什麼是數據隱私?

資料隱私是指保護個人資料,使不應存取資料之人無法存取,以及個人能夠決定誰可以存取其個人資訊。

學習目標

閱讀本文後,您將能夠:

  • 定義「隱私」
  • 瞭解資料隱私為何如此重要
  • 說明使用者保護其隱私所面臨的挑戰

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麼是數據隱私?

資料隱私一般是指一個人能夠自己決定何時、如何以及在何種程度上與他人分享或交流有關他們的個人資訊。這種個人資訊可以是一個人的姓名、位置、聯絡資訊,或者是網路或現實世界的行為。就像有人可能希望把別人排除在私人談話之外一樣,許多線上使用者希望控製或防止某些類型的個人資料收集。

隨著近些年來網際網路使用的增加,資料隱私的重要性也在提升。網站、應用程式和社交媒體平台往往需要收集和儲存使用者的個人資料,以便提供服務。然而,一些應用程式和平台可能超出使用者對資料收集和使用的預期,使用者擁有的隱私權遠低於想像。其他應用程式和平台可能沒有就他們收集的資料設定足夠的保障措施,這可能會導致資料外洩,損害使用者隱私權。

為什麼資料隱私很重要?

在許多司法管轄區,隱私被認為是一項基本人權,而資料保護法的存在就是為了保護這項權利。資料隱私很重要的另一個原因是,為了讓個人願意線上參與,他們需要相信自己的個人資料會被謹慎處理。組織利用資料保護做法向他們的客戶和使用者表明,他們可以安心地提供個人資料。

如果不對個人資料進行保密,或者人們沒有能力控制其資訊的使用方式,那麼個人資料可能透過多種方式被濫用:

  • 犯罪分子可以利用個人資料來詐騙或騷擾使用者。
  • 各實體可能在未經使用者同意的情況下向廣告商或其他外部方出售個人資料,這可能導致使用者收到不想要的行銷或廣告。
  • 當一個人的活動被追蹤和監控時,這可能會限制他們自由表達自己的能力,特別是在壓迫性政府下。

對於個人來說,任何此類結果都可能是有害的。對企業來說,這些結果會對他們的聲譽造成不可挽回的損害,並導致罰款、制裁和其他法律後果。

除了侵犯隱私的現實影響外,許多人和國家認為,隱私權具有內在價值:隱私權是自由社會的一項基本人權,就像言論自由權一樣。

管理資料隱私的法律有哪些?

隨著技術進步提高了資料收集和監控能力,世界各地的政府已經開始通過法律,規範可以收集有關使用者的哪些資料、如何使用這些資料,以及應該如何儲存和保護資料。需要瞭解的一些重要監管隱私框架包括:

  • 《一般資料保護規定》(GDPR):規定如何收集、儲存和處理歐盟 (EU) 資料主體(指個人)的個人資料,並賦予資料主體控制其個人資料的權利(包括被遺忘權)。
  • 國家資料保護法:包括加拿大、日本、澳大利亞、新加坡等在內的許多國家都有某種形式的綜合資料保護法。部分國家的法律與 GDPR 十分相似,如巴西的《通用個人資料保護法》和英國的《資料保護法》。
  • 《加州消費者隱私法案》(CCPA):要求讓消費者瞭解收集了哪些個人資料,並賦予消費者對其個人資料的控制權,包括有權告訴機構不要出售其個人資料。

在部分國家也有針對特定產業的隱私準則。例如,在美國,《健康保險流通與責任法案》(HIPAA) 規定了應如何處理個人醫療資料。

然而,許多隱私倡導者認為,個人對其個人資料的處理仍然沒有足夠的控制權。世界各國政府可能會在未來通過更多的資料隱私法。

什麼是公平資訊慣例?

許多現行的資料保護法都基於基本的隱私原則和做法,例如《公平資訊慣例》中規定的原則和做法。《公平資慣例》是一套關於資料收集和使用的準則。這些準則最先由美國衛生、教育和福利部的一個諮詢委員會在 1973 年提出。後來,國際經濟合作與發展組織 (OECD) 在其《隱私保護與個人資料跨境流動準則》中採用了這些準則。

《公平資訊慣例》包括:

  • 收集限制:應當限制能夠收集的個人資料量
  • 資料品質:在收集時,個人資料應該是準確的並與其使用目的有關
  • 目的明確:應指定個人資料的用途
  • 使用限制:資料不應被用於指定目的以外的用途
  • 安全保障措施:資料應保持安全
  • 公開性:個人資料的收集和使用不應該對個人保密
  • 個人參與:個人有一些權利,包括有權知道誰擁有他們的個人資料、有權獲知他們的資料、有權知道為什麼拒絕他們的資料請求,以及有權要求糾正或刪除他們的個人資料
  • 問責制:收集資料之人應該對執行這些原則負責

使用者在保護自己的線上隱私時面臨哪些挑戰?

線上追蹤:使用者行為經常被線上追蹤。Cookie 通常會記錄使用者的活動,雖然大多數國家要求網站提醒使用者 Cookie 的使用,但使用者可能不知道 Cookie 在何種程度上記錄了他們的活動。

失去對資料的控制:隨著這麼多線上服務的普遍使用,對於線上互動所在網站之外的資料分享情況,個人可能並不知情,而且他們可能對其資料的處理方式並沒有發言權。

缺乏透明度:為了使用 Web 應用程式,使用者往往必須提供個人資料,如他們的姓名、電子郵件、電話號碼或位置;同時,與這些應用程式相關的隱私權政策可能繁複難懂。

社交媒體:使用社交媒體平台在網上找人比以往任何時候都容易,社交媒體上的帖子可能會暴露比使用者意識到的更多的個人資訊。此外,社交媒體平台收集的資料往往比使用者意識到的要多。

網路犯罪:許多攻擊者試圖竊取使用者資料,以實施欺詐、破壞安全系統,或在地下市場上出售給將資料用於惡意目的的各方。一些攻擊者使用網路釣魚攻擊,試圖誘使使用者透露個人資訊;另一些攻擊者則試圖入侵包含個人資料的公司內部系統。

企業在保護使用者隱私時面臨哪些挑戰?

溝通:組織有時難以向其使用者清楚地傳達他們正在收集哪些個人資料以及如何使用這些資料。

網路犯罪:攻擊者既針對個人使用者,也針對收集和儲存這些使用者資料的組織。此外,隨著企業的更多方面接入網際網路,攻擊面也在增加。

資料外洩: 如果個人資訊被洩露,資料外洩會導致使用者隱私受到大規模侵犯,而攻擊者正在不斷完善他們用來造成這些洩露的技術。

內部人員威脅:如果資料沒有得到充分的保護,內部員工或承包商可能會不適當地存取資料。

有哪些用於資料隱私的重要技術?

  • 加密透過擾亂資訊使其看起來是隨機資料的方式來隱藏資訊。只有擁有加密金鑰的各方才能解密資訊。
  • 存取控制可確保只有授權方才能存取系統和資料。存取控制可以與資料外洩防護 (DLP) 相結合,以阻止敏感性資料離開網路。
  • 雙重驗證是對普通使用者而言最重要的技術之一,因為它使攻擊者更難以未經授權存取個人帳戶。

這些只是如今可用於保護使用者隱私和資料安全的部分技術。然而,僅僅依靠技術並不足以保護資料隱私。

Cloudflare 採取了哪些措施來保護隱私?

Cloudflare 認為,資料隱私是幫助建立更好的網際網路這一使命的核心部分。Cloudflare 的產品在構建之初就已考慮了隱私問題,同時 Cloudflare 已經發布了一系列旨在保護線上使用者隱私的服務:

  • 1.1.1.1 是一個免費的 DNS 解析程式,它不會追蹤或儲存 DNS 查詢(這與許多其他 DNS 解析程式不同,後者可能將這些資訊出售給廣告商)
  • Cloudflare 支援 DNS over HTTPS,對 DNS 查詢進行完全加密
  • Cloudflare 為使用 Cloudflare 的所有網站提供免費 SSL
  • Galileo 專案免費保護重要易受攻擊組織的隱私
  • Cloudflare Web Analytics 使企業能夠在不損害使用者隱私的情況下分析其網站的流量

Cloudflare 還發布了一份半年期的透明度報告,介紹我們收到的披露客戶資訊的請求。該報告包含一套金絲雀安全聲明。此外,可在此處查閱 Cloudflare 的隱私權政策。

進一步瞭解 Cloudflare 為保護使用者隱私所做的努力以及全球連通雲的內建安全性、隱私權和合規性功能。