Использование технологий для защиты частной жизни

Хотя компьютерные технологии расширяют возможности частных лиц, компаний и правительств вторгаться в частную жизнь, технологии также могут использоваться для повышения уровня конфиденциальности, доступного частным лицам. В зависимости от уровня доверия к получателям частной информации можно использовать несколько решений.

Секретность. Достижения в области криптографии позволили шифровать информацию и коммуникации, сохраняя их секретность в условиях атак со стороны других лиц, компаний и даже правительств. Во второй половине двадцатого века правительства неохотно предоставляли частным лицам доступ к надежному шифрованию и поэтому пытались контролировать распространение технологии надежного шифрования.

Развитие персональных компьютеров в конечном счете сделало невозможным государственное ограничение на надежное шифрование, поскольку частные лица могли приобретать компьютеры, достаточно мощные для выполнения как симметричной криптографии, так и криптографии с открытым ключом в программном обеспечении.

Pretty Good Privacy (PGP) была одной из первых программ, разработанных для использования возможностей персональных компьютеров и предоставления частным лицам доступа к надежным схемам шифрования для сохранения секретности документов от корпораций и правительств; она была настолько успешной в этом, что ее автор, Фил Циммерман, был обвинен (но позже оправдан) в) нарушающий экспортное законодательство США.

Совсем недавно для Всемирной паутины был разработан протокол безопасности транспортного уровня (TLS), обеспечивающий сквозную конфиденциальность коммуникаций между двумя участниками. Таким образом, TLS стала ключевой технологией в развитии электронной коммерции через Интернет, позволяющей покупателям и продавцам безопасно обмениваться информацией о кредитных картах.

Криптография отлично защищает конфиденциальность, когда данные контролируются их владельцем и передаются относительно небольшому числу других сторон, которые доверяют друг другу в сохранении данных в тайне. Обмен данными с большим количеством участников увеличивает вероятность того, что доверие будет утрачено по крайней мере к одной из сторон, что поставит под угрозу секретность данных.

Число участников, имеющих доступ к частной информации, часто можно сократить за счет внедрения многосторонней системы безопасности, при которой информация хранится в разделах, доступных лишь нескольким лицам, а обмен информацией между разделами ограничен (см. раздел КОМПЬЮТЕРНАЯ безопасность).

Недавним примером использования многосторонней системы безопасности для защиты частной жизни является модель Британской медицинской ассоциации по контролю доступа к электронным картам пациентов. В этой модели у пациентов нет единой электронной записи; скорее, у них есть набор записей (или разделов), каждый из которых содержит отдельный список медицинских работников, имеющих разрешение на чтение или добавление к нему информации. Поток информации между различными записями ограничен, чтобы предотвратить попадание особо конфиденциальной информации, содержащейся в одной записи, такой как положительный результат теста на ВИЧ, в другие записи.

Взаимность. Настройка детальных параметров контроля доступа может занять много времени и быть сложной в настройке. Альтернативным решением является использование принципа взаимности, когда два или более объекта соглашаются на взаимный обмен личными данными.

Обмен информацией является симметричным, если каждая сторона во взаимной транзакции раскрывает одну и ту же часть личных данных всем другим сторонам; например, трое друзей делятся друг с другом своим текущим местоположением мобильного телефона через своего оператора мобильной связи.

Обмен данными является асимметричным, если информация предоставляется в обмен на информацию о личности получателя. Например, в Соединенном Королевстве рейтинги потребительской кредитоспособности основаны на принципе взаимности: если компания запрашивает кредитный рейтинг физического лица, этот факт заносится в базу данных, так что, когда позднее физическое лицо запросит свой кредитный рейтинг, оно сможет увидеть, какие компании изучали его данные.

Асимметричная взаимность требует, чтобы те, кто запрашивает данные, имели репутацию, которую стоит защищать, чтобы они соблюдали приемлемые социальные соглашения при запросе информации. Таким образом, неправомерный запрос информации должен снизить репутацию злоумышленника, чтобы запрашивающий с плохой репутацией лишился доступа в будущем. Симметричная взаимность требует, чтобы информация, которой делятся все участники, имела одинаковую ценность и, следовательно, представляла собой справедливый обмен. Это не всегда так; например, номер домашнего телефона известного человека может считаться более ценным, чем номер телефона обычного гражданина.

Обычно требуется централизованный орган для обеспечения взаимности путем проверки подлинности как личности тех, кто получает доступ к личным данным, так и фактического содержания информации, которой обмениваются пользователи. Аутентификация гарантирует идентификацию сторон, а содержание передаваемой информации не может быть подделано; следовательно, все стороны, использующие систему, должны доверять центральному органу.

Анонимность. Иногда между владельцем личной информации и третьей стороной не существует доверительных отношений, и тем не менее они все равно хотят обмениваться информацией. Например, отдельные лица могут не захотеть раскрывать содержание своих медицинских карт фармацевтическим компаниям, однако разработка фармацевтических продуктов явно выигрывает от доступа к информации, содержащейся в таких документах. Часто существует возможность предоставить доступ к некоторой части данных, которая удовлетворяет требованиям третьей стороны и одновременно защищает частную жизнь физического лица посредством анонимизации.

Анонимизация защищает конфиденциальность пользователя, удаляя все личные данные, позволяющие установить личность, перед передачей их ненадежной третьей стороне. Таким образом, после успешной анонимизации данных злоумышленник не сможет определить реального человека, представленного в наборе данных.

Анонимизация - непростой процесс; недостаточно просто удалить явные идентификаторы, такие как имя или номер телефона, поскольку комбинация других атрибутов может позволить получателю вредоносных данных определить личность, представленную набором данных.

Например, в наборе медицинских карт Кембриджа, Англия, может быть только один 42-летний профессор, потерявший зрение на один глаз. Если данные, предоставленные третьей стороне, содержат достаточно подробную информацию о родном городе, профессии, дате рождения и офтальмологии физического лица, то может оказаться возможным связать эти данные с реальным объектом и, следовательно, связать любые другие данные в этой записи с конкретной личностью. В этом случае конфиденциальность профессора фактически нарушается и раскрывается содержание его медицинской карты, представленной третьей стороне.

Для успешной анонимизации может потребоваться изменить значения в опубликованном наборе данных, чтобы третья сторона не смогла определить реальную личность, связанную с записью. Например, снижение точности определения возраста пользователя с 42 до диапазона (40-50) может помешать злоумышленнику связать личность с записью.

Будет ли достаточным только это сокращение, зависит от данных, содержащихся в других отчетах (в приведенном выше примере это зависит от количества других профессоров в возрасте от 40 до 50 лет, у которых зрение только на один глаз). Как правило, анонимизация данных достигается путем тщательного статистического анализа набора данных, который учитывает объем информации, известной злоумышленнику; такой анализ называется статистическим контролем раскрытия информации.