份盗窃等形式的身份盗窃。

银行共享经验和交易信息，但也共享社会安全号码。 从积极的方面来说，联邦监管机构已确定社会安全号码是非公开的个人信息，如果消费者行使新法律下的选择退出权，金融机构不得共享这些信息。 银行一直与信用局共享客户的姓名、地址和社会安全号码，信用局随后将这些信息出售给互联网信息经纪人、私人侦探和债务收取人。 大多数专家认为，这些被称为信用标题的产品的出售会导致财务身份盗窃和跟踪。 每年有超过 500,000 名美国人成为身份盗窃的受害者。^[55]

哈佛大学的格雷戈里·曼昆写了关于货币的性质、特征和功能。 他解释说，货币是社会交易商品和服务以及协调的语言。 随着现金从社会中消失，新的数字支付方式（例如信用卡和数字支付）被引入，没有中间人的交易也开始消失。 这意味着人们失去了对我们财务交易隐私的掌控，我们的许多基本权利和自由也因此受到损害。 通过剥夺财务隐私，人们在许多方面失去了基本权利^[56]。 例如，在使用现代信用卡时，人们会通过他们形成的关联、购买内容以及地理位置受到监控。 这意味着人们不能再私下交易，因为银行之类的中间人会监视这些关联。 人们可以通过其银行账户的下落进行跟踪。 所有这些都是权利的关键方面，随着现金开始消失，我们的自由也逐渐消失。 政府还可以从这样的系统中获得巨大的权力，因为他们可以控制人民和他们的政治对手，并惩罚言论。 隐私对于自由和民主社会至关重要^[57]。 即使是最热衷于消除经济体中大面额钞票的倡导者，哈佛大学经济学家肯尼斯·罗戈夫也承认“我们需要现金来保证隐私。”^[58]

近年来，保护儿童隐私变得越来越重要，尤其是在技术发展如此迅速的情况下。 由于儿童特别容易在不知情或不同意的情况下被收集和利用个人信息，因此引起了人们对道德和法律的关注。 为了更好地了解当前情况以及未来面临的挑战，有必要回顾与隐私和儿童相关的法律和道德理念的历史。 本文试图强调目前该领域正在讨论的一些最重要主题，并简要回顾与隐私和儿童相关的法律和道德理念的历史。

近年来，技术的发展使得未经授权地获取和利用个人信息变得更加容易，这加剧了人们对保护儿童隐私的担忧。 历史上，关于儿童隐私的法律和道德理念的制定和适应是一个持续的过程。 在 20 世纪初，儿童隐私并不是一个问题，他们被视为父母的延伸。 但是，随着本世纪的发展，人们越来越清楚地认识到，保护儿童隐私是必要的。

为了保护儿童的隐私权，已颁布了《儿童在线隐私保护法案 (COPPA)》和《家庭教育权利和隐私法案 (FERPA)》等法律。 道德考虑也对儿童隐私法规的制定产生了重大影响。 许多专家认为，儿童应获得法律保护，拥有独立于其父母权利的隐私权。 除了立法保障外，还正在进行一项日益增长的运动，以提高公众对儿童隐私的认识和教育。

总的来说，与儿童隐私相关的法律和道德理念的历史一直处于不断变化和适应之中。 随着技术的发展，新的道德和法律问题可能会出现，关于儿童隐私的争论可能会继续发生变化（Wolak 等人，2018 年）。

网络引诱是指捕食者在社交媒体和互联网上与年轻人建立关系，以进行性剥削或性侵犯。 那些可能没有意识到与陌生人在网上互动所带来的风险的儿童，是一个特别的担忧。

网络欺凌是指通过互联网对年轻人进行的同伴骚扰或欺凌。 网络欺凌可能导致悲伤、焦虑和其他心理健康问题，对儿童来说尤其危险。

企业可能会在未经儿童知情或同意的情况下收集儿童的个人信息，这引发了关于如何使用和保护这些信息的疑问。这可能包含诸如姓名、年龄、位置和浏览历史之类的私人数据。

儿童可能无法完全理解在社交网站上披露个人信息所带来的风险，这使得他们容易成为网络掠食者或网络欺凌者的目标。社交网站也可能出于其他目的收集有关儿童的个人数据，例如针对性广告。

儿童可能会在网上接触到不当或危险的材料，例如暴力或色情内容、仇恨言论或极端主义材料。这可能会损害他们的福祉和心理健康。

这些隐私问题必须引起重视，必须采取措施保护儿童的隐私权利。这包括告知儿童在线披露个人信息的危害，使用社交媒体和其他网站的隐私设置，以及仔细阅读他们使用的应用程序和设备的隐私声明。父母、教师和立法者必须共同努力，制定有效的法律和政策来保护儿童在数字时代的隐私。

在数字时代，有若干法律和法规来保护儿童的隐私。以下是一些重要的法律和法规。

COPPA 是一项联邦法律，它要求网站和在线服务在收集 13 岁以下儿童的个人信息之前获得父母的许可。该规则还要求企业提供简单的隐私政策，明确说明收集哪些数据以及如何使用这些数据。

GDPR 是欧盟的一项法律，它规范了所有人的数据隐私和保护，包括未成年人。根据 GDPR，企业必须在收集 16 岁以下未成年人的个人信息之前获得他们的明确同意，并且必须公开透明地说明他们如何收集数据。

CCPA 是加州的一项州法律，它赋予加州居民了解有关他们收集的个人数据的权利，要求删除这些数据的权利，以及拒绝出售其个人数据的权利。该法律还针对收集 16 岁以下未成年人的个人信息制定了特定指南。

FERPA 是一项联邦法律，它保护学生学术数据的机密性。该法律赋予父母查看和修改其子女教育记录的权利，并要求学校在披露有关其子女的个人识别信息之前获得父母的书面同意。

这些法律和法规保护着儿童的隐私，并确保企业和组织对其数据收集和隐私政策负责。对于父母和教育工作者来说，了解这些法规并采取措施保护儿童在数字时代的隐私权利至关重要。

由于技术的普及，儿童使用技术和互联网的频率比以往任何时候都高。与成年人一样，儿童使用互联网和技术玩在线视频游戏、与朋友聊天、使用社交媒体、进行研究、观看电视或电影等等！然而，随着互联网使用量的增加，儿童更有可能暴露他们可能不希望暴露的有关自己的信息。此外，父母可能并不完全了解他们所有子女的在线活动。并非所有父母都会与他们的子女讨论网络安全和互联网隐私，因为他们自己可能并不了解其中的风险和后果。如今，儿童与成年人一样容易受到营利性广告商、网络罪犯甚至欺凌者的追踪。

隐私是一项基本人权。未成年人数据的存储规则非常严格，因为儿童的信息被视为极其敏感的信息。但即使如此，未成年人仍然活跃在积极收集和存储所有用户数据的社交媒体平台上！儿童在网上与陌生人交谈时以及他们在网上发布内容时需要保持警惕。在互联网上作为儿童会带来额外的风险，例如天真、前额叶皮层发育不完全导致的脆弱性，以及成为性剥削或其他儿童伤害的目标。隐私意识是保护儿童免遭企业和其他类型企业财务灾难、跟踪和剥削的关键。在隐私遭到侵犯方面，儿童会面临与成年人相同的后果。其中一些问题包括不了解不同网站和公司的隐私政策，以及无意中将信息暴露给更广泛的受众。

儿童在线隐私保护法于 2000 年 4 月颁布，旨在帮助解决儿童在互联网上容易受到隐私侵犯的问题。该法律适用于美国司法管辖区内针对 13 岁以下儿童收集在线数据的行为。它为网站提供有关如何处理隐私政策的信息，以及何时以及如何代表儿童寻求父母/监护人的同意，以及“运营商在保护儿童在线隐私和安全方面应承担哪些责任，包括对 13 岁以下儿童营销的限制”。

在保护儿童在线安全并确保他们了解可以和不可以分享什么方面，儿童网络安全和隐私教育必不可少。此外，重要的是让儿童了解他们在网上做的任何事情都可能被追踪。关键研究表明，使用测验和教育视频可以显著增强最佳在线安全信念并限制在线分享。此外，感知到的父母影响力对儿童来说非常重要，提供隐私教育活动的机构可以帮助赋予儿童保护其隐私的能力。

总之，隐私是儿童生活中重要的一个方面，尤其是在数字时代。随着科技的不断发展，儿童接触到各种各样的隐私风险，这可能会危及他们的安全和保障。但是，现在已经制定了相关规则和法规，为保护儿童隐私提供了保障。这些规则和法规规定，企业和组织在收集儿童个人信息之前必须获得父母的许可，公开披露关于如何收集数据的明确信息，并允许父母访问和控制其子女的教育记录。父母、老师和立法者必须了解这些规则和法规，并采取积极措施，在数字时代保护儿童隐私。通过这样做，我们可以让孩子们在网上更安全、更放心地成长和发展。

在当今世界，我们的信息及其被泄露的可能性，隐私是一个主要问题。在互联网上共享信息并不总是能确保隐私，因为互联网是广阔而深度互联的。但是，我们可以努力实现隐私。数据保护是通过法律、政策、原则和法规实现的。其中一项法规是 GDPR（通用数据保护条例），其主要目的是让公司或组织对用户的资料负责，并加强用户对其个人资料的控制。GDPR 可以实施关于如何处理用户数据的原则。

除了数据保护的总体概念外，隐私在医疗保健行业中也起着至关重要的作用。由于医疗保健研究和安全保障对社会至关重要，因此，为了增强人类健康和医疗服务，保护患者数据和特权是一项基本职责。保障个人隐私的另一个原因是，为了让人们愿意提供他们的资料用于临床研究，以便进一步研究，这可以越来越有助于改进研究过程。反过来，这在鼓励获得新的治疗方法、改进诊断方面对社会更有利，从而为预防疾病做出不可抗拒的努力。医疗保健中的隐私包括不同的角度，例如物理安全，这可以是个人空间、个人信息和决策信息。

金融服务公司的成功或失败可能取决于它如何在使用机密客户信息的同时维护隐私之间的平衡。为了抓住新兴的增长机会，金融公司需要灵活地共享机密客户数据——无论是在不同部门、附属合作伙伴之间，还是与非附属第三方（如技术或外包公司）之间，同时遵守法规并保护公司声誉。关键在于数据共享灵活性和维护数据隐私之间的这种微妙平衡。

孩子们经常被在线游戏和社交媒体的诱惑所吸引。必须提醒孩子们不要与在线应用程序或服务共享个人身份信息或财务信息，并教会他们区分安全应用程序和恶意应用程序。Facebook、Instagram 和 TikTok 等流行的社交媒体服务要求用户至少 13 岁才能注册，但是，许多未成年用户仍然加入。13 岁的年龄限制来自美国儿童在线隐私保护法。教育儿童了解在社交媒体上共享敏感信息的负面影响以及与陌生人在线交流的风险。如果希望监控孩子的在线活动，请在他们的设备上使用家长控制。

如果没有社交媒体巨头的合作或帮助，社交媒体上的隐私就无法完全实现，因为它完全取决于他们如何修改其设置和政策，以符合所有法律法规所提供的用户数据保护的利益。无论平台的设计多么复杂或用户友好，它都没有用户强大，因为最终它的收入来自活跃在这些社交媒体平台上的用户，这些用户可以用来发出自己的声音，这使得它们相互依赖。因此，随着时代的变化，许多先进的技术正在被发明出来，通过这些技术，隐私问题仍然存在。这是一场持续的斗争，只能通过严格的法律法规来控制，其中包括提高消费者意识，让他们维护自己的隐私权。

财务隐私也很重要。无论是保护自己的财务信息，还是在金融机构工作并保护他人，他们都负有至关重要的法律和道德责任来维护。人们为了保护财务安全最需要做的事情之一就是认真保护私人凭证。凭借这些凭证，恶意行为者可以简单地冒充他人，并利用他们访问的财务信息做任何他们想做的事情。此外，如果这种隐私被侵犯，在欧盟有任何业务的组织至少会面临 2000 万欧元的罚款。

1. ↑ https://facilethings.com/blog/en/principles-vs-rules
2. ↑ ^{a b} "FERPA | Protecting Student Privacy". studentprivacy.ed.gov. Retrieved 2023-04-24.
3. ↑ "Data protection and privacy laws | Identification for Development". id4d.worldbank.org. Retrieved 2023-04-24.
4. ↑ ^{a b c d e} 美国，联邦贸易委员会，网上隐私：致国会的报告，1998 年，第 7-10 页
5. ↑ Burke, F. (2013 年 12 月 2 日). 社交媒体与社交网络。检索自 https://www.huffpost.com/entry/social-media-vs-social-ne_b_4017305
6. ↑ Shah, S. (2018 年 6 月 20 日). 社交媒体的历史。检索自 https://www.digitaltrends.com/features/the-history-of-social-networking/
7. ↑ Jones, M. (2015 年 6 月 16 日). 社交媒体的完整历史：在线网络的创立。检索自 https://historycooperative.org/the-history-of-social-media/
8. ↑ 2020 年 10 个最受欢迎的社交媒体网站。(2020 年 3 月 5 日). 检索自 https://www.toptenreviews-online.com/social-media-sites/
9. ↑ Rainie, L. (2018 年 3 月 27 日). 美国人对社交媒体和隐私的感受。检索自 https://www.pewresearch.org/fact-tank/2018/03/27/americans-complicated-feelings-about-social-media-in-an-era-of-privacy-concerns/
10. ↑ Lindsey, N. (2019 年 5 月 28 日). 新的研究表明，社交媒体隐私可能无法实现。检索自 https://www.cpomagazine.com/data-privacy/new-research-study-shows-that-social-media-privacy-might-not-be-possible/
11. ↑ Morrow, S. (2018 年 1 月 30 日). 您应该担心的 5 个社交媒体网站隐私问题。检索自 https://resources.infosecinstitute.com/5-social-media-site-privacy-issues-worry/#gref
12. ↑ ^{a b c d e f} EPIC - 社交网络隐私。（未注明日期）。检索自 https://epic.org/privacy/socialnet/
13. ↑ Unbox Social. (2019 年 2 月 27 日). GDPR & 社交媒体 - 更新后的隐私政策意味着什么。检索自 https://medium.com/@unboxsocial/gdpr-social-media-what-the-updated-privacy-policies-mean-69984844c43
14. ↑ 5 U.S.C. § 552a(b)。[PDF]。检索自 https://www.govinfo.gov/content/pkg/USCODE-2018-title5/pdf/USCODE-2018-title5-partI-chap5-subchapII-sec552a.pdf
15. ↑ Greenberg, P. (2019 年 5 月 22 日). 州社交媒体隐私法。检索自 https://www.ncsl.org/research/telecommunications-and-information-technology/state-laws-prohibiting-access-to-social-media-usernames-and-passwords.aspx
16. ↑ Unbox Social. (2019 年 2 月 27 日). GDPR & 社交媒体 - 更新后的隐私政策意味着什么。检索自 https://medium.com/@unboxsocial/gdpr-social-media-what-the-updated-privacy-policies-mean-69984844c43
17. ↑ Wong, Q. (2020 年 1 月 3 日). CCPA：加州新的隐私法对 Facebook 和 Twitter 用户意味着什么。检索自 https://www.cnet.com/news/ccpa-what-californias-new-privacy-law-means-for-facebook-twitter-users/
18. ↑ "儿童在线隐私保护规则（“COPPA”）". 联邦贸易委员会. 2013-07-25. 检索于 2023-04-24.
19. ↑ Sales Sarlet，Gabrielle Bezerra；Linden Ruaro，Regina (2021-08-31). "巴西规范体系中敏感数据保护，以一般数据保护法（LGPD） - L. 13.709/2018 为视角". 基本权利与民主杂志. 26 (2): 81–106. doi:10.25192/issn.1982-0496.rdfd.v26i22172. ISSN 1982-0496.
20. ↑ "加拿大隐私专员办公室。（2020）。个人信息保护和电子文件法（PIPEDA）".
21. ↑ 权利（OCR），民权办公室 (2021-06-09). "健康信息隐私". HHS.gov. 检索于 2023-04-24.
22. ↑ Gudgel，John (2013). "互联网隐私政策悖论：2013 年电子通信隐私法（ECPA）修正案与 2012 年消费者隐私权利法案". SSRN 电子期刊. doi:10.2139/ssrn.2257647. ISSN 1556-5068.
23. ↑ Khan，Minhaj Ahmad；Salah，Khaled (2018-05-01). "物联网安全：综述、区块链解决方案和开放挑战". 未来计算机系统. 82: 395–411. doi:10.1016/j.future.2017.11.022. ISSN 0167-739X.
24. ↑ Sicari，S.；Rizzardi，A.；Grieco，L. A.；Coen-Porisini，A. (2015-01-15). "物联网中的安全、隐私和信任：未来的道路". 计算机网络. 76: 146–164. doi:10.1016/j.comnet.2014.11.008. ISSN 1389-1286.
25. ↑ Miorandi，Daniele；Sicari，Sabrina；De Pellegrini，Francesco；Chlamtac，Imrich (2012-09-01). "物联网：愿景、应用和研究挑战". 自组织网络. 10 (7): 1497–1516. doi:10.1016/j.adhoc.2012.02.016. ISSN 1570-8705.
26. ↑ Greenberg，A. (2019 年 8 月 12 日). 观看无人机接管附近的智能电视。检索于 2020 年 3 月 30 日
27. ↑ Cisomag. (2020 年 1 月 10 日). 10 个物联网安全事件让你感到不安全。检索于 2020 年 3 月 30 日
28. ↑ Tsirmpas，Charalampos；Anastasiou，Athanasios；Bountris，Panagiotis；Koutsouris，Dimitris (2015-12). "物联网环境中生成配置文件的一种新方法：在环境辅助生活中的一种应用". IEEE 物联网杂志. 2 (6): 471–478. doi:10.1109/JIOT.2015.2428307. ISSN 2327-4662. {{cite journal}}: Check date values in: |date= (help)
29. ↑ 健康信息隐私。检索自https://www.hhs.gov/hipaa/for-professionals/privacy/index.html
30. ↑ Bodie, M. T. (2022). HIPPA. Cardozo L. Rev. De-Novo, 118.
31. ↑ 健康信息政策与法律 检索自 https://www.healthit.gov/topic/health-information-privacy-law-and-policy
32. ↑ Appari, A., & Johnson, M. E. 信息安全和医疗保健中的隐私。
33. ↑ ^{a b} Rindfleisch, T. C. (1997). 隐私、信息技术和医疗保健。ACM通讯，40(8), 92-100.
34. ↑ 健康信息隐私。检索自https://www.hhs.gov/hipaa/for-professionals/privacy/index.html
35. ↑ George, J., & Bhila, T. (2019). 医疗保健数据安全、保密和隐私。国际科学研究与发展趋势杂志，3(4), 2456-6470。
36. ↑ Moore, I., Leason, S., Miller, S. C., & Hickson, G. B. 从患者的角度看医疗保健中的保密和隐私：HIPAA 有帮助吗？
37. ↑ Waltz, D. B. (2014). 数字时代中的隐私。印第安纳州法律评论，48, 205.
38. ↑ Samonas, S., & Coss, D. (2014). CIA 反击：重新定义安全中的机密性、完整性和可用性。信息系统安全杂志，10(3)。
39. ↑ Pearlman, S. (n.d.). 什么是数据处理？定义和阶段 - Talend 云集成。检索自 https://www.talend.com/resources/what-is-data-processing/
40. ↑ 快照技术概述。(2006 年 4 月 26 日)。检索自 https://www.ibm.com/developerworks/tivoli/library/t-snaptsm1/index.html
41. ↑ 数据复制 - 备份技术。(n.d.)。检索自 https://www.delltechnologies.com/en-us/learn/data-protection/data-replication.htm
42. ↑ Schwab, J., Topping, K. C., Eadie, C. C., Deyle, R. E., & Smith, R. A. (1998). 灾后恢复和重建规划 (第 483-484 页)。伊利诺伊州芝加哥：美国规划协会。
43. ↑ ^{a b c} Petersen, K. (2018). GDPR：您需要了解的有关欧盟数据保护法的知识。[电子书] 第 12-16 页。可在以下网站获取：https://www.kmclaw.com/media/article/247_July_Aug_2018_Peterson_Data_Protection.pdf
44. ↑ ^{a b c} Nadeau, M. (2018 年 4 月 23 日)。通用数据保护条例 (GDPR)：您需要了解的保持合规的信息。检索自 CSO：https://www.csoonline.com/article/3202771/general-data-protection-regulation-gdpr-requirements-deadlines-and-facts.html
45. ↑ ^{a b c} Kharpal, A. (2018 年 5 月 25 日)。关于一项可能撼动美国大型科技公司的新欧盟数据法律的全部信息。检索自 CNBC：https://www.cnbc.com/2018/03/30/gdpr-everything-you-need-to-know.html
46. ↑ Bhatia, P. 了解 6 个关键的 GDPR 原则。检索自欧盟 GDPR 学院：https://advisera.com/eugdpracademy/knowledgebase/understanding-6-key-gdpr-principles/
47. ↑ 2019 年的数据保护：法律和法规：美国：ICLG。(n.d.)。检索自 https://iclg.com/practice-areas/data-protection-laws-and-regulations/usa
48. ↑ paper, O. W. (2018 年 4 月)。Oracle 云基础设施和 GDPR。检索自 Oracle 云：https://cloud.oracle.com/iaas/whitepapers/oci-gdpr.pdf
49. ↑ N. (2018 年 5 月 25 日)。在进行人类研究中遵守通用数据保护条例 (GDPR) 的指南。检索自 https://irb.northwestern.edu/sites/irb/files/documents/GDPR+Guidance.pdf
50. ↑ 数据保护法：概述 (Rep.)。(2019 年 3 月 25 日)。检索自 https://fas.org/sgp/crs/misc/R45631.pdf
51. ↑ 美国法律。(2019 年 1 月 28 日)。检索自 https://www.dlapiperdataprotection.com/index.html?c=US&c2=&go-button=GO&t=law
52. ↑ McDaniel, P., & Lipscomb, K. (2018 年 4 月 30 日)。每个州都有的数据泄露法律；联邦数据泄露法律处于平衡状态。检索自 https://www.securityprivacybytes.com/2018/04/data-breach-laws-on-the-books-in-every-state-federal-data-breach-law-hangs-in-the-balance/
53. ↑ https://www.american.edu/kogod/research/cybergov/upload/what-to-do.pdf
54. ↑ ^{a b} RadarFirst (2021-08-19)。“如何定义隐私风险？”。RadarFirst。检索于 2023-04-24。
55. ↑ ^{a b c} "事实 + 统计：身份盗窃和网络犯罪 | III". www.iii.org. 检索于 2023-04-25.
56. ↑ https://siepr.stanford.edu/sites/default/files/publications/17-033_1.pdf
57. ↑ https://cdn.harvardlawreview.org/wp-content/uploads/pdfs/vol126_cohen.pdf
58. ↑ https://fcpp.org/2019/04/26/how-to-protect-privacy-in-a-cashless-economy/