兼顧長期保存與隱私保護：以情境完整性來制定第三方隱私保護政策 / Of Provenance and Privacy: Using Contextual Integrity to Define Third-Party Privacy

10月 12, 2014 期刊論文閱讀 , 課程/國際檔案學 0 Comments Edit Copy Download

這是國際檔案學的課堂論文閱讀筆記。檔案保存是為了使用，有限度的使用稱之為隱私保護，而限度的考量則必須依據情境完整性(Contextual Integrity)。

This is a reading note at course “國際檔案學". This article describes how to apply Helen Nissenbaum’s theory of “Contextual Integrity” to privacy decision.

書目資料 / Bibliography

Bingo, S. (2011). Of Provenance and Privacy: Using Contextual Integrity to Define Third-Party Privacy. American Archivist, 74(2), 506-521. Retrieved from http://archivists.metapress.com/content/55132839256116N4

關鍵字 / Keywords

• Contextual Integrity 情境完整性：作為鑑定檔案 隱私適用範圍的一種調查架構
• Third-Party Privacy 隱私：
  第一方：檔案建立者
  第二方：檔案館員
  第三方：檔案中提及其他人的個人隱私
• Privacy Risk 隱私風險

摘要 / Abstract

• 藉由檢視檔案的創造與使用等情境因素來決定檔案的限制或開放，本文聚焦於討論第三方隱私(third-party privacy)的議題。
• Helen Nissenbaum的情境完整論(theory of contextual integrity)係源自於數位隱私權的理論。
• 在本文中用情境完整論來解釋檔案保存的概念，並強調隱私的風險。
• 用情境完整論來決定隱私權的規劃，也可以讓檔案館員作為流通檔案規劃上的參考架構，以改變原本簡單的開放取用還是限制的兩種分法。
• 檔案以數位化開放的影響有時候非常重要。

筆記下載 / Note Download

• 筆記檔案下載：Google Drive、One Drive、Box、MEGA
• PDF註解：One Drive、Box、MEGA

筆記全文 / Note Fulltext

1. Introduction [P.1]

• 目前檔案上第三方隱私保護政策缺乏了明確的準則
• 為此，Helen Nissenbuam提出的「情境完整性」(contextual integrity)理論，藉由了解資訊提供、蒐集與使用的相關情境，可作為建構資訊隱私政策的開端。
• 作者認為情境完整性可以幫助檔案館員在進行檔案鑑定與取用政策上採用更有系統性與完整性的視野。

2. Literature Review [P.3]

• 檔案的隱私問題有兩種考量
  • 法律考量 (legal considerations)：是指避免任何敏感性或毀謗性的議題被暴露之後導致的問題
  • 倫理爭論(ethical arguments)：則是考慮到檔案館、捐贈者與社會之間的關係
• Hodson在SAA的檔案人員倫理守則(Code of Ethics)中提到：檔案館員必須明確意識到，並主動保護檔案館藏中的個人隱私。
• Hodson與其他人都提到，檔案館員的挑戰是制定合適的館藏政策，協助蒐集道德上灰色地帶的檔案，而降低在案卷層級上的檢查的成本
  • 特別是面對大量電子文件，以及數位資料容易從網路獲取的前提下，可大範圍地檔案隱私風險鑑定(the scalability of appraising privacy risk)更是重要

3. 電子訊息 / Contextual Integrity and Digital Information [P.6]

• 在數位時代中，許多隱私問題都需要特別注意：身分竊取(identity theft)、違法分享(information sharing)、以及社群網站上的意外曝光(unwanted exposure via social networking sites)
• 近25年內，檔案界中討論檔案館員與研究者之間處理隱私與電子文件的長期保存問題越來越受重視。
• 1997年，Nissenbaum以情境完整性來描述社會中個人資訊的使用與散布的情境
  • 「夜店的參加者不會在意他們被其他參加者看到，但是會反對在這個情境之外被發現」
  • Nissenbaum強調隱私不是只有哪些資訊可被分享，更重要的是資訊如何被分享
  • 他認為情境(Contexts)是一種結構性的社會配置，是由常規活動、角色、關係、權力架構、規範(norms, or rules)以及內部價值(目標、終點、目的)所構成
  • 若確定情境，就能夠根據資訊分享來定義隱私規範，亦即什麼資訊要被分享(或應該被分享)、分享資訊的人，以及資訊分享的對象。
• 線上資訊公開性問題在於
  • 很容易透過搜尋引擎等方式蒐集任何人感興趣的資訊
  • 但是許多人卻很難控制資訊在網路上的可取用性
• 情境完整性被破壞(violated)
  • 舉例：女教師的FB加入了學生跟同性戀酒吧，但卻仍會因為不小心而讓兩者圈子資訊重疊，造成學生對於教師的反感
  • Nissenbaum認為這時候就很適合用情境完整性來判斷是否分享規範被破壞
• 對Nissenbaum來說，情境完整性的維護有兩種考量：
  • 1. 根據道德與政策影響因素，找出情境的資訊流動(information flows)。
    例如找出時常被提到的資料，並將該檔案從不公開設為公開，以支援研究與貢獻給公共領域
  • 2. 如何適當地改變情境中資訊的「價值、目的與終點」。
    例如用資料探勘辨識電話中恐怖分子的談話內容，這點明顯地破壞了情境完整性，但是卻有人支持這樣做
• 情境完整性應用到檔案上的問題

當檔案把個人文件從個人情境轉移到公共情境時，檔案的情境完整性就會有許多隱私與取用的問題

但作者依然認為定義情境因素(contextaul factors)可有利於鑑定檔案隱私風險，而免於在鑑定檔案時耗費過多的時間成本

4. 隱私風險鑑定 / Contextual Integrity and the Appraisal of Privacy Risk [P.11]

• 鑑定檔案價值的方式同樣也可以用來鑑定風險，特別是當個人的角色、活動與目的會暴露個人隱私時，更是適合進行隱私風險的鑑定
• Aprille C. McKay認為檔案館員應該找出更有效的步驟來辨識風險，包括鑑定的層級以及應鑑定的風險
• 處理隱私風險中時常會用到捐贈者同意書(donor agreements)
  • Bill Landis提到檔案館員欠缺了跟捐贈者協調隱私與取用的議題
  • 因此檔案館員必須考量到數位化帶來的正面與負面的影響、發展限制存取的窗口、以及發展更有效處理第三方隱私的方法
• 檔案館員應該去詢問檔案建立者是如何傳遞敏感的隱私資訊，以辨識最可能發生隱私風險的資料
• 基於角色與活動的風險辨識應該轉換成系列層級的風險，用來考量系列的可取用權限，或著說是Nissenbaum所謂的資訊流
• 在考量到檔案系列的取用上，檔案館員應該考慮三個因素
  • 1. 哪些資訊可被公開取用：如果該系列還有未確定的隱私風險，則考量第二跟第三因素來決定可以開放的類型
  • 2. 利用使用者同意書(user agreements)來設定取用條件
  • 3. 必須考量到線上公開的數據容易被抓取的問題
• 另一方面，檔案的情境完整性也可以定義可取用的角色，例如在母機構的授權對象可以取用完整的病例記錄，但研究者則有不同的權限

「情境」或是「脈絡」 / What’s Context

每次提到Context這個字，我習慣將之翻譯為「情境」。不過檔案組的同學則是一如往常地鄙視我使用這個翻譯，而極力糾正我應該翻譯為「脈絡」。

這是一個好機會，讓我們來看看context這個字究竟該怎麼翻譯好。

根據牛津字典對於context的解釋是：

The circumstances that form the setting for an event, statement, or idea, and in terms of which it can be fully understood:

指週遭的環境，這可能是來自於某個事件、處境或想法，而讓人可以從這些角度來瞭解為何導致這種情況。

接著我們看教育部國語字典對脈絡的解釋：

• 血管的統稱。如：「人體全身都有脈絡分布。」
  
• 條理。宋史˙卷四二八˙道學傳二˙楊時傳：「凡紹興初崇尚元祐學術，而朱熹﹑張栻之學得程氏之正，其源委脈絡皆出於時。」

而教育部國語詞典對於情境的解釋則是：

• 情景、境地。如：「在那種情境下，除了笑笑，你還能表示什麼呢？」
  

從這裡我們可以注意到，context這個字原意是「為了瞭解」某種狀況而使用的名詞。從這個角度來看，當我們要透過檔案之間的關聯來瞭解為何會有這個檔案產生，以及這檔案應該如何使用時，的確應該使用「脈絡」。

那什麼時候會用到「情境」這個詞彙呢？事實上，context翻譯做「情境」的這個字還蠻常出現在數位學習的研究中。一般來說，情境是指「學習者」當下的情況，例如學習時間、地點、行動、擁有的先備知識等等。研究時會將學習者當時情境下各種變項作為基準，來檢定這些變項是否會對依變項造成影響。我習慣讀數位學習的東西，所以看到context自然就習慣翻譯成「情境」。

另一方面，在電腦中提到context，一般是講context menu，也就是按右鍵的選單。這個context menu會隨著你滑鼠右鍵點選的目標不同，而出現不同的選單。這個context menu也常常翻譯成情境選單，而它的確是藉由判斷使用者當下的環境，來決定要顯示的選單項目。

整理上述論點來看，由於檔案學大多是從檔案本身來看，檔案的構成要從整體性來看待，因此適合使用「脈絡」這個翻譯；而若是將context用在使用者身上，因為著重於描述使用者當下的環境，翻譯做「情境」會較為貼切。

為了避免混淆，之前在課堂上與老師討論過後，認為以「歷史脈絡」和「使用情境」這兩種詞彙來辨別context的不同意義，這可能是比較合適的用法。

但是其實討論的意義不是很大，正所謂入境隨俗，讀檔案學的研究就用檔案學喜歡的用詞就對了。就像是在圖書館員面前提到資料庫就是ProQuest而不是MySQL一樣啦。 (至於這篇note寫都寫了索性就懶得改了XD 之後再說吧)