兩百多年前，本杰明·富蘭克林說過，除了死亡和稅收之外，沒有什么是確定的。如果富蘭克林今天還活著，他會在他的清單上再增加一項確定性：你的數字檔案。

在雇主、私營企業、政府機構和社交媒體網站編制和存儲的數據中，幾乎每個人的個人信息無處不在。

當有人去世時，該數據將成為遺產的責任；但圍繞該信息的隱私權會怎樣呢？當所有者去世時，組織遵守數據隱私法規的責任級別是多少？如果該人是顧客、客戶或員工，這種情況會發生變化嗎？

數據作為財產：誰擁有它？

死后數據保護的第一個障礙是定義所有權。任何將數據存儲在公共云中的組織都必須解決與網絡安全相關的數據所有權問題：保護云中的數據是誰的工作？

“當使用基于云的供應商時，許多企業認為他們在這些第三方服務協議中保留了數據的所有權 - 但事實往往并非如此，”喬恩·羅斯基爾在《福布斯》上寫道。最終用戶許可證通常包含將數據所有權從消費者手中轉移給供應商的措辭。

數據所有權是一個非常滑坡的過程。企業經常被出售，當這種情況發生時，數據就是商業抵押品。數據是否由客戶生成并不重要；它成為新主人的財產。

如果我們不能定義數據所有權，我們也不能允許數據被繼承。卡巴斯基實驗室高級安全研究員 Dan Demeter 和 GReAT 副主任 Marco Preuss 在 RSA Conference 2023 上告訴觀眾，數字繼承的想法仍處于起步階段，但目前還沒有明確的方案。有關如何將您的數字權利傳遞給近親的程序或法律。

也許將數據定義為財產的最大障礙是數據可以位于任何地方并且通常是冗余的。當用戶與供應商共享個人身份信息 (PII) 時，他們永遠無法確定該數據的最終去向或數據的復制頻率。專門識別個人身份的數據集可以存儲在一家公司內部，但會在不同國家的四個異地數據中心進行備份和復制。現在，您不僅要處理供應商的所有權，還要處理每個位置的數據管理法律。

數據永不消亡

默認假設是，當一個人去世時，他們的數字資產會發生什么并不重要。他們不會需要它們。管理他人的數字遺骸是一項艱巨的任務，通常需要死亡證明并證明你們的關系。即便如此，您可能只是了解了實際情況的皮毛。您如何處理恢復的數據？任務如此艱巨，沒有任何有形的東西可以收集或保衛。

你所愛的人將會死去。他們的數字資產將繼續存在。如果無法監控帳戶或將其個人數據置于周圍環境，死者的 PII 就會成為身份竊賊和帳戶劫持者的有吸引力的目標。根據Sift 的研究，總體而言，2022 年因賬戶接管而導致的攻擊增加了 131%。

Sift 的一篇博文指出：“賬戶接管攻擊的性質也使得它們很容易擴展——訪問一組受損的憑據通常會打開通往多個賬戶的大門，為欺詐者提供了多個竊取來源。”

曾經屬于已故某人的數字帳戶變成了真正的幽靈帳戶。它們處于休眠狀態且無人看管。沒有人對不活躍的賬戶保持警惕，威脅行為者也知道這一點。對于持有數據的人來說，這將成為嚴重的網絡風險。單個受感染的帳戶可以提供對公司網絡的長期訪問權限，從而為勒索軟件攻擊或財務盜竊打開了大門。

大多數數據隱私法規也不會提供任何保護。他們為可識別人員提供隱私保護；死者不具備可識別的資格。醫療保健信息是一個例外，因為它通常包括另一個（在世）人的記錄。

保護已故的客戶和員工

你無法保護你不知道的東西。是的，這已經是陳詞濫調了，但也很容易被忘記。因此，在公司每個人都還健在的情況下，是時候開始全面盤點資產了。

德米特和普魯斯說，這必須是一個終生的過程，因為構建一個人的數字資產是一個終生的過程。

用戶需要制定繼承計劃。也許沒有人會實際繼承您的數字資產，但很可能有人需要訪問帳戶。在工作環境中，對于業務連續性尤其如此。密碼、用戶名和 MFA 密鑰必須可用。

隱私游戲規則改變者：人工智能

人工智能將迫使立法者和組織重新考慮有關死者數據隱私的規則。任何類型的數字資產都可以變成虛假信息或重新生成，以數字方式使某人起死回生。生成式人工智能已經被用來構建死者的化身，稱為幽靈機器人，利用可用的數據來重建他們的聲音和個性，讓他們看起來像是還活著。但是，雖然死人沒有隱私權，但幽靈機器人顯然模糊了數據隱私何時應終止的界限。

目前，幽靈機器人似乎并不構成安全風險；威脅行為者使用人工智能將身份盜竊提升到一個新的水平確實只是時間問題。如果沒有幽靈數據，組織會變得更好，因為幽靈數據可能會讓他們面臨更大的數據泄露風險。但這些數據是被傳遞給近親，還是被刪除了？

每個人都有需要保護的數字遺產。我們只需要找出最好的方法，同時保護死者及其親人的隱私。