Anonim

Hvad betyder privatlivets fred i en alder af igangværende overtrædelser af privatlivets fred? Med ny privatlivslovgivning, der kommer online i Australien den 12. marts, udforsker vores Privacy in Practice-serie de praktiske udfordringer, som australske virksomheder og forbrugere står over for i en verden, der genovervejer privatlivets fred.


Væksten i cloud computing har revolutioneret måden, hvorpå information produceres, opbevares, behandles og forbruges, mens lovgivningen om beskyttelse af personlige oplysninger undertiden ikke opretholdes.

Fra 12. marts 2014 vil ændringer i Australiens lov om beskyttelse af personlige oplysninger pålægge virksomheder, der indsamler og behandler personlige oplysninger, herunder dem, der opererer i skyen, nye forpligtelser.

Cloud computing indebærer at bruge teknisk infrastruktur, der styres af en anden part, til at gemme information eller data.

Udover datalagring omfatter nogle skygtjenester funktioner, der handler om de personlige oplysninger, de genererer. For eksempel forbliver onlinetjenester som Facebook, Gmail og andre Google-tilbud "gratis", men brugerne skal give personlige oplysninger for at få adgang. Dataene, der sendes via disse enheder, kan være genstand for øget bevægelse mellem organisationer, øget eksponering for processer som data matching og minedrift.

Data er den 'nye olie'

Den "nye olie" af disse økonomier er data skabt af tilvejebringelse af personlige oplysninger online. Da personlige enheder bliver "tyndere", forekommer en stigende mængde informationsbehandling ekstern til den enhed på servere, der drives af kommercielle virksomheder på forskellige steder.

Tænk på e-læsere, som tilbyder forbindelser til de store repertoarer af bøger, der er placeret i ekspansive datalagre, adgang til en autoriseret konto og reguleret af licensaftaler. Mens brugerne får adgang til indhold, indsamler indholdsudbyderne de personlige oplysninger, der genereres af brugerne. Endvidere er vilkårene for adgang til disse tjenester ofte vage eller uklare og kan give uønskede indtægtsstrømme til datakontrollanter ved at spore og profilere eller endda tilbyde andre enheder adgang til dine oplysninger.

Denne tendens til øget opbevaring og behandling af personlige oplysninger i eksterne datacentre, der kontrolleres af virksomheder, der handler med personoplysninger, rejser væsentlige spørgsmål om overvågning og kontrol.

Den "tyndere" enheden, jo mere gennemsigtig bliver den enkelte, da flere data leveres til tredjepart. Dette understreger betydningen af ​​effektive privatlivsregimer. Overvågningsproblemer forværres, hvis information sendes gennem oversøiske jurisdiktioner, der ikke er underlagt australsk lov om privatlivets fred, hvilket betyder, at brugerne ikke har brug for australske håndhævelsesmekanismer (som alligevel er relativt begrænsede).

De vigtigste trusler mod privatlivets fred i denne sammenhæng omfatter derfor:

  • personlige oplysninger indsamles, anvendes eller opbevares ikke i overensstemmelse med en brugers ønsker

  • upassende eller uautoriseret adgang til personlige oplysninger i skyen gennem sikkerhedsproblemer eller svag adgangskontrol;

  • ukontrollerede kopier af data dupliceres i skyen

  • Brugerne accepterer at blive sporet eller profileret på måder, som de ikke var opmærksomme på;

  • eksponering af personlige oplysninger til tredjepart uden samtykke og

  • funktion krybe (brugen af ​​data til et andet formål end det for hvilket det blev givet).

Databeskyttelse i forgrunden

Af disse grunde bliver databeskyttelsesordninger som den australske lov om beskyttelse af personlige oplysninger vigtigere - både for enheder, der forsøger at etablere skytjenester i Australien, og australierne, hvis information opbevares og behandles offshore.

Privacy Act blev indført som reaktion på den opfattede trussel fra øget databehandlingskapacitet og den uberettigede indflydelse, som institutionelle databaser kan have over deres registreres liv.

De principper om beskyttelse af personlige oplysninger, der er formuleret i loven, afspejler en tro på, at enkeltpersoner "skal kunne deltage i og have indflydelse på, behandling af data om dem af andre personer eller organisationer". Men nye kommunikationsteknologier har evnen til at underminere disse mål, hvilket tyder på, at fortrolighedsregimer skal opdateres.

For at håndtere de risici, der er forbundet med cloud-tjenester, vil ændringer i Privacy Act kræve, at brugere og operatører af cloud services overholder nye standarder.

Organisationer, der bruger datalagring uden for Australien, skal offentliggøre (i deres privatlivspolitik) hvilket land der er vært for disse servere, og den person, hvis oplysninger er indsamlet, skal meddeles.

Endvidere skal en organisation, der har indsamlet personlige oplysninger, videregive den til en cloud-udbyder i udlandet, og det skal tage rimelige forholdsregler for at sikre, at modtageren ikke overtræder principperne om beskyttelse af personlige oplysninger. Dette kan ske gennem kontraktmæssige arrangementer, eller det kan være tilfredsstillende, hvis cloud storage-selskabet er underlagt privatlivslovgivning, der ligner de australske lovgivninger om beskyttelse af personlige oplysninger, herunder tilgængeligheden af ​​håndhævelsesmekanismer.

"Bestemmelse" bestemmelser kan gøre den australske informationssender ansvarlig for den udenlandske modtagers behandling af personlige oplysninger. Der er også forpligtelser til at tage "rimelige skridt" for at beskytte oplysninger mod misbrug, forstyrrelser, tab, uautoriseret adgang, ændring og offentliggørelse, hvilket kan pålægge yderligere forpligtelser, hvis dataene opbevares i udlandet.

Selvom disse ændringer kan give større beskyttelse til udbyderne af personlige oplysninger, er de blevet kritiseret som manglende klarhed for cloud services-udbydere på grund af ændringer af teknologienutral karakter.

For eksempel skelner andre jurisdiktioner mellem forpligtelser fra en "dataansvarlig" - en enhed, der aktivt kontrollerer personlige oplysninger og de formål, som den anvendes til - og en "databehandler" - som kun behandler personlige oplysninger i overensstemmelse med ønsker fra den datastyring (en sondring impliceret i forskellen mellem infrastruktur som service og software som service cloud konfigurationer). Det betyder, at dataprocessorer kan være underlagt forpligtelser, der mere hensigtsmæssigt gælder for controllere, såsom adgang til og korrektion af data.

I modsætning til ældre ideer på internettet som et decentraliseret eller distribueret medium har cloud computing skabt kolossale datacentre, som koncentrerer enorme mængder af personlige oplysninger i sammensmeltede noder.

Mere arbejde er nødvendigt for at vurdere, om ændringerne i Australiens privatlivslovgivning effektivt vil regulere de risici, der er forbundet med centraliseringen af ​​personlige oplysninger offshore.

Anbefalet Redaktørens Valg