论文部分内容阅读
有人说社会已经进入了没有个人隐私的阶段,路口摄像头、随身携带的手机以及车载GPS等会记录个人的行踪,尤其是网络技术以及数据库应用的普及,使得各类信息具有了更强的可持续性,甚至有人在街头随地便溺也会被Google Earth在全球进行实况转播并广泛流传。实际上,越来越多的个人隐私正在被用于商业目的,一个朋友刚刚买了新房,接下来的一段时间里就连续不断地收到了各种装修公司的电话广告,这位朋友接到这类电话后就把手机放在一边,任由对方喋喋不休地推销,不时还拿起手机要对方重复一遍,尽管如此,也不见电话广告的减少。2009年中国中央电视台315晚会揭露,个人的手机号码、身份证号码、姓名、银行资料,甚至全国各地股民的信息都可以在网上自由买卖。
由于客户对个人信息被某个组织收集之后的应用情况缺乏了解,更无法控制,因此,客户在隐私信息被传播和利用方面与组织相比处于弱势的地位,日益增多的个人隐私信息的商业化运作,严重地影响了人们的日常生活和工作,甚至带来诸多伤害,对个人隐私信息的保护亦已成为组织的一个重大挑战。
虽然许多国家对个人隐私的保护制定了相关的法律法规,但是法律只是一个底线,组织要真正地保护个人隐私信息还需要负有道德责任。美国Bentley大学教授Mary J.Culnan和McCallum大学助理教授Cynthia Clark Williams~MIS Quarterly最新一期(Volume 33,Number 4 December 2009)中发表了一篇论文:“伦理如何在加强组织隐私保护中起到作用:来自ChoicePoint~TJX两家公司数据泄露事件的经验教训(How Ethics Can Enhance Organiza-tional Privacy:Lessons From The ChoicePoint AndTJX Data Breaches)”,该文就提出了基于道德责任加强组织隐私保护机制的观点。
论文分为六大部分。第一部分的引言通过简单的文献综述,提出了论文的研究意义与研究路径;第二部分基于前人对组织保护个人隐私的研究,论文对隐私的概念进行了评述;第三部分重点对美国关于个人资料访问、使用的管制环境进行概述,特别是对涉及到未经授权访问的相关规制内容进行了评述;第四部分通过回顾广为人知的ChoicePoint和TJX两个公司数据泄密事件,论文阐述了作者关于基于伦理来加强组织隐私相关处理机制的观点;第五部分讨论了公司对提供了私人信息的个人负有道义责任的理由,论文认为无论信息资料是直接来自于个人,还是间接地来自于第三方商业化的信息提供者,公司都负有对私人信息保护的道德方面的责任;最后一部分则针对组织基于道德保护个人隐私信息的问题,论文提出了组织将道德责任融入其个人隐私信息相关处理机制过程中可以采取的一些方法。
这里的道德责任问题是指组织对个人隐私信息保护中的不作为而造成或诱发了事件的发生,或者是未能有效地防止事件的发生,在个人隐私信息保护中道德责任的一个原则是“不伤害(do noharm)”。而隐私信息是一个多维的概念,其定义尚比较模糊,依赖于相关的情境、并且根据人们不同的生活经历也有不同的理解,作者在本文中定义为消费者通过交易过程所产生的个人信息,论文针对这些信息研究此后的存储、分析、使用或共享过程中产生的隐私问题。
论文引用前人的研究结论把信息隐私问题的活动及其伤害分成两大类型,如图1所示。而公平信息惯例(Fair information practices-FIPs)是目前全球数据保护的主流原则,FIPS通过界定个人权利和组织责任的指导方针解决隐私伤害问题,从而反应了对使用信息负责任的社会期望,目前FIPS得到广泛实施的一个实例就是美国注册会计师协会(AICPA)和加拿大特许会计师协会(CICA)在2006年发布的一般公认的隐私保护原则(The GenerallyAccepted Privacy Principles-GAPP),如表1所示。
此外,FIPS还体现在了各类法律和产业标准中,然而,尽管已经有众多的法律、标准和原则,但是,消费者还是不断地面临各种各样造成伤害的信息隐私问题。论文对此选择因为数据破坏而导致的未经授权访问一类隐私问题进行讨论,其理由包括:一是近期以来有关数据破坏相关的美国法律不断出台,使得其越来越引人关注;二是不同于其他一些隐私问题,数据泄露给组织及个人都造成实际的损害;三是尽管法律和法规规定了组织实施全面的安全计划,但是数据泄露依然发生,这意味着现有的程序方法是无效的;四是数据泄露作为政府新规章的催化剂,存在一种潜在的对同行业其他企业产生溢出效应的可能性。
例如,成立于1997年的ChoicePoint是美国三大信用局之一,为企业、非营利组织和政府机构提供广泛的资格认证、背景审核、认证和公共记录服务,在2005年2月,ChoicePoint公司致函145000人,通知说公司对新用户的资格审查程序失败造成了数据泄露,他们的个人资料在2004年被窃取访问。另外一家TJX公司是平价零售商,在美国、波多黎各、加拿大和欧洲拥有2400多家包括TJ Maxx、Marshall s、HomeGoods、A.J.Wright和Bob’s等在内的商店,TJX公司收集并储存客户信息、授权支付卡购买、授权个人支票,并处理没有收据的商品退还,根据美国证券交易委员会披露声明,TJX公司在2006年12月遭受了系统入侵,从2005年起,犯罪分子侵入TJX的网络,并窃取了4500多万消费者在18个月期间的付款信息,TJX公司错在存储未加密的敏感信息,沒能限制未授权的无线接入网络,并没有采用其网络上适当的安全措施。
从公司对于信息隐私的道德责任角度来看,规范的伦理理论指出了个人或群体应当按照基本的道德规范行事,商业道德应该是道德和商业的互动,信息伦理问题本身则更加关心具体的信息收集、使用和管理而引起的伦理困境,包括:隐私、准确度、财产权和访问获取等四个重要的领域,然而,随着技术变得越来越复杂和普及,相关的伦理问题也层出不穷,但是解决这些挑战的理论却没有得到发展。在ChoicePoint和TJX两个实例中,消费者是易受到伤害的,不过企业在提供产品和服务的过程中确实需要顾客的个人隐私信息,顾客和企业交易过程中也不得不提供个人的隐私信息。然而,任何商业活动和人类其他活动一样都应该有一个道德底线,虽然ChoicePoint最终并没有失去客户,但是,两家公司实际发生的名誉损失、罚款以及被要求20年向联邦贸易委员会提交监测报告,对每个行业监管的溢出效应和监管更加严格的潜在成本,可能会说服一些管理人员得出结论,遵守法律也无助于建立信任。 在这样的环境中,经理人应该做的就是在组织中将道德责任融入其隐私相关处理机制。要建立其具有高适应性、能够改善隐私相关处理行为的隐私处理机制,具体需要采取三个步骤,首先,从组织的最高层开始,创建一个保护隐私的文化;其次,针对隐私保护,建立一个负责任的管理过程;最后,避免隐私保护与个人经验脱钩。
论文最后得出结论认为,因为隐私危机(例如数据破坏)常常由那些能够在事后被观察的因素来衡量的,因此,一个高适应性的、内嵌了道德责任文化的隐私处理机制应该提供一个更有效的方法来管理隐私,而不是事后再衡量。即便如此,任何组织都不能保证它在未来不会遭受隐私泄漏的伤害。但是,组织的道德责任感越高,它越可能取得技术上、结构上和程序上的突出改进。这种道德责任感体现在组织的领导中,也融入在整个企业文化内。这样,组织才可以尽量减少这类事件的发生或事件发生后对个人的影响,从而维护其道义上的责任,同时也能避免代价高昂的声誉受损、溢出效应和法律行动。
值得一提的是,这篇论文是MIS Quarterly的主编Detmar straub教授亲自录用的,虽然论文仅仅是通过综述(包括两个案例本身)提出相关的观点的,但是和以往的隐私保护研究忽视道德因素和缺乏考虑那些由于隐私被侵犯而造成个人伤害相比,这篇论文弥补了以往关于组织隐私研究的不足。
本期的MIS Quarterly还发表了以下篇文章:
(1)信息系统研究与实践中的趋势潮流(Fashion Waves in Information Systems Research andPractice)(By:Richard L.Baskerville and Michael D.Myers)
(2)评述Gill和Bhattacherjee存在告知危机吗?(Commentary on Gill and Bhattacherjee:Is There anInforming Crisis?)(By:Michael D.Myers and Richard L.Baskerville)
(3)趋势潮流与告知:对Baskerville和Myers的回复(Fashion Waves Versus Informing:Response toBaskerville and Myers)(By:Grandon Gill and AnolBhattacherjee)
(4)信息系統研究中的形成性测量解读(Interpretation of Formative Measurement in lnforma-tion Systems Research)(By:Ronald T.Cenfetelli andGenevieve Bassellier)
(5)信息技术创新中的社区学习(CommunityLearning in Information Technology Innovation)(By:Ping Wang and Neil C.Ramiller)
(6)物流供应链关系中的公司间战略信息流(Interfirm Strategic Information Flows in LogisticsSupply Chain Relationships)(By:Richard Klein andArun Rai)
(7)同时进行的网上拍卖:竞投者战略和拍卖价格的实证特点(Overlapping Online Auctions:Em-pirical Characterization of Bidder Strategies andAuc-tion Prices)(By:Ravi Bapna,Seokioo Andrew Chang,Paulo Goes,and Alok Gupta)
(8)信息系统项目中的选择性状态报告:一个对偶层次的调查(Selective Status Reporting in lnforma-tion systems Projects:A Dyadic-Level lnvestigation)(By:Charalambos L.Iacovou,Ronald L.Thompson,andH.JeffSmith)
(9)解决信息系统研究中的差异计分问题(Resolving Difference Score Issues in Information Sys-terns Research)(By:Gary Klein,James J.Jiang,andPaul Cheney)
(10)信息技术接受中态度和主观规范之间的非线性:一个负协同效应?(Nonlinearities Between Af-titude and Subjective Norms in Information Technol-ogy Acceptance:ANegative Synergy?)(By:RyadTitahand Henri Barki)
由于客户对个人信息被某个组织收集之后的应用情况缺乏了解,更无法控制,因此,客户在隐私信息被传播和利用方面与组织相比处于弱势的地位,日益增多的个人隐私信息的商业化运作,严重地影响了人们的日常生活和工作,甚至带来诸多伤害,对个人隐私信息的保护亦已成为组织的一个重大挑战。
虽然许多国家对个人隐私的保护制定了相关的法律法规,但是法律只是一个底线,组织要真正地保护个人隐私信息还需要负有道德责任。美国Bentley大学教授Mary J.Culnan和McCallum大学助理教授Cynthia Clark Williams~MIS Quarterly最新一期(Volume 33,Number 4 December 2009)中发表了一篇论文:“伦理如何在加强组织隐私保护中起到作用:来自ChoicePoint~TJX两家公司数据泄露事件的经验教训(How Ethics Can Enhance Organiza-tional Privacy:Lessons From The ChoicePoint AndTJX Data Breaches)”,该文就提出了基于道德责任加强组织隐私保护机制的观点。
论文分为六大部分。第一部分的引言通过简单的文献综述,提出了论文的研究意义与研究路径;第二部分基于前人对组织保护个人隐私的研究,论文对隐私的概念进行了评述;第三部分重点对美国关于个人资料访问、使用的管制环境进行概述,特别是对涉及到未经授权访问的相关规制内容进行了评述;第四部分通过回顾广为人知的ChoicePoint和TJX两个公司数据泄密事件,论文阐述了作者关于基于伦理来加强组织隐私相关处理机制的观点;第五部分讨论了公司对提供了私人信息的个人负有道义责任的理由,论文认为无论信息资料是直接来自于个人,还是间接地来自于第三方商业化的信息提供者,公司都负有对私人信息保护的道德方面的责任;最后一部分则针对组织基于道德保护个人隐私信息的问题,论文提出了组织将道德责任融入其个人隐私信息相关处理机制过程中可以采取的一些方法。
这里的道德责任问题是指组织对个人隐私信息保护中的不作为而造成或诱发了事件的发生,或者是未能有效地防止事件的发生,在个人隐私信息保护中道德责任的一个原则是“不伤害(do noharm)”。而隐私信息是一个多维的概念,其定义尚比较模糊,依赖于相关的情境、并且根据人们不同的生活经历也有不同的理解,作者在本文中定义为消费者通过交易过程所产生的个人信息,论文针对这些信息研究此后的存储、分析、使用或共享过程中产生的隐私问题。
论文引用前人的研究结论把信息隐私问题的活动及其伤害分成两大类型,如图1所示。而公平信息惯例(Fair information practices-FIPs)是目前全球数据保护的主流原则,FIPS通过界定个人权利和组织责任的指导方针解决隐私伤害问题,从而反应了对使用信息负责任的社会期望,目前FIPS得到广泛实施的一个实例就是美国注册会计师协会(AICPA)和加拿大特许会计师协会(CICA)在2006年发布的一般公认的隐私保护原则(The GenerallyAccepted Privacy Principles-GAPP),如表1所示。
此外,FIPS还体现在了各类法律和产业标准中,然而,尽管已经有众多的法律、标准和原则,但是,消费者还是不断地面临各种各样造成伤害的信息隐私问题。论文对此选择因为数据破坏而导致的未经授权访问一类隐私问题进行讨论,其理由包括:一是近期以来有关数据破坏相关的美国法律不断出台,使得其越来越引人关注;二是不同于其他一些隐私问题,数据泄露给组织及个人都造成实际的损害;三是尽管法律和法规规定了组织实施全面的安全计划,但是数据泄露依然发生,这意味着现有的程序方法是无效的;四是数据泄露作为政府新规章的催化剂,存在一种潜在的对同行业其他企业产生溢出效应的可能性。
例如,成立于1997年的ChoicePoint是美国三大信用局之一,为企业、非营利组织和政府机构提供广泛的资格认证、背景审核、认证和公共记录服务,在2005年2月,ChoicePoint公司致函145000人,通知说公司对新用户的资格审查程序失败造成了数据泄露,他们的个人资料在2004年被窃取访问。另外一家TJX公司是平价零售商,在美国、波多黎各、加拿大和欧洲拥有2400多家包括TJ Maxx、Marshall s、HomeGoods、A.J.Wright和Bob’s等在内的商店,TJX公司收集并储存客户信息、授权支付卡购买、授权个人支票,并处理没有收据的商品退还,根据美国证券交易委员会披露声明,TJX公司在2006年12月遭受了系统入侵,从2005年起,犯罪分子侵入TJX的网络,并窃取了4500多万消费者在18个月期间的付款信息,TJX公司错在存储未加密的敏感信息,沒能限制未授权的无线接入网络,并没有采用其网络上适当的安全措施。
从公司对于信息隐私的道德责任角度来看,规范的伦理理论指出了个人或群体应当按照基本的道德规范行事,商业道德应该是道德和商业的互动,信息伦理问题本身则更加关心具体的信息收集、使用和管理而引起的伦理困境,包括:隐私、准确度、财产权和访问获取等四个重要的领域,然而,随着技术变得越来越复杂和普及,相关的伦理问题也层出不穷,但是解决这些挑战的理论却没有得到发展。在ChoicePoint和TJX两个实例中,消费者是易受到伤害的,不过企业在提供产品和服务的过程中确实需要顾客的个人隐私信息,顾客和企业交易过程中也不得不提供个人的隐私信息。然而,任何商业活动和人类其他活动一样都应该有一个道德底线,虽然ChoicePoint最终并没有失去客户,但是,两家公司实际发生的名誉损失、罚款以及被要求20年向联邦贸易委员会提交监测报告,对每个行业监管的溢出效应和监管更加严格的潜在成本,可能会说服一些管理人员得出结论,遵守法律也无助于建立信任。 在这样的环境中,经理人应该做的就是在组织中将道德责任融入其隐私相关处理机制。要建立其具有高适应性、能够改善隐私相关处理行为的隐私处理机制,具体需要采取三个步骤,首先,从组织的最高层开始,创建一个保护隐私的文化;其次,针对隐私保护,建立一个负责任的管理过程;最后,避免隐私保护与个人经验脱钩。
论文最后得出结论认为,因为隐私危机(例如数据破坏)常常由那些能够在事后被观察的因素来衡量的,因此,一个高适应性的、内嵌了道德责任文化的隐私处理机制应该提供一个更有效的方法来管理隐私,而不是事后再衡量。即便如此,任何组织都不能保证它在未来不会遭受隐私泄漏的伤害。但是,组织的道德责任感越高,它越可能取得技术上、结构上和程序上的突出改进。这种道德责任感体现在组织的领导中,也融入在整个企业文化内。这样,组织才可以尽量减少这类事件的发生或事件发生后对个人的影响,从而维护其道义上的责任,同时也能避免代价高昂的声誉受损、溢出效应和法律行动。
值得一提的是,这篇论文是MIS Quarterly的主编Detmar straub教授亲自录用的,虽然论文仅仅是通过综述(包括两个案例本身)提出相关的观点的,但是和以往的隐私保护研究忽视道德因素和缺乏考虑那些由于隐私被侵犯而造成个人伤害相比,这篇论文弥补了以往关于组织隐私研究的不足。
本期的MIS Quarterly还发表了以下篇文章:
(1)信息系统研究与实践中的趋势潮流(Fashion Waves in Information Systems Research andPractice)(By:Richard L.Baskerville and Michael D.Myers)
(2)评述Gill和Bhattacherjee存在告知危机吗?(Commentary on Gill and Bhattacherjee:Is There anInforming Crisis?)(By:Michael D.Myers and Richard L.Baskerville)
(3)趋势潮流与告知:对Baskerville和Myers的回复(Fashion Waves Versus Informing:Response toBaskerville and Myers)(By:Grandon Gill and AnolBhattacherjee)
(4)信息系統研究中的形成性测量解读(Interpretation of Formative Measurement in lnforma-tion Systems Research)(By:Ronald T.Cenfetelli andGenevieve Bassellier)
(5)信息技术创新中的社区学习(CommunityLearning in Information Technology Innovation)(By:Ping Wang and Neil C.Ramiller)
(6)物流供应链关系中的公司间战略信息流(Interfirm Strategic Information Flows in LogisticsSupply Chain Relationships)(By:Richard Klein andArun Rai)
(7)同时进行的网上拍卖:竞投者战略和拍卖价格的实证特点(Overlapping Online Auctions:Em-pirical Characterization of Bidder Strategies andAuc-tion Prices)(By:Ravi Bapna,Seokioo Andrew Chang,Paulo Goes,and Alok Gupta)
(8)信息系统项目中的选择性状态报告:一个对偶层次的调查(Selective Status Reporting in lnforma-tion systems Projects:A Dyadic-Level lnvestigation)(By:Charalambos L.Iacovou,Ronald L.Thompson,andH.JeffSmith)
(9)解决信息系统研究中的差异计分问题(Resolving Difference Score Issues in Information Sys-terns Research)(By:Gary Klein,James J.Jiang,andPaul Cheney)
(10)信息技术接受中态度和主观规范之间的非线性:一个负协同效应?(Nonlinearities Between Af-titude and Subjective Norms in Information Technol-ogy Acceptance:ANegative Synergy?)(By:RyadTitahand Henri Barki)