5 kerneprincipper for fair informationspraksis
Mængden af online aktivitet er stadig stigende, især med udvidelsen af Internet of Things (IoT) . Vi bliver konstant bombarderet med anmodninger om data. Antallet af svindelwebsteder , phishing-ordninger , og tilfælde af identificere tyveri er altid i stigning. Det er vigtigere end nogensinde før at være super på vagt med hensyn til sikkerheden af dine oplysninger. Desuden er det et vigtigt aspekt af din ret til privatliv at vide præcis, hvem der har dine personlige oplysninger, og hvordan de bruger dem.
Uanset om du afleverer din e-mailadresse eller foretager online betalinger , vil du være helt sikker på, hvor dine oplysninger er på vej hen, og hvordan de vil blive brugt. Som sådan vil det at blive fortrolig med principperne for fair informationspraksis hjælpe dig med at træffe de rigtige beslutninger, mens du navigerer både offline og online. Med din ekstra viden vil du også være i stand til at rapportere de enheder, der ikke følger bedste praksis, for at hjælpe med at skabe et mere sikkert landskab for alle brugere.
I dette indlæg tager vi et kort kig på de retningslinjer, der er blevet udviklet omkring fair informationspraksis. Derefter vil vi dykke ned i de fem kerneprincipper, og hvad de betyder for dig som forbruger.
Lidt baggrund om disse principper
Når vi taler om informationspraksis, henviser vi til, hvordan forskellige enheder indsamler og bruger dine personlige oplysninger. Når vi taler om, at denne praksis er fair, er vi nødt til at se på, hvordan vi sikrer, at reglerne for informationspraksis er på plads og giver rigelig beskyttelse af privatlivets fred for forbrugerne.
Miljøet ændrer sig konstant, og gennem årene har der været forskellige rapporter omkring emnet fair informationspraksis. Der er også blevet indført retningslinjer i et forsøg på at etablere standarder for virksomheder at følge. I de senere år har mange lande udviklet mere konkrete politikker omkring databeskyttelse. Gennem de forskellige rapporter og retningslinjer dukker visse kerneprincipper op.
Disse blev først udlagt for over et årti siden i en Federal Trade Commission (FTC) rapport 'Fair Information Practice Principles', som siden er blevet pensioneret. Selvom det var baseret på nu forældede rapporter og retningslinjer, forbliver de underliggende budskaber inden for principperne tydelige i mere ajourførte direktiver, herunder:
- Generel databeskyttelsesforordning (GDPR): Dette var udviklet af EU at afløse Databeskyttelsesdirektivet og vil kunne håndhæves fra maj 2018.
- Lov om beskyttelse af personlige oplysninger og elektroniske dokumenter (PIPEDA): Dette gælder i Canada og inkluderer retningslinjer angivet i Digital Privacy Act og CSA modelkode .
- OECD retningslinjer for privatliv (oprindeligt udgivet i 1980, men opdateret i 2013): Organisationen for Økonomisk Samarbejde og Udvikling (OECD) sætter internationale standarder for en række ting, herunder privatlivets fred.
Husk, at ikke alle disse dokumenter indeholder alle nedenstående principper eksplicit. Desuden indeholder de fleste, hvis ikke alle, yderligere dybdegående vejledning. Derfor, hvis du ser på dette fra et forretningsperspektiv eller er en forbruger på udkig efter mere dybdegående information, kan du konsultere det relevante dokument direkte. Du kan også være interesseret i en side-by-side sammenligning af privatlivspolitikkerne af nogle af de største internetvirksomheder.
Du kan bemærke fraværet af et amerikansk dokument på ovenstående liste. Der er i øjeblikket ingen generel databeskyttelseslovgivning håndhævet i USA. Der er dog visse handlinger, der vedrører fair informationspraksis, såsom Lov om overførsel og ansvarlighed for sygesikring (HIPAA) og Lov om retfærdige og nøjagtige kredittransaktioner (FAKTA). Desuden er mange love, der regulerer informationspraksis i USA, indført på statsniveau.
En sidste bemærkning, før vi dykker ned i principperne, er, at nogle af disse retningslinjer er baseret på den antagelse, at forbrugeren vil have den nødvendige dømmekraft til at beslutte, om han vil udlevere sine oplysninger. Men når det kommer til børn, er der en stor chance for, at de ikke har de samme analytiske evner og dømmekraft. I dette tilfælde skal principperne tilpasses for at sikre, at forældre er tilstrækkeligt rustet til at beskytte deres børns oplysninger. Vi vil dække disse tilpassede principper i et kommende indlæg.
De 5 kerneprincipper for fair informationspraksis
Nu hvor vi ved lidt mere om, hvor disse principper er opstået fra, lad os se på de nøglepunkter, de dækker, når det kommer til forbrugernes rettigheder.
1. Forbrugerne bør underrettes
Meddelelse henviser til, at den, der afgiver oplysninger, skal gøres opmærksom på, præcis hvem oplysningerne går til, og hvad de skal bruges til. Også kaldet gennemsigtighed er dette af største vigtighed, så forbrugeren er godt klædt på til at tage stilling til, om der skal udleveres oplysninger, samt hvilke oplysninger de ønsker at videregive.
Nogle af de ting, som en enhed bør dække, efter behov, er:
- Hvem indsamler oplysningerne
- Hvad det skal bruges til
- Hvem kunne potentielt modtage dataene
- Hvilke oplysninger vil blive indsamlet og hvordan
- Om det er valgfrit at levere data
- Hvordan indsamleren vil sikre oplysningernes fortrolighed, kvalitet og integritet
- Hvis og hvornår oplysningerne vil blive bortskaffet
Hvis udbyderen udfylder en fysisk formular, vil disse oplysninger sandsynligvis blive vist et sted på selve formularen. Alternativt, i et online miljø, kan oplysningerne udlægges på formularen eller på en separat webside. I begge tilfælde skal det være indlysende og let tilgængeligt for læseren.
For eksempel ved tilmelding til NerdWallet , vil brugeren acceptere virksomhedens servicevilkår og privatlivspolitik, som begge er fastlagt i separate dokumenter, tilgængelige via hyperlink:
I dette tilfælde indikerer blot at tilmelde sig, at brugeren accepterer de angivne vilkår og politikker. I andre tilfælde kan de blive bedt om at foretage yderligere handlinger, såsom at markere en boks, der bekræfter, at de har læst og forstået de angivne vilkår og politikker.
I mange situationer springes disse ting over, især hvis brugeren allerede har et niveau af tillid til den indsamlende enhed. I visse situationer kan du dog være langt mere tilbøjelig til at gennemsøge vilkår og politikker for at finde relevant information. Lad os for eksempel sige, at du bruger en enheds tjenester af den specifikke årsag til databeskyttelse. Hvis du leder efter en VPN-udbyder eller en browserens privatlivsudvidelse , vil du gerne vide præcis, hvordan de pågældende virksomheder vil håndtere dine oplysninger.
2. Valgmuligheder bør tilbydes og samtykke kræves
Grundlæggende giver dette princip forbrugerne ret til at bestemme, hvordan deres oplysninger bruges. Dette refererer mere til sekundær brug, da den primære brug typisk vil være tydelig, for eksempel til at tilmelde sig en tjeneste, gennemføre et køb eller få adgang til et stykke indhold.
Ud over den primære årsag kan enheder ønsker at registrere og bruge dine data til andre formål, såsom at tilføje dig til deres egne eller andre virksomheders e-mail-lister. Alternativt kan de sælge massedata om brugeradfærd eller præferencer til tredjeparter.
I sidste ende bør enhver databrug ud over det indlysende være klart fastlagt. Derudover bør forbrugeren have mulighed for, om de vil give deres samtykke til, at deres oplysninger kan bruges på den angivne måde. Dette kan gøres på opt-in eller opt-out basis, men det vigtigste er, at mulighederne er klare og nemme at handle på.
Begrebet valg og samtykke er noget, vi støder på med jævne mellemrum inden for online aktivitet. Tilmeldings-, købs- og indsendelsesformularer kommer ofte med et eller flere afkrydsningsfelter i slutningen, og du kan føle dig bombarderet med anmodninger om, at dine oplysninger skal bruges på forskellige måder.
Et almindeligt eksempel er muligheden for at modtage salgsfremmende oplysninger fra den enhed, du videregiver dine oplysninger til, som det er tilfældet med California Lottery tilmeldingsformular :
Der er også situationer, hvor du kan have flere muligheder for, hvordan dine oplysninger kan bruges. I tilfælde af NerdWallet kan tredjeparts fravalgsmuligheder findes i privatlivspolitikken, som er let at finde fra tilmeldingsformularen, som vi nævnte ovenfor:
Igen er nøglen, at mulighederne er klare, og at til- eller fravalg er ligetil. Som vist i de angivne eksempler er dette ret nemt at opnå i onlinemiljøet, så der burde ikke være nogen undskyldninger.
3. Forbrugere skal kunne få adgang til og ændre data
Så hvad sker der med hensyn til dine rettigheder, efter du har udleveret dine data? Nå, den generelle konsensus blandt databeskyttelsesrapporter og retningslinjer er, at forbrugere skal have mulighed for at få adgang til de oplysninger, de har givet.
Dette princip giver også deres ret til at bestride oplysninger, som de mener er unøjagtige og/eller har mulighed for at ændre dem. En af hovedårsagerne bag dette princip er, at det giver den bedste chance for, at al information er nøjagtig og fuldstændig – hvilket faktisk hænger sammen med det næste princip.
Dette vil selvfølgelig ikke fungere, hvis oplysningerne er svære at få adgang til, enten på grund af en langvarig proces eller en dyr proces. Som sådan er det vigtigt, at enheder har mekanismer på plads, der gør det enkelt og ligetil for forbrugere at få adgang til og gennemgå deres data. På samme måde skal de være i stand til at bestride fuldstændighedens nøjagtighed og/eller foretage ændringer uden besvær.
For eksempel gør e-mail-udbydere, sociale medieplatforme og e-handelssider – som Amazon – det nemt for brugere at ændre deres oplysninger. Det giver mening for både enheder og forbrugere.
4. Data skal være nøjagtige og sikre
Dette princip henviser til integriteten og sikkerheden af alle data. Integritetskomponenten knytter sig til det sidste princip, hvor det påhviler enheder at gøre, hvad de kan for at sikre, at alle oplysninger er nøjagtige og korrekte. Vi har lige talt om tilgængeligheden af data, og det kommer tilbage til det. Enheder skal sikre, at forbrugerne kan få adgang til og bestride eller ændre data, så de faktisk er nøjagtige.
Det er dog også dem, der indsamler oplysninger, ansvar at træffe andre foranstaltninger end tilgængelighed for at sikre integriteten af de data, de har. Dette kan betyde krydshenvisninger til andre kilder for at sikre, at dataudbydere indtaster nøjagtige oplysninger. Det kan også betyde, at enheder skal bortskaffe data, der kan være forældede, eller gøre dem anonyme efter en vis periode.
Ud over integritet skal enheder også tage sikkerheden af forbrugernes data ekstremt alvorligt. Det betyder, at der indføres foranstaltninger for at sikre, at data ikke går tabt, og at de ikke kan tilgås, bruges, ændres, destrueres eller videregives uden tilladelse. Manglende sikring af information kan komme til en enorm pris for virksomheder som Morgan Stanley .
Selvfølgelig, selv med høj sikkerhed, databrud sker stadig . Der er stadig strengere foranstaltninger på plads for at sikre det virksomheder rapporterer faktisk databrud . Imidlertid, Yahoos ret nylige indrømmelse af et kæmpe databrud, der fandt sted flere år tidligere, viser, at vi aldrig kan være helt sikre på, at vores oplysninger er sikre. Af denne grund er det næsten umuligt at sige, at en bestemt virksomhed er bedre til sikkerhed end andre, simpelthen fordi de ikke har haft brud i overskrifterne.
Som sådan bør du altid gøre, hvad du kan for at beskytte dig selv. Du kan starte med at sikre dig, at du ikke bruger samme adgangskode på flere konti. Sørg også for at slette gamle konti , så dine data ikke bliver gemt unødigt et sted. Ideelt set bør dine oplysninger på dette tidspunkt bortskaffes. Hvis ikke, bør i det mindste enhver personlig identificerbar information slettes, aggregeres eller anonymiseres efter en vis periode.
Bortset fra hacking kan du selvfølgelig også være bekymret for privatlivets fred for dine oplysninger fra et regeringsaspekt. Electronic Frontier Foundation (EFF) gør et godt stykke arbejde med at identificere gennem sin 'Hvem har din ryg?' liste , hvilke virksomheder man skal holde øje med, når det kommer til privatlivets fred.
5. Mekanismer til håndhævelse og klageadgang er nødvendige
Det er selvfølgelig godt at have regler omkring fair informationspraksis, men hvis der ikke er nogen mekanismer på plads til at håndhæve dem, bliver de meningsløse. Hvis der ikke er nogen form for klageadgang, er der desuden ringe eller intet incitament for enheder til at overholde nogen regler.
Som med mange regler er der flere forskellige tilgange, der kan tages, når det kommer til håndhævelse af de omkring fair informationspraksis. Her vil vi tage et kig på de tre vigtigste:
Selvregulerende regimer
Denne type regulering kan udføres efter enhedens skøn. For eksempel giver sociale medier som YouTube et middel til dig indsende en klage . Når det kommer til klageadgang, bør der være processer på plads, så kunderne nemt kan få adgang til et klagesystem, og for at deres klager kan undersøges.
Alternativt kan håndhævelsen udføres af et eksternt tilsynsorgan. Dette kan omfatte at acceptere fair informationspraksis for at blive medlem af en brancheforening. En virksomhed kan også invitere eksterne revisorer til at verificere, at de følger retningslinjerne, eventuelt med en certificering udstedt i slutningen.
Privat lovgivning
Privat lovgivning vil typisk give forbrugeren ret til erstatning, hvis de bliver ofre for illoyal informationspraksis. For eksempel kan de have grund til at sagsøge, hvis misbrug af oplysninger førte til erstatning. Elektronisk privatlivsinformationscenter (EPIC) er en uafhængig organisation, der undersøger disse typer af borgerrettigheder. Også, Privacy International er en UK-baseret menneskerettighedsorganisation, der hjælper med at beskytte folks ret til privatliv.
Regeringens lovgivning
I visse tilfælde udøves statslig regulering inden for specifikke brancher. Hvis du f.eks. inden for den amerikanske sundhedsindustri mener, at du er blevet krænket af et HIPAA-dækket agentur, kan du indsende en klage med Kontoret for Borgerrettigheder (OCR). I mange lande findes der også metoder til at rapportere overtrædelser uafhængigt af branche (mere om det i næste afsnit).
Indberetning af brud på oplysninger
I takt med at onlinemiljøet fortsætter med at ændre sig, vil reguleringen omkring fair informationspraksis løbende udvikle sig. Den evolutionære karakter af dette landskab giver ikke ligefrem ro i sindet for forbrugere, der konstant bliver bedt om at give personlige oplysninger til alle mulige virksomheder.
Men nu, hvor du er opmærksom på kerneprincipperne for fair informationspraksis, vil du være bedre rustet til at holde øje med visse flag, når du giver enheder information. Desuden, selvom reglerne varierer mellem lande og brancher, vil du være bedre i stand til at se, hvornår en enhed ikke følger fair informationspraksis.
Som nævnt er der forskellige steder, du kan anmelde tilfælde, hvor du mener, at der er sket overtrædelser. Vi talte om et par ovenfor, og der er også landespecifikke formularer, hvoraf nogle er anført her:
- Storbritannien: Informationskommissærens kontor (ICO)
- OS: Federal Trade Commission (FTC)
- Canada: Office for Privacy Commission of Canada (OPC)
- Australien: Office of the Australian Information Commissioner (OAIC)
Generelt er det bedste råd, vi kan give, at beskytte dine oplysninger omhyggeligt og forsøge kun at handle med virksomheder, du har tillid til at gøre det samme. Husk at læse vilkår, betingelser og privatlivspolitikker omhyggeligt, og hvis du er i tvivl, så stil spørgsmål!