广告

为什么工程师必须了解数据隐私法?

2019-11-29 Gina Roos 阅读:
为什么工程师必须了解数据隐私法?
随着亚马逊、Facebook和Google等科技巨头持续收集、存储并出售全球数百万人的个人数据,各种围绕监控经济和数字隐私权的话题日益引发热烈讨论。隐私问题并不只是数字服务和软件供应商才关心的问题,物联网(IoT)设备和任何连网设备的OEM设计人员也需要了解如何恰当地收集、存储、共用和使用数据,以保护个人信息。
33nednc

“我们越来越多地为每一个数字任务创造出数字孪生(digital twin),一个是实物本身,另一个是数字本身。”Dow解释说。这将对隐私和人权产生长期影响,欧盟对此表示了担忧,但又无法确保跟踪数字孪生的方式合适。33nednc

“在美国,关于人权或隐私的观点常常受到言论自由或知情权的一些修正条例弱化。”Dow继续说,“这些问题还没有得到很好的调和,以至于可以同时做到言论自由和隐私自主。”33nednc

“例如在加州,我们开始看到人们不必在二者之间进行选择了。他们已经决定通过制定法规来提升隐私权。他们也试图禁止在公共场所进行人脸识别。在美国所面临的挑战之一就是,不同的州最终可能针对信息收集与处理,制定各自需要遵守的隐私法规,这会使得事情变得极为复杂。”33nednc

“隐私保护设计恰好可以解决这个问题。如果在设计数字服务时就将其作为一种道德规范而纳入考虑,那么应该就会符合GDPR规范。而且由于法规在不断变化更新,我们可以得到更好的保护。如果美国公司向欧洲或世界其它地区提供跨国服务,即使它们是美国公司,也会发现自己有责任遵从隐私保护设计原则。”33nednc

“我们最终需要的是一个全国的标准,而不是每个州各自拥有一个标准,否则就会阻碍互联网贸易。”ECIA的Gray说,“在美国,人们争论的焦点在于谁拥有隐私数据——是收集这些信息的公司(无论是否有权利这样做),还是个人自己。”33nednc

“美国互联网在未经个人许可的情况下收集和出售数据,并由此发展起来,许多企业和数字经济体都建立在此基础之上。因此,如何解决隐私保护和商业之间的矛盾,将会是一场有趣的对话。”Gray表示。33nednc

隐私与安全

设计人员需要了解的美国及全球主要隐私和安全法规包括SOX、NIST、ISO和GDPR,Myerson表示。她同时指出,在企业审查其现有的安全措施和信息安全架构方面,GDPR给予的指导很有限。33nednc

“根据欧洲数据保护法,个人数据是指可以用来识别个人身份的任何信息,”Myerson说,“其中包括姓名、地址、电子邮件地址、IP地址、银行帐号或其他个人信息、医疗信息、照片、社交网络帖子等任何可以用来识别个人身份的数据。为了避免收集不必要的数据,应该对所有合同和协议进行审查,以确定哪些是必需的个人数据。33nednc

“隐私保护设计应该成为早期设计过程/产品开发周期的一部分,并且贯穿开发周期的每一步。”她表示,“在实施和部署产品后再解决隐私需求,将会对终端用户和开发人员造成负面影响。相较于在早期步骤中纳入考虑,到了后期步骤中才解决问题需要付出更高的成本。”33nednc

Myerson建议设计人员在设计过程的早期阶段,考虑以下隐私保护相关问题:33nednc

· 数据如何存储33nednc
· 如何确保数据安全33nednc
· 数据应保留多长时间(请注意,GDPR第5©条款中并未提到数据保留的期限,而SOX则对此作出了规定)33nednc
· 组织的数据访问策略是什么33nednc
· 哪些收集的数据需要加以清除33nednc
· 不同的隐私法律或法规对数据要求有什么不同33nednc
· 电子表格中数据的隐私问题是什么33nednc
· 当设计人员位于欧洲或欧洲之外时,文档策略是什么,应如何记录隐私问题33nednc

Myerson建议开发人员和工程师阅读NIST有关安全控制的文章,以便为GDPR做好准备。该文建议阅读的出版物如下:33nednc

· NISTIR 8062 “An Introduction to Privacy Engineering and Risk Management in Federal Systems”33nednc
· FIPS PUB 200 “Minimum Security Requirements for Federal Information and Information Systems”33nednc
· Framework for Improving Critical Infrastructure Cybersecurity33nednc
· NIST 800-53 “Security and Privacy Controls for Federal Information Systems and Organizations”33nednc

她说,上述第一篇文章有助于隐私保护设计和默认隐私保护的执行,可用于非联邦信息系统。后面两篇提供了评估信息安全架构的通用结构。第三篇涉及美国第13636号行政命令(Executive Order 13636),要求架构中包含有效方法,当关键基础设施组织在联邦和非联邦信息组织中进行网络安全活动时,可以保护个人隐私和公民自由。最后一篇文章则侧重于实现安全目标的具体解决方案。33nednc

她还建议工程师阅读NIST出版物参考文献中包含的ISO标准,以及SOX的应用方式,尽管其目标读者并不是工程师。工程师们还应该了解如何将各种隐私法规(美国和全球)应用于大数据(big data)的机器学习应用。33nednc

NIST就“Mitigating the Risk of Software Vulnerabilities by Adopting a Secure Software Development Framework (SSDF)”白皮书草案征求了意见,它提议向每个软件开发生命周期(SDLC)实现增加一组核心的高级安全软件开发实践。33nednc

IEEE在开发的P7000系列标准包括13个标准,重点关注智能和自主技术的道德开发、流程以及管理。其中许多都涉及隐私,如IEEE P7002,即IEEE有关数据隐私流程的标准项目,规定了如何对收集个人数据的系统或软件管理隐私问题。IEEE表示,该标准为设计人员提供了方法,让他们可以利用隐私影响评估(PIA)来识别和衡量其系统中的隐私控制。33nednc

数据隐私的影响涉及软件、固件和硬件。 “一想到Nest或Alexa设备,或其它任何类似的连网家庭系统,就知道这些都是硬件。”Dow表示,“对于操作系统如何工作,以及软件如何运行和收集数据来说,隐私保护设计与硬件设计同样重要。33nednc

“与此同时,如何使硬件或IoT设备尽可能安全的安全设计(security by design)也在兴起,而隐私保护设计则旨在确保将IoT设备设置成在一定程度上让数据传输的风险降低。”33nednc

Dow表示,人们越来越担心仅关注软件和服务是否足够。“起初,隐私保护设计的重点在于软件和数字服务。但是IEEE通过其P7000系列以及全球扩展智能理事会和MIT共同完成的一些工作逐渐显示,隐私保护设计可能需要成为硬件级和芯片级的设计原则。”33nednc

IEEE的一系列举措引领了这一风向,他们不断探索隐私和控制应该从哪里开始,以及其在设计流程中应嵌入的深度。33nednc

这项工作极具挑战性和颠覆性,尤其是当前世界不同地区采用不同法规,而数据和隐私问题又如此之多。Dow表示,“尝试形成一种能够在全球范围内实施的统一方法极具挑战性。”33nednc

“IEEE对过去20到30年的技术开发、软件服务和数字手机中的许多实践提出了质疑,他们认为,技术上的可行并不意味着道德的正确。这一道德争辩的部分关注点是,事情发展得太快,从而产生了意想不到的后果;也许现在是时候开始反省,事情是否符合道德要求,是否应该继续下去。”33nednc

关于在供应链和设计链中隐私保护设计需要应用多深,还有许多工作要做。33nednc

(原文刊登于ASPENCORE旗下Electronic Products网站,参考链接: Why engineers need to understand data privacy laws33nednc

本文为《电子技术设计》2019年12月刊杂志文章,版权所有,禁止转载。免费杂志订阅申请点击这里33nednc

本文为EDN电子技术设计 原创文章,禁止转载。请尊重知识产权,违者本司保留追究责任的权利。
  • 微信扫一扫
    一键转发
  • 最前沿的电子设计资讯
    请关注“电子技术设计微信公众号”
  • MCU四个重点催生中国化IP MCU的设计重点有四:安全感、丰富的连接性、低功耗和可靠性。如果能在IP阶段融入这几个关键要素,则对下游的MCU厂商来说,就可以省下不少的设计麻烦。同时,中国的MCU市场相对于全球,也会有一些特殊的特色需求。
  • 集成电路成为国家一级学科,30万人才缺口有望填补 目前集成电路专业设置和产业发展脱节,人才数量和质量都达不到产业发展要求。在美国对中国实施科技制裁的背景下,将集成电路提升为一级学科对人才培养和产业发展都是非常大的利好。
  • 专属AC/DC转换器:安全保障还是捆绑消费? 当需要匹配的4.5×3.0mm插头缺货时,我感到很失望。向店员解释了我的情况,他告诉我,即使他们有合适的库存,也没有用,因为这装置仍然不会运作…我感到迷惑不解,直到他解释说较新的戴尔设备具有内部第三线连接,该连接允许戴尔(和笔记本电脑)验证适配器是否为戴尔原厂设备…
  • 华为海思、小米、微软等50家公司源代码泄露,人人可公开 据外媒报道,继任天堂之后,全球有超过 50 家企业的源代码遭到泄露,其中覆盖科技、金融、零售、食品、电子商务、制造业等领域,涉及微软、Adobe、联想、AMD、Qualcomm、摩托罗拉、华为海思、联发科技、GE等诸多知名公司。
  • 华为“天才少年”校招薪资曝光:西安交大100万,华科201万 去年,华为的“对八位2019届顶尖学生实行年薪制管理”登上了各大平台的热榜,网友大呼华为“大手笔”,现在,时隔一年,第二批“天才少年”入选者也曝光了。西交大本科毕业年薪100万,华科博士毕业年薪201万!
  • 英特尔首席工程官离职,曾是CEO潜在人选 负责英特尔几乎所有硬件的高管、英特尔首席工程官Venkata “Murthy” Renduchintala将于8月3日离职,其领导的技术、系统架构和客户部门(TSCG)将拆分为5个团队。
广告
热门推荐
广告
广告
EE直播间
在线研讨会
广告
广告
面包芯语
广告
向右滑动:上一篇 向左滑动:下一篇 我知道了