資訊科技與倫理/隱私政策和原則

什麼是隱私政策？

政策可以被認為是在公司、市政當局甚至大學等組織中制定的規則。這些規則基本上是為了規範員工、教師或學生的行動，以符合先前確立的行為準則。政策控制其員工、教師或學生的行為，使其符合已經確立的道德準則。當提到政策時，可以將其視為“...從外部強加的宣告，必須遵守以避免受到某種懲罰…”^[1]

隱私政策是一系列旨在保護個人和組織隱私的準則。這些準則通常是關於在使用特定技術時如何維護隱私的說明。^[2]

什麼是隱私原則？

隱私原則是定義個人或組織如何看待隱私的基本價值觀或理論。這些原則有助於塑造和指導管理個人資訊處理的法律、政策和實踐。隱私原則可以包括透明度、問責制和同意等。

為了確保隱私政策的有效性，它必須以清晰的語言進行傳達，並且每個人都能輕鬆理解。這在工作場所或高等教育環境中尤為重要，因為個人可能來自不同的背景，並且對隱私問題的教育程度和熟悉程度各不相同。使用基本術語並避免使用專業術語可以使政策更容易獲取，並有助於確保每個人都瞭解他們的權利和義務。此外，隱私政策應該簡潔、組織良好且易於瀏覽，以便個人可以快速找到所需的資訊並對其個人資料做出明智的決定。^[2]

政策和原則的適當內容

所有政策中有一些共同的方面使它們有效，尤其是在工作場所或高等教育環境中。政策應始終以簡單的術語寫成，以便最大限度地被更多人理解，這也意味著必須遵循清晰的語言。在制定政策時，會考慮利益相關者或受影響個人的利益。

政策應該平衡，既不限制個人，也不過分自由和廣泛。它還應具有明確定義且易於理解的步驟，在這種情況下，是為確保隱私而採取的步驟。最重要的一點是，受政策影響的個人能夠理解它，以便盡其所能地遵守它。

政府隱私原則

政府隱私原則因國家及其法律框架而異。但是，總的來說，政府隱私原則旨在保護公民在政府機構收集、使用和披露時所持有的個人資訊。^[3]

以下是一些常見的原則

1. 收集限制：個人資訊應僅為與政府機構職能或活動相關的特定目的而收集。
2. 資料質量：個人資訊應準確、完整且最新。
3. 目的說明：收集個人資訊的目的是什麼，應向個人清楚說明並使其理解。
4. 使用限制：個人資訊應僅用於收集目的，除非獲得個人的同意或法律要求。
5. 安全措施：為了保護個人資訊免遭未經授權的訪問、披露或濫用，政府機構應實施適當的安全措施。
6. 透明度：政府機構應在其隱私規則和程式方面保持透明，並使公眾能夠自由獲取這些規則和程式。
7. 個人參與：個人應能夠檢視和修改政府機構維護的其個人資訊。
8. 問責制：政府機構應對其遵守隱私規則和法規負責，並能夠向公眾證明其合規性。

以下是美國聯邦貿易委員會建立的隱私政策。

聯邦貿易委員會

1998年，美國聯邦貿易委員會將網際網路主流爆發之前就已經存在的隱私基本原則編纂成法。該報告名為“網路隱私：致國會報告”，一開始就寫道

“在過去的四分之一個世紀裡，美國、加拿大和歐洲的政府機構一直在研究實體收集和使用個人資訊的方式 - 他們的‘資訊實踐’ - 以及為確保這些實踐公平並提供足夠隱私保護所需的保障措施。結果是一系列代表廣泛接受的關於公平資訊實踐原則的報告、指南和模型程式碼。”^[4]

在這份報告中，聯邦貿易委員會為其參與美國隱私執法奠定了基礎。有了它，它指出了隱私保護的五個原則，包括通知/意識、選擇/同意、訪問/參與、完整性/安全和執行/補救。

   通知/意識

   通知的概念意味著知道或意識到正在採取的特定行動。就網路隱私而言，使用者會被告知網站如何看待所有權、安全實踐和使用條款（如終端使用者許可協議）。例如，使用者可以點選透過的初始頁面，明確表示透過點選，使用者接受使用條款。一個常見的例子是通知使用者網站正在使用 cookie 來跟蹤他們的訪問。

   網站的隱私宣告還將以更規範的語言，提供通知使用者隱私的方式。聯邦貿易委員會認為，以下一些或所有要點應包含在任何隱私宣告中，並確保在使用者放棄個人資訊時，使用者瞭解他們在做什麼

• 收集資料的實體的標識
• 資料將被用於的用途的識別
• 資料的任何潛在接收者的識別
• 收集的資料的性質以及收集方式，如果不明確（被動地，透過電子監控，或主動地，透過要求消費者提供資訊）
• 提供請求的資料是自願的還是必需的，以及拒絕提供請求資訊的的後果，以及
• 資料收集者為確保資料的機密性、完整性和質量而採取的步驟^[4]

   選擇/同意

   該原則的主要目的是讓終端使用者管理他們自己個人資料的使用。聯邦貿易委員會主要關注資料的二次使用，即“超出完成預期交易所需的用途”。^[4] 處理選擇/同意的兩種方法已經成為慣例，即選擇加入或選擇退出。選擇加入讓使用者明確允許使用其資料。而選擇退出讓使用者明確拒絕使用其資料。兩者的區別在於預設選項，選擇加入使用者預設允許使用其資料，而選擇退出預設拒絕使用使用者資料進行初始交易以外的事情。

訪問/參與

   第三項原則涉及讓使用者知道公司擁有關於他們的資訊，並允許他們對資訊的準確性提出異議。根據聯邦貿易委員會的說法，“...訪問必須包括及時且廉價地訪問資料…”^[4] 也就是說，提交更改的能力必須對使用者來說是快速且廉價的。這些更改的機制也必須簡單，並且要有一種方法可以讓公司驗證提交的資訊，並能夠將更正的資訊傳播給所有資料接收者。

  完整性/安全

   該原則與訪問/參與原則密切相關，它旨在確保資料準確且安全。該原則將責任推給了資料收集者，要求他們採取適當的措施。例如，為消費者提供適當的資料訪問許可權，使用信譽良好的資料來源，調查資料來源，以及採取相關技術措施來保護資料。聯邦貿易委員會包含的一些技術措施包括

• 在資料傳輸和儲存中使用加密
• 透過使用密碼限制訪問
• 資料儲存在安全的伺服器或計算機上，這些伺服器或計算機無法透過調變解調器訪問

   執行/補救

   最終的隱私原則指出：“……隱私保護的核心原則只有在有機制來執行時才有效。”^[4] 這實際上意味著，為了使任何這些州隱私原則有效，必須有適當的機制來執行它們。  在沒有執行或補救機制的情況下，外部力量將優先於行業自律、政府立法，甚至透過民事和刑事制裁帶來的監管計劃。