一、引言

有一半的美国人认为他们的个人信息现在不如五年前那么安全了。皮尤研究中心的一项启发性的研究表明,公众有充分的理由认为政府或私营部门组织无法保护他们的数据安全。近年来,Equifax发生了灾难性的违规行为,Yahoo承认其数十亿电子邮件账户遭到入侵,Deep Root Analytics公司意外泄露了近两亿美国选民的个人信息,以及Uber试图隐瞒影响五千七百万账户的违规行为。个人用户对于如何保护他们的数字资产和身份感到无从下手。

然而,破纪录的数据泄露和不充分的数据保护手段只能在联邦政府层面产生零碎的立法回应,并衍生出各竞争州各自的法律以及无数的执法制度。大多数西方国家已经对个人数据采取了全面的法律保护措施,但美国,这个世界上一些最先进,规模最大的技术和数据公司的所在地,却由缺乏足够保护数据的特定行业法律和拼凑的法规继续向前推进。美国公民和公司遭受这种不平衡的做法,公民因为他们的数据没有得到充分保护而公司因为他们背负着相互矛盾且有时相互竞争的要求而受到损害。现在是时候由国会来制定单一立法数据保护法案以保护个人隐私并协调州和联邦要求之间差异了。

二、现有的保护手段核心

美国缺乏统一,全面的联邦法律来规范个人信息的收集和使用。相反,政府通过仅规范某些部门和类型的敏感信息(例如,健康和财务)来处理隐私和安全问题,从而产生了重叠和相互矛盾的保护。

管理健康信息的规则说明了这个问题。在健康保险流通与责任法案(HIPAA),美国的初级卫生隐私和安全法中,只适用于‘涵盖的实体’持有‘受保护的健康信息’。联邦监管机构承认大多数美国人都不知道他们的健康信息何时受到法律保护,何时不符合,或者在任何一种情况下适用哪种安全标准。单独的隐私法管辖美国医疗保健系统的特定领域:学生免疫接种和其他学校健康记录通常由家庭教育权利和隐私法案(FERPA)涵盖,该法案于1974年颁布,当时学生记录存在于物理文件柜而非数字云中。反过来,FERPA 与儿童在线隐私保护法案(COPPA)相交并且有时会发生冲突,该法案确实能保护数据,但仅限于13岁以下的儿童。

州法律在数据泄露方面增加了这种拼凑。许多州认识到,广泛收集的个人信息使其居民的隐私和安全受到了威胁。从2003年颁布第一个数据泄露通知法的加利福尼亚州开始,48个州先后通过了要求个人在信息受到损害时需要被告知的法案。这些法律对于哪些类别和类型的个人信息需要保护,涉及哪些实体,甚至是什么情形构成违约,都有不同且有时不相容的规定。通知要求也各不相同:比如新泽西州要求通知州警察网络犯罪部门,而马里兰州要求在通知任何受影响的个人之前先通知州检察长。

执行这些法律也很复杂。虽然州检察长可以发挥重要作用,但联邦贸易委员会(FTC)认为自己是“隐私权最高警察”。美国联邦贸易委员会拥有根据“联邦贸易委员会法案”第5条禁止“不公平和欺骗性贸易行为”的一般权力,并试图通过60多种不同的执法行动建立数据安全基准。然而,各个公司已经开始积极地反抗联邦贸易委员会的监管数据安全法律权威,而联邦贸易委员会对银行,保险公司,非营利组织甚至一些互联网服务提供商的管辖权十分有限。

三、预防和应对数据泄露带来的挑战

经验丰富的安全专业人员甚至会向最复杂的组织提供建议,告知他们最终会遇到违规行为。即使是具有多层数字和物理安全性的组织也容易受到商业和政府入侵的持续威胁,以及无意或恶意的内部人员的攻击。完美的安全性是不可能的,收集和(错误)使用数据可能导致的信息伤害也在不断变化。

因此,许多立法者试图通过重新评估数据泄露通知规则来回应Equifax违规和类似的违规行为。国会议员正在重新提出数据泄露保护提案,业界的声音表明,美国最终可能达到“转折点”,从而制定单一的国家数据泄露通知标准。

这是每次发生违规事件后的一个常见动作,制定数据泄露立法虽然善意,但可能会导致数据安全实践方面没有多大意义上的改进。虽然违规通知法使那些不披露违规行为的公司感到羞耻,但他们最终将风险转移到信息遭到入侵的个人身上:他们需要对身份盗窃和其他欺诈行为持续保持警惕,其中一些情形可能在最初事件发生的数年后发生。消除联邦一级相互冲突的州通知规定,同时精简消费者和机构的经验,无助于解决这一问题。

公司需要更清晰的规则,个人需要能够激励公司保护数据。大多数数据泄露,即使披露和响应的成本以及随之而来的声誉损害,也不会对公司造成重大的财务损失。即使FTC等监管机构参与其中,产生罚款的可能性也很小。需要一个更全面的法律框架:为更好的安全实践,披露和个人保护提供各种激励措施。

四、朝向基准隐私和安全提案

二十一世纪的经济将受到个人数据的推动。但目前尚不清楚哪些规则将管理这些信息,与谁共享信息,以及将采取哪些保护措施。基准数据保护法将为回答这些问题提供法律框架。

这样的提议并不新鲜。美国联邦贸易委员会一直呼吁国会制定灵活的,技术上中立的隐私和安全法律,巴拉克奥巴马政府根据公平信息实践原则(FIPPs)提出了其消费者隐私权利法案的蓝图。FIPP通常被认为是组织应该实施的过程和程序;隐私权利法案承认,美国个人对如何收集,使用和共享公司和政府实体的信息持续感兴趣。

奥巴马政府提出的权利得到了倡导社区和民间社会的广泛接受。然而,奥巴马政府的提议是时机不佳和失去动力的受害者。对硅谷的迷恋,使得政府在很大程度上让这个行业制定了自己的规则,并且在最初的提案之后仅仅三年就悄悄地提出了立法法案草案。从那时起,所有行业领域的数据实践仍未达到个人隐私和安全预期。

特朗普政府似乎对技术政策或法律监管一般没有兴趣,立法者继续未能为用户提供一套隐私法案,这也使美国成为全球性的异常。虽然美国个人数据法律框架在几十年内没有有意义的改变,但欧盟已制定了多项数据保护指令。通过修订的通用数据保护条例(GDPR),欧盟已成为全球个人数据隐私对话的焦点。与美国法律相反,欧盟法律保护所有个人数据,无论是谁收集或如何处理。其他发达经济体,如加拿大,以色列和日本,已经转向创建与欧盟GDPR兼容的隐私制度,而不是美国的拼凑方法。这使得美国公司在全球处于不利地位,因为新兴经济体采用更简单,通常更为欧盟风格的综合方法。

五、建议

美国国会应通过建立单一的综合数据保护框架,加入其他发达经济体的数据保护方法。有意义的联邦法律和法规应力求解决现有联邦和州法律权利和责任之间的差异。这不仅可以简化美国公司的合规性,还可以加强并使美国符合新兴的数据保护规范。国会可以实施有效的基准隐私制度,至少应该具备以下四个要求。

首先,法律应涵盖所有机构,不仅包括科技公司,信用评级机构和其他狭隘的经济部门。数据保护不仅是数字时代企业社会责任的一部分,对于收集,使用或共享个人信息或其他潜在敏感消费者数据的任何组织而言,它既是机构风险,也是必要的合规功能。

第二,法律应协调不一致性并填补现有部门方法所造成的空白。无论是否输入消费者应用程序,由可穿戴设备生成或传送给医疗专业人员的健康信息都是敏感的。例如,基准隐私法可以消除HIPAA,FERPA和COPPA之间和之外存在的健康信息的不一致同意要求,访问权限和安全保护。

第三,对公司保护数据的激励措施应该倾向于预防,而不是自我鞭挞的披露。事实之后的披露只会有助于在最近的违规行为之后出现的法律和合规行业。在披露违规行为时,如果不是数百万人,可能也已经使数十万甚至数百万人受到了侵害。公司应为用户数据提供易于使用的个人访问,更正和删除机制,并记录风险评估和其他合规性要求,这些都可以留下日志记录。当这些机制受到法律力量的支持时,公司会注意到他们需要优先考虑数据安全性,这反过来又会使隐私和安全专业人员以及消费者权益倡导者更有能力推动更好的行业实践。如果美国对欧盟的GDPR中的违规行为采取了重大罚款,那么公司的做法可能会被重塑,不仅是主要的技术公司,还有中小型企业和非营利组织。

第四,美国的法律框架应该承认并提供机制来解决侵犯隐私所造成的危害。立法者和法院承认违规行为的危害,但应扩大“隐私损害”的定义。身份盗窃就是这样一种伤害,但受影响的个人所遭受的不便以及他们对自己的“数字自我”缺乏控制的感受也是如此。法律应承认个人的个人生活中的点滴和字节暴露造成的这些不那么可量化的危害:随着时间的推移,这些危害的深度被探测和解决,个人应被赋予私人行动权,来让公司承担责任。 监管机构应该有能力惩罚那些蔑视其责任的实体,使其成为负责任的个人信息管理员。耶鲁大学法学院信息社会项目主任杰克巴尔金建议将公司视为“信息受托人”,并提出一项大交易,这将延长个人信息的关注责任,以换取法律确定性和工业安全港。

有必要采用更简单、更全面的方法来实现个人数字尊严,特别是在过去一年中出现越来越多的违规行为和数字管理失败案例之后。基准隐私框架可以确保所有公司成为负责任和道德的数据管理者,使美国符合全球标准,并更好地保护美国公民的数据。

本文摘自《数字和网络空间政策计划》

作者:纳拉·奥康纳 对外关系委员会

中国信息通信研究院安全所 孟成瑞翻译

声明:本文来自互联网新技术新业务安全评估中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。