Kapitel 9-10 i CC

Privacy & Data Protection
Sammanfattning av kapitel 9-10
Stefan Lindskog
2001-09-28
Agenda
❚ Kapitel 9
Privacy and security at risk in the global information
society [Simone Fischer-Hübner]
❚ Kapitel 10
Data Protection of law offenders [Peter Blume]
1
2
Introduktion till kapitel 9
❚ Alla teknologisk utvecklade länder har ett IIP*
❚ IIPs promotar olika initiativ
❙ distansarbete
❙ distansundervisning
❙ sjukvårdsnätverk
❙ etc
❚ Kapitlet behandlar säkerhets- och privacy-risker i det
globala informationssamhället
* Information Infrastructure Programme
Vad är privacy?
“Privacy is the claim of individuals, groups and institutions to
determine for themselves, when, how and to what extent information
about them is communicated to others”
[Alan Westin 1967]
❚ Tre dimensioner
❙ Privacy of the person
❘ by protecting a person against undue interferences
❙ Territorial privacy
❘ by protecting the close physical area surrounding a person
❙ Informational privacy
❘ by controlling whether and how personal data can be gathered, stored,
processed and selectively disseminated
3
4
Grundläggande privacyprinciper
❚ Purpose specification and purpose binding
❚ Necessity of data collection and processing
❚ The data subject’s right to information, correction,
erasure or blocking of incorrect or illegally stored
data
❚ Control by an independent data protection authority
❚ Adequate organisational and technical security
mechanisms
Hur kan privacy erhållas?
❚ Lagstiftning
❚ Självreglering
❚ PET*
❚ Utbildning
* Privacy-Enhancing Technologies
5
6
1

Privacy-hot
❚ Applikationsnivå
❙ Mer och mer känslig information används, skickas,
bearbetas, … i många av dagens applikationer
❚ Kommunikationsnivå
❙ Normalt ingen anonymitet vid kommunikation
❙ Tekniker som
❘ Cookies
❘ OPS (Open Profiling Standard)
används bakom ryggen på oss användare
Säkerhetsrisker
❚ Viktiga säkerhetsaspekter (både security och
safety)
❙ Confidentiality
❙ Integrity
❙ Availability
❙ Functionality
❙ Reliability
7
8
Säkerhetsattacker
❚ Hacking-attacks (automated/manual)
❚ Sniffing-attacks
❚ Spoofing-attacks
❚ Malicious agents (e.g., worms)
❚ Malicious documents (e.g., macro-viruses)
❚ Malicious web contents (Active-X controls)
Ett huvudskäl till säkerhetsproblemen i
dagens Internet är att säkerhet inte var
en viktig aspekt när systemet designades
9
Problem med en internationell
privacy-lagstiftning
❚ Idag finns väldigt olika syn på hur privacy ska
uppnås
❙ Inom EU (men också i Kanada) tror man på
lagstiftning (EU Directive 1995) som ska övervakas
av en myndighet
❙ I många asiatiska länder (exempelvis Singapore)
finns över huvud taget ingen privacy-lagstiftning
❙ I USA finns en lagstiftning som är begränsad till den
offentliga sektorn
❙ I USA tror man på självreglering för den privata
sektorn
10
PET
❚ Lagstiftning om privacy är inte tillräckligt
❚ PET måste också användas
❚ Minimera eller eliminera ALLTID lagring och
insamling av persondata
❚ Privacy utgör en funktionell klass i CC
Diskussionsfrågor
❚ Ska man acceptera lagring av cookies etc
på sin lokala dator?
❚ Vad finns det för alternativa tekniker?
11
12
2

Introduktion till kapitel 10
❚ Författat av en dansk jurist
❚ Kapitlet handlar om skydd av data relaterat
till person som
❙ har begått brott
❙ är anklagad för brott
❙ är misstänkt för brott
=> Kriminaldata (Criminal data)
❙ känslig information om en individ
Data Protection
❚ Data protection är en modern form av
informational privacy
❚ Problem:
❙ många definitioner av privacy
❘ ”the right to be let alone” från 1800-talet
❘ Alan Westins definition från 1967
❘ Solitude, intimacy, anonymity and reserve
❙ individer har olika uppfattningar om vad som
är privat information
13
14
Data protection (forts)
❚ Möjligheten att vara ifred är viktig och central i
västerländer
❚ I ett modernt samhälle måste personuppgifter
lagras, bearbetas, …
❚ Nya privacy-risker dyker ständigt upp
Personer som bryter mot lagen
❚ Informational privacy (IP) skyddar individer (data
subjects)
❚ Även brottslingar har rätt till IP
❚ Vid en brottsutredning förlorar den misstänkte
ALLTID delar av sin privacy
15
16
Den danska lagen
❚ Kriminaldata kan bearbetas av
❙ publika myndigheter
❘ polisen
❘ domstolar
❙ privata organisationer
❘ butiksinnehavare (snattare)
❚ I Danmark beskyddas brottslingar så att de kan komma
tillbaka till ett vanligt liv
❚ Endast korrekt information ska lagras, och inte längre än
nödvändigt
❚ Ett brottsregister kan användas för övervakning av individer
=> endast auktoriserade användare ska ha accessrättigheter
Den danska lagen (forts)
❚ Individer har rätt till åtkomst av sin egen
kriminaldata
❙ Felaktigheter kan upptäckas och rättas
❙ Informationen kan missbrukas av t ex en
arbetsgivare
❚ I Danmark finns idag inget centralt DNAregister,
men ett sådant har föreslagits
17
18
3

Lagar och förordningar i Europa
❚ Europarådet
❙ Polisdatarekommendation (80-talet)
❘ polisdata ska övervakas av en separat myndighet
❘ det måste finnas ett skäl för att få spara persondata
❘
❘
data baserat på fakta ska kunna särskiljas från data baserat
på åsikter och bedömningar
information ska inte behållas längre än nödvändigt
❚ EU
❙ Directive 95/46/EC
❘ Hoppar över kriminaldata vid listning av känslig/sensitiv data
Internationella polissamarbeten
❚ The Schengen convention (1990)
❙ Baserar sig på samarbeten mellan publika myndigheter i de olika
länderna
❙ Tillhandahåller ett internationellt brottsregister i Strasbourg,
kallat SIS (Öppet)
❙ SIRENE system (slutet och hemligt)
❚ The Europol convention (1995)
❙ Behandlar brottslighet som människosmuggling, terroristgrupper,
etc som involverar minst två medlemsländer
❙ En central databas har etablerats i Haag
19
20
Diskussionsfrågor
❚ Har någon begärt utdrag från det svenska
brottsregistret? Borde man göra det? Hur ofta
borde man göra det?
❚ Hur kan man få kännedom om alla register som
innehåller kriminaldata?
❚ Är dagens alla brottsregister motiverade?
21
4