Privacy Bukan Security: Perangkap Inggeris Teknologi Yang Penting

Privacy Bukan Security: Perangkap Inggeris Teknologi Yang Penting

Satu app dengan bangga mengumumkan, "Your data is secure," dan anda berasa lega, terfikir, "Bagus, jadi ia private juga." Tetapi itu dua janji yang berbeza. Sebuah syarikat boleh mengunci data anda di sebalik tembok yang kukuh (security) dan masih berkongsinya dengan berpuluh-puluh syarikat lain (tiada privacy). Kedua-dua perkataan terasa seperti keyakinan hangat yang sama, dan itulah tepatnya kenapa ia bercampur baur.

Mendapatkan perkataan ini betul bukan sekadar cerewet. Perbezaan itu menentukan sama ada "we protect your data" sebenarnya bermaksud "we won't sell it" atau cuma bermaksud "outsiders can't break in." Itu janji yang amat berbeza.

Inilah satu cara mudah untuk mengasingkannya sepanjang hayat anda: security tentang pintu, privacy tentang senarai jemputan. Security bertanya, "Bolehkah orang yang salah masuk?" Privacy bertanya, "Daripada orang yang dibenarkan masuk, apa yang mereka boleh buat dengan apa yang mereka nampak?" Dua soalan berbeza, dua jawapan berbeza, dan sebuah syarikat boleh lulus satu sambil gagal yang satu lagi.

Jawapan Ringkas

Security tentang perlindungan daripada serangan dan capaian tanpa kebenaran: menghalang penceroboh. Privacy tentang siapa yang dibenarkan melihat atau menggunakan data anda dan untuk tujuan apa, termasuk syarikat itu sendiri. Anda boleh ada security yang kukuh dan privacy yang lemah pada masa yang sama. Security menjaga pintu; privacy menentukan siapa yang dijemput masuk dan apa yang mereka boleh buat dengan apa yang mereka jumpa.

Perkataan Utama

  • Security. Perlindungan terhadap serangan, kecurian, dan capaian tanpa kebenaran. Kunci, kata laluan, pertahanan. Soalan yang dijawabnya: bolehkah orang yang salah masuk?
  • Privacy. Kawalan ke atas siapa yang melihat atau menggunakan maklumat anda dan mengapa, termasuk orang yang sah memegangnya. Soalannya: siapa yang dibenarkan melihat, dan apa yang mereka boleh buat dengannya?
  • Confidential. Bertujuan dikongsi hanya dengan orang tertentu yang dibenarkan. Satu dokumen confidential bukan untuk mata semua orang.
  • Anonymous. Tanpa nama dilekatkan; tiada identiti didedahkan. Anda tidak boleh dikaitkan semula dengan data itu.
  • Encrypted. Dikodkan supaya hanya seseorang dengan kunci yang betul boleh membacanya. Perlindungan semasa transit atau penyimpanan.
  • Personal data. Maklumat yang berkaitan dengan seseorang yang boleh dikenal pasti. Peraturan privacy biasanya paling mengambil berat tentang kategori ini, kerana ia boleh dikaitkan semula dengan seseorang.
  • Consent. Persetujuan anda untuk data digunakan dengan cara tertentu. Satu idea privacy: ia tentang kebenaran, bukan perlindungan. Security yang kukuh tanpa consent masih satu masalah privacy.

Perangkap Biasa

Satu perangkap biasa ialah menganggap privacy dan security sebagai sinonim. Ia bertindih, tetapi ia menjawab soalan yang berbeza. Security menghalang orang tanpa kebenaran. Privacy mengawal apa yang orang yang dibenarkan, termasuk syarikat itu sendiri, boleh buat dengan data anda. Sesuatu perkhidmatan boleh sangat selamat dan masih menyerahkan maklumat anda kepada pengiklan. Itu security yang baik dan privacy yang buruk. Sebaliknya boleh juga berlaku: sesuatu perkhidmatan mungkin berjanji tidak berkongsi data anda (niat privacy yang baik) tetapi melindunginya dengan lemah (security yang buruk).

Jadi bila satu produk berkata "we keep your data secure," perhatikan apa yang ia tidak katakan. Ia berdiam tentang sama ada syarikat itu sendiri menggunakan atau berkongsi data anda. "Secure" bukan satu janji privacy.

Confidential dikelirukan dengan kedua-duanya. Confidential bermaksud "kongsi hanya dengan orang yang dibenarkan." Ia lebih dekat dengan privacy (siapa yang boleh melihatnya) tetapi dibingkaikan sekitar sekatan. Memanggil sesuatu "confidential" tidak mengatakan apa-apa tentang betapa baik ia dilindungi secara teknikal.

Anonymous banyak dilebih-lebihkan. Ramai orang menganggap "anonymous" bermaksud "betul-betul tidak boleh dikesan selama-lamanya." Pada amalannya, data yang kononnya anonymous kadang-kadang boleh dikaitkan semula kepada seseorang bila digabungkan dengan maklumat lain. "Anonymous" dan "private" bukan benda yang sama: anonymous bermaksud tiada nama dilekatkan; private bermaksud capaian dikawal. Anda boleh ada data dengan nama anda padanya yang dijaga private, dan data tanpa nama yang dikongsi secara meluas.

Perangkap paling berbahaya ialah menganggap encrypted secara automatik bermaksud private. Encryption mengkodkan data supaya orang luar tidak boleh membacanya tanpa kunci, itu satu langkah security. Tetapi syarikat yang memegang kunci itu selalunya masih boleh membacanya, menggunakannya, dan berkongsinya. "Encrypted" memberitahu anda tentang perlindungan daripada orang luar, bukan tentang apa yang syarikat itu sendiri buat dengan kandungannya. Encryption hebat, tetapi ia bukan jaminan privacy dengan sendirinya.

Perkataan consent ialah tempat ramai orang berhenti berfikir terlalu awal. Mereka menganggap jika data dilindungi dengan baik, kehendak mereka telah dihormati. Tetapi perlindungan dan kebenaran adalah berasingan. Sesuatu perkhidmatan boleh menjaga data anda dengan sempurna dan masih menggunakannya dengan cara yang anda tidak pernah setuju. "We keep it safe" bukan sama dengan "we only use it the way you allowed." Bila anda nampak janji kukuh tentang keselamatan, cari secara berasingan janji tentang consent: apa yang anda sebenarnya setuju, dan untuk tujuan apa?

Ada baiknya menjalankan satu ujian mental pantas pada mana-mana dakwaan yang meyakinkan. Tanya: adakah ayat ini tentang menghalang penceroboh, atau tentang mengawal apa yang orang dalam buat? "Encrypted," "secure," dan "protected" hampir selalu menjawab yang pertama. "We don't sell your data," "only with your consent," dan "we delete it after thirty days" menjawab yang kedua. Satu janji yang boleh dipercayai biasanya memerlukan kedua-dua bahagian. Jika satu kenyataan hanya pernah bercakap tentang kunci dan tidak pernah tentang penggunaan, kesenyapan itulah mesejnya.

Contoh Semula Jadi vs Janggal

Janggal: Your data is secure, so of course it's completely private.

Semula jadi: Your data is secure from outsiders; how we use it is a separate question.

Kurang semula jadi: It's encrypted, which means no one, including the company, can ever use it.

Lebih baik: It's encrypted, so outsiders can't read it, though the company may still access it.

Janggal: This is anonymous, so it can never be traced to anyone.

Semula jadi: This is anonymous, meaning no name is attached, though it might still be re-linked in some cases.

Janggal: We keep your messages confidential, so they're technically unbreakable.

Semula jadi: We keep your messages confidential, meaning only authorized people may see them.

Kurang semula jadi: We protect your data, so we'd never use it without asking.

Lebih baik: We protect your data, and we only use it with your consent.

Versi "lebih baik" menambah bahagian yang hilang: perlindungan (security) dan kebenaran (consent dan privacy) kedua-duanya dinyatakan, jadi janji itu lengkap dan bukan separuh diceritakan.

Jadual Ringkas

Word Common mix-up What it actually covers
security sama dengan privacy perlindungan daripada serangan dan capaian tanpa kebenaran
privacy sama dengan security siapa yang boleh lihat atau guna data anda, dan untuk apa
confidential dilindungi secara teknikal terhad kepada orang tertentu yang dibenarkan
anonymous betul-betul tidak boleh dikesan tiada nama dilekatkan (tetapi mungkin boleh dikait semula)
encrypted automatik private dikodkan terhadap orang luar; pemegang mungkin masih boleh baca

Latihan Pantas

Bagi setiap kenyataan, namakan jurangnya (apa yang ia TIDAK janji). Jawapan menyusul.

  1. "Your data is secure." What is left unsaid?
  2. "It's encrypted." What might still happen?
  3. "This survey is anonymous." What is the caution?
  4. "These files are confidential." What does this not tell you?
  5. "We protect your privacy." What does this not by itself promise?

Jawapan yang mungkin:

  1. Ia tidak mengatakan apa-apa tentang sama ada syarikat itu menggunakan atau berkongsi data anda (privacy).
  2. Syarikat yang memegang kunci mungkin masih boleh membaca, menggunakan, atau berkongsinya.
  3. Ia mungkin masih dikaitkan semula kepada orang bila digabungkan dengan data lain.
  4. Ia tidak mengatakan betapa kukuh fail itu dilindungi secara teknikal.
  5. Ia tidak menjamin perlindungan kukuh daripada penyerang luar (security).

Intipati

Privacy dan security terasa seperti janji yang menenangkan yang sama, tetapi ia menjaga benda yang berbeza. Security menghalang penceroboh; privacy mengawal apa yang orang dalam, termasuk syarikat, boleh buat dengan data anda. Encryption ialah satu kunci terhadap orang luar, bukan satu ikrar privacy. Anonymous bermaksud tiada nama, bukan tidak boleh dikesan. Bila anda baca satu baris meyakinkan seperti "secure and protected," tanya janji yang mana sebenarnya dibuat, dan yang mana diam-diam hilang. Satu tabiat itu akan menjadikan anda kedua-dua pembaca penulisan teknologi yang lebih jelas dan orang yang lebih sukar diperdaya.