简 介
数据收集、处理和传播的普遍性引发了对个人和社会危害的严重隐私担忧。信息泄露可能会对个人造成身体或心理上的伤害,例如,当发布的信息可以被窃贼用来推断用户何时不在家时,由敌人将弱点引向对用户或广告公司发起攻击,以建立机会并影响用户。在大规模上,利用这些信息可以用来影响整个社会,对民主造成不可逆转的伤害。隐私丧失造成的危害程度突出表明,隐私不能简单地作为一个混杂问题来解决。除了保持信息的私密性外,重要的是要确保我们建立的系统支持言论自由和个人的决策和自决自决权。
该知识领域的目标是向系统设计人员介绍用于设计固有保护用户隐私的系统的概念和技术名称。我们的目标是为设计人员提供识别隐私问题的能力,从技术角度描述它们,并选择适当的技术来消除或至少缓解这些问题。
隐私被公认为一项基本人权:“任何人的隐私、家庭、住宅或通信都不得受到任意干涉,也不得受到攻击。根据他的荣誉和声誉“。因此,多年来,从社会法律的角度对它进行了研究,有两个目标。首先,更好地了解隐私对社会和个人意味着什么。其次,确保支撑我们民主国家的法律框架支持隐私作为一项权利。以前的研究提出了诸如隐私是“独处的权利”,“信息自决权”等定义。或“不受不合理限制地构建自己的身份”。后者最好的例子之一可能是与法律与法规CyBOK知识领域中涵盖的欧洲数据保护立法相关的原则和规则。所有这些概念化对于理解隐私的界限及其对社会的作用都非常重要。然而,它们的抽象和无上下文的性质通常使它们对于需要选择技术以确保隐私的系统设计人员不可操作。在他们的系统中支持。
为了解决这一差距,在这个知识领域,我们以类似于安全工程概念化安全问题的方式概念化隐私。我们认为,隐私问题以及可以解决这些问题的解决方案被设计师所考虑的对抗模型所抵消,其性质要保护的信息,以及保护机制本身的性质。对抗性模型的典型例子可以是:与其共享数据的第三方服务不可信,服务提供商本身不信任私有数据用户或服务用户不应从其他用户那里学习私人数据。要保护私有数据免受这些对手侵害的典型示例可以是:用户通信的内容,他们的服务使用模式,或者仅仅是存在的用户和/或其操作。最后,保护手段的典型示例可以是能够控制信息可用性的技术,例如访问控制设置或技术。以隐藏信息,例如加密。
该知识领域的结构如下。第一部分包括三个部分,讨论了三种不同的隐私范式,它们产生了不同类别的隐私技术。第一个是隐私保密(第1节),其中隐私目标是对对手隐藏信息。我们修改了隐藏数据和元数据的技术方法,以及阻止对手使用无法隐藏的数据进行推断的方法。第二个是隐私作为信息控制(第2节),其目标是为用户提供决定他们将向对手公开哪些信息的手段。我们修改了支持用户隐私决策的技术,以及帮助用户在与数字服务交互时表达偏好的技术。最后,我们将隐私引入透明度(第3节),目的是告知用户她公开了哪些数据以及谁访问或处理了这些数据。我们修订了向用户展示其数字足迹的解决方案,以及通过安全日志记录支持问责的解决方案。
上述范例中定义隐私目标的隐私要求通常取决于上下文。也就是说,在某些环境中,泄露特定信息可能是可以接受的,但在其他环境中则不可接受。例如,在与医生的互动中,披露罕见疾病不被视为隐私问题,但在商业互动中将被视为侵犯隐私。Nissembaum将此概念形式化为上下文完整性,它明确解决了信息流可能会带来不同的隐私需求,具体取决于交换此信息的实体或交换信息的环境。我们注意到,一旦明确了对流程的要求(包括对抗模型),设计人员就可以直接应用本章中描述的技术。
知识领域的第二部分致力于说明如何使用隐私技术来支持民主和公民自由(第4节)。我们考虑了两个核心例子:安全投票系统和规避审查制度。对于前者,投票的隐私对于功能本身至关重要。对于后者,通信合作伙伴的隐私是必要的,以确保内容不会被审查员阻止。
我们承认隐私技术可用于支持非法(例如,分发儿童色情内容)或反社会行为(例如,网络欺凌),如CyBOK对抗行为中所述知识领域。虽然存在有选择地撤销隐私技术提供的保护的解决方案,但隐私重新搜索者和隐私倡导者强烈反对这些解决方案。原因是添加后门或托管可能性以减轻执法,本质上会削弱隐私保护系统的安全性,因为它们也可能被恶意行为者利用来破坏用户的权利。因此,我们不在本文档中考虑这些技术。
我们通过概述隐私保护系统工程中涉及的步骤来总结知识领域。我们为工程师提供指南,以便他们对架构和隐私技术做出明智的选择。这些指南可以帮助系统设计人员构建系统,其中用户的隐私不依赖于可能成为单点故障的集中实体。
我们注意到,在此知识领域修订的许多隐私技术都依赖于密码学CyBOK知识领域中引入的加密概念。在整个知识领域,我们假设读者熟悉这些基本概念,并避免重复加密定义和重复对常见基元的解释。
原文始发于微信公众号(河南等级保护测评):网络安全知识体系1.1隐私和在线权利(一):简介
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论