Количество онлайн-активности постоянно увеличивается, особенно с расширением Интернета вещей (IoT). Мы постоянно засыпаны запросами данных. Количество мошеннических сайтов, фишинговых схем и случаев выявления кражи всегда растет. Как никогда важно быть очень бдительным в отношении безопасности вашей информации. Более того, точно знать, у кого есть ваши личные данные и как они их используют, является жизненно важным аспектом вашего права на неприкосновенность частной жизни..
Передаете ли вы свой адрес электронной почты или производите онлайн-платежи, вы хотите быть абсолютно уверены в том, куда направляется ваша информация и как она будет использоваться. Таким образом, знакомство с принципами справедливой информационной практики поможет вам принимать правильные решения при навигации как в автономном, так и в онлайн-окружении. С помощью дополнительного опыта вы также сможете сообщать о тех организациях, которые не следуют передовым методам, чтобы помочь создать более безопасный ландшафт для всех пользователей..
В этом посте мы кратко рассмотрим принципы, разработанные в отношении честной информационной практики. Затем мы углубимся в пять основных принципов и их значение для вас как потребителя..
Немного об этих принципах
Когда мы говорим об информационных методах, мы имеем в виду, как различные организации собирают и используют вашу личную информацию. Когда мы говорим о справедливости этих методов, нам нужно посмотреть, как обеспечить соблюдение правил, регулирующих информационные практики, и обеспечить достаточную защиту конфиденциальности для потребителей..
Окружающая среда постоянно меняется, и за прошедшие годы появились различные доклады на тему честной информационной практики. Также были предложены руководящие принципы для установления стандартов для бизнеса. В последние годы многие страны разработали более конкретную политику в отношении защиты данных. В различных докладах и руководящих принципах появляются определенные основные принципы..
Впервые они были изложены более десяти лет назад в отчете Федеральной торговой комиссии (FTC) «Принципы честной информационной практики», который с тех пор был удален. Хотя это основывалось на устаревших отчетах и руководящих принципах, основные положения этих принципов остаются очевидными в более современных директивах, включая:
- Общее положение о защите данных (GDPR): оно было разработано ЕС для замены Директивы о защите данных и вступит в силу с мая [year] года..
- Закон о защите персональной информации и электронных документов (PIPEDA): применяется в Канаде и включает в себя руководящие принципы, изложенные в Законе о цифровой конфиденциальности и Модельном коде CSA.
- Руководящие принципы ОЭСР в области конфиденциальности (первоначально опубликованные в 1980 году, но обновленные в 2013 году): Организация экономического сотрудничества и развития (ОЭСР) устанавливает международные стандарты в отношении множества вещей, включая конфиденциальность.
Имейте в виду, что не все эти документы содержат все перечисленные ниже принципы. Более того, большинство, если не все, содержат дополнительные подробные указания. Поэтому, если вы смотрите на это с точки зрения бизнеса или являетесь потребителем в поисках более подробной информации, вы можете обратиться к соответствующему документу напрямую. Вас также может заинтересовать параллельное сравнение политик конфиденциальности некоторых крупнейших интернет-компаний..
Вы можете отметить отсутствие документа США в приведенном выше списке. В настоящее время в США не действует законодательство о конфиденциальности данных. Тем не менее, существуют определенные действия, которые относятся к справедливой информационной практике, такие как Закон о мобильности и подотчетности медицинского страхования (HIPAA) и Закон о справедливых и точных кредитных операциях (FACTA). Более того, многие законы, регулирующие информационные практики в США, устанавливаются на уровне штатов..
Последнее замечание, прежде чем мы углубимся в принципы, состоит в том, что некоторые из этих руководящих принципов основаны на предположении, что у потребителя будет необходимое суждение, чтобы решить, передавать ли его информацию или нет. Однако, когда речь идет о детях, есть большая вероятность, что они не будут обладать такими же аналитическими способностями и суждениями. В этом случае принципы должны быть адаптированы для обеспечения того, чтобы родители были надлежащим образом оснащены для защиты информации своих детей. Мы расскажем об этих адаптированных принципах в следующем посте..
5 основных принципов честной информационной практики
Теперь, когда мы немного больше знаем о том, откуда появились эти принципы, давайте рассмотрим ключевые моменты, которые они охватывают, когда речь идет о правах потребителей..
1. Потребители должны быть уведомлены
Уведомление относится к тому факту, что лицо, предоставляющее информацию, должно быть точно осведомлено о том, кому эта информация предназначена и для чего она будет использоваться. Также называемый прозрачностью, это крайне важно для того, чтобы потребитель был хорошо подготовлен для принятия решения о том, передавать ли информацию, а также какую информацию он хочет разглашать..
В зависимости от обстоятельств сущность должна охватывать следующие вещи:
- Кто собирает информацию
- Для чего он будет использоваться
- Кто мог потенциально получить данные
- Какая информация будет собираться и как
- Предоставление данных является необязательным
- Как сборщик обеспечит конфиденциальность, качество и целостность информации
- Если и когда информация будет удалена
Если поставщик заполняет физическую форму, эта информация, скорее всего, появится где-то в реальной форме. В качестве альтернативы, в онлайн-среде информация может быть размещена в форме или на отдельной веб-странице. В любом случае это должно быть очевидно и легко доступно для читателя.
Например, при регистрации в NerdWallet пользователь будет соглашаться с условиями обслуживания компании и политикой конфиденциальности, которые изложены в отдельных документах, доступных по гиперссылке:
В этом случае простая регистрация означает, что пользователь согласен с предоставленными условиями и политиками. В других случаях им может потребоваться предпринять дополнительные действия, такие как установка флажка, который подтверждает, что они прочитали и поняли предоставленные условия и политики..
Во многих ситуациях эти вещи пропускаются, особенно если у пользователя уже есть уровень доверия к собирающей сущности. Тем не менее, в определенных ситуациях вы можете быть более склонны к поиску соответствующей информации и условий. Скажем, например, вы пользуетесь услугами организации по конкретной причине защиты данных. Если вы покупаете VPN-провайдера или расширение конфиденциальности браузера, вы хотите точно знать, как соответствующие компании будут обрабатывать вашу информацию.
2. Выбор должен быть предложен и требуется согласие
В общих чертах, этот принцип дает потребителям право решать, как их информация используется. Это относится скорее к вторичному использованию, так как основное использование обычно будет очевидным, например, чтобы подписаться на услугу, завершить покупку или получить доступ к части контента.
Помимо основной причины, организации могут захотеть записывать и использовать ваши данные в других целях, например, для добавления вас в списки рассылки своих или других компаний. Кроме того, они могут продавать массовые данные о поведении или предпочтениях пользователей третьим лицам..
В конечном счете, любое использование данных сверх очевидного должно быть четко изложено. Кроме того, потребитель должен иметь возможность дать согласие на использование его информации указанным способом. Это может быть сделано на основе согласия или отказа, но главное, что варианты ясны и легко принять меры.
Концепция выбора и согласия – это то, с чем мы регулярно сталкиваемся в онлайн-деятельности. Формы для регистрации, покупки и отправки часто поставляются с одним или несколькими флажками в конце, и вы можете чувствовать себя засыпанными запросами на использование вашей информации различными способами..
Типичным примером является вариант получения рекламной информации от того субъекта, которому вы передаете свою информацию, как в случае с формой регистрации в лотерее California:
Существуют также ситуации, когда у вас может быть несколько вариантов использования вашей информации. В случае NerdWallet сторонние варианты отказа можно найти в политике конфиденциальности, которую легко найти из формы регистрации, как мы упоминали выше:
Опять же, ключ заключается в том, что варианты понятны, а включить или отключить их достаточно просто. Как показано в приведенных примерах, это довольно просто сделать в онлайн-среде, поэтому не должно быть никаких оправданий.
3. Потребители должны иметь возможность доступа и изменения данных
Так что же происходит с вашими правами после передачи ваших данных? Что ж, общий консенсус между отчетами и рекомендациями о конфиденциальности данных заключается в том, что потребители должны иметь возможность доступа к предоставленной ими информации.
Этот принцип также передает их право оспаривать информацию, которая, по их мнению, является неточной и / или имеет возможность изменить ее. Одна из основных причин этого принципа заключается в том, что он дает максимальную вероятность того, что вся информация является точной и полной, что фактически связано со следующим принципом..
Конечно, это не сработает, если информация труднодоступна из-за длительного или дорогостоящего процесса. В связи с этим важно, чтобы у организаций были механизмы, позволяющие потребителям получать простой и прямой доступ к своим данным и просматривать их. Точно так же они должны иметь возможность оспаривать его точность и / или вносить изменения без затруднений..
Например, провайдеры электронной почты, платформы социальных сетей и сайты электронной коммерции, такие как Amazon, позволяют пользователям легко изменять свою информацию. Это имеет смысл как для субъектов, так и для потребителей.
4. Данные должны быть точными и безопасными
Этот принцип относится к целостности и безопасности всех данных. Компонент целостности связан с последним принципом, при этом на предприятиях лежит обязанность делать все возможное для обеспечения точности и правильности всей информации. Мы только что говорили о доступности данных, и это связано с этим. Организации должны гарантировать, что потребители могут получить доступ и оспаривать или изменять данные, чтобы они действительно были точными.
Однако те, кто собирает информацию, также несут ответственность за принятие других мер, помимо обеспечения доступности, для обеспечения целостности данных, которые они хранят. Это может означать перекрестные ссылки на другие источники, чтобы гарантировать, что поставщики данных вводят точную информацию. Это также может означать, что субъекты должны распоряжаться данными, которые могут устареть или делать их анонимными по истечении определенного периода времени..
Помимо целостности, субъекты также должны очень серьезно относиться к безопасности данных потребителей. Это означает принятие мер для обеспечения того, чтобы данные не были потеряны и чтобы к ним нельзя было получить доступ, использовать, изменить, уничтожить или раскрыть без разрешения. Неспособность защитить информацию может обойтись огромной ценой для таких компаний, как Morgan Stanley.
Конечно, даже при высокой степени безопасности, утечки данных все же случаются. Существуют все более строгие меры для обеспечения того, чтобы компании действительно сообщали о нарушениях данных. Однако недавнее признание Yahoo огромного нарушения данных, произошедшего несколькими годами ранее, показывает, что мы никогда не можем быть абсолютно уверены в безопасности нашей информации. По этой причине почти невозможно сказать, что определенная компания лучше защищена, чем другие, просто потому, что у них не было нарушений, попавших в заголовки.
Таким образом, вы всегда должны делать все возможное, чтобы защитить себя. Вы можете начать, убедившись, что вы не используете один и тот же пароль для нескольких учетных записей. Кроме того, обязательно удалите старые учетные записи, чтобы ваши данные не хранились где-то без необходимости. В идеале, на этом этапе ваша информация должна быть удалена. Если нет, то, по крайней мере, любая идентифицирующая личность информация должна быть удалена, агрегирована или анонимизирована через определенный период времени..
Конечно, кроме взлома, вы также можете быть обеспокоены конфиденциальностью вашей информации с государственной точки зрения. Electronic Frontier Foundation (EFF) хорошо справляется с определением с помощью своего списка «Кто вас поддерживает?», На какие компании следует обращать внимание, когда речь заходит о конфиденциальности..
5. Механизмы для принудительного исполнения и возмещения необходимы
Конечно, все хорошо, когда есть правила, касающиеся честной информационной практики, но если нет механизмов, обеспечивающих их соблюдение, они оказываются бессмысленными. Более того, если нет формы возмещения, у субъектов практически нет стимула соблюдать какие-либо правила.
Как и во многих нормативных актах, существует несколько различных подходов, которые могут быть приняты, когда речь заходит об обеспечении соблюдения тех, которые окружают честную информационную практику. Здесь мы рассмотрим основные три:
Саморегулируемые режимы
Этот тип регулирования может осуществляться по усмотрению самой организации. Например, сайты социальных сетей, такие как YouTube, предоставляют вам возможность подать жалобу. Когда дело доходит до возмещения ущерба, должны существовать процессы, позволяющие клиентам легко получить доступ к системе жалоб, и чтобы их жалобы были расследованы..
В качестве альтернативы, правоприменение может осуществляться внешним регулирующим органом. Это может включать согласие на справедливую информационную практику для вступления в отраслевую ассоциацию. Организация может также пригласить внешних аудиторов для проверки того, что они следуют руководящим принципам, возможно, с сертификатом, предоставленным в конце.
Частное законодательство
Частное законодательство обычно дает потребителю право на компенсацию, если он становится жертвой несправедливой информационной практики. Например, у них может быть причина предъявить иск, если неправильное использование информации привело к убыткам. Электронный информационный центр конфиденциальности (EPIC) является одной независимой организацией, которая изучает эти виды гражданских прав. Кроме того, Privacy International – британская правозащитная организация, помогающая защитить право людей на неприкосновенность частной жизни..
Государственное законодательство
В определенных случаях государственное регулирование осуществляется в конкретных отраслях. Например, в сфере здравоохранения США, если вы считаете, что были нарушены агентством, покрываемым HIPAA, вы можете подать жалобу в Управление по гражданским правам (OCR). Во многих странах также существуют способы сообщения о нарушениях независимо от отрасли (подробнее об этом в следующем разделе).
Сообщение о нарушениях информации
Поскольку онлайн-среда продолжает меняться, регулирование честной информационной практики будет постоянно развиваться. Эволюционная природа этого ландшафта не совсем утешает потребителей, которых постоянно просят предоставить личную информацию разного рода компаниям..
Однако теперь, когда вы знакомы с основными принципами честной информационной практики, вы будете лучше подготовлены к тому, чтобы следить за определенными флагами при предоставлении информации предприятиям. Более того, хотя правила будут различаться в зависимости от страны и отрасли, вы сможете лучше определить, когда организация не соблюдает справедливую информационную практику.
Как уже упоминалось, есть различные места, где вы можете сообщить о случаях, когда вы считаете, что были нарушения. Мы говорили о паре выше, и есть также формы для конкретной страны, некоторые из которых перечислены здесь:
- Великобритания: Управление комиссара по информации (ICO)
- США: Федеральная торговая комиссия (FTC)
- Канада: Офис Комиссии по конфиденциальности Канады (OPC)
- Австралия: Офис австралийского информационного комиссара (OAIC)
В целом, лучший совет, который мы можем дать, – это бережно защитить вашу информацию и стараться делать то же самое только с теми компаниями, которым вы доверяете. Не забудьте внимательно прочитать условия, положения и политику конфиденциальности, и, если есть какие-либо сомнения, задавайте вопросы!
«Согласен» от Catkin, лицензированный по CC BY 2.0
ия конкретной страны в этом списке, но это не означает, что она не имеет своих собственных принципов честной информационной практики. В любом случае, важно понимать, что защита вашей личной информации является важным аспектом вашей безопасности в онлайн-мире. Поэтому, будьте бдительны и ознакомьтесь с принципами честной информационной практики, чтобы защитить свои данные и права на неприкосновенность частной жизни.