Assessing public acceptance of privacy invasive ICT solutions Misse Wester Avdelningen för filosofi Kungliga Tekniska Högskolan Misse.Wester@abe.kth.se
Projektet i perspektiv Finns idag stort intresse för utveckling av e-tjänster Koppla ihop olika informationskällor till en sammanhållen tjänst Opt-out tas bort ur listor men inte ett verkligt val i alla situationer Finns lagar och direktiv (PuL, Datalagringsdirektivet)
Men först - vad är personlig integritet? Argument från filosoferna Nissenbaum och Rössler Nissenbaum menar att integritet är kontextuellt betingat; trivialt i ett sammanhang men inte i ett annat Rössler utvecklar samma tanke och identifierar tre typer av personlig integritet: Beslut Fysisk Information Värde? En förutsättning för att kunna leva ett autonomt liv självstyre, fritt från påverkan Förlorad integritet på kort sikt anpassning På lång sikt mainstreaming av medborgarna
Intervjuer - Intervjuade 6 myndigheter och 1 kommersiell aktör - Tre huvudfrågor: Integritet och integritetsskydd Lagstiftning och skydd av data Utveckling av e-tjänster
Resultat - Integritet Ser förändring äldre mer motstånd inför användandet av e- tjänster Offentlighetsprincipen och skydd av personlig integritet är svag Att dela information mellan myndigheter kan vara önskvärt, men vem bestämmer det? Önskar tydligare regler för att minska ansvaret på den individuella handläggaren Hot mot tjänstemän hanteras inte när det gäller integritetskänslig information som inte ska lämnas ut
Resultat Lagstiftning PuL inte bra! Svårigheter att avgränsa ett ändamål för datainsamling och hur länge man kan spara det för att uppnå ändamålet. Svårigheter med behörighet inom organisationer när man byter tjänst rättigheter följer med Resurser läggs på teknisk säkerhet (out-of-the-box) och inte på utbildning
Resultat E-tjänster Utveckling inom organisationen drivs av efterfrågan hos kunder men ingen undersökning för att säkerställa detta Vissa tror att det skulle minska (i den mån det finns) om medborgarna visste hur osäkert det är Hur mycket information ska man ge? Svårigheter med att förutse all framtida användning Finns det andra alternativ?
Vad betyder det? De som arbetar med att utveckla e-tjänster upplever inte att de har klara regler eller bra säkerhetslösningar Vad säger då vi som använder tjänsterna?
Först - annan forskning Två inriktningar: - Väger risk mot nytta, väger säkerhet mot integritet - Metoder för att öka tilliten till system Tillit i tre dimensioner: Litar på förmåga att kunna använda Litar på de som samlar in Litar på teknisk integritet Den ena påverka den andra Inte en enkel balans mellan risk och säkerhet, utan mer nyanserad: usefulness eller uselessness av en teknik som kan påverka säkerheten Vill veta vad som händer när inte om vår data används felaktigt PRISE EU projekt (finns på http://www.prise.oeaw.ac.at)
Resultat Bakgrund Normal fördelning: Män 48,2 Kvinnor 51,8 Storstad 27,6 Större stad 24,7 Mellanstor stad 18,5 Glesbygd 29,3 Internet i andra syften Dagligen 83,8 Minst en gång/vecka 14,8 Minst en gång/månad 1 Mindre än 1 gång/månad 0,4 Mobiltelefon Dagligen 79,5 Minst en gång/vecka 16,1 Minst en gång/månad 2,4 Mindre än 1 gång/månad 1,3 Använder aldrig mobiltelefon 0,7 E-post Dagligen 75,6 Minst en gång/vecka 19,3 Minst en gång/månad 3,5 Mindre än 1 gång/månad 1,7
Resultat beteende på nätet Användning av e-tjänster 51 % i ganska hög eller hög utsträckning 32 % i liten eller ingen utsträckning (resten vare sig eller) Vägrat uppge personlig info företag 42,5 Vägrat uppge personlig info myndighet 4,6 Ta bort från marknadsföringslista 50,2 Inte sälja vidare 22,1 Frågat företag om policy 8,3 Få veta vilken information om dig 4,7 Felaktig info säljare 15,1 Felaktig info myndighet 1,3 Läst policy handlar på internet 39,2 Läst policy myndighet internet 21,6 Aldrig gjort något skydda 25,3
Kunskap om risker
Kontroll och reglering
Attityder - Generellt Ser tre kategorier (50 % av variansen): Vill ha mer belysning på alternativ Transparens Risker Resignation inför den tekniska utvecklingen Compliance
Attityder - specifikt
Scenarion! Fokus på 3 tekniker/typer av data: Biometri (retina scan & DNA) Övervakning (Kamera, mobil och e-post) RFID tags Variabler vi manipulerade: Syfte / Incitament Systemägare Plats Samköra data som samlas in med samma teknik
Våra scenarier blev så här: Biometriska data samlas in för forskning eller för att upprätta ett register inom polisen RFID-tag i kollektivtrafiken samkörs inte / samkörs med ditt passerkort på jobbet Mobiltelefoner för att spåra dina barn / ger polisen tillgång till övervakning Retina scan för incheckning på flyget säkerhet / effektivitet Kameraövervakning offentlig plats med maskeringsteknik / utan maskeringsteknik E-postfilter på jobbet för att skydda företaget / för att skydda Sverige
Till exempel: 5-1 Du har ett flertal olika kort som använder sig av RFID teknologi. Bland annat ett passerkort till din arbetsplats, ett periodkort för resor med lokaltrafik och en transponder i din bil för att kunna betala vägavgifter. Den information som finns på dessa kort kan kopplas till dig och dina vanor. Du använder dig dagligen av ditt periodkort för resor med din lokaltrafik. Detta kort håller du upp mot en speciell läsare där det läses av. Information om dina resor sparas i tre månader och kommer att användas av din lokaltrafikleverantör för att förbättra deras service och utbud, till exempel i form av tätare avgångar eller nya stationer. 5-2 Det finns ett flertal olika användningsområden för RFID teknologi. Bland annat för passerkort vid arbetsplatser, periodkort för resor med lokaltrafik och som märkning av varor både för transport och i affärer. Dessa RFID kort kan placeras inuti klädesplagg vilket gör att information om dina kläder kan registrerad av speciella läsare. Detta innebär att när du går in i en affär, kan en expedit se var, när och till vilket pris du köpt de kläder du har på dig. Baserat på denna information kan butiken ge dig skräddarsydda erbjudanden.
Till dessa ställer vi följdfrågor: Acceptans Efterfrågan Frivillighet Fördelar/nackdelar Tillit/Missbruk
Utvalda frågor Efterfrågan: Jag kommer efterfråga tillämpning av tekniken Sårbarhet: Anser du att denna tillämpning av tekniken bidrar till att samhället blir mer sårbart? Effektivitet: Anser du att denna tillämpning av tekniken är effektiv för att uppnå det mål som är uppsatt? Samhällsnytta: Anser du att denna tillämpning av tekniken bidrar till att samhället blir säkrare eller mer effektivt? Risk: Hur stor risk tror du att det är för att denna information kan missbrukas? Tillit: I vilken utsträckning litar du på de aktörer som samlar i denna information?
Scan av retina på flygplats
Mobiltelefonpositionering
Elektronisk övervakning - epost
Kameraövervakning
RFID
DNA
Slutsatser Scenarion Svaga manipulationer kommersiell aktör sämst Ingen rungande efterfrågan Inte stora hot mot integriteten men vissa tekniker ses som större Olika former av elektronisk övervakning integritetskränkande kan vara kopplat till nytta och effektivitet att nå uppsatta mål
Slutsatser Myndigheter (Ägare av system) - Bristfällig reglering - Bristfällig säkerhet - Användare har små chanser att påverka - Need-to-know eller nice-to-know Användare utnyttjar tjänster men efterfrågan är låg Låg tillit stora risker autonomi? Uppgivenhet i kombination med små chanser att påverka vad innebär det för samhällets utveckling?
Tack för uppmärksamheten! Slutrapport finns på MSBs hemsida!