Luật bảo vệ quyền riêng tư

Luật bảo vệ quyền riêng tư

Rate this post

Một vấn đề với sự chồng chéo đáng kể với máy tính bảo mật là quyền riêng tư. Một mặt, quy mô và tính liên kết của thông tin cá nhân được thu thập và lưu trữ trong các hệ thống thông tin đã tăng lên đáng kể, được thúc đẩy bởi các biện pháp thực thi pháp luật, an ninh quốc gia và các khuyến khích kinh tế.

Các bài viết liên quan:

Điều cuối cùng được đề cập có lẽ là động lực chính. Trong nền kinh tế thông tin toàn cầu, có khả năng là tài sản điện tử có giá trị kinh tế nhất là tổng hợp thông tin về các cá nhân [JUDY09]. Mặt khác, các cá nhân ngày càng nhận thức được mức độ mà các cơ quan chính phủ, doanh nghiệp và thậm chí cả người dùng Internet có thể truy cập vào thông tin cá nhân và các chi tiết riêng tư về cuộc sống và hoạt động của họ.

Luật bảo vệ quyền riêng tư

Mối quan tâm về mức độ quyền riêng tư cá nhân đã và có thể bị xâm phạm đã dẫn đến nhiều phương pháp tiếp cận pháp lý và kỹ thuật để củng cố quyền riêng tư.

Luật và Quy định về Quyền riêng tư

Một số tổ chức quốc tế và chính phủ các quốc gia đã giới thiệu đưa ra các luật và quy định nhằm bảo vệ quyền riêng tư của cá nhân. Chúng tôi xem xét hai sáng kiến ​​như vậy trong tiểu mục này.

EUROPEAN UNION DATA PROTECTION DIRECTIVE

Năm 1998, EU đã thông qua Chỉ thị về Bảo vệ Dữ liệu cho cả đảm bảo rằng các quốc gia thành viên được bảo vệ quyền riêng tư cơ bản khi xử lý thông tin cá nhân và ngăn các quốc gia thành viên hạn chế luồng thông tin cá nhân tự do trong EU. Bản thân Chỉ thị không phải là luật, nhưng yêu cầu các quốc gia thành viên ban hành luật bao gồm các điều khoản của nó. Chỉ thị được tổ chức dựa trên các nguyên tắc sử dụng thông tin cá nhân sau:

  • Notice: Các tổ chức phải thông báo cho các cá nhân thông tin cá nhân mà họ đang thu thập, việc sử dụng thông tin đó và những lựa chọn mà cá nhân có thể có.
  • Consent: Các cá nhân phải có thể lựa chọn liệu cá nhân của họ như thế nào và thông tin được sử dụng hoặc tiết lộ cho các bên thứ ba. Họ có quyền không thu thập hoặc sử dụng bất kỳ thông tin nhạy cảm nào mà không có sự cho phép rõ ràng, bao gồm chủng tộc, tôn giáo, sức khỏe, tư cách thành viên công đoàn, tín ngưỡng và đời sống tình dục.
  • Consistency: Các tổ chức chỉ có thể sử dụng thông tin cá nhân theo các điều khoản của thông báo đã cung cấp cho chủ thể dữ liệu và mọi lựa chọn liên quan đến việc sử dụng thông tin do chủ thể thực hiện.
  • Access: Các cá nhân phải có quyền và khả năng truy cập thông tin của họ và chỉnh sửa, sửa đổi hoặc xóa bất kỳ phần nào của thông tin đó.
  • Security: Các tổ chức phải cung cấp bảo mật thích hợp, sử dụng các phương tiện kỹ thuật và các phương tiện khác, để bảo vệ tính toàn vẹn và bí mật của thông tin cá nhân.
  • Security: Các bên thứ ba nhận thông tin cá nhân phải cung cấp mức độ bảo vệ quyền riêng tư tương tự như tổ chức nhận được thông tin từ đó.
  • Enforcement: Chỉ thị cấp quyền hành động riêng cho các chủ thể dữ liệu khi các tổ chức không tuân theo luật. Ngoài ra, mỗi thành viên EU có một cơ quan thực thi pháp lý liên quan đến việc thực thi quyền riêng tư.

UNITED STATES PRIVACY INITIATIVES

Luật bảo mật toàn diện đầu tiên được thông qua ở Hoa Kỳ là Đạo luật về Quyền riêng tư năm 1974, đạo luật này xử lý thông tin cá nhân được các cơ quan liên bang thu thập và sử dụng. Đạo luật nhằm mục đích

  1. Cho phép các cá nhân xác định những hồ sơ nào liên quan đến họ được thu thập, duy trì, sử dụng hoặc phổ biến.
  2. Cho phép các cá nhân cấm hồ sơ thu được cho một mục đích được sử dụng cho mục đích khác mà không được sự đồng ý.
  3. Cho phép các cá nhân có quyền truy cập vào các hồ sơ liên quan đến họ và sửa và sửa đổi các hồ sơ đó khi thích hợp.
  4. Đảm bảo rằng các cơ quan thu thập, duy trì và sử dụng thông tin cá nhân theo cách đảm bảo rằng thông tin đó là cập nhật, đầy đủ, phù hợp và không quá mức cho mục đích sử dụng.
  5. Tạo quyền hành động riêng tư cho những cá nhân có thông tin cá nhân không được sử dụng theo Đạo luật.

Cũng như tất cả các luật và quy định về quyền riêng tư, có những ngoại lệ và điều kiện kèm theo Đạo luật này, chẳng hạn như điều tra tội phạm, lo ngại về an ninh quốc gia và xung đột giữa các quyền riêng tư của cá nhân cạnh tranh.

Luật bảo vệ quyền riêng tư

Trong khi Đạo luật về quyền riêng tư năm 1974 bao gồm các hồ sơ của chính phủ, một số luật đã được ban hành bao gồm các lĩnh vực khác, bao gồm các lĩnh vực sau:

  • Banking and financial records: Thông tin ngân hàng cá nhân được bảo vệ theo những cách nhất định bởi một số luật, bao gồm cả Đạo luật hiện đại hóa dịch vụ tài chính gần đây.
  • Credit reports: Đạo luật Báo cáo Tín dụng Công bằng quy định các quyền nhất định về cá nhân và nghĩa vụ đối với các cơ quan báo cáo tín dụng.
  • Medical and health insurance records: Nhiều luật đã được áp dụng trong nhiều thập kỷ liên quan đến quyền riêng tư của hồ sơ y tế. Đạo luật về trách nhiệm giải trình và cung cấp bảo hiểm y tế (HIPPA) đã tạo ra các quyền mới đáng kể cho bệnh nhân trong việc bảo vệ và truy cập thông tin sức khỏe của chính họ.
  • Children’s privacy: Đạo luật bảo vệ quyền riêng tư của trẻ em trên mạng đặt ra những hạn chế đối với các tổ chức trực tuyến trong việc thu thập dữ liệu từ trẻ em dưới 13 tuổi.
  • Electronic communications: Đạo luật về Quyền riêng tư của Truyền thông Điện tử nói chung nghiêm cấm việc ngăn chặn trái phép và có chủ đích đối với thông tin liên lạc bằng dây và điện tử trong giai đoạn truyền tải và truy cập trái phép vào các liên lạc điện tử và truyền thông điện tử được lưu trữ dưới dạng điện tử.

Các tổ chức cần triển khai cả các biện pháp kiểm soát quản lý và các biện pháp kỹ thuật để tuân thủ luật và quy định liên quan đến quyền riêng tư cũng như thực hiện các chính sách nghiêm khắc liên quan đến quyền riêng tư của nhân viên. ISO 17799 (Quy tắc Thực hành về Quản lý An toàn Thông tin) nêu yêu cầu như sau:

Giám sát quyền riêng tư và dữ liệu

Các yêu cầu về an ninh nội địa và chống khủng bố đã đặt ra các mối đe dọa mới đối với quyền riêng tư cá nhân. Các cơ quan thực thi pháp luật và tình báo ngày càng trở nên tích cực hơn trong việc sử dụng các kỹ thuật giám sát dữ liệu để hoàn thành sứ mệnh của mình. Ngoài ra, tổ chức tư nhân đang khai thác một số xu hướng để tăng khả năng xây dựng hồ sơ chi tiết của các cá nhân, bao gồm sự phổ biến của Internet, sự gia tăng của các phương thức thanh toán điện tử, việc sử dụng gần như phổ biến thông tin liên lạc qua điện thoại di động, tính toán phổ biến, web cảm biến , và như thế.

Cả hai phương pháp tiếp cận chính sách và kỹ thuật đều cần thiết để bảo vệ quyền riêng tư khi cả chính phủ và tổ chức phi chính phủ tìm cách tìm hiểu càng nhiều càng tốt về các cá nhân. Về phương pháp tiếp cận kỹ thuật, các yêu cầu về bảo vệ quyền riêng tư đối với hệ thống thông tin có thể được giải quyết trong bối cảnh cơ sở dữ liệu Bảo vệ. Có nghĩa là, các phương pháp tiếp cận phù hợp để bảo vệ quyền riêng tư liên quan đến các phương tiện kỹ thuật đã được phát triển để bảo mật cơ sở dữ liệu.

Luật bảo vệ quyền riêng tư

Một đề xuất cụ thể cho cách tiếp cận bảo mật cơ sở dữ liệu để bảo vệ quyền riêng tư là được nêu trong [POPP06] và được minh họa trong Hình 23.5. Thiết bị bảo mật là một thiết bị được bảo vệ bằng mật mã, có khả năng chống lại mọi thứ, được xen kẽ giữa cơ sở dữ liệu và giao diện truy cập, tương tự như tường lửa hoặc thiết bị ngăn chặn xâm nhập. Thiết bị triển khai các chức năng bảo vệ quyền riêng tư, bao gồm xác minh quyền truy cập và thông tin xác thực của người dùng và tạo nhật ký kiểm tra. Một số chức năng cụ thể của thiết bị như sau:

  • Privacy and Data Surveillance Chức năng này mã hóa hoặc mã hóa các phần của dữ liệu để bảo vệ quyền riêng tư nhưng vẫn cho phép các chức năng phân tích dữ liệu cần thiết cho hiệu quả sử dụng tive. Một ví dụ về các chức năng phân tích dữ liệu như vậy là phát hiện các mẫu hoạt động khủng bố.
  • Anonymization: Chức năng này xóa thông tin nhận dạng cụ thể khỏi kết quả truy vấn, chẳng hạn như họ và số điện thoại, nhưng tạo một số loại nhận dạng duy nhất ẩn danh để các nhà phân tích có thể phát hiện kết nối giữa các truy vấn.
  • Selective revelation: Đây là một phương pháp để giảm thiểu việc phơi bày thông tin cá nhân trong khi vẫn cho phép phân tích liên tục các dữ liệu. Ban đầu, chức năng này chỉ tiết lộ thông tin cho nhà phân tích ở dạng được làm sạch, nghĩa là về số liệu thống kê và danh mục không tiết lộ (trực tiếp hoặc gián tiếp) thông tin cá nhân của bất kỳ ai. Nếu nhà phân tích thấy lý do để lo lắng, họ có thể theo dõi bằng cách xin phép để có thêm thông tin chính xác. Sự cho phép này sẽ được cấp nếu thông tin ban đầu cung cấp đủ nguyên nhân để cho phép tiết lộ thêm thông tin, theo các nguyên tắc chính sách và pháp lý thích hợp.
  • Immutable audit: Một phương pháp chống giả mạo xác định nơi dữ liệu đi đến và ai đã xem dữ liệu. Chức năng kiểm tra ghi lại tự động và vĩnh viễn tất cả các truy cập dữ liệu, với khả năng bảo vệ mạnh mẽ chống lại việc xóa, sửa đổi và sử dụng trái phép.
  • Associative memory: Đây là một mô-đun phần mềm có thể nhận dạng các mẫu và tạo kết nối giữa các phần dữ liệu mà người dùng có thể đã bỏ lỡ hoặc không biết là có tồn tại. Với phương pháp này, nó có thể khám phá các mối quan hệ một cách nhanh chóng giữa các điểm dữ liệu được tìm thấy trong một lượng lớn dữ liệu.
Luật bảo vệ quyền riêng tư

Như Hình 23.5 chỉ ra, chủ sở hữu cơ sở dữ liệu cài đặt một công cụ bảo mật phù hợp với nội dung và cấu trúc cơ sở dữ liệu cũng như mục đích sử dụng của bên ngoài các tổ chức. Một thiết bị bảo mật hoạt động độc lập có thể tương tác với nhiều cơ sở dữ liệu từ nhiều tổ chức để thu thập và kết nối dữ liệu với nhau nhằm mục đích sử dụng cuối cùng của cơ quan thực thi pháp luật, người dùng thông minh hoặc người dùng thích hợp khác.

Leave a Reply