Kann die Regierung den Datenschutz im Internet regulieren?

Die Schlagzeilen werden so häufig, dass wir sie fast ausblenden: schwere Kreditkartenverstöße bei Target und Neiman Marcus; ein großer Sicherheitsfehler das Herzstück der Betriebssysteme von Apple; Die "Herzblut„Bug im Herzen von OpenSSL … immer so weiter.“ Diese Woche scheint es die Kunsthandwerkskette Michaels zu sein für bis zu drei Millionen Kredit- und Debitkarten übernommen über zwei achtmonatige Zeiträume. (Nicht, dass wir urteilen.) Und vergessen wir nicht die anhaltenden Snowden-Enthüllungen.

Bist du taub? Oder möchten Sie, dass die Regierung „etwas unternimmt“, um Ihre Daten zu schützen?

Das Gericht der öffentlichen Meinung

Datenschutzprobleme und Sicherheitsverstöße erschüttern das Vertrauen mancher Menschen. A aktuelle Umfrage Das Marktforschungsunternehmen GfK hat herausgefunden, dass jeder dritte Verbraucher dies angibt direkt waren im letzten Jahr vom Missbrauch personenbezogener Daten betroffen: 60 Prozent gaben an, dass ihre Besorgnis über den Datenschutz im letzten Jahr zugenommen habe. (Fast neun von zehn geben mittlerweile an, dass sie sich zumindest „ein wenig“ Sorgen um die Sicherheit ihrer persönlichen Daten machen.) Darüber hinaus gibt mehr als die Hälfte der Befragten an, dass dies die US-Regierung sei tut nicht genug, um ihre Daten zu schützen, und fast 80 Prozent waren der Meinung, dass es strenge Vorschriften geben sollte, die regeln, wie Datenbroker und andere personenbezogene Daten weiterverwenden können Information.

Ebenso a letztes Jahr durchgeführte Umfrage Laut dem Pew Internet & American Life Project gaben 66 Prozent der Erwachsenen an, dass die aktuellen Datenschutzgesetze „nicht gut genug“ seien Schutz der Privatsphäre von Internetnutzern – und interessanterweise war die Sorge bei allen von den Befragten gemeldeten politischen Themen einheitlich Zugehörigkeiten. Es spielte keine Rolle, ob die Leute Liberale oder Tea-Party-Anhänger waren: Die meisten machten sich Sorgen um ihre Online-Privatsphäre. Im Januar, a separate Pew-Umfrage fanden heraus, dass bei 18 Prozent der Befragten wichtige persönliche Daten gestohlen wurden (z. B. eine Kreditkarte oder soziale Daten). Sicherheitsnummer), während 21 Prozent – ​​also jeder Fünfte – ein E-Mail- oder Social-Networking-Konto hatten gehackt.

Es sollte ein Gesetz geben!

Leute, die nach Vorschriften darüber schreien, wie Unternehmen mit unseren Daten umgehen und Datenschutzverletzungen bewältigen, werden erleichtert sein, das zu erfahren Sind Gesetze. Es ist nur so, dass sie es hauptsächlich sind Zustand Gesetze. Derzeit haben 47 der 50 Bundesstaaten unterschiedliche Formen von Gesetzen zum Schutz der Privatsphäre verabschiedet, wobei Kentucky erst diese Woche nachgezogen hat und New Mexico voraussichtlich als nächstes folgen wird.

Die Anforderungen der einzelnen Bundesstaaten sind sehr unterschiedlich und beziehen sich meist auf die Bedingungen, unter denen Bewohner darüber informiert werden müssen, dass ihre personenbezogenen Daten kompromittiert wurden (oder werden könnten). In einem Staat könnte ein einzelner Verbraucher sofort informiert werden, wenn seine oder ihre persönlichen Daten preisgegeben würden, in einem anderen Staat müssen Unternehmen dies jedoch möglicherweise nicht tun Informieren Sie niemanden, es sei denn, es ist bekannt, dass eine bestimmte Anzahl von Verbrauchern betroffen ist, oder wenn eine Risikoanalyse ergibt, dass ein Verstoß wahrscheinlich zu tatsächlichen Verstößen geführt hat Schaden. In einigen Bundesstaaten müssen Unternehmen die Verbraucher direkt kontaktieren; In anderen Fällen können sie einfach einen Hinweis in einer dunklen Ecke ihrer Website veröffentlichen.

Es ist nicht so, dass die Bundesregierung völlig aus dem Bilde ist. Abschnitt Fünf Das Gesetz der Federal Trade Commission verbietet „unfaire oder irreführende Praktiken“, die nach Ansicht der FTC auf laxe Datensicherheitsverfahren anwendbar sind. Tatsächlich lautete die Behauptung der FTC letzte Woche bestätigt in einem Fall gegen Wyndham Hotels, das Kreditkarteninformationen als Klartext speicherte, es versäumte, Standardpasswörter zu ändern … und mehrmals von russischen Hackern zur Reinigung gebracht wurde. Allerdings kann die FTC keine Strafen für Verstöße verhängen; Bestenfalls kann es Unternehmen zu Vergleichsvereinbarungen zwingen, in denen sie ihre Praktiken ändern, Schadensersatz zahlen und versprechen, ein paar Jahre lang nett zu bleiben.

Was wäre, wenn sich die Regierung stärker engagieren würde?

Vorschläge für nationale Datenschutzvorschriften gibt es schon seit Jahren – bislang jedoch nicht hat im Kongress viel Anklang gefunden, und es gibt wenig Einigkeit über Standards, Schwellenwerte usw Anforderungen. Sollte der Verdacht einer Datenschutzverletzung ausreichen, um eine Meldung auszulösen, oder muss ein tatsächlicher Schaden eingetreten sein? Ein Vorschlag der Obama-Regierung aus dem Jahr 2011 hätte beispielsweise verlangt, dass jedes Unternehmen Informationen über mehr als 10.000 hat Menschen dürfen Verstöße, von denen mehr als 5.000 Menschen betroffen sind, offenlegen, jedoch nur gegenüber Kreditauskunfteien und der Bundesregierung, nicht gegenüber tatsächlichen Verbraucher.

„Die größte Sorge ist, dass es tatsächlich einen Bundesgesetzentwurf geben könnte schwächer als viele staatliche Gesetze“, sagte Justin Brookman, Direktor für Verbraucherschutz bei der Zentrum für Demokratie und Technologie. „Einer der Hauptpunkte der Benachrichtigung über Datenschutzverletzungen besteht nicht unbedingt darin, alle darüber zu informieren, sondern darin, den Unternehmen Haftungskosten aufzuerlegen, wenn sie in diese schrecklichen Situationen geraten. Auf diese Weise besteht ein starker Anreiz, keine Verstöße zu begehen. Wenn ein Bundesgesetz diese Kosten vorsieht weniger, Das ist kein tolles Ergebnis.“

Zu den Hintergründen erklärten Führungskräfte von zwei landesweiten Einzelhändlern, dass amerikanische Unternehmen ein landesweites Gesetz gegen Datenschutzverletzungen unterstützen könnten – auch wenn es mit Haftung verbunden sei. Man verglich die unterschiedlichen Datenschutzgesetze der Bundesstaaten mit der Umsatzsteuersituation in den Vereinigten Staaten, wo Sätze, Berichterstattung und Erhebung je nach Bundesstaat, Landkreis und Kommunalgesetzen stark variieren. Ein einheitlicher Datenschutzstandard wäre für Unternehmen leichter zu verwalten und – nach Ansicht dieser Führungskraft – zu übertreffen.

Die andere Führungskraft hatte jedoch Bedenken hinsichtlich der Berichtspflichten. Wenn Unternehmen zur Meldung verpflichtet wären jeden Bei einer möglichen Datenschutzverletzung für eine beliebige Anzahl von Kunden, unabhängig davon, ob ein Schaden entstanden sei, könnten sie zu den Unternehmen werden, die den Wolf heulten, sagte er. Verbraucher erhalten möglicherweise so viele Warnungen, dass sie diese einfach ausblenden – was ebenfalls kein gutes Ergebnis wäre.

Du meinst, wir würden nur Bescheide bekommen?

Die bisher beschriebenen Ansätze konzentrieren sich darauf, Personen zu informieren, deren Informationen kompromittiert wurden nach ein Verstoß. Der bessere Ansatz besteht sicherlich darin, Datenschutzverletzungen von vornherein zu verhindern. Und was ist mit Datenbrokern, die Informationen über uns sammeln und an jeden verkaufen, der zwei Cent unter sich hat?

Erwarten Sie nicht, dass die Bundesregierung – oder auch die Bundesstaaten – versuchen, Datenschutzpraktiken gesetzlich zu erlassen. Das Fazit ist, dass sich Gesetze und Vorschriften viel langsamer entwickeln als Technologie und Geschäftspraktiken, und dass Regierungen möglicherweise Anforderungen dafür haben Angesichts bestimmter Verträge oder Dienstleistungen, die mit dem privaten Sektor erbracht werden, geht niemand davon aus, dass die Regierung versuchen wird, allgemein vorzuschreiben, wie Unternehmen Verbraucher schützen Daten.

Was ist mit Datenbrokern? Verbraucher haben Bedenken, wenn über sie Informationen ausgetauscht werden. Die oben erwähnte GfK-Umfrage ergab, dass die Mehrheit der Menschen in jeder gemessenen Altersgruppe den Vermarktern misstraut Ihre persönlichen Daten, und die letztjährige Pew-Studie ergab, dass 86 Prozent der Verbraucher einige Schritte unternommen haben, um den Online-Einsatz zu minimieren Verfolgung.

Einige dem Kongress vorgelegte Gesetzesentwürfe zur Datensicherheit enthielten möglicherweise Bestimmungen, die sich auf Datenbroker beziehen Sie sind verpflichtet, den Verbrauchern die Einsicht, Berichtigung oder sogar Löschung der über sie gesammelten Informationen zu ermöglichen. Ein Großteil der Online-Wirtschaft basiert jedoch auf der Verfolgung, Analyse und dem Weiterverkauf von Informationen über Verbraucher – denken Sie an all die gezielte Werbung und personalisierte Dienste, die wir jeden Tag sehen. Unternehmen wie Google, Facebook und Amazon stehen der Forderung, Verbrauchern die Kontrolle darüber zu geben, wie Daten über sie erfasst und generiert werden, wahrscheinlich misstrauisch gegenüber.

Wie hoch sind die Chancen bundesstaatlicher Vorschriften zu Datenbrokern?

„Der Kongress ist so erstarrt, es gibt so wenig Zeit, Gesetzesentwürfe zu verabschieden, es ist schwer zu sehen, dass etwas, das nicht völlig unumstritten ist, Anklang findet“, sagte Brookman. „Es ist möglich, dass sich etwas bewegt, aber ich denke, Republikaner, Demokraten, Verbraucherschützer und die Wirtschaft wollen wahrscheinlich etwas unterschiedliche Dinge.“

Halten Sie also nicht den Atem an.

[Endgültiges Bild mit freundlicher Genehmigung von Sense5/Shutterstock]

Empfehlungen der Redaktion

• Kaspersky VPN sollte Ihre erste Wahl sein, wenn es um sichere Verbindungen und Privatsphäre geht
• So habe ich die Leute aufgespürt, die meine Daten verkauften, und sie dann gestoppt
• So erhöhen Sie Ihre Privatsphäre und Sicherheit in Zoom
• Tastaturkrieger: Wie das Internet eine Lebensader für Behindertenaktivisten sein kann
• Privatsphäre ist tot, aber sie ist möglicherweise nicht so wichtig, wie wir denken