隐私与信息技术 and privacy (Jeroen van den Hoven, Martijn Blaauw, Wolter Pieters, and Martijn Warnier)

首次发布于 2014 年 11 月 20 日，实质性修订于 2019 年 10 月 30 日。

人们重视他们的隐私和对个人生活领域的保护。他们重视对谁知道他们的信息有一定的控制权。他们当然不希望他们的个人信息随时都可以被任何人访问。但是信息技术的最新进展威胁到了隐私，并减少了对个人数据的控制，并且打开了因访问个人数据而产生一系列负面后果的可能性。在 20 世纪下半叶，数据保护制度应运而生，作为对个人数据处理水平不断增加的回应。21 世纪已经成为大数据和先进信息技术（例如深度学习形式）的世纪，大型科技公司和平台经济的崛起带来了以存储和处理艾克斯字节的数据为特点的情况。

爱德华·斯诺登的揭示，以及最近的剑桥分析案（Cadwalladr＆Graham-Harrison 2018）表明，对负面后果的担忧是真实存在的。现在已经具备了收集、存储和搜索大量电话对话、互联网搜索和电子支付数据的技术能力，并且政府机构和企业行为者都在常规使用。中国的崛起以及先进数字技术在监视和控制方面的大规模使用和传播，进一步加剧了许多人的担忧。对于企业来说，关于客户和潜在客户的个人数据现在也是一项重要资产。大型科技公司（谷歌、亚马逊、Facebook、微软、苹果）以个人数据为中心的商业模式的范围和目的已经被 Shoshana Zuboff（2018）详细描述为“监控资本主义”。

与此同时，隐私的含义和价值仍然是一个相当有争议的话题。新技术的不断增强的力量与对隐私的清晰度和一致性的下降相结合，引发了有关法律、政策和伦理的问题。许多这些概念性的辩论和问题都处于对《通用数据保护条例》（GDPR）的解释和分析的背景之中。该条例于 2018 年春季由欧盟通过，作为欧盟 1995 年指令的继任者，并适用于远超欧盟边界的范围。

本文的重点是探讨信息技术与隐私之间的关系。我们将既阐述信息技术及其创新对隐私构成的具体威胁，又指出信息技术本身如何通过以“尊重隐私”、“增强隐私”或“尊重隐私”为特点的方式来克服这些隐私问题。我们还将讨论新兴技术在这场辩论中的作用，并解释道道德辩论本身如何受到信息技术的影响。

---

1. 隐私的概念和隐私的价值

关于隐私的讨论与技术的使用紧密相连。在西方世界，关于隐私的辩论始于报纸印刷机和摄影术的引入。塞缪尔·D·沃伦和路易斯·布兰代斯在哈佛法律评论上发表了他们关于隐私的文章（沃伦和布兰代斯，1890 年），部分是对当时记者侵入性活动的抗议。他们认为，有一种“被单独留下的权利”，基于“不可侵犯的个性”原则。自那篇文章发表以来，关于隐私的辩论一直受到有关个人决定他人对其访问程度的权利（韦斯汀，1967 年）和有关社会了解个人的权利的主张的推动。信息作为访问个人的基石，隐私辩论与信息技术的发展相互影响和响应。因此，很难将隐私的概念和数据保护的讨论与计算机、互联网、移动计算和这些基本技术的许多应用分开来思考。

1.1 宪法隐私与信息隐私

受美国法律的后续发展的启发，可以区分（1）宪法（或决策）隐私和（2）侵权（或信息）隐私（DeCew 1997）。第一种是指在涉及个人私密事务时，自由做出自己的决策而不受他人干涉，例如决定使用避孕药具或堕胎。第二种是关注个人对于控制他们自己的信息访问的利益，通常被称为“信息隐私”。例如，在 Facebook 或其他社交媒体上披露的信息很容易超出个人的控制范围。

关于隐私的陈述可以是描述性的或规范性的，这取决于它们是用来描述人们如何定义隐私的情况和条件以及他们如何评价它们，还是用来表明对信息或信息处理应该有限制。这些条件或限制通常涉及个人信息，或可能影响个人的信息处理方式。规范意义上的信息隐私通常指的是个人对于以下内容的非绝对道德权利：（1）关于自己的信息，（2）他人可能获取关于自己的信息的情况，以及（3）可以用于生成、处理或传播关于自己的信息的技术。

1.2 隐私价值的解释

关于隐私的辩论几乎总是围绕着新技术展开，涉及遗传学、生物标志物的广泛研究、脑成像、无人机、可穿戴传感器和传感器网络、社交媒体、智能手机、闭路电视、政府网络安全计划、直销、射频识别标签、大数据、头戴显示器和搜索引擎等。对于新技术的涌现及其对个人信息和隐私的影响，基本上有两种反应：第一种反应是由 IT 行业和研发领域的许多人持有的观点，即在数字时代我们没有隐私可言，无法保护隐私，所以我们应该适应这个新世界并克服它（Sprenger 1999）。另一种反应是我们的隐私比以往任何时候都更重要，我们可以并且必须努力保护它。

在隐私的文献中，关于隐私的性质和价值有许多相互竞争的观点（Negley 1966，Rössler 2005）。在光谱的一端，还原主义观点认为隐私权主张实际上是关于其他价值和其他从道德角度来看重要的事物。根据这些观点，隐私的价值可以归结为这些其他价值或价值来源（Thomson 1975）。沿着这些观点辩护的提案提到了财产权、安全、自主权、亲密关系或友谊、民主、自由、尊严、效用和经济价值。还原主义观点认为，隐私的重要性应该通过这些其他价值和价值来源来解释和澄清其含义（Westin 1967）。相反的观点认为，隐私本身具有价值，其价值和重要性并非源于其他考虑因素（有关讨论请参见 Rössler 2004）。将隐私和个人生活领域视为人权的观点就是这种非还原主义观念的一个例子。

近年来，针对新的信息技术，提出了一种与隐私有关的隐私解释类型，它承认在对隐私的呼吁中存在一系列相关的道德主张，但坚持认为没有单一的隐私关切的核心。这种方法被称为集群解释（DeCew 1997; Solove 2006; van den Hoven 1999; Allen 2011; Nissenbaum 2004）。

从描述性的角度来看，隐私解释的最新补充是认识论解释，其中隐私的概念主要通过知识或其他认识状态进行分析。拥有隐私意味着他人不知道某些私人命题；缺乏隐私意味着他人确实知道某些私人命题（Blaauw 2013）。这种对于拥有隐私的概念的重要方面是将其视为一种关系（Rubel 2011; Matheson 2007; Blaauw 2013），具有三个参数：主体（S），命题集合（P）和个体集合（I）。这里的 S 是拥有（一定程度的）隐私的主体。P 由主体希望保持私密的命题组成（将该集合中的命题称为“个人命题”），而 I 由那些主体希望对其个人命题保密的个体组成。

另一个有用的区分是欧洲方法和美国方法之间的区别。一项文献计量学研究表明，这两种方法在文献中是分开的。第一种方法将信息隐私问题概念化为“数据保护”，第二种方法则概念化为“隐私”（Heersmink 等，2011 年）。在讨论隐私问题与技术的关系时，数据保护的概念是最有帮助的，因为它能够清晰地描述受保护对象以及通过哪些技术手段可以保护数据。同时，它也引发了为什么应该保护数据的问题，指出了一些可以为个人数据的技术、法律和制度保护提供道德依据的独特道德基础。因此，信息隐私被重新定义为个人数据的保护（van den Hoven，2008 年）。这一观点展示了隐私、技术和数据保护之间的关系，而不是混淆隐私和数据保护。

1.3 个人数据

个人信息或数据是与个人相关或可以与个人相关联的信息或数据。例如，明确说明的特征包括个人的出生日期、性取向、行踪、宗教，以及您计算机的 IP 地址或与这些信息相关的元数据。此外，个人数据还可以更间接地以行为数据的形式存在，例如来自社交媒体的数据，可以与个人相关联。个人数据可以与被认为敏感、有价值或重要的其他数据进行对比，例如秘密配方、财务数据或军事情报。这里不考虑用于保护其他信息（如密码）的数据。尽管这些安全措施（密码）可能有助于保护隐私，但它们的保护只是为了保护其他（更私密）信息，因此这里不考虑此类安全措施的质量。

在哲学语义学中，一个相关的区别是人物描述标签的指称用法和属性用法（van den Hoven 2008）。法律上将个人数据定义为可以与自然人相关联的数据。有两种方式可以建立这种关联：指称模式和非指称模式。法律主要关注的是“指称用法”，即基于说话者与其所知对象之间的（可能的）熟悉关系进行使用的类型。在法庭上指着肯尼迪说“肯尼迪的凶手一定是疯了”就是指称用法的例子。这可以与属性用法进行对比，例如“肯尼迪的凶手一定是疯了，不管他是谁”。在这种情况下，描述的使用者并不认识或可能永远不会认识他所谈论或打算引用的人。如果将个人数据的法律定义解释为指称用法，那么许多可能在某个时间点上与人相关的数据将不受保护；也就是说，对这些数据的处理不会受到与隐私或个人生活领域相关的道德约束，因为它们并没有以直接的方式“指称”人，因此在严格意义上并不构成“个人数据”。

1.4 保护个人数据的道德原因

以下是保护个人数据并对他人访问这些数据提供直接或间接控制的道德原因的几种类型（van den Hoven 2008）：

1. 预防伤害：他人对个人的银行解释、个人资料、社交媒体解释、云存储库、特征和行踪的无限制访问可能以多种方式对数据主体造成伤害。

2. 信息不平等：个人数据已成为商品。个人通常处于不利的地位，无法就数据使用达成协议，并且没有手段检查合作伙伴是否遵守合同条款。数据保护法律、规章和治理旨在为个人数据传输和交换的合同起草提供公平条件，并为数据主体提供检查和平衡、救济保障和监督合同条款履行的手段。灵活定价、定价针对和定价欺诈、动态谈判通常基于信息不对称和信息获取的巨大差异。此外，营销中的选择建模、政治活动中的微观定位和政策实施中的引导都利用了委托人和代理人之间的基本信息不平等。

3. 信息不公正和歧视：在一个领域或背景（例如，医疗保健）提供的个人信息在另一个领域或背景（如商业交易）中使用时可能改变其含义，并可能给个人带来歧视和不利。这与尼森鲍姆（2004）关于情境完整性和范登霍文（Van den Hoven 2008）关于正义领域的讨论有关。

4. 侵犯道德自治和人的尊严：缺乏隐私可能使个人暴露于外部力量的影响之下，这些力量会影响他们的选择并导致他们做出本来不会做出的决定。大规模监视导致个人经常、系统地和持续地做出选择和决策，因为他们知道其他人在观察他们。这影响了他们作为自治存在的地位，并对他们和社会产生了所谓的“寒蝉效应”。与此密切相关的是对个人尊重和人的尊严的考虑。与一个人身份相关的大量数据的积累（例如，脑-计算机接口、身份图、数字双胞胎或数字孪生、对一个人社交网络拓扑的分析）可能导致这样的想法：我们了解一个特定的人，因为有关她的信息太多了。可以说，基于大数据来了解人们构成了一种认识论和道德上的不适当行为（Bruynseels 和 Van den Hoven 2015），它未能尊重人类作为具有私人心理状态的主体这一事实，这种状态从外部视角（第三人称或第二人称视角）是无法获得的，无论多么详细和准确。尊重隐私将意味着承认人的道德现象学，即承认人始终超越先进的数字技术所能提供的范围。

所有这些考虑都提供了限制和约束个人数据访问以及为个人提供对其数据的控制的良好道德理由。

1.5 法律、法规和对访问的间接控制

承认保护个人数据存在道德原因，几乎所有国家都实施了数据保护法律。这些法律背后的基本道德原则是要求数据主体经过知情同意才能进行处理，至少在原则上，为主体提供对潜在负面影响的控制权，如上所述。此外，个人信息的处理要求明确其目的，限制其使用，通知个人并允许其纠正不准确之处，并使数据持有者对监督机构负责（OECD 1980）。由于无法以传统方式保证所有类型的数据处理在所有这些领域和应用中都符合这些规则和法律的要求，因此所谓的“增强隐私技术”（PETs）和身份管理系统有望在许多情况下取代人工监督。21 世纪隐私面临的挑战是确保技术的设计以软件、架构、基础设施和工作流程的方式融入隐私要求，使隐私侵犯的可能性降低。新一代隐私法规（例如 GDPR）现在要求采用“隐私设计”方法。数据生态系统和社会技术系统、供应链、组织，包括激励结构、业务流程和技术硬件和软件，以及人员培训，都应该以尽可能低的隐私侵犯可能性为目标进行设计。

2. 信息技术对隐私的影响

关于隐私的辩论几乎总是围绕着新技术展开，涉及遗传学、生物标记的广泛研究、脑成像、无人机、可穿戴传感器和传感器网络、社交媒体、智能手机、闭路电视、政府网络安全计划、直销、监视、射频识别标签、大数据、头戴显示器和搜索引擎等。本节讨论了一些新技术的影响，特别关注信息技术。

2.1 信息技术的发展

"信息技术" 指的是用于存储、处理和分发信息的自动化系统。通常，这涉及计算机和通信网络的使用。信息系统可以存储或处理的信息量取决于所使用的技术。过去几十年来，技术的容量迅速增加，符合摩尔定律。这适用于存储容量、处理能力和通信带宽。我们现在能够在艾字节级别上存储和处理数据。举个例子，要在 720 MB 的 CD-ROM 光盘上存储 100 艾字节的数据，需要一堆光盘几乎能够达到月球。

这些发展从根本上改变了我们的信息提供实践。快速的变化增加了对效果可取性的谨慎考虑的需求。有些人甚至将数字革命视为类似于工业革命的技术飞跃，或者将数字革命视为对人类本质和世界理解的革命，类似于哥白尼、达尔文和弗洛伊德的革命（Floridi 2008）。在技术和认识的意义上，强调的是连接性和互动性。物理空间变得不那么重要，信息无处不在，社会关系也相应调整。

正如我们已经描述的，隐私是基于对个人信息访问和/或使用施加限制的道德原因，信息技术所带来的增加的连接性提出了许多问题。在描述性意义上，访问增加了，这在规范意义上需要考虑这一发展的可取性，并评估技术（Lessig 1999）、机构和/或法律对其进行规范的潜力。

随着连接性增加，访问信息的可能性也增加了，代理人基于新的信息来源行动的可能性也增加了。当这些来源包含个人信息时，伤害、不平等、歧视和失去自主权的风险很容易出现。例如，你的敌人可能更容易找到你的位置，用户可能会为了在线环境中的感知利益而放弃隐私，雇主可能会使用在线信息来避免雇佣某些人群。此外，系统而不是用户可能决定显示哪些信息，从而只向用户展示与其个人资料相匹配的新闻。

尽管技术在设备层面上运作，信息技术由一套复杂的社会技术实践组成，其使用背景构成了讨论其在改变访问信息可能性和影响隐私方面的角色的基础。我们将在以下章节中讨论一些具体的发展及其影响。

2.2 互联网

互联网最初在 1960 年代构思，并在 1980 年代作为一个科学网络用于交换信息，它并没有被设计用于分离信息流动的目的（Michener 1999）。如今的万维网并没有被预见到，互联网的滥用可能性也没有被预料到。社交网络网站最初是为在现实生活中相互认识的人群而设计的，最初主要在学术环境中使用，而不是为全球用户群体而开发（Ellison 2007）。人们认为与亲密朋友分享不会造成任何伤害，只有当网络规模扩大时，隐私和安全才成为议程上的问题。这意味着隐私问题通常需要作为附加功能来处理，而不是通过设计来解决。

在讨论互联网隐私的主题中，一个重要的议题是关于 cookie 的使用（Palmer 2005）。Cookie 是网站存储在用户计算机上的小数据片段，以实现对网站的个性化定制。然而，一些 cookie 可以用于跟踪用户在多个网站上的活动（跟踪 cookie），例如，在完全不同的网站上显示用户最近浏览过的产品的广告。同样，生成的信息被用于何种目的并不总是清楚。要求用户同意使用 cookie 的法律并不总能成功增加对其控制的程度，因为同意请求会干扰任务流程，用户可能会直接忽略任何同意请求（Leenes＆Kosta 2015）。同样，嵌入在其他网站中的社交网络网站功能（例如“喜欢”按钮）可能会使社交网络网站识别用户访问的网站（Krishnamurthy＆Wills 2009）。

云计算的最新发展增加了许多隐私问题（Ruiter＆Warnier 2011）。以前，虽然信息可以从网络上获取，但用户数据和程序仍然存储在本地，防止程序供应商访问数据和使用统计信息。在云计算中，数据和程序都在线上（在云中），并且并不总是清楚用户生成的数据和系统生成的数据用于何种目的。此外，由于数据存储在世界其他地方，哪个法律适用以及哪些机构可以要求访问数据甚至并不总是明显。在线服务和应用程序（如搜索引擎和游戏）收集的数据尤其令人担忧。应用程序使用和传输哪些数据（浏览历史记录，联系人列表等）并不总是清楚，即使清楚了，用户唯一的选择可能就是不使用该应用程序。

在下面的章节中讨论了互联网隐私（社交媒体和大数据）的一些特殊特点。

2.3 社交媒体

社交媒体带来了额外的挑战。问题不仅仅是关于限制信息访问的道德原因，还涉及限制用户提交各种个人信息的道德原因。社交网络网站邀请用户生成更多数据，增加网站的价值（"您的个人资料已完成...%"）。用户被诱导交换个人数据以获得使用服务的好处，并将这些数据和他们的注意力作为支付服务的方式。此外，用户可能甚至不知道他们被诱导提供的信息是什么，就像在其他网站上的“喜欢”按钮的情况一样。仅仅限制个人信息的访问并不能公正地解决这些问题，更根本的问题在于引导用户的共享行为。当服务是免费的时候，数据就成为一种支付方式。

限制用户分享诱惑的一种方法是要求默认的隐私设置严格。即使如此，这仍然限制了其他用户（“朋友的朋友”）的访问，但并不限制服务提供商的访问。此外，这种限制也限制了社交网络网站本身的价值和可用性，并可能减少此类服务的积极影响。隐私友好的默认设置的一个特定例子是选择加入而不是选择退出的方法。当用户必须采取明确的行动来共享数据或订阅服务或邮件列表时，产生的影响可能更容易被用户接受。然而，很大程度上还取决于选择如何被呈现（Bellman，Johnson 和 Lohse 2001）。

2.4 大数据

用户在网上产生了大量的数据。这不仅是用户明确输入的数据，还包括用户行为的众多统计数据：访问的网站、点击的链接、输入的搜索词等等。数据挖掘可以用来从这些数据中提取模式，然后用于对用户做出决策。这些决策可能只影响在线体验（显示广告），但根据哪些方面可以访问这些信息，它们也可能在完全不同的情境中影响用户。

特别是，大数据可以用于对用户进行个人画像（Hildebrandt 2008），创建典型用户属性组合的模式，然后用于预测兴趣和行为。一个无害的应用是“你可能也喜欢……”，但是根据可用数据，可能会得出更敏感的推断，比如最可能的宗教或性取向。这些推断反过来可能导致不平等对待或歧视。当用户可以被分配到特定的群体中，即使只是概率上的，这可能会影响他人的行动（Taylor, Floridi, & Van der Sloot 2017）。例如，个人画像可能导致拒绝提供保险或信用卡，这种情况下歧视的主要原因是利润。当这些决策基于个人画像时，可能很难对其提出质疑，甚至找出背后的解释。个人画像还可以被组织或可能的未来政府用于其政治议程中对特定群体的歧视，以便找到他们的目标并拒绝他们获得服务，甚至更糟。

大数据不仅仅来自互联网交易。同样，当购物时，当在公共或私人空间中被监控摄像头记录时，或者当使用基于智能卡的公共交通支付系统时，也可能收集数据。所有这些数据都可以用来对公民进行个人资料分析，并基于这些资料做出决策。例如，购物数据可以用来向特定个体发送有关健康饮食习惯的信息，但也可以用于保险方面的决策。根据欧盟的数据保护法，处理个人数据需要获得许可，并且只能为获得数据的目的进行处理。因此，具体的挑战是：（a）在用户没有明确进行交易时（如监控的情况下），如何获得许可；（b）如何防止“功能蔓延”，即在收集数据后将其用于不同的目的（例如 DNA 数据库可能发生的情况）（Dahl＆Sætnan 2009）。

遗传学和基因组学数据可能引发特定的关注（Tavani 2004，Bruynseels＆van den Hoven，2015）。与其他数据一样，基因组学可以用于预测，特别是可以预测疾病的风险。除了其他人可以访问详细的用户资料之外，这里的一个基本问题是个体是否应该知道关于自己的信息。一般来说，用户可以说有权访问存储在他们身上的任何信息，但在这种情况下，也可能有权不知道，特别是当了解数据（例如疾病风险）会降低幸福感时-例如通过引起恐惧-而不提供治疗时。对于前面的例子，人们可能也不想知道自己购物行为的模式。

2.5 移动设备

随着用户越来越拥有智能手机等联网设备，移动设备收集和发送的数据也越来越多。这些设备通常包含各种产生数据的传感器，包括 GPS（位置）、运动传感器和摄像头，并且可以通过互联网或其他网络传输生成的数据。一个特别的例子是位置数据。许多移动设备都有一个 GPS 传感器来记录用户的位置，但即使没有 GPS 传感器，也可以通过监控可用的无线网络来推导出大致位置。由于位置数据将在线世界与用户的物理环境联系起来，具有潜在的身体伤害风险（跟踪、假期期间的入室盗窃等），因此此类数据通常被认为是特别敏感的。

许多这些设备还包含摄像头，当应用程序具有访问权限时，可以用于拍照。这些也可以被视为传感器，它们生成的数据可能特别私密。对于像摄像头这样的传感器，假设用户在其被激活时是知情的，并且隐私取决于这种知识。对于网络摄像头，通常有一个指示灯来显示摄像头是否开启，但这个指示灯可能会被恶意软件操控。总的来说，“可重构技术”（Dechesne, Warnier, & van den Hoven 2011）处理个人数据引发了用户对配置的了解的问题。

2.6 物联网

与互联网连接的设备不仅限于用户拥有的计算设备，如智能手机。许多设备都包含芯片和/或连接在所谓的物联网中。RFID（射频识别）芯片可以从有限的距离读取，因此您可以将它们放在读卡器前而不是插入它们。欧盟和美国护照上有带有受保护的生物特征数据的 RFID 芯片，但在尝试读取此类设备时，用户的国籍等信息可能很容易泄漏（参见 Richter，Mostowski 和 Poll 2008，其他互联网资源）。“智能”RFID 也嵌入在公共交通支付系统中。“愚蠢”的 RFID 基本上只包含一个数字，出现在许多种类的产品中，作为条形码的替代品，并用于物流。然而，一旦知道某人携带了一个含有芯片的物品，这样的芯片可以用来追踪一个人。

在家中，有用于自动读取和发送电力和水消耗的智能电表，以及可以由业主远程控制的恒温器和其他设备。这些设备再次生成统计数据，这些数据可以用于挖掘和分析。在未来，越来越多的家用电器将被连接，每个家电都会生成自己的信息。环境智能（Brey 2005）和普适计算，以及物联网（Friedewald＆Raabe 2011），还可以根据明确的偏好和隐含观察，基于用户自主权，自动适应用户的环境，用户自主权是考虑此类设备的隐私影响的一个核心主题。总的来说，向以服务为导向的商品供应方式转变，供应商通过 IT 和相关连接性了解产品的使用方式，需要考虑相关的隐私和透明度问题（Pieters 2013）。例如，当连接的设备包含麦克风以及如何以及何时使用时，用户需要被告知。

2.7 电子政务

政府和公共行政也因先进的信息技术系统的可用性而经历了根本性的转变。这些变化的例子包括生物识别护照、在线电子政府服务、投票系统、各种在线公民参与工具和平台，以及在线访问议会和政府委员会会议记录。

以选举投票为例。信息技术可能在选举过程的不同阶段发挥作用，对选民隐私可能产生不同的影响。大多数国家要求选举必须采用秘密投票，以防止买票和胁迫。在这种情况下，即使选民想要透露自己的选票，她也应该保持选票的私密性。对于用于投票的信息技术，这被定义为无收据性或抗胁迫性的要求（Delaune、Kremer 和 Ryan 2006）。在投票站，当局确保选民保持选票的私密性，但在邮寄或在线投票时，这种监视是不可能的，甚至无法通过技术手段强制执行，因为总有人可以看到选民投票的过程。在这种情况下，隐私不仅是一种权利，也是一种责任，信息技术的发展在选民履行这一责任的可能性以及当局验证这一责任的可能性方面起着重要作用。从更广泛的意义上讲，电子民主倡议可能改变人们对政治过程中隐私的看法。

更一般地说，隐私在民主中是重要的，以防止不当影响。虽然在投票过程中缺乏隐私可能会导致选票贿赂和胁迫，但通过有针对性的（误导性）信息宣传等更微妙的方式来影响民主进程。例如，公民在社交媒体上的在线（政治）活动促使此类企图成为可能，因为可以通过行为分析进行定向。与线下政治活动相比，隐藏偏好和活动更加困难，违反保密性的可能性更大，并且影响意见的企图变得更具可扩展性。

2.8 监视

信息技术被用于各种监视任务。它可以用于增强和扩展传统的监视系统，如闭路电视和其他摄像系统，例如使用人脸识别技术在人群中识别特定个体，或者监视特定地点的不良行为。当与其他技术结合使用时，这种方法变得更加强大，例如监控物联网设备（Motlagh 等，2017 年）。

除了增强现有的监控系统外，ICT 技术现今主要用于数字领域，通常被统称为“监控资本主义”（Zuboff 2019）。社交媒体和其他在线系统被用来收集大量关于个人的数据 - 要么是“自愿”的，因为用户订阅了特定的服务（谷歌，Facebook），要么是通过以较不透明的方式收集各种与用户相关的数据而“非自愿”的。然后使用数据分析和机器学习技术生成个体用户的预测模型，这些模型可以用于定向广告，但也可以用于更恶意的意图，如欺诈或微定位以影响选举（Albright 2016，其他互联网资源）或公投，如英国脱欧（Cadwalladr 2019，其他互联网资源）。

除了私营部门的监控产业，政府是另一个大规模使用监控技术的传统群体，无论是情报机构还是执法机构。这些类型的监控系统通常以“更大的利益”和保护公民为理由，但它们的使用也存在争议。对于这些系统，人们通常希望确保技术带来的负面影响对隐私的侵犯与所获得的利益成比例。特别是因为这些系统通常笼罩在保密之中，外部人员很难看到这些系统是否被成比例地使用，或者是否对其任务有用（Lawner 2002）。当政府利用私营部门的数据或服务进行监控时，这一问题尤为紧迫。

在通信系统中普遍使用良好的加密技术使得有效监视信息的收集变得更加困难，从而越来越多地呼吁在通信系统中设置“后门”，这些“后门”只能由政府使用。从隐私的角度来看，这可能被评估为不受欢迎的，不仅因为它给政府访问私人对话的权限，而且因为它降低了采用这种技术的通信系统的整体安全性（Abelson 等，2015）。

3. 信息技术本身如何解决隐私问题？

尽管信息技术通常被视为隐私问题的原因，但也有几种方式可以帮助解决这些问题。可以使用规则、指南或最佳实践来设计保护隐私的系统。这些可能性从伦理学指导的设计方法到使用加密来保护个人信息免受未经授权的使用。特别是来自信息安全领域的方法，旨在保护信息免受未经授权的访问，可以在个人数据的保护中发挥关键作用。

3.1 设计方法

价值敏感设计为“在设计过程中以原则性和全面性考虑人类价值观的技术设计提供了一个理论基础的方法”（Friedman 等，2006）。它提供了一套规则和指南，用于以特定价值观为目标设计系统。其中一个价值观可以是“隐私”，因此价值敏感设计可以被用作设计隐私友好型信息技术系统的方法（Van den Hoven 等，2015）。Cavoukian（2009）和其他人提倡的“隐私保护设计”方法可以被视为特别关注隐私的价值敏感设计方法之一（Warnier 等，2015）。最近，诸如“隐私工程”（Ceross＆Simpson，2018）的方法通过旨在提供一套更实用、可部署的方法来实现系统范围的隐私，扩展了隐私保护设计方法。

隐私保护设计方法以原则形式提供高级指南，用于设计保护隐私的系统。这些原则的核心观点是“数据保护需要以预防性而非应对性的方式来看待，使隐私保护设计成为预防而非简单补救措施”（Cavoukian，2010）。隐私保护设计的主要观点是数据保护应该在产品生命周期的所有阶段中处于核心地位，从最初的设计到运营使用和处置（有关隐私保护设计方法的批判性分析，请参阅 Colesky 等，2016）。Clarke（2009）提出的隐私影响评估方法提出了类似的观点。它提出了“一种系统性的过程，用于评估项目、计划或拟议系统或方案对隐私的潜在影响”（Clarke，2009）。请注意，这些方法不仅应被视为审计方法，而且应被视为使隐私意识和合规成为组织和工程文化不可或缺的一部分的手段。

还有几个行业指南可用于设计保护隐私的信息技术系统。例如，支付卡行业数据安全标准（参见 PCI DSS v3.2，2018 年，其他互联网资源）为信用卡行业及其合作伙伴（零售商、银行）的隐私和安全敏感系统设计提供了非常明确的指导方针。各种国际标准化组织（ISO）标准（Hone＆Eloff 2002）也作为最佳实践和指南的来源，特别是在信息安全方面，用于设计隐私友好型系统。此外，欧盟数据保护指令形成的原则，其本身基于 70 年代初的公平信息实践（Gellman 2014）- 透明度、目的、比例、访问、转移- 在技术上是中立的，因此也可以被视为高级的“设计原则”。因此，以这些规则和指南为基础设计的系统原则上应符合欧盟隐私法，并尊重用户的隐私。

上述所描述的规则和原则为设计保护隐私的系统提供了高层指导，但这并不意味着如果遵循这些方法论，所得到的信息技术系统就会（自动地）友好保护隐私。一些设计原则相当模糊和抽象。什么是透明设计或者设计比例性是什么意思？这些原则需要在设计具体系统时进行解释和放置在一个上下文中。但不同的人会对这些原则有不同的解释，这将导致不同的设计选择，对隐私产生不同的影响。设计和实施计算机系统是有区别的。在实施阶段，会引入软件错误，其中一些错误可以被利用来破坏系统并提取私人信息。如何实现无错误的计算机系统仍然是一个开放的研究问题（Hoare 2003）。此外，实施是另一个阶段，在这个阶段中会做出选择和解释：系统设计可以以无限多种方式实施。此外，对于超出非平凡系统的任何内容，验证实施是否符合设计/规范是非常困难的（Loeckx，Sieber 和 Stansifer 1985）。对于非功能性要求，如“保护隐私”或一般的安全属性，这更加困难。

一些针对隐私问题的具体解决方案旨在提高用户的意识和同意水平。这些解决方案可以被视为将知情同意的概念应用于隐私问题与技术（Custers 等，2018）。这与隐私设置和政策应该对用户可解释的想法有关（Pieters，2011）。例如，隐私教练支持客户在面对 RFID 标签时做出隐私决策（Broenink 等，2010）。然而，用户在处理此类选择时只有有限的能力，提供过多的选择可能很容易导致道德过载的问题（van den Hoven，Lokhorst 和 Van de Poel，2012）。技术解决方案是支持用户自动匹配其设置的隐私政策与网站或应用程序发布的政策的支持。

3.2 增强隐私技术

现在有越来越多的软件工具可供用户使用，提供某种形式的隐私保护（通常是匿名性）。这些工具通常被称为隐私增强技术（Danezis & Gürses 2010, 其他网络资源）。例如，通信匿名化工具如 Tor（Dingledine, Mathewson, & Syverson 2004）和 Freenet（Clarke et al. 2001），以及许多商业软件包中存在的身份管理系统（见下文）。通信匿名化工具允许用户匿名浏览互联网（使用 Tor）或匿名共享内容（Freenet）。它们采用了许多密码学技术和安全协议，以确保匿名通信的目标。这两个系统都利用了同时有许多用户使用系统的特性，从而提供了 k-匿名性（Sweeney 2002）：对于大的 k 值，无法将个体与一个大小为 k 的群体区分开来。根据系统的不同，k 的值可以在几百到几十万之间变化。在 Tor 中，消息被加密并通过许多不同的计算机路由，从而隐藏了消息的原始发送者（从而提供匿名性）。类似地，在 Freenet 中，所有用户的内容都以加密形式存储。由于用户自己没有必要的解密密钥，他们不知道系统在他们自己的计算机上存储了什么类型的内容。这提供了合理的否认和隐私保护。系统随时可以检索加密内容并将其发送给不同的 Freenet 用户。

隐私增强技术也有其不足之处。例如，Tor 是一种允许在互联网上进行匿名通信和浏览的工具，但在某些情况下，用户的匿名性不再得到保证（Back、Möller 和 Stiglic 2001；Evans、Dingledine 和 Grothoff 2009）。Freenet（和其他工具）也存在类似的问题（Douceur 2002）。需要注意的是，要使此类攻击生效，攻击者需要获得大量资源，而这在实际中只有情报机构才有可能实现。然而，还存在其他风险。对于普通用户来说，正确配置此类软件工具是困难的，当工具配置不正确时，用户的匿名性也无法得到保证。而且，隐私保护软件所运行的计算机有被特洛伊木马（或其他数字害虫）感染的风险，这些木马可以监视所有通信并知道用户的身份。

提供匿名性的另一种选择是通过特殊软件对数据进行匿名化。存在一些工具可以删除患者姓名并将年龄信息缩小到区间范围内：例如，年龄 35 可以表示为 30-40 岁的范围内。这种匿名化软件的理念是，一条记录不再能够与个人关联，而数据的相关部分仍然可以用于科学或其他目的。问题在于，很难以这种方式对数据进行匿名化处理，以便删除与个人的所有关联，并且生成的匿名化数据仍然对研究目的有用。研究人员已经证明，通过使用复杂的统计方法（Danezis、Diaz 和 Troncoso 2007）以及结合包含个人信息的多个数据库（Anderson 2008），几乎总是可以重建与个人的关联。诸如 k-匿名性之类的技术也可能有助于将数据泛化到足够程度，使得对数据进行去匿名化变得不可行（LeFevre 等人，2005）。

3.3 密码学

密码学长期以来一直被用作保护数据的手段，可以追溯到两千多年前的凯撒密码。现代密码学技术在任何需要存储（并因此需要保护）个人数据的 IT 系统中都是必不可少的，例如通过为浏览（HTTPS）和网络（VPN）提供安全（机密）连接。然而，请注意，单独的密码学并不能提供任何防止数据泄露的保护；只有在特定的上下文中正确应用时，它才能成为个人数据周围的“围墙”。此外，随着计算机速度的提高或新攻击的出现，过时的密码方案可能对（长期的）隐私构成威胁。

密码学是一个广泛的领域，因此这里的任何描述都将是不完整的。相反，重点将放在一些较新的密码学技术上，特别是同态加密，这些技术有潜力在个人数据的处理和搜索中变得非常重要。

存在各种技术用于搜索加密数据（Song 等，2000 年，Wang 等，2016 年），这提供了一种隐私保护（数据被加密）和对敏感数据的选择性访问的形式。一种相对较新的技术，可以用于设计隐私保护系统的是“同态加密”（Gentry，2009 年，Acar 等，2018 年）。同态加密允许数据处理器处理加密数据，即用户可以以加密形式发送个人数据，并以加密形式返回一些有用的结果 - 例如，在线朋友喜欢的电影推荐。原始用户可以再次解密结果并使用它，而不向数据处理器透露任何个人数据。例如，同态加密可以用于聚合加密数据，从而实现隐私保护和有用的（匿名化的）聚合信息。该技术目前尚未广泛应用；如果要将完全同态加密应用于当今系统中存储的大量数据，则存在严重的性能问题。然而，出现了原始同态加密方案的变体，例如“有些同态加密”（Badawi 等，2018 年），显示出在实践中更广泛应用的前景。

区块链技术背后的主要思想最早在比特币的开创性论文中被描述出来（Nakamoto，n.d.，其他互联网资源）。区块链基本上是一个分布式账本，以不可否认的方式存储交易，而无需信任第三方。使用密码学确保所有交易都由区块链成员“批准”并以与先前交易相链接且无法删除的方式存储。尽管专注于数据完整性而不是固有匿名性，但区块链技术可以实现许多与隐私相关的应用（Yli-Huumo 等，2016 年，Karame 和 Capkun，2018 年），例如匿名加密货币（Narayanan 等，2016 年）和自主身份（见下文）。

3.4 身份管理

在当前互联网和社交网络中，用户在线标识符的使用和管理至关重要。在线声誉对用户和公司都变得越来越重要。在大数据时代，关于用户的正确信息具有越来越高的价值。

“单点登录”框架，由独立第三方（OpenID）提供，也由大公司如 Facebook、Microsoft 和 Google 提供（Ko 等，2010），使用户能够使用单一在线身份连接到众多在线服务。这些在线身份通常直接与个人的现实世界（离线）身份相关联；事实上，Facebook、Google 和其他公司要求这种登录方式（den Haak，2012）。从隐私角度来看，要求在线身份与“现实世界”身份直接关联存在问题，因为它们允许对用户进行个人资料分析（Benevenuto 等，2012）。并非所有用户都意识到公司以这种方式收集的数据量有多大，或者构建用户详细资料有多容易。如果将个人资料信息与其他技术（如通过 Cookie 和跟踪 Cookie 进行的隐式认证）相结合，个人资料分析甚至变得更加容易（Mayer 和 Mitchell，2012）。

从隐私角度来看，更好的解决方案是使用基于属性的身份验证（Goyal 等，2006），它允许根据用户的属性（例如朋友、国籍、年龄等）访问在线服务。根据使用的属性，它们可能仍然可以追溯到特定的个人，但这不再是关键。此外，用户不能再被追踪到不同的服务，因为他们可以使用不同的属性来访问不同的服务，这使得在多个交易中追踪在线身份变得困难，从而为用户提供了不可链接性。最近（Allen，2016，其他互联网资源），出现了自主身份的概念，旨在使用户完全拥有和控制自己的数字身份。区块链技术被用于使用户能够在没有传统可信第三方的情况下控制数字身份（Baars，2016）。

4. 新兴技术和我们对隐私的理解

在前面的章节中，我们已经概述了当前技术可能对隐私产生的影响，以及它们可能对减轻不良影响做出的贡献。然而，未来和新兴技术可能会产生更深远的影响。例如，考虑一下脑机接口。如果计算机直接连接到大脑，不仅行为特征受到隐私考虑的影响，甚至一个人的思想也有可能公之于众，他人的决策可能会基于这些思想。此外，通过这种技术可能改变一个人的行为也成为可能。因此，这些发展需要进一步考虑保护隐私的原因。特别是当外部可以影响脑过程时，重新考虑自主权将是确保充分保护的一个价值观。

除了根据当前的道德规范评估信息技术之外，还需要考虑技术变革可能影响规范本身的可能性（Boenink、Swierstra 和 Stemerding 2010）。因此，技术不仅通过改变信息的可访问性来影响隐私，还通过改变隐私规范本身来影响隐私。例如，社交网络网站鼓励用户分享比他们本来可能分享的更多的信息。这种“过度分享”在某些群体中成为被接受的做法。对于未来和新兴技术，也可以预期出现这种影响，因此在试图减轻影响时应考虑到这些影响。

另一个基本问题是，鉴于未来（甚至当前）的信息连接水平，通过试图向可能以不良方式使用信息的各方隐藏信息来保护隐私是否可行。Gutwirth 和 De Hert（2008）认为，通过透明度来保护隐私可能更为可行-要求行动者对有关个人的决策进行正当化，从而坚持决策不是基于非法信息。这种方法也存在其自身的问题，因为可能很难证明错误的信息被用于决策。然而，公民可能会开始对那些收集关于他们的数据的人（例如政府）进行数据收集。这种“反（监）视”可以用来收集有关信息使用情况的信息，从而提高问责制（Gürses 等，2016）。开源运动也可以促进数据处理的透明度。在这种情况下，透明度可以被视为对隐私的一种促进伦理条件（Turilli 和 Floridi，2009）。

有人认为，环境伦理学中广为人知的预防原则也可能在处理新兴信息技术方面发挥作用（Pieters＆van Cleeff 2009; Som，Hilty＆Köhler 2009）。该原则将确保对于信息技术对社会的不可逆转效应，例如在权力关系和平等方面，证明不存在的责任将由那些提倡新技术的人承担。在这种意义上，预防措施可以在监管层面上使用，与或作为赋予用户权力的替代方式，从而潜在地有助于防止用户过载信息。除了关于预防原则的可取和不可取特征的一般辩论之外，对其的挑战还在于将其转化为社会效应和社会可持续性，以及将其应用于代理人故意行为引起的后果。虽然自然威胁或事故的发生具有概率性质，但那些对信息不当使用感兴趣的人会采取策略性行动，需要采用不同的风险方法（即安全与安全相对）。此外，预防的支持者还需要将其与其他重要原则（即知情同意和自主权）进行平衡。

最后，值得注意的是，并非所有信息技术的社会效应都涉及隐私（Pieters 2017）。例如，社交网络网站对友谊的影响以及电子选举结果的可验证性。因此，信息技术的价值敏感设计方法和影响评估不应仅关注隐私，因为信息技术还会影响许多其他价值观。

Bibliography

• Abelson, H., Anderson, R., Bellovin, S. M., Benaloh, J., Blaze, M., Diffie, W., & Rivest, R. L., 2015, “Keys under doormats: mandating insecurity by requiring government access to all data and communications”, Journal of Cybersecurity, 1(1): 69–79.

• Acar, A., Aksu, H., Uluagac, A. S., & Conti, M., 2018, “A survey on homomorphic encryption schemes: Theory and implementation”, ACM Computing Surveys (CSUR), 51(4): 79.

• Allen, A., 2011, Unpopular Privacy: What Must We Hide? Oxford: Oxford University Press.

• Anderson, R.J., 2008, Security Engineering: A guide to building dependable distributed systems, Indianapolis, IN: Wiley.

• Baars, D., 2016, Towards Self-Sovereign Identity using Blockchain Technology, Ph.D. Thesis, University of Twente.

• Back, A., U. Möller, & A. Stiglic, 2001, “Traffic analysis attacks and trade-offs in anonymity providing systems”, in Information Hiding, Berlin: Springer, pp. 245–257.

• Al Badawi, A., Veeravalli, B., Mun, C. F., & Aung, K. M. M., 2018, “High-performance FV somewhat homomorphic encryption on GPUs: An implementation using CUDA”, IACR Transactions on Cryptographic Hardware and Embedded Systems, 2: 70–95. doi: 10.13154/tches.v2018.i2.70-95

• Bellman, S., E.J. Johnson, & G.L. Lohse, 2001, “On site: to opt-in or opt-out?: it depends on the question”, Communications of the ACM, 44(2): 25–27.

• Benevenuto, F., T. Rodrigues, M. Cha, & V. Almeida, 2012, “Characterizing user navigation and interactions in online social networks”, Information Sciences, 195: 1–24.

• Blaauw. M.J., 2013, “The Epistemic Account of Privacy”, Episteme, 10(2): 167–177.

• Boenink, M., T. Swierstra, & D. Stemerding, 2010, “Anticipating the interaction between technology and morality: a scenario study of experimenting with humans in bionanotechnology”, Studies in Ethics, Law, and Technology, 4(2): 1–38. doi:10.2202/1941-6008.1098

• Brey, P., 2005, “Freedom and privacy in ambient intelligence”, Ethics and Information Technology, 7(3): 157–166.

• Broenink, G., J.H. Hoepman, C.V.T. Hof, R. Van Kranenburg, D. Smits, & T. Wisman, 2010, “The privacy coach: Supporting customer privacy in the internet of things”, arXiv preprint 1001.4459 [available online].

• Bruynseels, K & M.J van den Hoven, 2015, “How to do Things with personal Big Biodata”, in B. Roessler and D. Mokrokinska (eds.), Social Dimensions of Privacy: Interdisciplinary Perspectives, Cambridge: Cambridge University Press, pp. 122–40.

• Cadwalladr, C., and Graham-Harrison, E., 2018, “The Cambridge analytica files”, The Guardian, 21: 6–7.

• Cavoukian, A., 2009, Privacy by Design, Ottowa: Information and Privacy Commissioner of Ontario, Canada. [Cavoukian 2009 available online (PDF)].

• –––, 2010, “Privacy by Design: The Definitive workshop”, Identity in the Information Society, 3(2): 121–126.

• Ceross, A., and A. Simpson, 2018, “Rethinking the Proposition of Privacy Engineering”, in Proceedings of New Security Paradigms Workshop (NSPW ’18, Windsor, UK), New York: Association for Computing Machinery, 89–102. doi:10.1145/3285002.3285006

• Clarke, R., 2009, “Privacy impact assessment: Its origins and development”, Computer law & security review, 25(2): 123–135.

• Clarke, I., O. Sandberg, B. Wiley, & T. Hong, 2001, “Freenet: A distributed anonymous information storage and retrieval system”, in Designing Privacy Enhancing Technologies, Berlin: Springer, pp. 46–66.

• Colesky, M., J.-H. Hoepman, and C. Hillen, 2016, “A critical analysis of privacy design strategies”, IEEE Security and Privacy Workshops (SPW), first online O4 August 2016, doi:10.1109/SPW.2016.23

• Custers, B., et al., 2018, “Consent and privacy”, The Routledge Handbook of the Ethics of Consent, London: Routledge, pp. 247–258.

• Dahl, J. Y., & A.R. Sætnan, 2009, “It all happened so slowly: On controlling function creep in forensic DNA databases”, International journal of law, crime and justice, 37(3): 83–103.

• Danezis, G., C. Diaz, & C. Troncoso, 2007, “Two-sided statistical disclosure attack”, in Proceedings of the 7th international conference on Privacy enhancing technologies, Berlin: Springer, pp. 30–44.

• DeCew, Judith Wagner, 1997, Pursuit of Privacy: Law, Ethics, and the Rise of Technology, Ithaca, NY: Cornell University Press.

• Dechesne, F., M. Warnier, & J. van den Hoven, 2013, “Ethical requirements for reconfigurable sensor technology: a challenge for value sensitive design”, Ethics and Information Technology, 15(3): 173–181.

• Delaune, S., S. Kremer, & M. Ryan, 2006, “Coercion-resistance and receipt-freeness in electronic voting”, in the Proceedings of the 19th IEEE Computer Security Foundations Workshop, IEEE Computer Society Press, pages 28–39. [Delaune et al. 2006 available online]

• Dingledine, R., N. Mathewson, & P. Syverson, 2004, “Tor: The second-generation onion router”, in Proceedings of the 13th conference on USENIX Security Symposium (Volume 13), Berkeley, CA: USENIX Association, pp. 303–320 [Dingledine et al. 2004 available online (pdf)]

• Douceur, J., 2002, “The Sybil attack”, in Peer-to-peer Systems, Berlin: Springer, pp. 251–260.

• Ellison, N. B., 2007, “Social network sites: Definition, history, and scholarship”, Journal of Computer-Mediated Communication, 13(1): 210–230.

• Evans, N.S., R. Dingledine, & C. Grothoff, 2009, “A practical congestion attack on Tor using long paths”, in Proceedings of the 18th conference on USENIX security symposium, Berkeley, CA: USENIX Association, pp. 33–50. [Evans et al. 2009 available online]

• Falgoust, M., 2016, “Data Science and Designing for Privacy”, Techné: Research in Philosophy and Technology, 20 (1): 51–68.

• Floridi, L., 2008, “Artificial intelligence’s new frontier: Artificial companions and the fourth revolution”, Metaphilosophy, 39(4–5): 651–655.

• Friedewald, M. & O. Raabe, 2011, “Ubiquitous computing: An overview of technology impacts”, Telematics and Informatics, 28(2): 55–65.

• Friedman, B., P.H. Kahn, Jr, & A. Borning, 2006, “Value sensitive design and information systems”, in Human-computer interaction in management information systems: Foundations, P. Zhang & D. Galletta (eds.), Armonk: M.E. Sharp, 4.

• Gentry, C., 2009, “Fully homomorphic encryption using ideal lattices”, in Proceedings of the 41st annual ACM symposium on Theory of computing, ACM, pp. 169–178.

• Goyal, V., O. Pandey, A. Sahai, & B. Waters, 2006, “Attribute-based encryption for fine-grained access control of encrypted data”, in Proceedings of the 13th ACM conference on Computer and communications security, ACM, pp. 89–98.

• Gürses, S., A. Kundnani, & J. Van Hoboken, 2016, “Crypto and empire: the contradictions of counter-surveillance advocacy”, Media, Culture & Society, 38(4): 576–590.

• Gutwirth, S. & P. De Hert, 2008, “Regulating profiling in a democratic constitutional state”, in Hildebrandt and Gutwirth 2008: 271–302.

• den Haak, B., 2012, “Integrating user customization and authentication: the identity crisis”, Security & Privacy, IEEE, 10(5): 82–85.

• Heersmink, R., J. van den Hoven, N.J. van Eck, & J. van den Berg, 2011. “Bibliometric mapping of computer and information ethics”, Ethics and information technology, 13(3): 241–249.

• Hildebrandt, M., 2008, “Defining Profiling: A New Type of Knowledge?” in Hildebrandt and Gutwirth 2008: 17–45.

• Hildebrandt, M. & S. Gutwirth (eds.), 2008, Profiling the European Citizen: Cross-disciplinary Perspectives, Dordrecht: Springer Netherlands.

• Hoare, T., 2003, “The verifying compiler: A grand challenge for computing research”, in Proceedings of the 12th international conference on Compiler construction, Berlin: Springer, pp. 262–272.

• Hone, K. & J.H.P. Eloff, 2002, “Information security policy – what do international information security standards say?”, Computers & Security, 21(5): 402–409.

• van den Hoven, J., 1999, “Privacy and the Varieties of Informational Wrongdoing”, Australian Journal of Professional and Applied Ethics, 1(1): 30–44.

• –––, 2008, “Information technology, privacy, and the protection of personal data”, in Information technology and moral philosophy, J. Van Den Hoven and J. Weckert (eds.), Cambridge: Cambridge University Press, pp. 301–322.

• van den Hoven, J., G.J. Lokhorst, & I. Van de Poel, 2012, “Engineering and the problem of moral overload”, Science and engineering ethics, 18(1): 143–155.

• van den Hoven, J., Vermaas, P., & Van de Poel, I. (eds.), 2015, Handbook of Ethics, Values and Technological Design, Dordrecht: Springer.

• Karame, G., and Capkun, S., 2018, “Blockchain Security and Privacy”, IEEE Security Privacy, 16(4), 11–12.

• Ko, M.N., G.P. Cheek, M. Shehab, & R. Sandhu, 2010, “Social-networks connect services”, Computer, 43(8): 37–43.

• Krishnamurthy, B. & C.E. Wills, 2009. “On the leakage of personally identifiable information via online social networks”, in Proceedings of the 2nd ACM workshop on Online social networks, ACM, pp. 7–12.

• Lawner, K. J., 2002, “Post-September 11th International Surveillance Activity – A Failure of Intelligence: The Echelon Interception System & (and) the Fundamental Right to Privacy in Europe”, Pace International Law Review, 14(2): 435–480.

• Leenes, R., and E. Kosta, 2015, “Taming the cookie monster with dutch law-a tale of regulatory failure”, Computer Law & Security Review 31(3): 317–335.

• LeFevre, K., D.J. DeWitt, & R. Ramakrishnan, 2005, “Incognito: Efficient full-domain k-anonymity”, in Proceedings of the 2005 ACM SIGMOD international conference on Management of data, ACM, pp. 49–60.

• Lessig, Lawrence, 1999, Code and Other Laws of Cyberspace, New York: Basic Books.

• Loeckx, J., K. Sieber, & R.D. Stansifer, 1985, The foundations of program verification, Chichester: John Wiley & Sons.

• Matheson, David, 2007, “Unknowableness and Informational Privacy”, Journal of Philosophical Research, 32: 251–67.

• Mayer, J.R. & J.C. Mitchell, 2012, “Third-party web tracking: Policy and technology”, in Security and Privacy (SP) 2012 IEEE Symposium on, IEEE, pp. 413–427.

• Michener, J., 1999, “System insecurity in the Internet age”, Software, IEEE, 16(4): 62–69.

• Motlagh, N. H., Bagaa, M., & Taleb, T., 2017, “UAV-based IoT platform: A crowd surveillance use case”, IEEE Communications Magazine, 55(2): 128–134.

• Nissenbaum, Helen, 2004, “Privacy as Contextual Integrity”, Washington Law Review, 79: 101–139.

• Narayanan, A., Bonneau, J., Felten, E., Miller, A., & Goldfeder, S., 2016, Bitcoin and cryptocurrency technologies: a comprehensive introduction, Princeton: Princeton University Press.

• Negley, G., 1966, “Philosophical Views on the Value of Privacy”, Law and Contemporary Problems, 31: 319–325.

• OECD, 1980 [2013], The OECD Privacy Framework, 2013, available in PDF; revised and expanded from the original Guidelines on the Protection of Privacy and Transborder Flows of Personal Data, Organization for Economic Co-operation and Development, [1980 version available online]

• Palmer, D.E., 2005, “Pop-ups, cookies, and spam: toward a deeper analysis of the ethical significance of internet marketing practices”, Journal of business ethics, 58(1–3): 271–280.

• Pieters, W., 2011, “Explanation and trust: what to tell the user in security and AI?”, Ethics and information technology, 13(1): 53–64.

• –––, 2013, “On thinging things and serving services: technological mediation and inseparable goods”, Ethics and information technology, 15(3): 195–208.

• –––, 2017, “Beyond individual-centric privacy: Information technology in social systems” The Information Society, 33(5): 271–281.

• Pieters, W. & A. van Cleeff, 2009, “The precautionary principle in a world of digital dependencies”, Computer, 42(6): 50–56.

• Rössler, Beate (ed.), 2004, Privacies: Philosophical Evaluations, Stanford, CA: Stanford University Press.

• Rössler, Beate, 2005, The value of privacy, Cambridge: Polity Press.

• –––, 2001 [2005], The Value of Privacy, Cambridge: Polity Press; original German version Der Wert des Privaten, Frankfurt am Main: Suhrkamp Verlag, 2001.

• Rubel, Alan, 2011, “The Particularized Judgment Account of Privacy”, Res Publica, 17(3): 275–90.

• Ruiter, J. & M. Warnier, 2011, “Privacy Regulations for Cloud Computing: Compliance and Implementation in Theory and Practice”, in Computers, Privacy and Data Protection: an Element of Choice, S. Gutwirth, Y. Poullet, P. De Hert, and R. Leenes (eds.), Dordrecht: Springer Netherlands, pp. 361–376.

• Solove, D., 2006, “A Taxonomy of Privacy”, University of Pennsylvania Law Review, 154: 477–564.

• Som, C., L.M. Hilty, & A.R. Köhler, 2009, “The precautionary principle as a framework for a sustainable information society”, Journal of business ethics, 85(3): 493–505.

• Song, D.X., D. Wagner, & A. Perrig, 2000, “Practical techniques for searches on encrypted data”, in Security and Privacy, 2000. S&P 2000. Proceedings. 2000 IEEE Symposium on, IEEE, pp. 44–55.

• Sprenger, Polly, 1999, “Sun on Privacy: ‘Get Over It’”, Wired. [Sprenger 1999 available online]

• Sweeney, L., 2002, “K-anonymity: A model for protecting privacy”, International Journal of Uncertainty, Fuzziness and Knowledge-Based Systems, 10(05): 557–570.

• Tavani, H.T., 2004, “Genomic research and data-mining technology: Implications for personal privacy and informed consent”, Ethics and information technology, 6(1): 15–28.

• Taylor, L., L. Floridi, and B. Van der Sloot (eds.), 2017, Group privacy: New challenges of data technologies (Philosophical Studies Series: Vol. 126), Dordrecht: Springer.

• Thomson, Judith Jarvis, 1975, “The Right to Privacy”, Philosophy and Public Affairs, 4: 295–314.

• Turilli, M. & L. Floridi, 2009, “The ethics of information transparency”, Ethics and Information Technology, 11(2): 105–112.

• Wang, Y., Wang, J., and Chen, X., 2016, “Secure searchable encryption: a survey”, Journal of Communications and Information Networks, 1(4): 52–65.

• Warnier, M., Dechesne, F., and Brazier, F.M.T., 2015, “Design for the Value of Privacy”, in J. van den Hoven, P. Vermaas, I. van de Poel (eds.), Handbook of Ethics, Values, and Technological Design, Dordrecht: Springer, 431–445.

• Warren, Samuel D. & Louis D. Brandeis, 1890, “The Right to Privacy”, Harvard Law Review, 4(5): 193–220. [Warren and Brandeis 1890 available online]

• Westin, Alan F., 1967, Privacy and Freedom, New York: Atheneum.

• Yli-Huumo, J., Ko, D., Choi, S., Park, S., and Smolander, K., 2016, “Where is current research on blockchain technology? – a systematic review”, PloS One, 11(10): e0163477. doi:10.1371/journal.pone.0163477

• Zuboff, S., 2019, The age of surveillance capitalism: the fight for the future at the new frontier of power, London: Profile Books.

Academic Tools

	How to cite this entry.
	Preview the PDF version of this entry at the Friends of the SEP Society.
	Look up topics and thinkers related to this entry at the Internet Philosophy Ontology Project (InPhO).
	Enhanced bibliography for this entry at PhilPapers, with links to its database.

Other Internet Resources

• Albright, J., 2016, “How Trump’s campaign used the new data-industrial complex to win the election”, LSE, US Centre, USApp-American Politics and Policy Blog.

• Allen, C., 2016, The Path to Self-Sovereign Identity, Coindesk.

• Cadwalladr, C., 2019, Facebook’s role in Brexit – and the threat to democracy. TED Talk

• Danezis, G & S. Gürses, 2010, “A critical review of 10 years of Privacy Technology.”

• Gellman, R., 2014, “Fair information practices: a basic history,”, Version 2.12, August 3, 2014, online manuscript.

• Nakamoto, S., Bitcoin: A Peer-to-Peer Electronic Cash System, www.bitcoin.org.

• PCI DSS (= Payment Card Industry Data Security Standard), v3.2 (2018), PCI DSS related documents, PCI Security Standards Council, LLC.

• Richter, H., W. Mostowski, & E. Poll, 2008, “Fingerprinting passports”, presented at NLUUG Spring Conference on Security.

• Electronic Privacy Information Center.

• European Commission, Data protection.

Related Entries

computing: and moral responsibility | ethics: search engines and | information | information technology: and moral values | privacy | social networking and ethics

Copyright © 2019 by Jeroen van den Hoven <m.j.vandenhoven@tudelft.nl> Martijn Blaauw Wolter Pieters <wolter.pieters@ru.nl> Martijn Warnier <M.E.Warnier@tudelft.nl>