Privacy ไม่ใช่ Security: กับดักภาษาอังกฤษเทคโนโลยีที่สำคัญ

Privacy ไม่ใช่ Security: กับดักภาษาอังกฤษเทคโนโลยีที่สำคัญ

แอปประกาศอย่างภาคภูมิว่า "Your data is secure" แล้วคุณก็ผ่อนคลาย คิดว่า "ดีจัง งั้นมันก็เป็นส่วนตัวด้วย" แต่นั่นคือคำมั่นสองอย่างที่ต่างกัน บริษัทล็อกข้อมูลของคุณไว้หลังกำแพงแข็งแรง (security) แล้วยังแบ่งปันให้บริษัทอื่นอีกหลายสิบแห่งได้ (ไม่มี privacy) ทั้งสองคำให้ความรู้สึกอุ่นใจแบบเดียวกัน ซึ่งนั่นแหละคือเหตุผลที่มันถูกปนกันพอดี

การใช้คำเหล่านี้ให้ถูกต้องไม่ใช่แค่จุกจิกจู้จี้ ความต่างนี้ตัดสินว่า "เราปกป้องข้อมูลของคุณ" หมายถึง "เราจะไม่ขายมัน" จริง ๆ หรือหมายถึงแค่ "คนนอกเจาะเข้ามาไม่ได้" สองอย่างนี้เป็นคำมั่นที่ต่างกันมาก

นี่คือวิธีง่าย ๆ ในการแยกมันออกจากกันตลอดชีวิต คือ security เป็นเรื่องของประตู privacy เป็นเรื่องของรายชื่อแขก Security ถามว่า "คนผิดเข้ามาได้ไหม?" Privacy ถามว่า "ในบรรดาคนที่ได้รับอนุญาตให้เข้ามา พวกเขาทำอะไรกับสิ่งที่เห็นได้บ้าง?" สองคำถามต่างกัน สองคำตอบต่างกัน และบริษัทผ่านข้อหนึ่งแต่ตกอีกข้อได้

คำตอบสั้น ๆ

Security เป็นเรื่องของการป้องกันจากการโจมตีและการเข้าถึงโดยไม่ได้รับอนุญาต คือกันผู้บุกรุกออกไป Privacy เป็นเรื่องของว่าใครได้รับอนุญาตให้เห็นหรือใช้ข้อมูลของคุณและเพื่อวัตถุประสงค์ใด รวมถึงตัวบริษัทเอง คุณมี security แข็งแรงและ privacy อ่อนแอพร้อมกันได้ Security เฝ้าประตู privacy ตัดสินว่าใครถูกเชิญเข้ามาและทำอะไรกับสิ่งที่เจอได้บ้าง

คำสำคัญ

  • Security. การป้องกันการโจมตี การโจรกรรม และการเข้าถึงโดยไม่ได้รับอนุญาต กุญแจ รหัสผ่าน การป้องกัน คำถามที่มันตอบคือ คนผิดเข้ามาได้ไหม?
  • Privacy. การควบคุมว่าใครเห็นหรือใช้ข้อมูลของคุณและทำไม รวมถึงคนที่ถือมันโดยชอบธรรม คำถามคือ ใครได้รับอนุญาตให้ดู และทำอะไรกับมันได้บ้าง?
  • Confidential. มีไว้แบ่งปันเฉพาะกับคนที่เจาะจงและได้รับอนุญาตเท่านั้น เอกสาร confidential ไม่ใช่สำหรับทุกสายตา
  • Anonymous. ไม่มีชื่อติดมาด้วย ไม่เปิดเผยตัวตน คุณเชื่อมโยงกลับไปยังข้อมูลไม่ได้
  • Encrypted. ถูกเข้ารหัสจนเฉพาะคนที่มีกุญแจถูกต้องเท่านั้นที่อ่านได้ เป็นการป้องกันระหว่างการส่งหรือการจัดเก็บ
  • Personal data. ข้อมูลที่เกี่ยวข้องกับบุคคลที่ระบุตัวได้ กฎ privacy มักให้ความสำคัญกับหมวดนี้ที่สุด เพราะมันโยงกลับไปยังใครสักคนได้
  • Consent. การยินยอมของคุณให้ใช้ข้อมูลในลักษณะหนึ่ง เป็นแนวคิดของ privacy มันเกี่ยวกับการอนุญาต ไม่ใช่การป้องกัน Security แข็งแรงโดยไม่มี consent ก็ยังเป็นปัญหา privacy

กับดักที่พบบ่อย

กับดักที่พบบ่อยคือการมอง privacy กับ security เป็นคำพ้องความหมาย มันทับซ้อนกัน แต่ตอบคนละคำถาม Security กันคนที่ไม่ได้รับอนุญาตออกไป Privacy ควบคุมว่าคนที่ได้รับอนุญาต รวมถึงตัวบริษัทเอง ทำอะไรกับข้อมูลของคุณได้บ้าง บริการหนึ่งมี security สูงมากแต่ยังส่งข้อมูลของคุณให้ผู้โฆษณาได้ นั่นคือ security ดีแต่ privacy แย่ ในทางกลับกันก็เกิดได้ คือ บริการหนึ่งอาจสัญญาว่าจะไม่แบ่งปันข้อมูลของคุณ (เจตนา privacy ดี) แต่ป้องกันมันอย่างอ่อนแอ (security แย่)

ดังนั้นเวลาผลิตภัณฑ์พูดว่า "we keep your data secure" สังเกตสิ่งที่มันไม่ได้พูด มันเงียบเรื่องว่าตัวบริษัทเองใช้หรือแบ่งปันข้อมูลของคุณหรือไม่ "Secure" ไม่ใช่คำมั่นเรื่อง privacy

Confidential ถูกสับสนกับทั้งสองคำ Confidential หมายถึง "แบ่งปันเฉพาะกับคนที่ได้รับอนุญาต" มันใกล้กับ privacy มากกว่า (ใครเห็นได้บ้าง) แต่ตีกรอบรอบการจำกัด การเรียกบางอย่างว่า "confidential" ไม่ได้บอกอะไรเลยเกี่ยวกับว่ามันถูกป้องกันทางเทคนิคดีแค่ไหน

Anonymous ถูกกล่าวอ้างเกินจริงอย่างแพร่หลาย หลายคนคิดว่า "anonymous" หมายถึง "ตามรอยไม่ได้เลยตลอดกาล" ในทางปฏิบัติ ข้อมูลที่ว่ากันว่า anonymous บางครั้งถูกเชื่อมโยงกลับไปยังบุคคลได้เมื่อรวมเข้ากับข้อมูลอื่น "Anonymous" กับ "private" ไม่ใช่สิ่งเดียวกัน anonymous หมายถึงไม่มีชื่อติดมา private หมายถึงการเข้าถึงถูกควบคุม คุณมีข้อมูลที่มีชื่อคุณติดอยู่แต่ถูกเก็บเป็นส่วนตัวได้ และมีข้อมูลที่ไม่มีชื่อแต่ถูกแบ่งปันอย่างกว้างขวางได้

กับดักที่อันตรายที่สุดคือการคิดว่า encrypted หมายถึง private โดยอัตโนมัติ การเข้ารหัสทำให้ข้อมูลยุ่งเหยิงจนคนนอกอ่านไม่ได้หากไม่มีกุญแจ นั่นคือมาตรการ security แต่บริษัทที่ถือกุญแจมักยังอ่าน ใช้ และแบ่งปันมันได้ "Encrypted" บอกคุณเรื่องการป้องกันจากคนนอก ไม่ใช่เรื่องว่าตัวบริษัทเองทำอะไรกับเนื้อหา การเข้ารหัสยอดเยี่ยม แต่มันไม่ใช่หลักประกัน privacy โดยลำพัง

คำว่า consent คือจุดที่หลายคนหยุดคิดเร็วเกินไป พวกเขาคิดว่าถ้าข้อมูลถูกป้องกันอย่างดี ความปรารถนาของพวกเขาก็ได้รับการเคารพแล้ว แต่การป้องกันกับการอนุญาตเป็นคนละเรื่อง บริการหนึ่งเฝ้าข้อมูลของคุณได้อย่างไร้ที่ติแต่ยังใช้มันในแบบที่คุณไม่เคยตกลงได้ "We keep it safe" ไม่เหมือนกับ "เราใช้มันเฉพาะในแบบที่คุณอนุญาต" เวลาคุณเห็นคำมั่นหนักแน่นเรื่องความปลอดภัย ให้มองหาคำมั่นเรื่อง consent แยกต่างหากด้วย คือ คุณตกลงอะไรไปจริง ๆ และเพื่อวัตถุประสงค์อะไร

มันช่วยให้ลองทดสอบในใจเร็ว ๆ กับทุกคำกล่าวที่ทำให้อุ่นใจ ลองถามว่า ประโยคนี้เกี่ยวกับการกันผู้บุกรุกออกไป หรือเกี่ยวกับการควบคุมสิ่งที่คนในทำ? "Encrypted," "secure" และ "protected" เกือบจะตอบข้อแรกเสมอ "We don't sell your data," "only with your consent" และ "we delete it after thirty days" ตอบข้อหลัง คำมั่นที่น่าเชื่อถือมักต้องมีทั้งสองครึ่ง ถ้าคำกล่าวพูดแต่เรื่องกุญแจและไม่เคยพูดเรื่องการใช้งานเลย ความเงียบนั้นแหละคือสาร

ตัวอย่างแบบธรรมชาติ vs แบบแปร่ง

แบบแปร่ง: Your data is secure, so of course it's completely private.

แบบธรรมชาติ: Your data is secure from outsiders; how we use it is a separate question.

เป็นธรรมชาติน้อยกว่า: It's encrypted, which means no one, including the company, can ever use it.

ดีกว่า: It's encrypted, so outsiders can't read it, though the company may still access it.

แบบแปร่ง: This is anonymous, so it can never be traced to anyone.

แบบธรรมชาติ: This is anonymous, meaning no name is attached, though it might still be re-linked in some cases.

แบบแปร่ง: We keep your messages confidential, so they're technically unbreakable.

แบบธรรมชาติ: We keep your messages confidential, meaning only authorized people may see them.

เป็นธรรมชาติน้อยกว่า: We protect your data, so we'd never use it without asking.

ดีกว่า: We protect your data, and we only use it with your consent.

เวอร์ชัน "ดีกว่า" เติมครึ่งที่หายไปเข้ามา คือ การป้องกัน (security) และการอนุญาต (consent และ privacy) ถูกระบุทั้งคู่ คำมั่นจึงครบถ้วนแทนที่จะเล่าแค่ครึ่งเดียว

ตารางสรุป

Word ที่มักสับสน จริง ๆ แล้วครอบคลุมอะไร
security เหมือนกับ privacy การป้องกันจากการโจมตีและการเข้าถึงโดยไม่ได้รับอนุญาต
privacy เหมือนกับ security ใครเห็นหรือใช้ข้อมูลของคุณได้ และเพื่ออะไร
confidential ถูกป้องกันทางเทคนิค จำกัดเฉพาะคนที่เจาะจงและได้รับอนุญาต
anonymous ตามรอยไม่ได้เลย ไม่มีชื่อติดมา (แต่อาจถูกเชื่อมกลับได้)
encrypted เป็นส่วนตัวโดยอัตโนมัติ ถูกเข้ารหัสกันคนนอก ผู้ถืออาจยังอ่านได้

ฝึกสั้น ๆ

สำหรับแต่ละคำกล่าว ให้ระบุช่องว่าง (สิ่งที่มันไม่ได้สัญญา) คำตอบตามมา

  1. "Your data is secure." What is left unsaid?
  2. "It's encrypted." What might still happen?
  3. "This survey is anonymous." What is the caution?
  4. "These files are confidential." What does this not tell you?
  5. "We protect your privacy." What does this not by itself promise?

คำตอบที่เป็นไปได้:

  1. มันไม่พูดอะไรเลยเกี่ยวกับว่าบริษัทใช้หรือแบ่งปันข้อมูลของคุณหรือไม่ (privacy)
  2. บริษัทที่ถือกุญแจอาจยังอ่าน ใช้ หรือแบ่งปันมันได้
  3. มันยังถูกเชื่อมกลับไปยังบุคคลได้เมื่อรวมเข้ากับข้อมูลอื่น
  4. มันไม่บอกว่าไฟล์ถูกป้องกันทางเทคนิคแข็งแรงแค่ไหน
  5. มันไม่รับประกันการป้องกันที่แข็งแรงจากผู้โจมตีภายนอก (security)

สิ่งที่ควรจำ

Privacy กับ security ให้ความรู้สึกเป็นคำมั่นที่อุ่นใจแบบเดียวกัน แต่มันเฝ้าคนละสิ่ง Security กันผู้บุกรุกออกไป privacy ควบคุมว่าคนใน รวมถึงตัวบริษัท ทำอะไรกับข้อมูลของคุณได้บ้าง การเข้ารหัสคือกุญแจกันคนนอก ไม่ใช่คำสาบานเรื่อง privacy Anonymous หมายถึงไม่มีชื่อ ไม่ใช่ตามรอยไม่ได้ เวลาคุณอ่านบรรทัดที่ทำให้อุ่นใจอย่าง "secure and protected" ให้ถามว่าคำมั่นไหนกำลังถูกให้จริง ๆ และอันไหนเงียบหายไป นิสัยเดียวนั้นจะทำให้คุณทั้งเป็นผู้อ่านงานเขียนเทคโนโลยีที่ชัดเจนขึ้น และเป็นคนที่หลอกได้ยากขึ้น