Обговорення:Конфіденційність в Інтернеті

Статтю «Конфіденційність в Інтернеті» створено в рамках конкурсу «Вікіпедія для школи» (1 грудня — 28 лютого 2022 року)

@Ваня Царик:, вітаю, прошу пояснити на підставі яких авторитетних джерел ви скасували мої правки та переіменування статті? Я при переіменуванні послався на авторитетні джерела: визначення приватності та конфіденційності від COMPUTER SECURITY RESOURCE CENTER NIST: Privacy та Confidentiality. Принципова різниця між цими поняттями у тому хто керує доступом до інформації: приватність - це коли суб'єкт сам керує інформацією про себе, а конфіденційність - коли хтось інший керує інформацією про суб'єкта. Приклад: якщо ви користуєтесь VPN, щоб приховати від провайдера список відвіданих сайтів - це ви захищаєте власну приватність, коли провайдер каже, що логи ваших з'єднань зберігаються зашифрованими - це він забезпечує конфіденційність ваших даних. Що і відображено у назві статті англійською мовою: Internet privacy а не Internet confidentiality. Прошу або пояснити свої дії, або повернути мої правки. З повагою, Alessot (обговорення) 13:34, 7 березня 2022 (UTC)Відповісти

Доброго дня. Перед усім хочу уточнити різницю між приватністю і конфіденційністю.

Приватність - це стан, коли людина вільна від публічного втручання. Слово "приватність" походить від слова "приватний", що означає, що роль громадськості обмежена, тому термін "приватність" позначає стан, коли особа знаходиться поза увагою та спостереженням громадськості. Це право кожної людини залишатися наодинці у своїх особистих справах, тому що кожен має своє особисте життя.

Конфіденційність відноситься до стану, коли передбачається або очікується від когось зберігати вашу інформацію в таємниці. Термін конфіденційності, витягнутий із слова "довіра". Таким чином, конфіденційність - це коли довіряється, що інформація, яка передається комусь, буде зберігатися в таємниці між двома сторонами. Наприклад у медичних, юридичних та інших професіях загальноприйнято, що інформація, якою обмінюються клієнт, адвокат або лікар та пацієнт, не передається третій стороні, тобто залишається конфіденційною. У військовій галузі цей термін використовується безліч разів, коли доступ до конфіденційної інформації дозволяється лише уповноваженим офіцерам.

Ось приклад для кращого розуміння конфіденційності. Така інформація як банківські реквізити, номер рахунку або PIN-код банкомата, ідентифікатор користувача та пароль будь-якого веб-сайту соціальної мережі чи облікового запису електронної пошти. Всі ці дані не є приватними оскільки ними володієте як і ви так і сервер, що робить її конфіденційною. Всі ваші пошукові запити не є приватними, всі вони конфіденційні, оскіли всі вони доступні для вашого інтернет провайдера.

Уточнення про VPN.

У VPN безпека передавання інформації через загальнодоступні мережі реалізована за допомогою шифрування, внаслідок чого створюється закритий для сторонніх канал обміну інформацією між вами і VPN сервісом який буде перенаправляти ваші запити. Якщо ваш інтернет-провайдер, збирає статистику (до яких сайтів ви звертаєтеся), це також стане неможливо, тому що ваші запити будуть виглядати як звернення до VPN-сервера, а не до кінцевої точки (сайту), тобто інформація про запити залишається конфіденційною між вами і VPN сервісом.

Ви можете сказатиЮ що інформація є приватною а не конфіденційною оскільки VPN-сервіс чи VPN-провайдер не зберігає ваші дані. АЛЕ тільки якщо vpn підтримує політику відмови від реєстрації дій користувачів. Ви можете вважати, що VPN-провайдер не повинен реєструвати та відстежувати ваші дії за замовчуванням, однак, на жаль, це не завжди так. Під час користування VPN лише ваш VPN-провайдер може бачити, що саме ви робите чи переглядаєте, тому вкрай важливо, щоб він за жодних умов не зберігав файли-журнали ваших дій.

Я трохи відійшов від теми, тому вистонок: VPN забезпечує конфіденційність оскільки під час підключення ви довіряєте йому свої дані.

Всі дані ваші дані та інформація про вас яка міститься в інтернеті є конфіденційною оскіли нею володієте не тільки ви. Якщо у вас є секрет який знаєте тільки ви, то він є приватним. Якщо ви розкажете його другу то вн стане конфіденційним. Нагадую, що конфіденційність - це коли довіряється, що інформація, яка передається комусь, буде зберігатися в таємниці між двома сторонами.

До того ж на кожному сайті присутня саме Політика конфіденційності а не Політика приватності. Прогортайте цю сторінку в самий низ і ви побачите Політику конфіденційності Вікіпедії, яка написана англійською мовою та називається Рrivacy policy.

З повагою Ivan Tsaryk. --Ваня Царик (обговорення) 14:49, 7 березня 2022 (UTC)Відповісти

Дякую за надану відповідь. Наведені Вами визначення не суперечать тим, на які послався я. Але залишилось питання співвідношення понять приватності та конфіденційності.

Я стверджую, що забезпечення конфіденційності є одним з, але не єдиним методом захисту приватності. Цю тезу можу довести двома окремими незалежними підходами.

Підхід 1. У статті чітко визначено властивості приватності:

• Unlinkability
• Anonymity
• Pseudonymity
• Plausible deniability
• Undetectability and unobservability
• Confidentiality
• Content awareness
• Policy and consent compliance

Із переліченого слідує, що конфіденційність є одниєю з, але не єдиною властивістю приватності.

Підхід 2. Існує всьго 4 методи обробки ризиків інформаційної безпеки:

• протидія ризикам — застосування належних заходів захисту;
• свідоме та об'єктивне прийняття ризиків;
• уникнення ризиків;
• перенесення відповідних бізнес-ризиків на інші сторони, наприклад, страхувальників, постачальників.^[1]

У контексті захисту приватності це означає відповідно:

• використовувати засоби захисту приватності (TOR, AdBlock, розширення для чистки кукі і тп.)
• нічого не робити, користуватись сервісами як завжди
• не користуватись сервісами, які порушують приватність, шукати альтернативи (наприклад Дакдакгоу замість Гугл)
• покладатись на конфіденційність, яка забезпечується сервісом відповідно до політики конфіденційності

Із наведеного також слідує, що використання конфіденційності, яка забезпечується певним сервісом, є одним з, але не єдиним методом обробки ризиків приватності.

Виходячи з того, що написано у статті, вона охоплює широке коло і загроз для приватності (наприклад згадується цифровий відбиток пристрою, який сам по собі не призводить до витоку приватних даних, але порушує властивість Unlinkability), і методів захисту (зокрема згадується той же самий TOR Browser, який ніяк не можна пов'язати з конфіденційністю, оскільки при використанні цибулевої маршрутизації TOR ніхто нікому не довіряє в принципі), тому все таки більш доцільно говорити про приватність в Інтернеті, а не конфіденційність в Інтернеті. З повагою, Alessot (обговорення) 16:15, 7 березня 2022 (UTC)Відповісти

Доброго дня.

"Але залишилось питання співвідношення понять приватності та конфіденційності."

Ці терміни часто вживаються як синоніми, хоча і мають свої відмінності. Конфіденційна інформація – (від англ. confidence — довіра) це відомості, які знаходяться у володінні, користуванні або розпорядженні окремих фізичних чи юридичних осіб і поширюються за їх бажанням. Відповідно до статті 21 Закону України "Про інформацію", конфіденційна інформація разом із службовою та таємною інформацією належить до інформації з обмеженим доступом. Інформація з обмеженим доступом – це така інформація, доступ до якої має лише обмежене коло осіб і оприлюднення якої заборонено розпорядником інформації відповідно до закону.

Цитата з наданої вами статті: "NIST[1] describes confidentiality as following: Confidentiality means preserving authorized restrictions on information access and disclosure, including means for protecting personal privacy and proprietary information. ".

Працюючи в сфері ІТ, я часто спілкуюсь з різними фахівцями, в тому числі і з американськими, які наприклад вживають термін Рrivacy policy саме як політика конфіденційності, а всю інформацію яка міститься в інтернеті у відкритому чи закритому доступі, як конфіденційну а не приватну. І з моєю позицією вони погоджуються.

Щодо браузера TOR. Я не ознайомлювався з інформацією про детальну роботу цього браузера, оскільки просто перекладав статтю з англійської версії вікіпедії. Якщо ви вважаєте, що згадка про цей браузер в даній статті не доцільна, то ви сміливо можете її видалити. В даний час я не можу навести аргументи ЗА чи ПРОТИ цього браузера.

Але я абсолютно впевнений, що у даному перекладі повинна фігурувати та використовуватись саме конфіденційна а не пнриватна інформація.

Дякую за увагу та виділений час для цього обговорення. Бажаю гарного дня та мирного неба над головою.

1. E. McCallister, T. Grance, and K. Kent, “Guide to protecting the confidentiality of personally identifiable information (PII) (draft),” tech. rep., National Institute of Standards and Technology (U.S.), 2009.

--Ваня Царик (обговорення) 13:09, 15 березня 2022 (UTC)Відповісти

Доброго дня.

Працюючи в сфері ІТ...

Я працюю у сфері IT Security, і навіть колись перекладав деякі іноземні стандарти для впровадження в Україні, але це не має жодного значення для аргументування, тому що спиратись на це - логічна хиба апеляції до авторитету.

... які наприклад вживають термін Рrivacy policy саме як політика конфіденційності...

Це ще одна логічна хиба аргументації - зве́рнення до популя́рної ду́мки. Те, що багато хто притримується певної думки, ще не робить її автоматично вірною. Інформація повинна бути підтверджена авторитетними джерелами і бути переврною. Перевірити думку ваших коллег, при всій повазі до Вас та них, ні я, ні хтось інший не зможе. Свою позицію вище я підкріпив цитатами з наукової статті та посиланнями на галузевий стандарт.

Люди, які працюють у американському законодавчому полі, часто розуміють приватність вузько, як нерозголошення певних даних, не приймаючи до уваги аспект стеження за користувачем - як збирання, обробку та поширення даних про користувача (профілювання) без його згоди (у тому числі без явної ідентифікації користувача), оскільки у законодавчому полі США питання приватності, на відміну від ЄС, розпорошені по ряду федеральних (COPA, HIPAA) і місцевих законодавчих актів. У ЄС ці питання зібрані у директиви ЄС. З практичної точки зору з цих різниць у законодавстві випливає різниця між політикою конфіденційності та політикою приватності. Якщо зазначено: "Ми зобов'язуємось зберігати у таємниці наступну інформацію про користувача..." - це політика конфіденційності. Якщо у додаток до зобов'язань щодо конфіденційності описано поводження з іншими фрагментами даних, крім явно переданих користувачем, наприклад кукі або ІР-адресами, то це вже політика приватності. Порівняйте 2 приклади: приклад політики конфіденційності і приклад політики приватності. Вимоги щодо кукі (в частині використання для стеження) почались з цієї директиви ЄС. До неї поняття політика конфіденційності та політика приватності дійсно були синонімами, після - ні (у американців немає такої директиви, тому і різниці особливої немає).

...всю інформацію яка міститься в інтернеті у відкритому чи закритому доступі, як конфіденційну а не приватну.

Абсолютно вірно. Інформація, яка потрапила в Інтернет, була довірена одному чи кільком інтернет-сервісам (інтернет-провайдеру, службі електронної пошти тощо). Тому з їх точки зору - це дійсно конфіденційна, а не приватна інформація. Все у повній відповідності як до наведеного мною визначення конфіденційності від NIST, так і наведеного Вами визначення конфіденційності із закону. Але зазначене жодним чином не спростовує мою позицію.

Щодо браузера TOR. Я не ознайомлювався з інформацією про детальну роботу цього браузера, оскільки просто перекладав статтю з англійської версії вікіпедії. Якщо ви вважаєте, що згадка про цей браузер в даній статті не доцільна, то ви сміливо можете її видалити.

У жодному разі. Вважаю Ваш внесок дуже цінним. А термінологія, вона багато де неідеальна.

Разом з тим, я усвідомлюю, що викладене з високою ймовірністю Вас не переконає. Тому якщо погодитесь з моєю позицією - напишіть тут, я допоможу з правками. Не погодитесь - ну нічого страшного, може колись після війни винесу це питання на обговорення усієї вікіпедійної спільноти (якщо не забуду).

З побажаннями миру та повагою, Alessot (обговорення) 17:04, 15 березня 2022 (UTC)Відповісти

1. ↑ ГСТУ СУІБ 1.0/ISO/IEC 27001:2010 Галузевий стандарт України. Інформаційні технології. Методи захисту. Система управління інформаційною безпекою. Вимоги (ISO/IEC 27001:2005, MOD) (PDF) (укр.). Національний банк України.