5 основни принципа на справедливи информационни практики
Размерът на онлайн активността непрекъснато нараства, особено с разширяването на Интернет на нещата (IoT) . Постоянно сме бомбардирани с искания за данни. Броят на измамнически уебсайтове , фишинг схеми , и случаи на идентифицирайте кражба винаги е във възход. По-важно от всякога е да сте изключително бдителни за безопасността на вашата информация. Освен това да знаете точно кой разполага с вашите лични данни и как ги използва е жизненоважен аспект от вашето право на поверителност.
Независимо дали предавате своя имейл адрес или извършване на онлайн плащания , искате да сте абсолютно сигурни къде отива вашата информация и как ще бъде използвана. Като такова, запознаването с принципите на справедливите информационни практики ще ви помогне да вземете правилните решения, докато навигирате както в офлайн, така и в онлайн среди. С вашата допълнителна интелигентност ще можете също така да докладвате онези субекти, които не следват най-добрите практики, за да помогнете за създаването на по-безопасна среда за всички потребители.
В тази публикация ще разгледаме накратко насоките, които са разработени около практиките за честна информация. След това ще разгледаме петте основни принципа и какво означават те за вас като потребител.
Малко предистория за тези принципи
Когато говорим за информационни практики, имаме предвид как различните субекти събират и използват вашата лична информация. Когато говорим, че тези практики са справедливи, трябва да разгледаме как да гарантираме, че правилата, управляващи информационните практики, са налице и осигуряват широка защита на поверителността на потребителите.
Средата непрекъснато се променя и през годините имаше различни доклади около темата за справедливите информационни практики. Бяха въведени и насоки в опит да се установят стандарти, които бизнесът да следва. През последните години много страни разработиха по-конкретни политики относно защитата на данните. В различните доклади и насоки се очертават някои основни принципи.
Те бяха изложени за първи път преди повече от десетилетие в доклад на Федералната търговска комисия (FTC) „Принципи на справедлива информационна практика“, който впоследствие е оттеглен. Въпреки че това се основаваше на вече остарели доклади и насоки, основните послания в рамките на принципите остават очевидни в по-актуални директиви, включително:
- Общ регламент за защита на данните (GDPR): Това беше разработена от ЕС да замести Директива за защита на данните и ще влезе в сила от май 2018 г.
- Закон за защита на личната информация и електронните документи (PIPEDA): Това се прилага в Канада и включва насоки, посочени в Закон за дигиталната поверителност и Код на модела на CSA .
- Насоки за поверителност на ОИСР (първоначално публикуван през 1980 г., но актуализиран през 2013 г.): Организацията за икономическо сътрудничество и развитие (ОИСР) определя международни стандарти за различни неща, включително неприкосновеността на личния живот.
Имайте предвид, че не всички от тези документи съдържат изрично всички принципи по-долу. Освен това повечето, ако не всички, съдържат допълнителни задълбочени насоки. Следователно, ако гледате на това от бизнес гледна точка или сте потребител в търсене на по-задълбочена информация, можете да се консултирате директно със съответния документ. Може също да се интересувате от рамо до рамо сравнение на политиките за поверителност на някои от най-големите интернет компании.
Може да забележите липсата на американски документ в горния списък. Понастоящем в САЩ не се прилага общо законодателство за поверителност на данните. Има обаче определени актове, които се отнасят до справедливи информационни практики, като например Закон за преносимостта и отчетността на здравното осигуряване (HIPAA) и Закон за честните и точни кредитни сделки (FACTA). Освен това много закони, регулиращи информационните практики в САЩ, са въведени на щатско ниво.
Една последна бележка, преди да се задълбочим в принципите, е, че някои от тези насоки се основават на предположението, че потребителят ще има необходимата преценка, за да реши дали да предаде своята информация или не. Въпреки това, когато става дума за деца, има голяма вероятност те да не притежават същите аналитични способности и преценка. В този случай принципите трябва да бъдат адаптирани, за да се гарантира, че родителите са подходящо оборудвани за защита на информацията на децата си. Ще разгледаме тези адаптирани принципи в предстояща публикация.
5-те основни принципа на справедливи информационни практики
Сега, след като знаем малко повече за това откъде са се появили тези принципи, нека да разгледаме ключовите точки, които обхващат, когато става въпрос за правата на потребителите.
1. Потребителите трябва да бъдат уведомени
Уведомлението се отнася до факта, че лицето, предоставящо информация, трябва да бъде наясно за кого точно отива информацията и за какво ще бъде използвана. Наричано още прозрачност, това е от изключително значение, така че потребителят да е добре подготвен да вземе решение дали да предаде информация, както и коя информация иска да разкрие.
Някои от нещата, които едно предприятие трябва да покрива, според случая, са:
- Кой събира информацията
- За какво ще се използва
- Кой потенциално би могъл да получи данните
- Каква информация ще се събира и как
- Дали предоставянето на данните не е задължително
- Как събирачът ще гарантира поверителността, качеството и целостта на информацията
- Ако и кога информацията ще бъде унищожена
Ако доставчикът попълва физически формуляр, тази информация вероятно ще се появи някъде в действителния формуляр. Като алтернатива, в онлайн среда, информацията може да бъде изложена във формуляра или на отделна уеб страница. И в двата случая трябва да е очевидно и лесно достъпно за читателя.
Например, когато се регистрирате в NerdWallet , потребителят ще се съгласи с условията на услугата и политиката за поверителност на компанията, които са изложени в отделни документи, достъпни чрез хипервръзка:
В този случай самото регистриране показва, че потребителят е съгласен с предоставените условия и политики. В други случаи може да се наложи да предприемат допълнителни действия, като например поставяне на отметка в квадратче, което потвърждава, че са прочели и разбрали предоставените условия и политики.
В много ситуации тези неща се пропускат, особено ако потребителят вече има ниво на доверие за събиращия обект. В определени ситуации обаче може да сте много по-склонни да претърсите условията и правилата за подходяща информация. Кажете например, че използвате услугите на юридическо лице по конкретната причина за защита на данните. Ако пазарувате доставчик на VPN или a разширение за поверителност на браузъра , ще искате да знаете как точно въпросните компании ще обработват вашата информация.
2. Трябва да се предлага избор и да се изисква съгласие
Най-общо казано, този принцип дава на потребителите правото да решават как да се използва тяхната информация. Това се отнася повече за вторична употреба, тъй като основната употреба обикновено ще бъде очевидна, например за регистриране за услуга, завършване на покупка или достъп до съдържание.
Освен основната причина, субектите може да поискат да запишат и използват вашите данни за други цели, като например да ви добавят към своите собствени или имейл списъци на други компании. Като алтернатива, те може да продават масови данни за поведението или предпочитанията на потребителите на трети страни.
В крайна сметка всяко използване на данни извън очевидното трябва да бъде ясно изложено. Освен това потребителят трябва да има избор дали иска да даде съгласието си информацията му да бъде използвана по посочения начин. Това може да стане на базата на желание или отказ, но основното е, че опциите са ясни и лесни за предприемане на действия.
Концепцията за избор и съгласие е нещо, което срещаме редовно в рамките на онлайн дейността. Формулярите за регистрация, покупка и изпращане често идват с едно или повече квадратчета за отметка в края и може да се почувствате бомбардирани с искания информацията ви да бъде използвана по различни начини.
Често срещан пример е опцията да получавате промоционална информация от субекта, на който предавате информацията си, какъвто е случаят с Формуляр за регистрация в Калифорнийската лотария :
Има и ситуации, в които може да имате множество опции за това как вашата информация може да бъде използвана. В случая на NerdWallet опциите за отказ от трета страна могат да бъдат намерени в политиката за поверителност, която лесно се намира от формуляра за регистрация, както споменахме по-горе:
Отново, ключът е, че опциите са ясни и включването или изключването е лесно. Както е показано в предоставените примери, това е доста лесно за постигане в онлайн среда, така че не трябва да има извинения.
3. Потребителите трябва да имат достъп до данни и да ги променят
И така, какво се случва по отношение на вашите права, след като сте предали данните си? Е, общият консенсус сред докладите и насоките за поверителност на данните е, че потребителите трябва да имат възможност за достъп до информацията, която са предоставили.
Този принцип също предава правото им да оспорват информация, която смятат за неточна и/или имат възможност да я променят. Една от основните причини зад този принцип е, че той дава най-добрия шанс цялата информация да е точна и пълна – което всъщност е свързано със следващия принцип.
Разбира се, това няма да работи, ако информацията е трудно достъпна, поради дълъг или скъп процес. Поради това е важно субектите да разполагат с механизми, които да направят лесен и ясен за потребителите достъп и преглед на техните данни. По същия начин те трябва да могат да оспорват неговата точност на пълнота и/или да правят промени без затруднения.
Например доставчиците на имейли, платформите за социални медии и сайтовете за електронна търговия – като Amazon – улесняват потребителите да променят информацията си. Има смисъл както за предприятията, така и за потребителите.
4. Данните трябва да са точни и сигурни
Този принцип се отнася до целостта и сигурността на всички данни. Компонентът за почтеност е свързан с последния принцип, като отговорността е върху субектите да направят каквото могат, за да гарантират, че цялата информация е точна и правилна. Току-що говорихме за достъпността на данните и това се връща към това. Субектите трябва да гарантират, че потребителите могат да имат достъп и да оспорват или променят данните, така че те наистина да са точни.
Отговорност на тези, които събират информация, обаче е и да предприемат други мерки освен достъпността, за да гарантират целостта на данните, които притежават. Това може да означава кръстосано препращане към други източници, за да се гарантира, че доставчиците на данни въвеждат точна информация. Това може също да означава, че субектите трябва да се разпореждат с данни, които може да са остарели, или да ги направят анонимни след определен период от време.
Освен целостта, организациите също трябва да се отнасят изключително сериозно към сигурността на данните на потребителите. Това означава въвеждане на мерки, за да се гарантира, че данните няма да бъдат загубени и че не могат да бъдат достъпни, използвани, променени, унищожени или разкрити без разрешение. Липсата на защита на информацията може да има огромна цена компании като Morgan Stanley .
Разбира се, дори и при висока степен на сигурност, нарушенията на данните все още се случват . Има все по-строги мерки, за да се гарантира това компаниите действително съобщават за нарушения на данните . Въпреки това, Сравнително скорошно признание на Yahoo на огромно нарушение на данните, което се случи няколко години по-рано, показва, че никога не можем да бъдем абсолютно сигурни, че нашата информация е в безопасност. Поради тази причина е почти невъзможно да се каже, че определена компания е по-добра в сигурността от други, просто защото не са имали пробиви, които са попаднали в заглавията.
Като такъв, винаги трябва да правите каквото можете, за да се защитите. Можете да започнете, като се уверите, че не използвате същата парола на множество сметки. Освен това не забравяйте да изтриване на стари акаунти , така че вашите данни да не се съхраняват някъде ненужно. В идеалния случай в този момент вашата информация трябва да бъде унищожена. Ако не, най-малкото всяка лична информация трябва да бъде изтрита, обобщена или анонимизирана след определен период от време.
Разбира се, освен за хакване, може също да сте загрижени за поверителността на вашата информация от държавен аспект. Electronic Frontier Foundation (EFF) върши добра работа за идентифициране чрез своите „Кой ти пази гърба?“ списък , на кои компании да внимавате, когато става въпрос за поверителност.
5. Необходими са механизми за правоприлагане и правна защита
Разбира се, всичко е добре да има правила относно справедливите информационни практики, но ако няма механизми за прилагането им, те се правят безсмислени. Освен това, ако няма форма на правна защита, има малък или никакъв стимул за субектите да спазват правила.
Както при много регулации, има няколко различни подхода, които могат да бъдат предприети, когато става въпрос за прилагане на тези около практиките за справедлива информация. Тук ще разгледаме основните три:
Режими на саморегулиране
Този тип регулиране може да се извършва по преценка на самия субект. Например сайтове за социални медии като YouTube ви предоставят средство за това подавам оплакване . Що се отнася до обезщетенията, трябва да има въведени процеси, за да могат клиентите да имат лесен достъп до система за оплаквания и техните оплаквания да бъдат разследвани.
Като алтернатива, прилагането може да се извърши от външен регулаторен орган. Това може да включва съгласие за справедливи информационни практики, за да се присъедините към индустриална асоциация. Предприятието може също така да покани външни одитори, за да се уверят, че следват насоките, евентуално с издаден сертификат в края.
Частно законодателство
Частното законодателство обикновено дава на потребителя право на обезщетение, ако стане жертва на нелоялни информационни практики. Например, те може да имат основание да съдят, ако злоупотребата с информация доведе до щети. Електронен информационен център за поверителност (EPIC) е една независима организация, която разглежда тези видове граждански права. Също, Privacy International е базирана в Обединеното кралство правозащитна организация, която помага за защитата на правото на хората на неприкосновеност на личния живот.
Държавно законодателство
В някои случаи държавното регулиране се упражнява в рамките на конкретни отрасли. Например, в рамките на здравната индустрия на САЩ, ако смятате, че сте били нарушени от агенция, покрита от HIPAA, можете подавам оплакване с Служба за граждански права (OCR). В много страни има и методи за докладване на нарушения, независими от индустрията (повече за това в следващия раздел).
Докладване на нарушения на информацията
Тъй като онлайн средата продължава да се променя, регулирането на справедливите информационни практики непрекъснато ще се развива. Еволюционният характер на този пейзаж не предлага точно спокойствие на потребителите, от които постоянно се иска да предоставят лична информация на всякакви компании.
Сега обаче, след като сте запознати с основните принципи на справедливите информационни практики, ще бъдете по-добре подготвени да внимавате за определени флагове, когато предоставяте информация на субекти. Освен това, въпреки че правилата ще варират в различните държави и индустрии, вие ще можете по-добре да забележите, когато даден субект не следва практики за справедлива информация.
Както споменахме, има различни места, където можете да докладвате случаи, в които смятате, че е имало нарушения. Говорихме за няколко по-горе и има и формуляри, специфични за държавата, някои от които са изброени тук:
- Великобритания: Службата на комисаря по информацията (ICO)
- НАС: Федерална търговска комисия (FTC)
- Канада: Служба на Комисията за поверителност на Канада (OPC)
- Австралия: Служба на австралийския комисар по информацията (OAIC)
Като цяло най-добрият съвет, който можем да дадем, е да пазите информацията си внимателно и да се опитвате да работите само с фирми, на които имате доверие, че ще направят същото. Не забравяйте да прочетете внимателно правилата, условията и правилата за поверителност и ако имате някакви съмнения, задавайте въпроси!