隐私和法律

隐私和法律文化、政策和技术共同保障个人权益隐私、文化、政策和技术。这些概念是将在未来几年中对我们的生活中产生重大影响的下一代问题和挑战的核心。网络通信的到来使企业和机构能掌握他们联系、关注并与之开展业务的个人的高度可用、灵活、准确且个性化的信息。这些信息控制着我们的健康、财务、需求和习惯。如果企业可以在信息的所有者知晓和同意的情况下，妥善地利用这些信息，这些信息就可以发挥重要的作用，让双方从中受益。但是如果企业在信息所有者并不知情或者并不同意的情况下，不正确地使用这些信息，就可能会侵犯个人的隐私，有时甚至会损害个人的利益。在美国，对隐私的关注已经促使立法机关为消费者信息的使用制定了新的安全标准。在医疗、金融服务和电子商务领域，政府正在对个人信息在专用和公共网络上的传输制定新的安全规定，以保障这些信息的可用性、保密性和完整性。思科系统公司是网络安全技术和产品的主要供应商。作为一个厂商，思科深知这些产品可以用于执行更高级别的政策和企业文化，而不是取代这些因素。在隐私方面，技术对于实际的部署至关重要，但是一个安全的基础设施并不一定就是一个保护隐私的基础设施。思科意识到，无论对产品和服务投入多少资金，如果没有个人的协助和对他们需求的明确定义，任何企业都不可能确保安全。本文将介绍隐私、文化和政策问题，以帮助企业和机构迎接这些领域的一些不可避免的变革。隐私：什么是隐私？我们应当怎样理解它？简而言之，隐私就是不被窥探、侵犯或者他人关注的自由。早在1603年，英国的宪法中就出现了每个人的住宅都是他的城堡的概念。依据美国法律，隐私权是一种有限的权力，它来自于很多法律来源。在所有这些来源中，最重要的是美国宪法第四修正案。它指出：人民的人身、住宅、文件和财产不受无理搜查和扣押的权利，不得侵犯。除依照合理根据，以宣誓或代誓宣言保证，并具体说明搜查地点和扣押的人或物，不得发出搜查和扣押状。在1890年，法学家SamuelD.Warren和LouisD.Brandeis在《哈佛法律评论》上发表了一篇题为隐私权的文章。作者在这篇文章中，清楚地阐述了独处的权力，并首次试图界定这种隐私权的范围。但是，早在1890年之前，美国法律就已经将不受无理的搜查和扣押的自由视为一项基本的权力。联邦和州法律的双重保护为美国公民提供了更多的保护，因而大部分美国公民都支持基本的隐私权。尽管隐私权拥有悠久的法律传统，但是在当代社会中，由于必须保密的信息已经超出了我们的城堡的范围，人们开始重新思考隐私权的定义。个人信息开始进入银行、医疗记录和计算机网络。它可能会经由数百个人，提供给数以千计的人--有时候可能是出于一些对于它的所有者而言并不具有建设性或者益处的理由。隐私权目前已经获得了公众的广泛支持，并已经成为我们的法律的重要内容，以及企业、机构非常关注的问题。这就是信息行业也需要考虑隐私问题的原因。定义二十一世纪的隐私用于保存数据以及从这些数据中提取出的信息的电子基础设施会保存它所服务的人群的信息。诊所的病人、银行的客户，或者在线证券交易者每次与这些机构打交道时，都会提供一些关于他们自身情况的重要信息。因此，要定义21世纪的隐私权，就必须要了解：谁知道什么，谁可以与谁共享信息。在开始创建一个隐私环境时，必须要提出和回答很多问题，下面列出的只是其中的一部分：需要搜集和保存什么类型的信息？每个企业需要从每个人那里获取不同的信息。怎样汇总、规范和清理信息？信息是否不会受到任何改动？企业怎样处理这些信息？信息会受到怎样的处理？怎样连接、关联和分析信息？企业会挖掘信息，或者将其出售以牟利吗？这样做会给个人带来益处吗，还是会损害他们的利益？在搜集到信息之后，谁拥有、监控和管理这些信息？哪些信息应当共享？哪些信息应当受到保护？全面个人记录的概念来自于医疗行业。个人健康记录（PHR）是关于个人健康状态的信息的存储库。它可以供病人访问，在病人同意的情况下，也可以供医疗服务供应商访问。个人信息记录（PIR）从PHR概念衍生而来，它是病一个人的个人信息的一般性存储库。目前在保护PIXPIR信息方面还没有统一的标准，但是已经存在很多潜在的形式和方法。随着记录和隐私变得越来越正式和可行，个人财务记录（PFR）和个人在线记录（POR）也将成为可能。隐私权的生命周期企业首次开始将隐私视为一个流程。隐私信息拥有一个生命周期，其中包括数据的搜集、存储、传输、分发和保持。（如图1所示）图1隐私的生命周期隐私生命周期的每个阶段都拥有很多不同的层面。搜集方式包括自愿披露、公共记录、医疗信息、专用数据库和财务信息。个人信息存储通常是按照设计的方式分布的，但是更常见的情况是随机分布的。存储地点包括机构记录、联网或者连接存储、专用市场开发数据库、个人系统和台式机，以及移动系统。在传输时，个人信息通常是从个人传输到企业，从企业传输到企业，或者在某个企业内部进行传输。在隐私的生命周期中，信息的分发要求信息在从出发点到接收点的整个过程中都得到严密的保护。而且，它确保了正确的信息可以到达正确的地点，而且没有权限或者不需要获取信息的人无法获得敏感的信息。保持阶段包括信息的存档和最终销毁。隐私向企业提出挑战如何定义和理解隐私的生命周期是所有企业都面临的一个挑战。但是将隐私概念引入企业和机构中所需要的不仅仅是理解隐私生命周期。它还需要一种隐私文化和实施这种文化的政策。文化在企业中，隐私很大程度上是企业文化的一个副产品。换句话说，隐私是一个文化问题。尽管不是很正式，但是这里的黄金规则已经在发挥作用：将别人的信息当作自己的信息对待。有些行业过去一直拥有尊重隐私的文化，例如医疗和金融行业。这些行业的人员通常非常尊重病人和客户的隐私，并且致力于保护他们所服务的人群的隐私。他们知道谁拥有这些信息，并注重确保信息的保密性和安全性。一个机构的文化代表了它支持隐私的意愿。如果没有正确的机构文化，无论多少法规或者技术都无法保障足够的安全措施，而这种安全措施对于保护个人隐私日益重要。企业也开始意识到这种隐私问题会带来盈利，有助于改善他们的经营状况。人们因为隐私漏洞损失了大量的资金，因而人们意识到隐私和个人信息应当得到很好的关注和保护，进而让企业可以从中获得大量的收入。因此，能够承诺保持消费者隐私文化的企业将在会市场中赢得显著的竞争优势。立法隐私文化是机构中的一种无形的价值观。隐私的另外一面来自于广泛的立法，它将在整个行业，甚至国际范围内，对隐私的实施制定新的标准。这些标准将力求确保最高等级的隐私，统一某些特定行业中的机构，以及国际性机构的和跨国机构处理信息的方式。这些立法标准将规定信息记录在专用和公共网络上的处理和传输，以确保个人数据的可用性、保密性和完整性。新的法令主要分为四类：.用于记录制定和实施安全政策的一般性做法的管理步骤用于防止物理计算机系统、相关的建筑物和设备受到环境灾害和入侵的物理保障措施用于保护、控制和监控数据访问的技术安全服务用于保护信息和限制对某个网络上传输数据的访问的技术安全机制美国国会和一些国际性组织（例如欧洲联盟）的立法几乎影响到了所有需要搜集、存储或者传输个人信息的行业和企业。某个行业（例如医疗和金融行业）只需受现有法律和规定的约束，而其他行业将会发现他们面临着一些新的和有待审议的法律和规定。尽管这些立法工作通常是在国际范围内开展的，但是美国政府目前开始将这些法规扩展到一些直接影响到隐私的管理简化和标准数据交换领域。此外，尽管州立法机构的权力主要局限于某个地区，但是也会对企业产生影响，尤其是在州法律比联邦法律更加严格时，或者对于那些跨州或跨国企业而言。政策机构政策是范围较大的法律和规定的本地部署。政策和文化、法律相结合，可以为那些作为策略的制定对象的企业提供具体的规定，促使他们采用正确的措施、流程和基础设施。这些政策在制定时，反映了立法机关为那些必须符合标准的企业提供的基本标准。政策相当于一座桥梁，可以让不同的机构按照规定的方式处理信息，同时满足他们自己的个人要求，保护个人的隐私。技术保障措施在某个针对立法的政策制定完成之后，接下来的挑战是怎样在机构中有效地实施这些政策。对设施、网络甚至个人进行物理和逻辑控制是这些政策发挥实际作用的主要方式。必须要指出的是，尽管隐私和安全之间存在很多差别，但是如果不采用安全策略来加以实施，就不可能真正、完全地保护隐私。在实际社会中，这意味着门锁、证章和守卫。在网络中，机构需要依靠周边和访问控制、虚拟专用网（VPN）和入侵检测系统，以及其他方式，来提供支持隐私的安全。技术网络安全控制包括防火墙和身份验证服务，以防止网络周边受到未经授权的访问。除了虚拟门锁以外，还必须利用警报系统（表现为活动日志和入侵检测系统）确保在某个成功的攻击者造成任何严重损害之前检测到他的行踪。在网络中传输的信息也必须受到保护和加密。加密解决方案（例如VPN）可以提供这种功能。作为一个周边网络安全供应商，思科可以提供这些解决方案和服务，以测试和验证一个安全基础设施。对于网络安全产品而言，精心设计的系统架构也同样重要，它可以帮助客户有效地部署这些解决方案。思科为安全的电子商务开发了SAFE发展计划，它可以为客户提供一个经过测试的参考架构，帮助他们设计和部署安全网络。各个行业的立法在美国，人们正在制定很多直接或间接地影响到个人隐私的法律。其中最受关注的法律包括：.医疗保险携带和责任法案（HIPAA）GrammLeachBliley法案（GLBA）在线隐私保护法案2001（OPPA）（有待审议）身份防窃法案2001（有待审议）这些立法工作将会与一些国际隐私法律，以及美国的其他一些不像这些法案这样受人瞩目的法律相结合。思科预计这些立法将会把各个行业内部和行业之间的信息保护措施规范化、标准化。它们对于政策、文化以及为这两者提供支持的技术的影响将在未来几年中显现出来。医疗保险携带和责任法案（HIPAA）HIPAA是医疗行业的一个转折点。它要求它所涵盖的组织在医疗事务中采用标准的数据格式和传输，并保障保密病人信息与纸质记录一样安全，或者比纸质记录更加安全。作为所有美国隐私法律中最受瞩目和效果最明显的法律，HIPAA在1996年8月被正式签署为法律。HIPAA要求医疗服务部为特定医疗信息的电子传输制定全国统一的标准。HIPAA的目的是简化管理和保护病人的隐私。尽管HIPAA并没有规定搜集或者传输医疗信息的方式，但是它要求特定事务的网络传输都必须采用这些标准。这些标准涉及到可以识别的医疗信息的存储、访问和传输。为了保障隐私的安全，这项法律包括用一种兼容新标准的方式处理任何新信息的保密性。Graham-Leach-Bliley法案（GLBA）GLBA涵盖了金融行业的多个问题，包括金融机构的联营关系、拓宽的联邦储备系统职权，以及所有保险、银行和证券活动的功能规定，同时该法案将金融行业的标准隐私保障行为制定成了法律。在隐私领域，GLBA要求所有金融机构都要向他们的客户公开真隐私信息保护政策和措施。当客户与某个金融机构建立新的联系时，必须能够看到该机构所公布的保密信息措施，而且此后每年都需要对这些保密措施进行一次评估，以防止客户的信息被第三方所共享。但是，GLBA允许金融机构与控股公司的下属机构共享个人客户的信息。GLAB已经取得了一些显著的进展。联邦管理机构已经开始实施某些GLBA规定--包括WAN加密和保密政策通知规定。尽管符合这些规定的截止日期是2001年7月1日，但是很多公司已经达到了这些要求。还需要指出的是，管理机构扩大了GLBA的范围。可能受到监管的公司包括提供财务跟踪信息的Web门户（例如Yahoo或者AOL-TimeWarner），会计和法律事务所，以及开发财务软件（例如Quicken和MSMoney）的软件公司。在线隐私保护法案2001（有待审议）OPPA在第107届国会期间以H.R.89的名义被提出。OPPA要求网站管理者通知访问者和客户该网站会搜集哪些个人信息，他们如何使用这些信息，以及他们的披露方法。FTC的规定还要求网站管理者让客户选择或者限制他们自己的个人信息的披露方式。OPPA将促使