其乐融融的IT技术小站

数据永不消亡:数据隐私的不朽之战

两百多年前,本杰明·富兰克林说过,除了死亡和税收之外,没有什么是确定的。如果富兰克林今天还活着,他会在他的清单上再增加一项确定性:你的数字档案。

在雇主、私营企业、政府机构和社交媒体网站编制和存储的数据中,几乎每个人的个人信息无处不在。

当有人去世时,该数据将成为遗产的责任;但围绕该信息的隐私权会怎样呢?当所有者去世时,组织遵守数据隐私法规的责任级别是多少?如果该人是顾客、客户或员工,这种情况会发生变化吗?

数据作为财产:谁拥有它?

死后数据保护的第一个障碍是定义所有权。任何将数据存储在公共云中的组织都必须解决与网络安全相关的数据所有权问题:保护云中的数据是谁的工作?

“当使用基于云的供应商时,许多企业认为他们在这些第三方服务协议中保留了数据的所有权 - 但事实往往并非如此,”乔恩·罗斯基尔在《福布斯》上写道。最终用户许可证通常包含将数据所有权从消费者手中转移给供应商的措辞。

数据所有权是一个非常滑坡的过程。企业经常被出售,当这种情况发生时,数据就是商业抵押品。数据是否由客户生成并不重要;它成为新主人的财产。

如果我们不能定义数据所有权,我们也不能允许数据被继承。卡巴斯基实验室高级安全研究员 Dan Demeter 和 GReAT 副主任 Marco Preuss 在 RSA Conference 2023 上告诉观众,数字继承的想法仍处于起步阶段,但目前还没有明确的方案。有关如何将您的数字权利传递给近亲的程序或法律。

也许将数据定义为财产的最大障碍是数据可以位于任何地方并且通常是冗余的。当用户与供应商共享个人身份信息 (PII) 时,他们永远无法确定该数据的最终去向或数据的复制频率。专门识别个人身份的数据集可以存储在一家公司内部,但会在不同国家的四个异地数据中心进行备份和复制。现在,您不仅要处理供应商的所有权,还要处理每个位置的数据管理法律。

数据永不消亡

默认假设是,当一个人去世时,他们的数字资产会发生什么并不重要。他们不会需要它们。管理他人的数字遗骸是一项艰巨的任务,通常需要死亡证明并证明你们的关系。即便如此,您可能只是了解了实际情况的皮毛。您如何处理恢复的数据?任务如此艰巨,没有任何有形的东西可以收集或保卫。

你所爱的人将会死去。他们的数字资产将继续存在。如果无法监控帐户或将其个人数据置于周围环境,死者的 PII 就会成为身份窃贼和帐户劫持者的有吸引力的目标。根据Sift 的研究,总体而言,2022 年因账户接管而导致的攻击增加了 131%。

Sift 的一篇博文指出:“账户接管攻击的性质也使得它们很容易扩展——访问一组受损的凭据通常会打开通往多个账户的大门,为欺诈者提供了多个窃取来源。”

曾经属于已故某人的数字帐户变成了真正的幽灵帐户。它们处于休眠状态且无人看管。没有人对不活跃的账户保持警惕,威胁行为者也知道这一点。对于持有数据的人来说,这将成为严重的网络风险。单个受感染的帐户可以提供对公司网络的长期访问权限,从而为勒索软件攻击或财务盗窃打开了大门。

大多数数据隐私法规也不会提供任何保护。他们为可识别人员提供隐私保护;死者不具备可识别的资格。医疗保健信息是一个例外,因为它通常包括另一个(在世)人的记录。

保护已故的客户和员工

你无法保护你不知道的东西。是的,这已经是陈词滥调了,但也很容易被忘记。因此,在公司每个人都还健在的情况下,是时候开始全面盘点资产了。

德米特和普鲁斯说,这必须是一个终生的过程,因为构建一个人的数字资产是一个终生的过程。

用户需要制定继承计划。也许没有人会实际继承您的数字资产,但很可能有人需要访问帐户。在工作环境中,对于业务连续性尤其如此。密码、用户名和 MFA 密钥必须可用。

隐私游戏规则改变者:人工智能

人工智能将迫使立法者和组织重新考虑有关死者数据隐私的规则。任何类型的数字资产都可以变成虚假信息或重新生成,以数字方式使某人起死回生。生成式人工智能已经被用来构建死者的化身,称为幽灵机器人,利用可用的数据来重建他们的声音和个性,让他们看起来像是还活着。但是,虽然死人没有隐私权,但幽灵机器人显然模糊了数据隐私何时应终止的界限。

目前,幽灵机器人似乎并不构成安全风险;威胁行为者使用人工智能将身份盗窃提升到一个新的水平确实只是时间问题。如果没有幽灵数据,组织会变得更好,因为幽灵数据可能会让他们面临更大的数据泄露风险。但这些数据是被传递给近亲,还是被删除了?

每个人都有需要保护的数字遗产。我们只需要找出最好的方法,同时保护死者及其亲人的隐私。

赞 ()
分享到:更多 ()

相关推荐

内容页底部广告位3
留言与评论(共有 0 条评论)
   
验证码: