ACM通信

隐私和安全

2018年:隐私大年

卡尔·兰德威尔著
ACM通信，2019年2月，第62卷第2期，第20-22页
10.1145 / 3300224
评论

未来，2018年可能被视为隐私事件和相关隐私政策关注的转折点。今年3月，剑桥分析(Cambridge Analytica) /Facebook事件让许多人看到了个人数据可能到达的意想不到的地方，并继续产生反响。⁴谷歌在宣布泄露约50万用户的数据后，于10月关闭了陷入困境的谷歌Plus社交网络系统，¹⁵仅为剑桥分析公司案件的1%。Facebook在10月份披露了另一起数据泄露事件，据报道，这次事件影响了2900万用户。¹⁴

开放的GEDmatch基因组数据库是为家谱研究而开发的，警察和遗传学专家使用它来确定两起“悬案”和其他几起犯罪中的嫌犯。⁸该网站的创始人起初对执法部门使用该网站感到不舒服，但现在似乎感到更舒服了。研究人员随后估计，今天大约有60%的欧洲裔美国人可以从他们的DNA中被识别出来，即使他们从未在任何网站上注册过自己的DNA。⁶此外，他们预测这一数字将在两到三年内上升到90%。⁹

约翰汉考克人寿保险公司(John Hancock Life Insurance Company)宣布，它将只通过“互动”保单销售人寿保险，这种保单提供财务激励，通过可穿戴设备和智能手机跟踪投保人的健身和健康数据;²最新款的苹果手表可以记录你的心电图。

---

创新有它的缺点，隐私的丧失是不容易补救的。

---

在政策方面，人们期待已久的欧盟《通用数据保护条例》(GDPR)将于5月底实施¹²引发了全球企业数据隐私政策的多次审查。这些修订需要用户进行数不清的点击，以确认政策的改变。

大约一个月后，在强大的隐私投票倡议的威胁下，加州通过了《2018年加州消费者隐私法》。¹它结合了GDPR的一些特点，并赋予加州消费者了解企业掌握他们个人信息的权利。消费者控制信息与谁共享或出售给谁，并可以请求删除该信息。该法律开始要求面向消费者的企业遵守1974年《隐私法案》规定的美国政府系统(但不包括商业企业)的一些公平信息实践原则。¹³

加州法律中“个人信息”的定义较为宽泛。它不仅包括生物特征信息，还包括“识别、关联、描述、能够与特定消费者或家庭直接或间接关联或合理关联的信息”。该法律列举了十几个类别的个人信息，但不包括“公开可获得的”信息(法律中也有定义)。该法律必须在2020年生效之前制定实施细节。这项法律引发了全国的讨论，并在其他州引发了立法提案。

同样是在6月，美国最高法院在卡朋特诉美国政府案。^3.这一决定代表了“第三方原则”的显著限制，即政府要求第三方提供个人自愿向其提供的数据不需要搜查令。这一原则自1979年起在美国生效，它是一种理念的基础，即一旦消费者将数据作为交易的一部分提交给公司，消费者就失去了对数据隐私的任何期望。因此，它对各种基于互联网的交易都产生了重大影响。

这项5票赞成、4票反对的裁决有四份不同的反对意见。多数法官认为这一裁决“狭隘”，因为它没有推翻第三方原则本身。相反，它认为在这个案例中的信息(手机站点位置信息或CSLI记录)应该单独处理，因为它侵犯了“生活的隐私”。此外，戈萨奇法官的异议主张推翻第三方原则。他提出，消费者很可能对电话公司持有的“香港特别按揭贷款记录”拥有财产权益，尽管在本案中没有提出这一论点。第三方例行收集的其他类别的数据也可能对生活隐私造成同样的侵犯;更多的诉讼可能接踵而至。

去年秋天，NIST启动了隐私框架的开发。¹⁰与2014年发布并于2018年4月更新的网络安全框架一样，¹¹隐私框架不是一个标准，而是一种常见隐私实践的指南，将帮助公司评估隐私风险，并采取适当的措施应对风险。与此同时，NTIA(也是美国商务部的一部分)发布了一份关于消费者隐私两部分方法的征求意见(RFC):第一部分描述了预期的以用户为中心的隐私结果，第二部分设定了高层目标，概述了实现这些结果的生态系统。⁵RFC不建议修改现有的部门隐私法，而且，可能因为它是与国家经济委员会(National Economic Council)合作制定的，关于高层目标的第二部分强调保持“创新的灵活性”，并建议采用“基于风险和结果”的方法，而不是遵从性的方法。

虽然没有人喜欢繁文缛节，但创新也有它的缺点(还记得那些创新的债务抵押债券吗?)，而且隐私的丧失也不容易补救。公司已经可以选择“设计隐私”，但很少有公司这样做。对我来说，对一些基准措施的要求似乎是合理的，甚至是必要的。

国会多年来第一次对起草全面的隐私立法表现出了一定的兴趣。这可能会成为116的热门话题^th如果公众的兴趣继续强烈，美国国会。

回到Facebook/Cambridge Analytica事件，这对那些从事计算机行业的人，尤其是从事研究的人来说，具有直接的重要性。2014年，一名有学术背景的研究人员获得了Facebook的许可，发布了一款用于研究目的的收集数据的应用程序。该应用程序收集了一些Facebook用户的数据，这些用户同意收集数据，但也在用户不知情或不同意的情况下收集了数百万用户的数据。这种收集行为现在会违反Facebook的政策，但在当时并不违法。该研究人员向剑桥分析公司提供了这些数据，可能违反了Facebook的政策。剑桥分析公司将这些数据用于商业目的。

这里的主要问题是问责制。这要么违反了该学术机构与Facebook的协议，要么证明这些协议不足以满足Facebook 2011年与美国联邦贸易委员会(FTC)签署的同意令。数以百万计的人的隐私受到侵犯，合法学术研究人员的名誉受到玷污。Facebook显然没有什么动力让这名研究人员和剑桥分析公司承担责任。Facebook在知情一年多前就已经知道了事情的真相，但在其悠久的隐私道歉历史中，它姗姗来迟地又发布了一次道歉。⁷

公平交易委员会(FTC)和证券交易委员会(SEC)正在调查此事。美国证券交易委员会可能会认为，Facebook有责任在事件被发现时没有通知股东。联邦贸易委员会可能会发现Facebook违反了2011年的同意协议条款，未能按照同意法令保护用户数据。法院可能会要求Facebook支付足够大的罚款，让它有足够的动力对使用Facebook数据的研究人员和商业实体执行正确的隐私政策。英国已经征收了50万英镑的罚款，这是英国法律允许的最高罚款，但这不太可能给一家2017年净利润超过150亿美元的公司带来多大的激励。GDPR允许罚款高达全球营收的4%，这对Facebook来说将远远超过10亿美元，但事件发生在GDPR生效之前。未来罚款的威胁应该会给Facebook防止此类事件再次发生的动力。

---

国会多年来首次对起草全面的隐私立法表现出了一定的兴趣。

---

联邦贸易委员会征收的罚款将进入美国财政部。Facebook的用户承担了风险，并承受了后果。他们应该得到补偿吗?为每个隐私被侵犯的用户赔偿一分钱或一毛钱可能不是解决问题的办法。或许更多的进展将来自于资助调查新闻或其他控制措施，但可能不在监管机构可以采取的行动范围内。可能需要想象力来帮助Facebook用补偿Facebook用户的方式让他们的客户承担责任。

从事“大数据”研究的计算机专业人员如果希望获得包含个人信息或源自个人信息的数据集的访问权，应予以注意。他们必须遵守与数据集提供商达成的协议，并记住，不恰当地公开数据会损害公众对研究的信任。为研究目的而提供给任何人的个人资料的意外或故意泄露，即使是汇总和匿名的^一个引人注目。滥用委托给他们的数据的研究人员必须被追究责任。

Facebook/Cambridge Analytica不是第一个虐待案例，也不会是最后一个。联邦贸易委员会的隐私保护显然没有很好地发挥作用。也许是时候制定全面的隐私立法了，把重点放在调整企业激励机制上，让他们的产品提供人们期望和应得的隐私。加州的法律可能是朝着这个方向迈出的一步。

一个个人愿意为了社会利益而共享数据的社会，必须让个人相信，共享的数据不太可能被滥用，滥用者可以被发现并被追究责任。

回到顶部

回到顶部

回到顶部

数字图书馆是由计算机协会出版的。版权所有©2019 ACM, Inc.

---

没有找到条目