什么是数据隐私?

数据隐私是指保护个人数据,使不应访问数据之人无法访问,以及个人能够决定谁可以访问其个人信息。

学习目标

阅读本文后,您将能够:

  • 定义“隐私”
  • 了解数据隐私为什么重要
  • 说明用户在保护其隐私方面面临的挑战

复制文章链接

什么是数据隐私?

数据隐私一般是指一个人能够自己决定何时、如何以及在何种程度上与他人分享或交流有关他们的个人信息。这种个人信息可以是一个人的姓名、位置、联系信息,或者是网络或现实世界的行为。就像有人可能希望把别人排除在私人谈话之外一样,许多在线用户希望控制或防止某些类型的个人数据收集。

随着近些年来互联网使用的增加,数据隐私的重要性也在提升。网站、应用程序和社交媒体平台往往需要收集和存储用户的个人数据,以便提供服务。然而,一些应用程序和平台可能超出用户对数据收集和使用的预期,用户拥有的隐私权远低于想象。其他应用程序和平台可能没有就他们收集的数据设置足够的保障措施,这可能会导致数据泄露,损害用户隐私。

为什么数据隐私很重要?

在许多司法管辖区,隐私被认为是一项基本人权,而数据保护法的存在就是为了保护这项权利。数据隐私很重要的另一个原因是,为了让个人愿意在线参与,他们需要相信自己的个人数据会被谨慎处理。组织利用数据保护做法向他们的客户和用户表明,他们可以安心地提供个人数据。

如果不对个人数据进行保密,或者人们没有能力控制其信息的使用方式,那么个人数据可能通过多种方式被滥用:

  • 犯罪分子可以利用个人数据来诈骗或骚扰用户。
  • 各实体可能在未经用户同意的情况下向广告商或其他外部方出售个人数据,这可能导致用户收到不想要的营销或广告。
  • 当一个人的活动被跟踪和监控时,这可能会限制他们自由表��自己的能力,特别是在压迫性政府下。

对于个人来说,任何此类结果都可能是有害的。对企业来说,这些结果会对他们的声誉造成不可挽回的损害,并导致罚款、制裁和其他法律后果。

除了侵犯隐私的现实影响外,许多人和国家认为,隐私具有内在价值:隐私是自由社会的一项基本人权,就像言论自由权一样。

管理数据隐私的法律有哪些?

随着技术进步提高了数据收集和监控能力,世界各地的政府已经开始通过法律,规范可以收集有关用户的哪些数据、如何使用这些数据,以及应该如何存储和保护数据。需要了解的一些重要监管隐私框架包括:

  • 《通用数据保护条例》(GDPR):规定如何收集、储存和处理欧盟 (EU) 数据主体(指个人)的个人数据,并赋予数据主体控制其个人数据的权利(包括被遗忘权)。
  • 国家数据保护法:包括加拿大、日本、澳大利亚、新加坡等在���的许多国家都有某种形式的综合数据保护法。部分国家的法律与 GDPR 十分相似,如巴西的《通用个人数据保护法》和英国的《数据保护法》。
  • 《加州消费者隐私法》(CCPA):要求让消费者了解收集了哪些个人数据,并赋予消费者对其个人数据的控制权,包括有权告诉机构不要出售其个人数据。

部分国家也有特定行业的隐私准则。例如,在美国,《健康保险便携性和责任法案》(HIPAA) 规定了应如何处理个人医疗数据。

然而,许多隐私倡导者认为,个人对其个人数据的处理仍然没有足够的控制权。世界各国政府可能会在未来通过更多的数据隐私法。

什么是《公平信息惯例》?

许多现行的数据保护法都基于基本的隐私原则和做法,例如《公平信息惯例》中规定的原则和做法。《公平信息惯例》是一套关于数据收集和使用的准则。这些准则最先由美国卫生、教育和福利部的一个咨询委员会在 1973 年提出。后来,国际经济合作与发展组织 (OECD) 在其《隐私保护与个人数据跨境流动准则》中采用了这些准则。

《公平信息惯例》包括:

  • 收集限制:应当限制能够收集的个人数据量
  • 数据质量:在收集时,个人数据应该是准确的并与其使用目的有关
  • 目的明确:应指定个人数据的用途
  • 使用限制:数据不应被用于指定目的以外的用途
  • 安全保障措施:数据应保持安全
  • 公开性:个人数据的收集和使用不应该对个人保密
  • 个人参与:个人有一些权利,包括有权知道谁拥有他们的个人数据、有权获知他们的数据、有权知道为什么拒绝他们的数据请求,以及有权要求纠正或删除他们的个人数据
  • 问责制:收集数据之人应该对执行这些原则负责

用户在保护其在线隐私时面临哪些挑战?

在线跟踪:用户行为经常被在线跟踪。Cookie 通常会记录用户的活动,虽然大多数国家要求网站提醒用户 Cookie 的使用,但用户可能不知道 Cookie 在何种程度上记录了他们的活动。

失去对数据的控制:随着这么多在线服务的普遍使用,对于在线互动所在网站之外的数据分享情况,个人可能并不知情,而且他们可能对其数据的处理方式并没有发言权。

缺乏透明度:为了使用 Web 应用程序,用户往往必须提供个人数据,如他们的姓名、电子邮件、电话号码或位置;同时,与这些应用程序相关的隐私政策可能繁复难懂。

社交媒体:使用社交媒体平台在网上找人比以往任何时候都容易,社交媒体上的帖子可能会暴露比用户意识到的更多的个人信息。此外,社交媒体平台收集的数据往往比用户意识到的要多。

网络犯罪:许多攻击者试图窃取用户数据,以实施欺诈、破坏安全系统,或在地下市场上出售给将数据用于恶意目的的各方。一些攻击者使用钓鱼攻击,试图诱使用户透露个人信息;另一些攻击者则试图入侵包含个人数据的公司内部系统。

企业在保护用户隐私方面面临哪些挑战?

沟通:组织有时难以向其用户清楚地传达他们正在收集哪些个人数据以及如何使用这些数据。

网络犯罪:攻击者既针对个人用户,也针对收集和存储这些用户数据的组织。此外,随着企业的更多方面接入互联网,攻击面也在增加。

数据泄露: 如果个人信息被泄露,数据泄露会导致用户隐私受到大规模侵犯,而攻击者正在不断完善他们用来造成这些泄露的技术。

内部威胁:如果数据没有得到充分的保护,内部雇员或承包商可能会不适当地访问数据。

有哪些用于数据隐私的重要技术?

  • 加密通过扰乱信息使其看起来是随机数据的方式来隐藏信息。只有拥有加密密钥的各方才能解密信息。
  • 访问控制可确保只有授权方才能访问系统和数据。访问控制可以与数据丢失防护 (DLP) 相结合,以阻止敏感数据离开网络。
  • 双因素身份验证是对普通用户而言最重要的技术之一,因为它使攻击者更难以未经授权访问个人帐户。

这些只是如今可用于保护用户隐私和数据安全的部分技术。然而,仅仅依靠技术并不足以保护数据隐私。

Cloudflare 采取了哪些措施来保护隐私?

Cloudflare 认为,数据隐私是帮助建立更好的互联网这一使命的核心部分。Cloudflare 的产品在构建之初就已考虑了隐私问题,同时 Cloudflare 已经发布了一系列旨在保护在线用户隐私的服务:

  • 1.1.1.1 是一个免费的 DNS 解析器,它不会跟踪或存储 DNS 查询(这与许多其他 DNS 解析器不同,后者可能将这些信息出售给广告商)
  • Cloudflare 支持 DNS over HTTPS,对 DNS 查询进行完全加密
  • Cloudflare 为使用 Cloudflare 的所有网站提供免费 SSL
  • 伽利略计划免费保护重要易受攻击组织的隐私
  • Cloudflare Web Analytics 使企业能够在不损害用户隐私的情况下分析其网站的流量

Cloudflare 还发布了一份半年期的透明度报告,介绍我们收到的披露客户信息的请求。该报告包含一套金丝雀安全声明。此外,可在此处查阅 Cloudflare 的隐私政策。

要深入了解 Cloudflare 为保护用户隐私所做的努力,请参阅这篇博客文章