Контекстная целостность

Контекстуальная целостность — это теория конфиденциальности, разработанная Хелен Ниссенбаум и представленная в ее книге «Конфиденциальность в контексте: технологии, политика и целостность социальной жизни» . ^[1] Он включает в себя четыре основных описательных утверждения:

Конфиденциальность обеспечивается соответствующими потоками информации .
Соответствующие информационные потоки – это те, которые соответствуют контекстуальным информационным нормам.
Контекстные информационные нормы относятся к пяти независимым параметрам : субъекту данных, отправителю, получателю, типу информации и принципу передачи.
Концепции конфиденциальности основаны на этических проблемах, которые со временем меняются.

Обзор

Контекстуальную целостность можно рассматривать как реакцию на теории, которые определяют конфиденциальность как контроль над информацией о себе, как секретность или как регулирование личной информации, которая является частной или конфиденциальной.

Это ставит контекстуальную целостность в противоречие с регулированием конфиденциальности, основанным на принципах добросовестной практики использования информации ; это также не согласуется с точкой зрения шифропанка 1990-х годов о том, что недавно открытые криптографические методы обеспечат конфиденциальность в эпоху цифровых технологий, поскольку сохранение конфиденциальности не является вопросом прекращения любого сбора данных или блокировки всех потоков информации, минимизации потока данных или остановки утечка информации. ^[2]

Четвертое существенное требование, заключающееся в контекстуальной целостности, придает конфиденциальности ее этический статус и допускает эволюцию и изменение информационных норм, часто благодаря новым социотехническим системам . Он утверждает, что практики и нормы можно оценивать с точки зрения:

Влияние на интересы и предпочтения затрагиваемых сторон
Насколько хорошо они поддерживают этические и политические (общественные) принципы и ценности
Насколько хорошо они продвигают контекстуальные функции, цели и ценности

Наиболее характерным из этих соображений является третье. Таким образом, контекстуальная целостность подчеркивает важность конфиденциальности не только для отдельных лиц, но и для общества и соответствующих социальных сфер.

Параметры

«Контекстами» контекстуальной целостности являются социальные сферы , интуитивно, здравоохранение, финансы, рынок, семья, гражданская и политическая сфера и т. д. Для описания операции передачи данных выделяются пять критических параметров:

Субъект данных
Отправитель данных
Получатель данных
Тип информации
Принцип передачи.

Некоторые иллюстрации контекстуальных информационных норм в западных обществах включают:

На собеседовании интервьюеру запрещено спрашивать о религиозной принадлежности кандидата.
Священник не имеет права делиться с кем-либо исповедью прихожан
Гражданин США обязан раскрывать валовой доход IRS на условиях конфиденциальности , за исключением случаев, предусмотренных законом.
Нельзя делиться секретами друга с другими, за исключением, пожалуй, своего супруга.
Родители должны следить за успеваемостью своих детей

Примеры субъектов данных включают пациента, покупателя, инвестора или читателя. Примерами отправителей информации могут быть банк, полиция, рекламная сеть или друг. Примеры получателей данных: банк, полиция, друг. Примеры типов информации включают содержимое сообщения электронной почты, демографическую информацию субъекта данных, биографическую информацию, медицинскую информацию и финансовую информацию. Примеры принципов передачи включают согласие, принуждение, кражу, покупку, продажу, конфиденциальность, управление , действия под руководством суда с ордером и национальную безопасность.

Ключевой тезис заключается в том, что для оценки влияния информационных потоков на конфиденциальность необходимо указать значения всех пяти параметров. Ниссенбаум обнаружил, что правила контроля доступа, не определяющие эти пять параметров, являются неполными и могут привести к проблематичным двусмысленностям. ^[3]

Ниссенбаум отмечает, что некоторые виды языка могут сбить анализ с пути. Например, когда пассивный залог используется для описания перемещения данных, это позволяет говорящему замалчивать тот факт, что существует активный агент, выполняющий передачу данных. Например, предложение «У Алисы украли ее личность» позволяет говорящему замалчивать тот факт, что кто-то или что-то действительно украл личность Алисы. Если мы говорим, что «Кэрол смогла найти записи о банкротстве Боба, потому что они были размещены в Интернете», мы неявно игнорируем тот факт, что кто-то или какая-то организация фактически собрала записи о банкротстве из суда и разместила эти записи в Интернете. .

Пример

Рассмотрим норму: «Жители США по закону обязаны подавать налоговые декларации в Налоговую службу США, содержащие такую информацию, как имя, адрес, SSN, валовой доход и т. д., при условиях строгой конфиденциальности».

Субъект данных: резидент США
Отправитель: тот же житель США
Получатель: Служба внутренних доходов США.
Тип информации: налоговая информация
Принцип передачи: получатель будет хранить информацию в строгой конфиденциальности.

Учитывая эту норму, мы можем оценить гипотетический сценарий и посмотреть, не нарушает ли он норму контекстуальной целостности: «Налоговая служба США согласна предоставить налоговые декларации Алисы в городскую газету по запросу журналиста газеты». Эта гипотеза явно нарушает контекстуальную целостность, поскольку предоставление налоговой информации в местную газету нарушило бы принцип передачи, согласно которому информация была получена.

Приложения

В качестве концептуальной основы контекстуальная целостность использовалась для анализа и понимания последствий социотехнических систем для конфиденциальности на широком спектре платформ (например, Интернет, смартфоны, системы Интернета вещей) и привела к созданию множества инструментов, инфраструктур и системных проектов. которые помогают изучать и решать эти проблемы конфиденциальности.

Социальные сети: конфиденциальность в общественных местах

В своей книге « Конфиденциальность в контексте: технологии, политика и целостность социальной жизни » Ниссенбаум обсудила вопросы конфиденциальности, связанные с общедоступными данными, приведя такие примеры, как проблемы конфиденциальности Google Street View и проблемы, вызванные преобразованием ранее бумажных публичных записей в цифровые формы. и делать их онлайн. В последние годы аналогичные проблемы, возникающие в контексте социальных сетей, возобновили дискуссию.

Ши и др. исследовали, как люди управляют своей межличностной информационной границей с помощью структуры контекстуальной целостности. Они обнаружили, что нормы доступа к информации связаны с тем, кто должен был просматривать информацию. ^[4] Исследователи также применили контекстуальную целостность к более противоречивым социальным событиям, например скандалу с данными Facebook и Cambridge Analytica. ^[5]

Концепция контекстуальной целостности также повлияла на нормы этики исследовательской работы с использованием данных социальных сетей. Фислер и др. изучал осведомленность пользователей Твиттера и восприятие исследовательской работы, в ходе которой анализировались данные Твиттера , сообщалось о результатах в статьях или даже цитировались реальные твиты. Оказалось, что опасения пользователей во многом зависели от контекстуальных факторов, т. е. от того, кто проводит исследование, для чего оно проводится и т. д., что соответствует теории контекстуальной целостности. ^[6]

Конфиденциальность мобильных устройств: использование контекстуальной целостности для оценки уместности информационного потока

Проблемы конфиденциальности, вызванные сбором, распространением и использованием персональных данных через смартфоны, привлекли большое внимание различных заинтересованных сторон . Большой объем компьютерных исследований направлен на эффективный и точный анализ того, как конфиденциальные личные данные (например, геолокация, учетные записи пользователей) передаются через приложение и когда они передаются из телефона. ^[7]

Контекстная целостность широко упоминается при попытке понять проблемы конфиденциальности объективных трассировок потока данных. Например, Праймал и др. утверждали, что разрешения для смартфонов будут более эффективными, если они будут только подсказывать пользователю, «когда доступ приложения к конфиденциальным данным может превзойти ожидания», и они исследовали, как приложения получают доступ к личным данным, и разрыв между текущей практикой и ожиданиями пользователей. ^[8] Лин и др. продемонстрировали множество проблемных случаев использования персональных данных из-за нарушения ожиданий пользователей. Среди них мобильной рекламы наиболее проблематичным стало использование персональных данных в целях . Большинство пользователей не знали о неявном поведении сбора данных и были неприятно удивлены, когда исследователи сообщили им о таком поведении. ^[9]

Идея контекстуальной целостности также проникла в конструкцию системы. И iOS , и Android используют систему разрешений, которая помогает разработчикам управлять доступом к конфиденциальным ресурсам (например, геолокации , списку контактов, пользовательским данным и т. д.) и предоставляет пользователям контроль над тем, какое приложение к каким данным может получить доступ. В своих официальных рекомендациях для разработчиков ^[10]^[11] как iOS, так и Android рекомендуют разработчикам ограничивать использование данных, защищенных разрешением, только ситуациями, когда это необходимо, и рекомендуют разработчикам предоставлять краткое описание того, почему запрашивается разрешение. Начиная с Android 6.0, пользователи получают запросы во время выполнения в контексте приложения, что в их документации называется «Расширенный ситуационный контекст».

Другие приложения

В 2006 году Барт, Датта, Митчелл и Ниссенбаум представили формальный язык, который можно было использовать для рассуждений о правилах конфиденциальности в законе о конфиденциальности. Они проанализировали положения закона Грэма-Лича-Блайли о конфиденциальности и показали, как перевести некоторые из его принципов на формальный язык. ^[12]

Ссылки

^ Хелен Ниссенбаум, Конфиденциальность в контексте, 2010 г.
^ Бенталл, Себастьян; Гюрсес, Седа; Ниссенбаум, Хелен (22 декабря 2017 г.). Контекстуальная целостность через призму информатики . Теперь Издательства. ISBN 978-1-68083-384-3 .
^ Мартин, К. и Хелен Ниссенбаум. «Что такого личного в данных «публичных» записей?» Целевое представление: обзоры осенних законов .
^ Ши, Пан, Хэн Сюй и Юнань Чен. «Использование контекстуальной целостности для изучения границ межличностной информации на сайтах социальных сетей». Материалы конференции SIGCHI по человеческому фактору в вычислительных системах. АКМ, 2013.
^ https://www.ntia.doc.gov/files/ntia/publications/rfc_comment_shvartzshnaider.pdf ^{[ только URL-адрес PDF ]}
^ Фислер, Кейси и Николас Проферес. «Восприятие участниками исследовательской этики Twitter». Социальные сети + Общество 4.1 (2018): 2056305118763366.
^ Энк, Уильям и др. «TaintDroid: система отслеживания информационных потоков для мониторинга конфиденциальности на смартфонах в реальном времени». Транзакции ACM в компьютерных системах (TOCS) 32.2 (2014 г.): 5.
^ Ланге, Патрисия Г. «Государственно-частное и частно-публичное: социальные сети на YouTube». Журнал компьютерной коммуникации 13.1 (2007): 361-380.
^ Линь, Цзялиу и др. «Ожидание и цель: понимание ментальных моделей пользователей конфиденциальности мобильных приложений с помощью краудсорсинга». Материалы конференции ACM 2012 года по повсеместным вычислениям. АКМ, 2012.
^ «Доступ к пользовательским данным – Архитектура приложения – iOS – Рекомендации по пользовательскому интерфейсу – Разработчик Apple» .
^ «Рекомендации по разрешению приложений» .
^ Барт, Адам; Датта, Анупам; Митчелл, Джон; Ниссенбаум, Хелен (2006). «Конфиденциальность и контекстная целостность: структура и приложения». Симпозиум IEEE 2006 г. по безопасности и конфиденциальности (S&P'06) . стр. 184–198. CiteSeerX 10.1.1.76.1610 . дои : 10.1109/СП.2006.32 . ISBN 978-0-7695-2574-7 . S2CID 1053621 .

См. также

Х. Ниссенбаум, Конфиденциальность в контексте: технологии, политика и целостность социальной жизни (Пало-Альто: Stanford University Press, 2010), испанский перевод. Конфиденциальность под угрозой: технологии, политика и целостность социальной жизни (Мехико: Oceano, 2011).
К. Мартин и Х. Ниссенбаум (2017) «Измерение конфиденциальности: эмпирическое исследование общих мер конфиденциальности в контексте», Обзор закона о науке и технологиях Колумбийского университета (готовится к печати).
Х. Ниссенбаум (2015) «Уважение контекста для защиты конфиденциальности: почему значение имеет значение», журнал «Наука и инженерная этика», опубликовано в Интернете 12 июля.
А. Конли, А. Датта, Х. Ниссенбаум, Д. Шарма (лето 2012 г.) «Поддержание конфиденциальности и открытого правосудия при переходе от локального к онлайн-доступу к судебным протоколам: междисциплинарное расследование», Maryland Law Review, 71:3 , 772–847.
Х. Ниссенбаум (осень 2011 г.) «Контекстуальный подход к конфиденциальности в Интернете», Дедал 140: 4, 32–48.
А. Барт, А. Датта, Дж. Митчелл и Х. Ниссенбаум (май 2006 г.) «Конфиденциальность и контекстная целостность: структура и приложения», в материалах симпозиума IEEE по безопасности и конфиденциальности, np (показано в «Логике Конфиденциальность», The Economist, 4 января 2007 г.)

[1] Хелен Ниссенбаум, Конфиденциальность в контексте, 2010 г.

[2] Бенталл, Себастьян; Гюрсес, Седа; Ниссенбаум, Хелен (22 декабря 2017 г.). Контекстуальная целостность через призму информатики . Теперь Издательства. ISBN 978-1-68083-384-3 .

[3] Мартин, К. и Хелен Ниссенбаум. «Что такого личного в данных «публичных» записей?» Целевое представление: обзоры осенних законов .

[4] Ши, Пан, Хэн Сюй и Юнань Чен. «Использование контекстуальной целостности для изучения границ межличностной информации на сайтах социальных сетей». Материалы конференции SIGCHI по человеческому фактору в вычислительных системах. АКМ, 2013.

[5] ttps://www.ntia.doc.gov/files/ntia/publications/rfc_comment_shvartzshnaider.pdf ^{[ только URL-адрес PDF ]}

[6] Фислер, Кейси и Николас Проферес. «Восприятие участниками исследовательской этики Twitter». Социальные сети + Общество 4.1 (2018): 2056305118763366.

[7] Энк, Уильям и др. «TaintDroid: система отслеживания информационных потоков для мониторинга конфиденциальности на смартфонах в реальном времени». Транзакции ACM в компьютерных системах (TOCS) 32.2 (2014 г.): 5.

[8] Ланге, Патрисия Г. «Государственно-частное и частно-публичное: социальные сети на YouTube». Журнал компьютерной коммуникации 13.1 (2007): 361-380.

[9] Линь, Цзялиу и др. «Ожидание и цель: понимание ментальных моделей пользователей конфиденциальности мобильных приложений с помощью краудсорсинга». Материалы конференции ACM 2012 года по повсеместным вычислениям. АКМ, 2012.

[10] «Доступ к пользовательским данным – Архитектура приложения – iOS – Рекомендации по пользовательскому интерфейсу – Разработчик Apple» .

[11] «Рекомендации по разрешению приложений» .

[12] Барт, Адам; Датта, Анупам; Митчелл, Джон; Ниссенбаум, Хелен (2006). «Конфиденциальность и контекстная целостность: структура и приложения». Симпозиум IEEE 2006 г. по безопасности и конфиденциальности (S&P'06) . стр. 184–198. CiteSeerX 10.1.1.76.1610 . дои : 10.1109/СП.2006.32 . ISBN 978-0-7695-2574-7 . S2CID 1053621 .

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]