資訊科技與倫理/資料保護倫理

在本節中，我們將討論隱私和資料保護。我們將重點關注一些旨在保護個人線上隱私的法律和政策，特別是關於資料保護的。這是為了應對隨著時間推移而出現的眾多技術。問題在於，隨著技術快速發展。這些進步為那些試圖獲取他人個人資訊的惡意人士創造了許多新的途徑。這導致了對資料保護需求的增加。在本節中，我們將討論隱私的背景，以及它為什麼發生了變化？這是如何導致對資料保護的需求的？為資料保護開發了哪些技術？為資料保護制定了哪些法律和政策？如前所述，本章主要關注隱私和與資料保護相關的問題。這樣你就可以理解，無論隱私在我們社會中以何種形式發展，都會不斷採取措施來嘗試保護個人的隱私以及他們在網路上的個人資訊。

當隱私的概念引入我們社會時，它是以不同的思維方式建立的。它一直被認為是一項基本人權，並且始終涵蓋了個人生活中的許多領域。住宅隱私權、財產隱私權、資訊隱私權。通常是政府必須保護並確保每個公民在其生活中享有隱私權。儘管如此，澄清起來可能相當困難，因為許多關於隱私及其保護主題的檔案都很模糊。特別是在美國，第四修正案和第五修正案被用作確定當今哪些行為侵犯個人隱私的主要來源。這是因為憲法沒有明確闡明隱私權。有時缺乏檔案來幫助澄清隱私，因此導致許多人不得不檢視他們可以找到的任何檔案，並決定這是否被視為個人隱私的一部分。以及政府的保護。正如參議員D. 布倫特·沃爾茨所說：“即使是最普通的美國憲法學術研究者也會注意到，‘隱私’作為一個獨特的法律概念，在我們的建國檔案中是缺失的。”（Waltz，2014，第205頁）。隨著技術的進步和“物聯網”的發展，隱私在處理線上資訊問題時已成為一個熱門話題。^[1]

資料保護可以簡單地描述為用於確保個人資料或資訊得到保護的措施或技術。具體來說，它旨在保護資料的三個方面，這可以透過所謂的CIA三元組來更清楚地闡明。

CIA三元組與中央情報局無關，它是組織關注資訊某些方面的模型。它透過確保這些方面得到覆蓋來幫助這些組織。透過妥善管理這些方面，他們可以制定可靠的網路安全策略和程式來保護這些資訊並實現適當的資料保護。其中CIA代表機密性、完整性和可用性。

資料保護試圖保護資訊的機密性。它是限制資訊和資料訪問的過程。它基本上意味著提供的資訊只能被某些人看到，並確保任何未經授權的人員都無法檢視或訪問這些資訊。它與隱私相關，因為它回答了誰將使用資料的問題。人們不希望他們的資料被所有人看到或訪問。這可能導致其資產或隱私受到損害。為了實現資訊的機密性，組織會使用教育員工哪些資訊可以檢視哪些資訊不能檢視的政策，以及資料儲存和加密等工具來增強資訊安全性。機密性被違反的例子包括資料洩露或網際網路上個人資訊的披露。

CIA三元組中資訊的下一個方面是完整性。它是保護資料以確保其保持不變並處於接收時的原始狀態的過程。這意味著資訊不得以任何方式被編輯、修改或刪除，除非獲得授權。資訊完整性在獲取、儲存或交換資訊時都可能面臨風險。這可能是由於惡意軟體和病毒（如蠕蟲、特洛伊木馬、邏輯炸彈或引導病毒）的攻擊。也可能是由有錯誤的軟體或資料傳輸時的噪聲引起的。為了實現和維護完整性，可以使用校驗和和糾錯來驗證位或雜湊是否發生更改，並檢視資訊完整性是否丟失。

三元組中資訊的最後一個方面是可用性。這意味著始終可以隨時向獲得授權的人員提供對資訊的訪問。為了解釋它，就像一棟建築物，門口裝有刷卡器。當你刷卡時，你希望能夠進入建築物並使用內部的資源。如果讀卡器讀取了你的卡，但門出現故障且無法開啟，則你被拒絕了可用性。這也適用於資訊和資料。^[2]

那麼資料保護是如何實現上述方面的呢？好吧，資料保護透過許多活動來實現這一點。^[3]

它是以電子形式收集知識和資訊的過程。它是定位、提取、分析和審查數字資料（如影像、檔案、電子郵件、網路流量等）的過程。它有助於描繪一幅圖景，或者為從事電子資料發現並負責查詢重要資訊的專業人士提供指導。

歸檔是保護資訊的過程，尤其是將非活動資訊保護未知時間或極長時間。資訊可以隨時調出並被參考，但目前大多不可用，但仍應受到保護。

備份是指建立資訊的副本。基本上是建立一個安全的副本，以便如果原始資料被篡改或損壞，可以使用備份副本恢復原始資料。

快照是記錄機器在特定時間的狀態的過程。通常對於儲存裝置來說，拍攝快照是建立資料和資訊副本的好方法，類似於備份。資料和資訊可以恢復到快照的特定時間。^[4]

複製是資料保護中非常昂貴的一部分，對於災難恢復過程來說是必不可少的。它涉及複製和重複資料，然後將其移動到異地位置以進行保護。這更多是為了組織在遭受攻擊、自然災害和其他對資料和資訊造成重大損害或危害的事件後進行恢復。^[5]

可用性是指確保資料和資訊在任何時候都可以被有權訪問的人訪問。以確保它不會完全受到限制和無人照管或無人監督。

災難恢復是指組織確保從災難中恢復並檢視其資料狀態的過程。基本上是檢視哪些可能丟失了保密性、完整性和可用性。這涉及使用上述工具和流程，以及嘗試找出導致災難的原因以及如何規劃未來，以便在災難再次發生時能夠更有效地恢復。^[6]

業務連續性是指建立系統和工具以幫助恢復過程並應對未來威脅的過程。基本上是提前計劃，保護自己，並確保可以再次解決或避免威脅。

然而，確保資料保護不僅僅是工具和流程。還有許多法規、法律和政策可以幫助並確保適當的資料保護。其中一項被許多人認為得到廣泛接受的法規是 GDPR。自 1995 年以來，歐洲的資料隱私一直受歐洲議會和理事會 1995 年 10 月 24 日的第 95/46/EC 號指令的監管。^[7] 該法規將側重於保護個人及其資料處理的相關問題，1995 年官方公報 (I. 281) (指令)。^[7] 由於技術的快速發展，這些法規被認為是無效的，他們希望為歐盟公民提供更好的保護和權利，並統一資料保護法律。這導致了“通用資料保護條例”（GDPR）的建立，其最終文字於 2016 年獲得批准。^[7] GDPR 於 2018 年 5 月 25 日開始實施。

GDPR 的主要目標是讓公司對使用者資料承擔更多責任，並加強使用者對其個人資料的控制。它透過制定條款來做到這一點，這些條款要求企業在歐盟境內發生的每一筆交易中都保護歐盟公民的個人資料和隱私。GDPR 也規範了將個人資料出口到歐盟以外地區的情況。^[8] 這項立法將迫使公司為其收集的不同型別的資料提供單獨的同意表格，以及撤回同意的可能性。它還將阻止公司在未經持有“父母責任”的人同意的情況下收集 16 歲以下兒童的資料。^[9] 資料庫被洩露的公司必須在 72 小時內向受影響者釋出通知。^[9] 它還將賦予消費者擦除公司已收集的所有其資料的能力。GDPR 保護的資料型別包括基本身份資訊、網路資料、健康和基因資料、生物識別資料、種族或族裔資料、政治觀點和性取向。^[8] GDPR 定義了公司內部負責確保遵守 GDPR 規定的角色。這些角色包括資料控制者、資料處理者和資料保護官 (DPO)。^[8] 任何違反 GDPR 規則的公司都將面臨高達其全球年營業額的 4% 或 2000 萬歐元罰款，取其較高者。^[9]

GDPR 在第 (5-11) 條中規定了所有個人資料應如何處理的原則。^[10] 資料控制者應以合乎道德的方式處理個人資料。六項體現合規資料處理的原則是：

1. 合法、公平、透明：資料主體個人資訊應以合法、公平、透明的方式進行處理。在與資料主體相關的方面，所有流程都應符合法律規定。
2. 目的限定：涉及個人資料的流程應僅限於從資料主體處收集其資料的最初目的。
3. 資料最小化：在收集資料時，資料控制者必須確保僅收集與目的相關的必要資訊。
4. 準確性：資料主體的個人資料必須準確並保持最新。不準確或過時的資料應予刪除。
5. 儲存限制：收集的個人資料僅在必要時保留。當資料不再用於任何合法目的時，必須將其刪除。
6. 完整性和機密性：公司必須採取技術措施，確保保護個人資料，防止未經授權的訪問或不合規的處理以及意外丟失。^[11]

組織應遵循 GDPR 指南，踐行良好的道德規範。根據西北大學的說法，一個人的姓名、電子郵件、電話、地址和社會安全號碼都屬於使用者的個人資料，因為它可以識別使用者，“實際上，這些還包括所有以任何方式分配給個人的資料”。^[12] 由於這些資料被視為個人資料，因此管理它們的政策必須非常有限地使用這些資料。負責任的組織應保護這些資訊，並且只收集必要的資訊。

對於資料處理方，資料必須限制在資料控制方要求的範圍內，然後必須迅速刪除，以確保使用者的個人資訊不會用於除必要目的之外的其他用途。對於資料控制方，資料處理方提供的資訊必須根據問題解決的結論進行分類，以便刪除。例如，Oracle 的隱私政策中有一條宣告：“與我們的客戶、供應商和業務合作伙伴進行交易，以及處理我們產品和服務的購買，將在交易或服務期間保留”。^[13] 未能遵守這些指南不僅是不道德的，還可能導致處罰。

在美國，與資料保護相關的法律非常多樣化。它們制定了與不同行業和媒介相關的特定資料安全法律，例如，它們對金融公司、電信部門、醫療保健、信用報告、兒童資訊收集等應用了不同的法律法規。此外，美國的 50 個州都有自己的法律法規，組織必須遵守。因此，如果有人試圖建立一個組織，他們首先必須遵守聯邦法律（如果法案由國會透過），然後是州法律。^[14]

由於美國沒有專門針對資料保護或資料洩露的聯邦法律，因此所有 50 個州共同制定了規則和法規。州法律主要側重於保護資料、組織建立適當的隱私政策、採取哪些措施來保護社會安全號碼和駕駛執照號碼，以及通知資料洩露的時間線。現在，如果我們談論隱私法，加州首當其衝，它擁有超過 25 項與資料隱私/保護相關的州法律。最近，該州推出了一項新的法律，即 2018 年加州消費者隱私法案 (CCPA)，該法案將於 2020 年 1 月 1 日生效。2018 年 3 月 21 日，南達科他州簽署了一項新的法律，該法律適用於在該州開展業務的組織。考慮到擁有與金融行業相關的最嚴格法律的因素，紐約首當其衝。^[15][16]

儘管美國隱私法非常複雜，難以理解，但瞭解並遵守這些規則和法規非常重要。不僅是州，州的司法部長或聯邦貿易委員會也有權對組織採取行動。他們也制定了規則和法規。

1. ↑ Waltz, D. B. (2014)。數字時代的隱私。印第安納法律評論，48，205。
2. ↑ Samonas, S. & Coss, D. (2014)。中央情報局反擊：重新定義安全中的機密性、完整性和可用性。資訊系統安全雜誌，10(3)。
3. ↑ Pearlman, S. (未註明日期)。什麼是資料處理？定義和階段 - Talend 雲集成。檢索自 https://www.talend.com/resources/what-is-data-processing/
4. ↑ 快照技術概述。(2006 年 4 月 26 日)。檢索自 https://www.ibm.com/developerworks/tivoli/library/t-snaptsm1/index.html
5. ↑ 資料複製 – 備份技術。(未註明日期)。檢索自 https://www.delltechnologies.com/en-us/learn/data-protection/data-replication.htm
6. ↑ Schwab, J.，Topping, K. C.，Eadie, C. C.，Deyle, R. E. & Smith, R. A. (1998)。災後恢復和重建規劃（第 483-484 頁）。伊利諾伊州芝加哥：美國規劃協會。
7. ↑ ^{a b c} Petersen, K. (2018)。GDPR：您需要了解的關於歐盟資料保護法的知識（以及原因）。[電子書] 第 12-16 頁。可在以下網址獲取：https://www.kmclaw.com/media/article/247_July_Aug_2018_Peterson_Data_Protection.pdf
8. ↑ ^{a b c} Nadeau, M. (2018 年 4 月 23 日)。通用資料保護條例 (GDPR)：保持合規需要了解的內容。檢索自 CSO：https://www.csoonline.com/article/3202771/general-data-protection-regulation-gdpr-requirements-deadlines-and-facts.html
9. ↑ ^{a b c} Kharpal, A. (2018 年 5 月 25 日)。關於可能重塑大型美國科技公司的新歐盟資料法律，您需要了解的一切。檢索自 CNBC：https://www.cnbc.com/2018/03/30/gdpr-everything-you-need-to-know.html
10. ↑ Bhatia, P. 理解 6 個 GDPR 核心原則。檢索自歐盟 GDPR 學院：https://advisera.com/eugdpracademy/knowledgebase/understanding-6-key-gdpr-principles/
11. ↑ 2019 年資料保護：法律法規：美國：ICLG。(未註明日期)。檢索自 https://iclg.com/practice-areas/data-protection-laws-and-regulations/usa
12. ↑ Oracle 白皮書。(2018 年 4 月)。Oracle 雲基礎設施和 GDPR。檢索自 Oracle 雲：https://cloud.oracle.com/iaas/whitepapers/oci-gdpr.pdf
13. ↑ N. (2018 年 5 月 25 日)。在開展人類研究過程中遵守通用資料保護條例 (GDPR) 的指南。檢索自 https://irb.northwestern.edu/sites/irb/files/documents/GDPR+Guidance.pdf
14. ↑ 資料保護法：概述（報告）。(2019 年 3 月 25 日)。檢索自 https://fas.org/sgp/crs/misc/R45631.pdf
15. ↑ 美國法律。(2019 年 1 月 28 日)。檢索自 https://www.dlapiperdataprotection.com/index.html?c=US&c2=&go-button=GO&t=law
16. ↑ McDaniel, P. & Lipscomb, K. (2018 年 4 月 30 日)。每個州現行的違反資料法；聯邦違反資料法懸而未決。檢索自 https://www.securityprivacybytes.com/2018/04/data-breach-laws-on-the-books-in-every-state-federal-data-breach-law-hangs-in-the-balance/