Kapitel 9-10 i CC
Kapitel 9-10 i CC
Kapitel 9-10 i CC
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Privacy & Data Protection<br />
Sammanfattning av kapitel 9-<strong>10</strong><br />
Stefan Lindskog<br />
2001-09-28<br />
Agenda<br />
❚ <strong>Kapitel</strong> 9<br />
Privacy and security at risk in the global information<br />
society [Simone Fischer-Hübner]<br />
❚ <strong>Kapitel</strong> <strong>10</strong><br />
Data Protection of law offenders [Peter Blume]<br />
1<br />
2<br />
Introduktion till kapitel 9<br />
❚ Alla teknologisk utvecklade länder har ett IIP*<br />
❚ IIPs promotar olika initiativ<br />
❙ distansarbete<br />
❙ distansundervisning<br />
❙ sjukvårdsnätverk<br />
❙ etc<br />
❚ Kapitlet behandlar säkerhets- och privacy-risker i det<br />
globala informationssamhället<br />
* Information Infrastructure Programme<br />
Vad är privacy?<br />
“Privacy is the claim of individuals, groups and institutions to<br />
determine for themselves, when, how and to what extent information<br />
about them is communicated to others”<br />
[Alan Westin 1967]<br />
❚ Tre dimensioner<br />
❙ Privacy of the person<br />
❘ by protecting a person against undue interferences<br />
❙ Territorial privacy<br />
❘ by protecting the close physical area surrounding a person<br />
❙ Informational privacy<br />
❘ by controlling whether and how personal data can be gathered, stored,<br />
processed and selectively disseminated<br />
3<br />
4<br />
Grundläggande privacyprinciper<br />
❚ Purpose specification and purpose binding<br />
❚ Necessity of data collection and processing<br />
❚ The data subject’s right to information, correction,<br />
erasure or blocking of incorrect or illegally stored<br />
data<br />
❚ Control by an independent data protection authority<br />
❚ Adequate organisational and technical security<br />
mechanisms<br />
Hur kan privacy erhållas?<br />
❚ Lagstiftning<br />
❚ Självreglering<br />
❚ PET*<br />
❚ Utbildning<br />
* Privacy-Enhancing Technologies<br />
5<br />
6<br />
1
Privacy-hot<br />
❚ Applikationsnivå<br />
❙ Mer och mer känslig information används, skickas,<br />
bearbetas, … i många av dagens applikationer<br />
❚ Kommunikationsnivå<br />
❙ Normalt ingen anonymitet vid kommunikation<br />
❙ Tekniker som<br />
❘ Cookies<br />
❘ OPS (Open Profiling Standard)<br />
används bakom ryggen på oss användare<br />
Säkerhetsrisker<br />
❚ Viktiga säkerhetsaspekter (både security och<br />
safety)<br />
❙ Confidentiality<br />
❙ Integrity<br />
❙ Availability<br />
❙ Functionality<br />
❙ Reliability<br />
7<br />
8<br />
Säkerhetsattacker<br />
❚ Hacking-attacks (automated/manual)<br />
❚ Sniffing-attacks<br />
❚ Spoofing-attacks<br />
❚ Malicious agents (e.g., worms)<br />
❚ Malicious documents (e.g., macro-viruses)<br />
❚ Malicious web contents (Active-X controls)<br />
Ett huvudskäl till säkerhetsproblemen i<br />
dagens Internet är att säkerhet inte var<br />
en viktig aspekt när systemet designades<br />
9<br />
Problem med en internationell<br />
privacy-lagstiftning<br />
❚ Idag finns väldigt olika syn på hur privacy ska<br />
uppnås<br />
❙ Inom EU (men också i Kanada) tror man på<br />
lagstiftning (EU Directive 1995) som ska övervakas<br />
av en myndighet<br />
❙ I många asiatiska länder (exempelvis Singapore)<br />
finns över huvud taget ingen privacy-lagstiftning<br />
❙ I USA finns en lagstiftning som är begränsad till den<br />
offentliga sektorn<br />
❙ I USA tror man på självreglering för den privata<br />
sektorn<br />
<strong>10</strong><br />
PET<br />
❚ Lagstiftning om privacy är inte tillräckligt<br />
❚ PET måste också användas<br />
❚ Minimera eller eliminera ALLTID lagring och<br />
insamling av persondata<br />
❚ Privacy utgör en funktionell klass i <strong>CC</strong><br />
Diskussionsfrågor<br />
❚ Ska man acceptera lagring av cookies etc<br />
på sin lokala dator?<br />
❚ Vad finns det för alternativa tekniker?<br />
11<br />
12<br />
2
Introduktion till kapitel <strong>10</strong><br />
❚ Författat av en dansk jurist<br />
❚ Kapitlet handlar om skydd av data relaterat<br />
till person som<br />
❙ har begått brott<br />
❙ är anklagad för brott<br />
❙ är misstänkt för brott<br />
=> Kriminaldata (Criminal data)<br />
❙ känslig information om en individ<br />
Data Protection<br />
❚ Data protection är en modern form av<br />
informational privacy<br />
❚ Problem:<br />
❙ många definitioner av privacy<br />
❘ ”the right to be let alone” från 1800-talet<br />
❘ Alan Westins definition från 1967<br />
❘ Solitude, intimacy, anonymity and reserve<br />
❙ individer har olika uppfattningar om vad som<br />
är privat information<br />
13<br />
14<br />
Data protection (forts)<br />
❚ Möjligheten att vara ifred är viktig och central i<br />
västerländer<br />
❚ I ett modernt samhälle måste personuppgifter<br />
lagras, bearbetas, …<br />
❚ Nya privacy-risker dyker ständigt upp<br />
Personer som bryter mot lagen<br />
❚ Informational privacy (IP) skyddar individer (data<br />
subjects)<br />
❚ Även brottslingar har rätt till IP<br />
❚ Vid en brottsutredning förlorar den misstänkte<br />
ALLTID delar av sin privacy<br />
15<br />
16<br />
Den danska lagen<br />
❚ Kriminaldata kan bearbetas av<br />
❙ publika myndigheter<br />
❘ polisen<br />
❘ domstolar<br />
❙ privata organisationer<br />
❘ butiksinnehavare (snattare)<br />
❚ I Danmark beskyddas brottslingar så att de kan komma<br />
tillbaka till ett vanligt liv<br />
❚ Endast korrekt information ska lagras, och inte längre än<br />
nödvändigt<br />
❚ Ett brottsregister kan användas för övervakning av individer<br />
=> endast auktoriserade användare ska ha accessrättigheter<br />
Den danska lagen (forts)<br />
❚ Individer har rätt till åtkomst av sin egen<br />
kriminaldata<br />
❙ Felaktigheter kan upptäckas och rättas<br />
❙ Informationen kan missbrukas av t ex en<br />
arbetsgivare<br />
❚ I Danmark finns idag inget centralt DNAregister,<br />
men ett sådant har föreslagits<br />
17<br />
18<br />
3
Lagar och förordningar i Europa<br />
❚ Europarådet<br />
❙ Polisdatarekommendation (80-talet)<br />
❘ polisdata ska övervakas av en separat myndighet<br />
❘ det måste finnas ett skäl för att få spara persondata<br />
❘<br />
❘<br />
data baserat på fakta ska kunna särskiljas från data baserat<br />
på åsikter och bedömningar<br />
information ska inte behållas längre än nödvändigt<br />
❚ EU<br />
❙ Directive 95/46/EC<br />
❘ Hoppar över kriminaldata vid listning av känslig/sensitiv data<br />
Internationella polissamarbeten<br />
❚ The Schengen convention (1990)<br />
❙ Baserar sig på samarbeten mellan publika myndigheter i de olika<br />
länderna<br />
❙ Tillhandahåller ett internationellt brottsregister i Strasbourg,<br />
kallat SIS (Öppet)<br />
❙ SIRENE system (slutet och hemligt)<br />
❚ The Europol convention (1995)<br />
❙ Behandlar brottslighet som människosmuggling, terroristgrupper,<br />
etc som involverar minst två medlemsländer<br />
❙ En central databas har etablerats i Haag<br />
19<br />
20<br />
Diskussionsfrågor<br />
❚ Har någon begärt utdrag från det svenska<br />
brottsregistret? Borde man göra det? Hur ofta<br />
borde man göra det?<br />
❚ Hur kan man få kännedom om alla register som<br />
innehåller kriminaldata?<br />
❚ Är dagens alla brottsregister motiverade?<br />
21<br />
4