資訊科技與倫理/隱私與資料保護

在本節中，我們將討論隱私和資料保護。我們將重點關注一些旨在保護個人線上隱私的法律和政策，特別是關於資料保護的。這是為了應對隨著時間推移而出現的眾多技術。技術快速發展的問題導致了許多新的途徑，不法分子試圖獲取他人的個人資訊。這導致了對資料保護需求的增加。在本節中，我們將討論隱私的背景以及它為何發生變化。這如何導致了對資料保護的需求？為資料保護開發了哪些技術？為資料保護通過了哪些法律和政策？如前所述，本章主要關注隱私和與資料保護相關的問題。這樣，您就可以理解，無論隱私在我們的社會中以何種形式發展，都會不斷採取措施來嘗試保護個人的隱私及其在網路上的個人資訊。

當隱私的概念首次引入我們的社會時，它是以不同的思維方式創造的。它始終被視為一項基本人權，並且始終涵蓋了一個人生活中的許多方面。住宅隱私權、財產隱私權、資訊隱私權。通常是政府必須保護並確保每個公民在其生活中享有隱私權。雖然澄清起來可能相當困難，因為許多時候關於隱私及其保護主題的檔案都含糊不清。具體在美國，第四修正案和第五修正案被用作確定當今侵犯個人隱私行為的主要依據。這是因為憲法中沒有明確說明隱私權，有時缺乏檔案來幫助澄清隱私，這導致許多人不得不檢視他們可以獲得的任何檔案，並確定這是否被視為個人隱私的一部分。以及受到政府的保護。正如參議員D. Brent Waltz所說：“即使是最普通的美國憲法學術研究者也會注意到，作為一種獨立的法律結構的“隱私”概念在我們的建國檔案中是缺失的。”（Waltz，2014，第205頁）。隨著技術的進步和“物聯網”的發展，隱私在處理線上資訊問題時已成為一個熱門話題。^[1]

資料保護可以簡單地描述為用於確保個人資料或資訊得到保護的措施或技術。具體來說，它旨在保護資料的三個方面，可以透過所謂的CIA三元組來更清晰地闡明。

CIA三元組與CIA（美國中央情報局）無關，而是組織用來關注資訊某些方面的模型。它透過確保涵蓋幾個方面來幫助組織。透過良好地管理這些方面，他們可以建立可靠的網路安全策略和程式來保護這些資訊並允許適當的資料保護。CIA代表機密性、完整性和可用性，這些方面允許適當的資料保護。

資料保護試圖保護您的資訊的機密性。它是限制訪問資訊和資料的過程。它基本上意味著提供的的資訊只能被特定人員檢視，並確保任何未經授權的人員都無法檢視或訪問這些資訊。它與隱私相關，因為它回答了誰將使用資料的問題。人們不希望他們的資料被所有人檢視或訪問。這可能導致其資產或隱私受到損害。為了實現資訊的機密性，組織使用政策來教育員工哪些資訊可以檢視哪些資訊不能檢視，並使用資料儲存和加密等工具來增強資訊的安全性。機密性遭到破壞的示例包括資料洩露或網際網路上個人資訊的披露。

CIA三元組中資訊的下一個方面是完整性。它是保護資料的過程，以確保其保持不變並處於接收到的原始狀態。這意味著資訊不得以任何方式被編輯、修改或刪除，除非獲得授權。資訊完整性在獲取、儲存或交換資訊時都可能面臨風險。這可能是由於惡意軟體和病毒（如蠕蟲、特洛伊木馬、邏輯炸彈或引導病毒）的攻擊。也可能是由有問題的軟體或資料傳輸時的噪聲引起的。為了實現完整性並保持完整性，使用校驗和和糾錯來驗證位或雜湊是否發生更改，並檢視資訊完整性是否丟失。

三元組中資訊的最後一個方面是可用性。這意味著始終可以為授權使用者提供對資訊的訪問。為了解釋它，就像一棟在門口裝有讀卡器的大樓。當您掃描您的卡時，您期望能夠進入大樓並使用內部的資源。如果讀卡器讀取了您的卡，但門出現故障而無法開啟，則您被拒絕了可用性。這也適用於資訊和資料。^[2]

那麼資料保護是如何實現上述方面呢？好吧，資料保護透過許多活動來涵蓋這一點。^[3]

它是以電子形式收集知識和資訊的過程。它是定位、提取、分析和審查數字資料（如影像、檔案、電子郵件、網路流量等）的過程。它有助於描繪一幅圖景，或者為電子資料取證領域中負責定位重要資訊的人員提供指導。

歸檔是保護資訊的過程，特別是將非活動資訊保護未知時間或很長時間。資訊可以隨時提取並進行參考，但目前大多不可用，但仍應受到保護。

備份是建立資訊副本的過程。基本上是建立它們的安全的副本，以便如果原始資料被篡改或損壞，可以使用備份副本還原原始資料。

快照是在特定時間記錄機器狀態的過程。通常對於儲存裝置而言，拍攝快照是建立資料和資訊副本的好方法，類似於備份。資料和資訊可以恢復到快照的特定時間。^[4]

複製是資料保護中非常昂貴的一部分，對於災難恢復過程來說非常必要。它涉及複製和重複資料，然後將其移動到異地位置以進行保護。這更多是為了幫助組織在遭受攻擊、自然災害和其他對他們資料和資訊造成重大損害或危害的事件後進行恢復。^[5]

可用性是指確保資料和資訊在任何時候都可供任何有權訪問的人員訪問。確保它不會完全受到限制或無人照料或無人監督。

災難恢復是指組織確保從災難中恢復並檢視其資料狀態的過程。基本上檢視可能丟失了哪些機密性、完整性和可用性。這涉及使用上述工具和流程，並嘗試找出導致災難的原因以及如何為將來做好計劃，以便在將來再次發生時能夠更有效地恢復。^[6]

業務連續性是建立系統和工具以幫助恢復過程並應對未來威脅的過程。基本上是提前計劃，保護自己，並確保可以再次解決或避免威脅。

然而，要確保資料保護，不僅僅需要工具和流程。還有許多法規、法律和政策可以幫助並確保適當的資料保護。其中一項被許多人認為是強有力接受的法規是 GDPR。自 1995 年以來，歐洲的資料隱私一直受歐洲議會和理事會 1995 年 10 月 24 日的第 95/46/EC 號指令的監管。^[7]這些法規將涉及保護個人及其資料處理相關的權利，1995 年官方公報 (I. 281)（指令）。^[7]由於技術的快速發展，這些法規被認為是無效的，他們希望為歐盟公民提供更好的保護和權利，並統一資料保護法律。這導致了“通用資料保護條例”（GDPR）的建立，其最終文字於 2016 年獲得批准。^[7]GDPR 於 2018 年 5 月 25 日開始實施。

GDPR 的主要目標是讓公司對使用者資料承擔更多責任，並加強使用者對其個人資料的控制。它透過包含一些規定來做到這一點，這些規定要求企業保護歐盟公民在歐盟境內發生的每筆交易的個人資料和隱私。GDPR 還規定了將個人資料出口到歐盟以外地區的規定。^[8]這項立法將迫使公司為他們收集的不同型別的資料提供單獨的同意表格，以及撤回同意的可能性。它還將阻止公司在未經持有“父母責任”的人同意的情況下收集 16 歲以下兒童的資料。^[9]資料庫遭到洩露的公司必須在 72 小時內向受影響者發出通知。^[9]它還將賦予消費者刪除公司收集的所有與其相關的資料的能力。GDPR 保護的資料型別包括基本身份資訊、網路資料、健康和基因資料、生物識別資料、種族或族裔資料、政治觀點和性取向。^[8]GDPR 定義了公司內部負責確保遵守 GDPR 規定的角色。這些角色包括資料控制者、資料處理者和資料保護官 (DPO)。^[8]任何違反 GDPR 規則的公司都將面臨最高達其全球年營業額的 4% 或 2000 萬歐元罰款，以較高者為準。^[9]

GDPR在第5-11條中規定了所有個人資料應如何處理的原則。^[10] 資料控制者應以合乎道德的方式處理個人資料。六項體現道德資料處理的原則包括：

1. 合法、公平、透明：資料主體的個人資訊應以合乎道德、公平且透明的方式處理。在與資料主體相關的情況下，所有流程都應符合法律規定。
2. 目的限制：涉及個人資料的流程應僅限於最初從資料主體收集該資料的目的。
3. 資料最小化：在收集資料時，資料控制者必須確保僅收集與目的相關的必要資訊。
4. 準確性：資料主體的個人資料必須準確並保持最新。不準確或過時的資料應刪除。
5. 儲存限制：收集的個人資料僅在必要時保留。當資料不再用於任何合法目的時，必須將其刪除。
6. 完整性和機密性：公司必須採取技術措施來確保個人資料的保護，包括防止未經授權的訪問或不合道德的處理，以及防止意外丟失。^[11]

組織應遵循GDPR指南，踐行良好的道德規範。根據西北大學的說法，一個人的姓名、電子郵件、電話、地址和社會安全號碼都算作使用者的個人資料，因為它識別了使用者，“實際上，這也包括所有以任何方式分配給個人的資料”。^[12] 由於這些資料被視為個人資料，因此管理它們的政策必須在非常有限的範圍內使用這些資料條目。合乎道德的組織應保護這些資訊，並且只收集必要的資訊。

對於資料處理器而言，資料必須限制在控制器要求的範圍內，然後必須迅速刪除，以確保使用者的資訊不能用於除所需目的之外的其他目的。對於資料控制者而言，處理器提供的資訊必須根據從問題中得出的結論進行分類以供刪除。例如，在Oracle的隱私政策中有一條宣告寫道：“參與與我們的客戶、供應商和業務合作伙伴的交易，以及處理我們產品和服務的購買，將在交易或服務期間保留”。^[13] 未能遵循這些指南不僅是不道德的，還可能導致處罰。

在美國，與資料保護相關的法律非常多樣化。他們制定了與不同行業和特定媒介相關的法律，例如，他們對金融公司、電信部門、醫療保健、信用報告、兒童資訊收集等制定了不同的法律和法規。此外，美國的50個州都有自己的法律和法規，組織必須遵守。因此，如果有人試圖建立一個組織，他們首先必須遵守聯邦法律（如果議會通過了該法案），然後是州法律。^[14]

由於美國沒有專門針對資料保護或資料洩露的聯邦法律，因此所有50個州共同制定了規則和法規。州法律主要側重於保護資料，組織制定了適當的隱私政策，採取了哪些步驟來保護和保障社會安全號碼和駕駛執照號碼，以及關於資料洩露的通知時間表。現在，如果我們談論隱私法，加利福尼亞州位居榜首，它擁有超過25項與資料隱私/保護相關的州法律。最近，該州推出了一項新的法律，即2018年加州消費者隱私法案（CCPA），該法案將於2020年1月1日生效。2018年3月21日，南達科他州簽署了一項新法律，該法律適用於在該州開展業務的組織。考慮到擁有最嚴格的金融行業相關法律的因素，紐約州位居榜首。^[15][16]

儘管美國的隱私法非常複雜且難以理解，但瞭解並遵守這些規則和法規非常重要。不僅是州政府，州檢察長或聯邦貿易委員會也有權對組織採取行動。他們也制定了規則和法規。

1. ↑ Waltz, D. B. (2014)。數字時代中的隱私。印第安納法律評論，48，205。
2. ↑ Samonas, S. & Coss, D. (2014)。中央情報局反擊：重新定義安全中的機密性、完整性和可用性。資訊系統安全雜誌，10（3）。
3. ↑ Pearlman, S. (未註明日期)。什麼是資料處理？定義和階段 - Talend雲集成。檢索自https://www.talend.com/resources/what-is-data-processing/
4. ↑ 快照技術概述。（2006年4月26日）。檢索自https://www.ibm.com/developerworks/tivoli/library/t-snaptsm1/index.html
5. ↑ 資料複製 – 備份技術。（未註明日期）。檢索自https://www.delltechnologies.com/en-us/learn/data-protection/data-replication.htm
6. ↑ Schwab, J.，Topping, K. C.，Eadie, C. C.，Deyle, R. E. & Smith, R. A. (1998)。災後恢復和重建規劃（第483-484頁）。芝加哥，伊利諾伊州：美國規劃協會。
7. ↑ ^{a b c} Petersen, K. (2018)。GDPR：您需要了解的關於歐盟資料保護法的知識（以及原因）。[電子書] 第12-16頁。可在以下網址獲取：https://www.kmclaw.com/media/article/247_July_Aug_2018_Peterson_Data_Protection.pdf
8. ↑ ^{a b c} Nadeau, M. (2018年4月23日)。通用資料保護條例 (GDPR)：保持合規所需瞭解的資訊。檢索自CSO：https://www.csoonline.com/article/3202771/general-data-protection-regulation-gdpr-requirements-deadlines-and-facts.html
9. ↑ ^{a b c} Kharpal, A. (2018年5月25日)。您需要了解的關於可能撼動美國大型科技公司的新歐盟資料法的一切。檢索自CNBC：https://www.cnbc.com/2018/03/30/gdpr-everything-you-need-to-know.html
10. ↑ Bhatia, P. 理解6個關鍵GDPR原則。檢索自EU GDPR學院：https://advisera.com/eugdpracademy/knowledgebase/understanding-6-key-gdpr-principles/
11. ↑ 2019年資料保護：法律和法規：美國：ICLG。（未註明日期）。檢索自https://iclg.com/practice-areas/data-protection-laws-and-regulations/usa
12. ↑ 論文，O. W. (2018年4月)。Oracle雲基礎設施和GDPR。檢索自Oracle雲：https://cloud.oracle.com/iaas/whitepapers/oci-gdpr.pdf

13. ↑ N. (2018年5月25日). 人類研究行為中一般資料保護條例 (GDPR) 合規指南。檢索自 https://irb.northwestern.edu/sites/irb/files/documents/GDPR+Guidance.pdf
14. ↑ 資料保護法：概述（報告）。(2019年3月25日). 檢索自 https://fas.org/sgp/crs/misc/R45631.pdf
15. ↑ 美國法律。(2019年1月28日). 檢索自 https://www.dlapiperdataprotection.com/index.html?c=US&c2=&go-button=GO&t=law
16. ↑ McDaniel, P. & Lipscomb, K. (2018年4月30日). 各州現行的資料洩露法律；聯邦資料洩露法律懸而未決。檢索自 https://www.securityprivacybytes.com/2018/04/data-breach-laws-on-the-books-in-every-state-federal-data-breach-law-hangs-in-the-balance/