Informationssekretess

Informationssekretess är förhållandet mellan insamling och spridning av data , teknik , allmänhetens förväntningar på integritet , kontextuella informationsnormer och de juridiska och politiska frågorna kring dem. Det är också känt som datasekretess eller dataskydd .

Datasekretess är utmanande eftersom den ^{[ förtydliga ]} försöker använda ^{[ weasel words ]} data samtidigt som den skyddar en individs integritetspreferenser och personligt identifierbar information. Områdena datorsäkerhet , datasäkerhet och informationssäkerhet designar och använder alla mjukvara, hårdvara och mänskliga resurser för att lösa detta problem.

Myndigheterna

Lagar

General Data Protection Regulation (GDPR) ( Europeiska unionen )
Allmän lag om skydd av personuppgifter ( Brasilien )
Dataskyddsdirektivet ( Europeiska unionen )
California Consumer Privacy Act (CCPA) (Kalifornien)
Privacy Act (Kanada)
Privacy Act 1988 ( Australien )
Bill 2019 om skydd av personuppgifter (Indien)
Kinas cybersäkerhetslagstiftning (CCSL) (Kina)
Lag om skydd av personuppgifter (PIPL) (Kina)
Data Protection Act, 2012 ( Ghana )
Personuppgiftslagen 2012 (Singapore)
Republikens lag nr 10173: Data Privacy Act från 2012 ( Filippinerna )
Dataskyddslagar (sekretess) i Ryssland
Data Protection Act 2018 ( Storbritannien )
Personuppgiftslagstiftning (PDPL) ( Bahrain )

Myndigheter per land

Informationstyper

Olika typer av personlig information faller ofta under integritetsproblem.

Kabel-tv

Detta beskriver möjligheten att kontrollera vilken information man avslöjar om sig själv över kabel-tv och vem som kan komma åt den informationen. Till exempel kan tredje parter spåra IP-tv -program som någon har sett vid en given tidpunkt. "Att lägga till någon information i en sändningsström krävs inte för en publikbetygsundersökning, ytterligare enheter begärs inte att installeras i tittarnas eller lyssnarnas hus, och utan nödvändigheten av deras samarbete kan publikbetyg automatiskt utföras i realtid."

Pedagogisk

beskrev utbildningsministern Michael Gove National Pupil Database som en "rik databas" vars värde kunde "maximeras" genom att göra den mer öppet tillgänglig, inklusive för privata företag. Kelly Fiveash från The Register sa att detta kan innebära att "ett barns skolliv inklusive provresultat, närvaro, lärarbedömningar och till och med egenskaper" kan vara tillgängligt, med tredjepartsorganisationer som ansvarar för att anonymisera alla publikationer själva, snarare än att data anonymiseras av regeringen innan de överlämnas. Ett exempel på en dataförfrågan som Gove angav hade avvisats tidigare, men som kan vara möjlig under en förbättrad version av integritetsbestämmelserna, var för "analys av sexuellt utnyttjande".

Finansiell

Information om en persons finansiella transaktioner, inklusive mängden tillgångar, positioner i aktier eller fonder, utestående skulder och köp kan vara känslig. Om brottslingar får tillgång till information som en persons konton eller kreditkortsnummer kan den personen bli offer för bedrägeri eller identitetsstöld . Information om en persons köp kan avslöja mycket om personens historia, till exempel platser de har besökt, vem de har kontakt med, produkter de har använt, deras aktiviteter och vanor eller mediciner de har använt. I vissa fall kan företag använda denna information för att rikta in sig på individer med marknadsföring anpassad till denna individs personliga preferenser, som den personen kanske godkänner eller inte.

Internet

Möjligheten att kontrollera den information man avslöjar om sig själv över internet, och vem som kan komma åt den informationen, har blivit ett växande problem. Dessa frågor inkluderar huruvida e-post kan lagras eller läsas av tredje part utan samtycke, eller om tredje part kan fortsätta att spåra de webbplatser som någon besökte. Ett annat problem är om webbplatser man besökt kan samla in, lagra och eventuellt dela personligt identifierbar information om användare.

Tillkomsten av olika sökmotorer och användningen av datautvinning skapade en möjlighet för data om individer att samlas in och kombineras från en mängd olika källor mycket enkelt. FTC har tillhandahållit en uppsättning riktlinjer som representerar allmänt accepterade begrepp angående rättvis informationspraxis på en elektronisk marknadsplats som kallas Fair Information Practice Principles .

För att undvika att ge bort för mycket personlig information bör e-postmeddelanden krypteras. Att surfa på webbsidor såväl som andra onlineaktiviteter bör ske spårlöst via "anonymiserare", om de inte är betrodda, av distribuerade anonymiserare med öppen källkod, så kallade mix-nät, såsom I2P eller Tor – The Onion Router . VPN ( Virtual Private Networks) är en annan "anonymiserare" som kan användas för att ge någon mer skydd när han är online. Detta inkluderar obfuskering och kryptering av webbtrafik så att andra grupper inte kan se eller bryta den.

E-post är inte det enda internetinnehållet med integritetsproblem. I en tid där allt större mängder information finns online, innebär sociala nätverkssajter ytterligare integritetsutmaningar. Människor kan vara taggade på foton eller få värdefull information exponerad om sig själva, antingen genom val eller oväntat av andra, kallad deltagande övervakning . Data om plats kan också av misstag publiceras, till exempel när någon lägger upp en bild med en butik som bakgrund. Försiktighet bör iakttas när du lägger ut information online, sociala nätverk varierar i vad de tillåter användare att göra privata och vad som förblir allmänt tillgängligt. Utan starka säkerhetsinställningar på plats och noggrann uppmärksamhet på vad som förblir offentligt, kan en person profileras genom att söka efter och samla in olika informationsbitar, vilket i värsta fall leder till fall av cyberstalking eller skada på ryktet .

Cookies används på webbplatser där användare kan tillåta webbplatsen att hämta viss information från användarens internet som det vanligtvis inte nämner vilken data som hämtas är. Det är en vanlig metod som används för att övervaka och spåra användares internetaktivitet. Under 2018 antog den allmänna dataskyddsförordningen (GDPR) en förordning som tvingar webbplatser att synligt avslöja konsumenter deras praxis för informationsintegritet, så kallade cookiemeddelanden. Detta utfärdades för att ge konsumenterna valet av vilken information om deras beteende de samtycker till att låta webbplatser spåra, men dess effektivitet är kontroversiell. Vissa webbplatser kan ägna sig åt bedrägliga metoder som att placera cookiemeddelanden på platser på sidan som inte är synliga, eller bara ge konsumenter meddelande om att deras information spåras, men inte tillåta dem att ändra sina sekretessinställningar.Appar som Instagram och Facebook samla in användardata för en personlig appupplevelse, men de spårar användaraktivitet på andra appar vilket äventyrar användarens integritet och data.

Platsmässigt

När positionsspårningskapaciteten hos mobila enheter utvecklas ( platsbaserade tjänster) uppstår problem relaterade till användarnas integritet. Platsdata är bland de mest känsliga uppgifter som för närvarande samlas in. En lista över potentiellt känslig professionell och personlig information som kan antas om en individ som bara känner till deras rörlighetsspår publicerades 2009 av Electronic Frontier Foundation. Dessa inkluderar rörelser av en konkurrents säljkår, besök i en viss kyrka eller en individs närvaro på ett motell eller på en abortklinik. En färsk MIT-studie av de Montjoye et al. visade att fyra spatio-temporala punkter, ungefärliga platser och tider, är tillräckligt för att unikt identifiera 95 % av 1,5 miljoner människor i en mobilitetsdatabas. Studien visar vidare att dessa begränsningar gäller även när upplösningen av datasetet är låg. Därför ger även grova eller suddiga datamängder liten anonymitet.

Medicinsk

Människor kanske inte önskar att deras journaler ska avslöjas för andra på grund av sekretessen och känsligheten i vad informationen kan avslöja om deras hälsa. Till exempel kan de vara oroliga för att det kan påverka deras försäkringsskydd eller anställning. Eller så kan det bero på att de inte skulle vilja att andra skulle få veta om några medicinska eller psykologiska tillstånd eller behandlingar som skulle skapa förlägenhet för dem själva. Att avslöja medicinska uppgifter kan också avslöja andra detaljer om ens personliga liv. Det finns tre huvudkategorier av medicinsk integritet: information (graden av kontroll över personlig information), fysisk (graden av fysisk otillgänglighet för andra) och psykologisk (i vilken utsträckning läkaren respekterar patienternas kulturella övertygelser, inre tankar, värderingar). , känslor och religiösa sedvänjor och låter dem fatta personliga beslut). Läkare och psykiatriker i många kulturer och länder har standarder för relationer mellan läkare och patient , vilket inkluderar att upprätthålla konfidentialitet. I vissa fall privilegiet för läkare och patient juridiskt skyddat. Dessa rutiner är på plats för att skydda patienters värdighet och för att säkerställa att patienterna känner sig fria att avslöja fullständig och korrekt information som krävs för att de ska få rätt behandling. HIPAA och HITECH Act för att se USA:s lagar som reglerar integriteten för privat hälsoinformation . Den australiensiska lagen är Privacy Act 1988 Australia samt statlig lagstiftning om hälsojournaler.

Politisk

Politisk integritet har varit ett bekymmer sedan röstningssystem uppstod i antiken. Den slutna omröstningen är den enklaste och mest utbredda åtgärden för att säkerställa att politiska åsikter inte är kända för någon annan än väljarna själva – den är nästan universell i modern demokrati och anses vara en grundläggande rättighet för medborgarskap . Faktum är att även där andra integritetsrättigheter inte existerar, gör den här typen av integritet väldigt ofta. Tyvärr finns det flera former av röstbedrägeri eller integritetsintrång möjliga med användning av digitala röstningsmaskiner.

Laglighet

Det rättsliga skyddet för rätten till integritet i allmänhet – och dataintegritet i synnerhet – varierar kraftigt runt om i världen.

Lagar och regler relaterade till integritet och dataskydd förändras ständigt, det ses som viktigt att hålla sig à jour med eventuella lagändringar och att kontinuerligt omvärdera efterlevnaden av datasekretess- och säkerhetsbestämmelser. Inom akademin institutionella granskningsnämnder för att säkerställa att adekvata åtgärder vidtas för att säkerställa både integritet och konfidentialitet för mänskliga försökspersoner i forskning.

Integritetsproblem finns varhelst personligt identifierbar information eller annan känslig information samlas in, lagras, används och slutligen förstörs eller raderas – i digital form eller på annat sätt. Felaktig eller obefintlig kontroll av avslöjande kan vara grundorsaken till integritetsproblem. Mekanismer för informerat samtycke , inklusive dynamiskt samtycke, är viktiga för att kommunicera till registrerade om olika användningar av deras personligt identifierbara information. Datasekretessproblem kan uppstå som svar på information från ett brett spektrum av källor, såsom:

Sjukvårdsjournaler _
Brottsrättsliga utredningar och förfaranden
Finansiella institutioner och transaktioner
Biologiska egenskaper, såsom genetiskt material
Bosättning och geografiska register
Integritetsintrång
Platsbaserad tjänst och geolokalisering
Surfbeteende eller användarpreferenser med hjälp av beständiga cookies
Akademisk forskning

Integritetsskydd i informationssystem

Eftersom heterogena informationssystem med olika integritetsregler är sammankopplade och information delas, kommer policyverktyg att krävas för att förena, genomdriva och övervaka ett ökande antal integritetspolicyregler (och lagar). Det finns två kategorier av teknik för att hantera integritetsskydd i kommersiella IT-system: kommunikation och verkställighet.

Policykommunikation

P3P – Plattformen för integritetsinställningar. P3P är en standard för att kommunicera sekretesspraxis och jämföra dem med individers preferenser.

Genomförande av policy

XACML – The Extensible Access Control Markup Language tillsammans med dess sekretessprofil är en standard för att uttrycka sekretesspolicyer på ett maskinläsbart språk som ett mjukvarusystem kan använda för att upprätthålla policyn i företags IT-system.
EPAL – Enterprise Privacy Authorization Language är mycket likt XACML, men är ännu inte en standard.
WS-Privacy - "Web Service Privacy" kommer att vara en specifikation för att kommunicera sekretesspolicy i webbtjänster . Till exempel kan den specificera hur information om sekretesspolicy kan bäddas in i SOAP- kuvertet för ett webbtjänstmeddelande.

Skydda integriteten på internet

På internet ger många användare bort mycket information om sig själva: okrypterade e-postmeddelanden kan läsas av administratörerna för en e-postserver om anslutningen inte är krypterad (ingen HTTPS ), och även internetleverantören och andra parter sniffa nätverkstrafiken för den anslutningen kan känna till innehållet. Detsamma gäller all typ av trafik som genereras på Internet, inklusive webbsurfning , snabbmeddelanden och annat. För att inte ge bort för mycket personlig information kan e-postmeddelanden krypteras och bläddring av webbsidor samt andra onlineaktiviteter kan ske spårlöst via anonymiserare , eller av distribuerade anonymiserare med öppen källkod, så kallade mixnätverk . Välkända blandnät med öppen källkod inkluderar I2P – The Anonymous Network och Tor .

Förbättra integriteten genom individualisering

Datorintegritet kan förbättras genom individualisering . För närvarande är säkerhetsmeddelanden utformade för den "genomsnittliga användaren", dvs samma meddelande för alla. Forskare har hävdat att individualiserade meddelanden och säkerhets-"nudges", skapade utifrån användarnas individuella skillnader och personlighetsdrag, kan användas för ytterligare förbättringar för varje persons efterlevnad av datorsäkerhet och integritet.

United States Safe Harbor-program och problem med passagerarnamn

USA:s handelsdepartement skapade certifieringsprogrammet International Safe Harbor Privacy Principles som svar på 1995 års direktiv om dataskydd (direktiv 95/46/EC) från Europeiska kommissionen. Både USA och Europeiska unionen uppger officiellt att de är engagerade i att upprätthålla informationsintegritet för individer, men den förra har orsakat friktion mellan de två genom att inte uppfylla standarderna i EU:s strängare lagar om personuppgifter. Förhandlingarna om Safe Harbor-programmet var delvis för att ta itu med denna långvariga fråga. Direktiv 95/46/EG fastställer i kapitel IV artikel 25 att personuppgifter endast får överföras från länderna inom Europeiska ekonomiska samarbetsområdet till länder som tillhandahåller adekvat integritetsskydd. Historiskt sett krävdes det att nationella lagar skapades som i stort sett motsvarar dem som genomförts genom direktiv 95/46/EU för att fastställa tillräckligheten. Även om det finns undantag från detta generella förbud – till exempel när avslöjandet till ett land utanför EES sker med samtycke från den berörda personen (artikel 26.1 a) – är de begränsade i praktisk räckvidd. Som ett resultat skapade artikel 25 en juridisk risk för organisationer som överför personuppgifter från Europa till USA.

Programmet reglerar utbytet av passageraruppgifter mellan EU och USA. Enligt EU-direktivet får personuppgifter endast överföras till tredje land om det landet ger en adekvat skyddsnivå. Vissa undantag från denna regel finns, till exempel när den registeransvarige själv kan garantera att mottagaren kommer att följa dataskyddsreglerna.

Europeiska kommissionen har inrättat "Arbetsgruppen för skydd av individer med avseende på behandling av personuppgifter", allmänt känd som "Artikel 29-arbetsgruppen". Arbetsgruppen ger råd om skyddsnivån i Europeiska unionen och tredjeländer.

Arbetsgruppen förhandlade med amerikanska företrädare om skydd av personuppgifter, Safe Harbor-principerna blev resultatet. Trots detta godkännande är Safe Harbors självutvärderingsmetod fortfarande kontroversiell med ett antal europeiska integritetstillsynsmyndigheter och kommentatorer.

Safe Harbor-programmet tar upp denna fråga på följande sätt: snarare än en allmän lag som påtvingas alla organisationer i USA, upprätthålls ett frivilligt program av Federal Trade Commission . Amerikanska organisationer som registrerar sig för detta program, efter att ha självutvärderat sin överensstämmelse med ett antal standarder, anses "tillfredsställande" för syftet med artikel 25. Personlig information kan skickas till sådana organisationer från EES utan att avsändaren bryter mot artikel 25 eller dess nationella motsvarigheter i EU. Safe Harbor godkändes av Europeiska kommissionen den 26 juli 2000 för att tillhandahålla adekvat skydd för personuppgifter i enlighet med artikel 25.6.

Enligt Safe Harbor måste adopterade organisationer noggrant överväga att uppfylla skyldigheterna för vidareöverföring , där personuppgifter med ursprung i EU överförs till USA:s Safe Harbor och sedan vidare till ett tredjeland. Det alternativa tillvägagångssättet för efterlevnad av " bindande företagsregler ", som rekommenderas av många EU:s integritetstillsynsmyndigheter, löser detta problem. Dessutom måste alla tvister som uppstår i samband med överföringen av HR-data till US Safe Harbor höras av en panel av EU:s integritetstillsynsmyndigheter.

slöts ett nytt, kontroversiellt Passenger Name Record- avtal mellan USA och EU. En kort tid därefter gav Bush-administrationen undantag för Department of Homeland Security , för ankomst- och avgångsinformationssystemet (ADIS) och för det automatiserade målsystemet från 1974 års Privacy Act .

I februari 2008 klagade Jonathan Faull , chefen för EU:s kommission för inrikes frågor, över USA:s bilaterala politik angående PNR. USA hade i februari 2008 undertecknat ett samförståndsavtal (MOU) med Tjeckien i utbyte mot ett viseringsundantag, utan att tidigare samråda med Bryssel. Spänningarna mellan Washington och Bryssel orsakas främst av en lägre nivå av dataskydd i USA, särskilt eftersom utlänningar inte drar nytta av USA:s Privacy Act från 1974 . Andra länder som kontaktades för bilateralt MOU var Storbritannien, Estland, Tyskland och Grekland.

Se även

Datavetenskap specifikt

Organisationer

Konfederationen av europeiska dataskyddsorganisationer
Datasekretessdagen (28 januari)
International Association of Privacy Professionals (med huvudkontor i USA)
Privacy International (med huvudkontor i Storbritannien)

Forskare som arbetar inom området

Vidare läsning

Philip E. Agre; Marc Rotenberg (1998). Teknik och integritet: det nya landskapet . MIT Press. ISBN 978-0-262-51101-8 .

externa länkar

Internationell

Europa

EU:s dataskyddssida
UNESCO ordförande i datasekretess
European Data Protection Supervisor Arkiverad 2008-12-19 på Wayback Machine

Latinamerika

Latinamerikansk dataskyddslagstiftning Granskning av

Nordamerika

Tidskrifter

Integritet
Principer	Förväntningar på integritet Rätt till privatliv Rätt att bli bortglömd Post mortem integritet
Integritetslagar	Australien Brasilien Kanada Kina Danmark England europeiska unionen Tyskland Ghana Nya Zeeland Ryssland Singapore Schweiz USA Kalifornien , ändrad 2020
Dataskyddsmyndigheter	Australien Danmark europeiska unionen Frankrike Tyskland Indonesien Irland ö av man Norge Filippinerna Polen Sydkorea Spanien Sverige Schweiz Thailand Kalkon Storbritannien
Områden	Konsument Utbildning Medicinsk Arbetsplats
Informationssekretess	Lag Finansiell Internet Facebook Google Twitter E-post Personlig information Personlig identifierare Sociala nätverkstjänster Integritetsförbättrande teknologier Integritetsteknik Integritetskränkande programvara Integritetspolicy Sluten omröstning
Påverkansorganisationer	American Civil Liberties Union Centrum för demokrati och teknik Dataproffs för socialt ansvar Datasekretesslab Electronic Frontier Foundation Elektroniskt informationscenter för sekretess Europeiska digitala rättigheter Future of Privacy Forum Globalt nätverksinitiativ International Association of Privacy Professionals NOYB Privacy International
Se även	Anonymitet Kardning Mobiltelefonövervakning Cyberstalking Datasäkerhet Tjuvlyssning Elektroniska trakasserier Global övervakning Identitetsstöld Massövervakning Panoptikon Integritetsteknik Husrannsakningsorder Telefonavlyssning Mänskliga rättigheter Personliga rättigheter
Kategori