Il governo può regolamentare la privacy su Internet?

I titoli stanno diventando così comuni che quasi li escludiamo: gravi violazioni delle carte di credito a Obiettivo e Neiman Marcus; un grave bug di sicurezza al centro dei sistemi operativi Apple; IL "sanguinamento"bug nel cuore di OpenSSL... e così via. Questa settimana tocca alla catena di arti e mestieri Michaels, che sembra esserci stata accettati per un massimo di tre milioni di carte di credito e debito Sopra due periodi di otto mesi. (Non che stiamo giudicando.) E non dimentichiamo le rivelazioni di Snowden in corso.

Sei insensibile? Oppure vuoi che il governo “faccia qualcosa” per proteggere i tuoi dati?

Il tribunale dell'opinione pubblica

Problemi di privacy e violazioni della sicurezza stanno minando la fiducia di alcune persone. UN sondaggio recente dalla società di ricerche di mercato GfK ha scoperto che un consumatore su tre affermava di esserlo direttamente colpiti dall’uso improprio dei dati personali nell’ultimo anno, con il 60% che afferma che la loro preoccupazione per la privacy dei dati è aumentata nell’ultimo anno. (Quasi nove su dieci ora affermano di essere almeno “un po’” preoccupati per la sicurezza delle proprie informazioni personali.) Inoltre, oltre la metà degli intervistati afferma che il governo degli Stati Uniti non sta facendo abbastanza per proteggere i propri dati e quasi l’80% ha affermato che dovrebbero esserci norme severe che disciplinino il modo in cui i data broker e altri possono riutilizzare i dati personali informazione.

Allo stesso modo, a sondaggio condotto lo scorso anno dal Pew Internet & American Life Project ha rilevato che il 66% degli adulti ritiene che le attuali leggi sulla privacy “non siano abbastanza buone”. proteggere la privacy degli utenti di Internet e, cosa interessante, la preoccupazione era uniforme tra i politici dichiarati dagli intervistati affiliazioni. Non importava se le persone fossero liberali o sostenitori del Tea Party: la maggior parte era preoccupata per la propria privacy online. Nel mese di gennaio, a sondaggio Pew separato ha scoperto che al 18% degli intervistati sono state rubate informazioni personali importanti (come una carta di credito o un social numero di sicurezza), mentre il 21% – ovvero uno su cinque – aveva un account di posta elettronica o di social network violato.

Dovrebbe esserci una legge!

Le persone che chiedono regolamenti su come le aziende gestiscono i nostri dati e gestiscono le violazioni della privacy saranno sollevate di saperlo Sono legislazione. È solo che lo sono principalmente stato legislazione. Attualmente, quarantasette stati su cinquanta hanno approvato diverse forme di legislazione sulla protezione della privacy, con il Kentucky che si è allineato proprio questa settimana e il New Mexico che sembra sarà il prossimo.

I requisiti statali variano ampiamente e riguardano principalmente le condizioni alle quali i residenti devono essere informati che i loro dati personali sono stati (o avrebbero potuto essere) compromessi. In uno Stato, un singolo consumatore potrebbe essere informato immediatamente nel caso in cui i suoi dati personali venissero divulgati, ma in un altro Stato le imprese potrebbero non essere obbligate a farlo. informare nessuno, a meno che non sia noto che un certo numero di consumatori sia stato colpito o qualora l'analisi del rischio rilevi che una violazione potrebbe aver causato effettivi danno. In alcuni stati le aziende devono contattare direttamente i consumatori; in altri, possono semplicemente pubblicare un avviso in qualche angolo buio del loro sito Web.

Non è che il governo federale sia del tutto fuori dai giochi. Sezione quinta del Federal Trade Commission Act vieta le “pratiche sleali o ingannevoli”, che la FTC ha stabilito possano applicarsi a procedure di sicurezza dei dati permissive. In effetti, l’affermazione della FTC era confermato la settimana scorsa in una causa contro Wyndham Hotels, che memorizzava i dati della carta di credito come testo normale, non riusciva a modificare le password predefinite... ed è stata portata alle pulizie da hacker russi in diverse occasioni. Tuttavia, la FTC non può valutare sanzioni per le violazioni; nella migliore delle ipotesi, può costringere le aziende ad accettare accordi transattivi in ​​cui modificano le loro pratiche, pagano i danni e promettono di comportarsi bene per alcuni anni.

E se i federali fossero maggiormente coinvolti?

Proposte per normative nazionali sulla protezione dei dati esistono da anni, ma finora no ha ottenuto molta presa al Congresso e c’è poco accordo su standard, soglie o requisiti. Il sospetto di una violazione dei dati dovrebbe essere sufficiente per attivare le notifiche o è necessario che si sia verificato un danno reale? Ad esempio, una proposta del 2011 dell’amministrazione Obama avrebbe richiesto a qualsiasi azienda con informazioni su più di 10.000 persone a rivelare violazioni che riguardano più di 5.000 persone, ma solo alle agenzie di credito e al governo federale, non a persone reali consumatori.

“La preoccupazione più grande è che un disegno di legge federale possa effettivamente esserlo più debole di molte leggi statali", ha affermato Justin Brookman, direttore della privacy dei consumatori presso il Centro per la democrazia e la tecnologia. “Uno dei punti principali della notifica di violazione dei dati non è necessariamente informare tutti, ma imporre un costo di responsabilità alle aziende quando si trovano in queste terribili situazioni. In questo modo c’è un forte incentivo a non avere violazioni. Se una legge federale prevede tale costo meno, non è un gran risultato”.

Parlando di retroscena, i dirigenti di due rivenditori a livello nazionale hanno indicato che le aziende americane potrebbero sostenere una legge nazionale sulla violazione dei dati, anche se comportasse delle responsabilità. Uno ha paragonato le diverse leggi statali sulla privacy alla situazione delle imposte sulle vendite negli Stati Uniti, dove le aliquote, la rendicontazione e la riscossione variano ampiamente a seconda delle leggi statali, provinciali e municipali. Un unico standard di privacy e protezione dei dati sarebbe più facile da gestire per le aziende e, secondo il dirigente, da superare.

Tuttavia, l’altro dirigente era diffidente nei confronti dei requisiti di rendicontazione. Se le imprese avessero l’obbligo di riferire ogni In caso di possibile violazione dei dati per un numero qualsiasi di clienti, indipendentemente dal fatto che si sia verificato un danno, potrebbero diventare le aziende che gridano al lupo, ha affermato. I consumatori potrebbero ricevere così tanti avvertimenti da escluderli, anche il che non sarebbe un grande risultato.

Vuoi dire che riceveremmo solo avvisi?

Gli approcci descritti finora si concentrano sull’informazione delle persone le cui informazioni sono state compromesse Dopo una falla. Sicuramente l’approccio migliore è prevenire in primo luogo le violazioni dei dati. E che dire dei data broker, che raccolgono e vendono informazioni su di noi a chiunque abbia due centesimi da strofinare?

Non aspettatevi che il governo federale – o gli stati, del resto – tentino di legiferare sulle pratiche di sicurezza dei dati. La conclusione è che leggi e regolamenti si muovono molto più lentamente della tecnologia e delle pratiche commerciali, e anche se i governi potrebbero avere dei requisiti in merito particolari contratti o servizi prestati con il settore privato, nessuno si aspetta che il governo tenti di dettare in generale il modo in cui le aziende proteggono i consumatori dati.

E i broker di dati? I consumatori sono diffidenti nei confronti delle informazioni scambiate su di loro. Il sondaggio GfK menzionato in precedenza ha rilevato che la maggior parte delle persone in ogni fascia di età misurata diffidava dei professionisti del marketing i propri dati personali e lo studio Pew dello scorso anno ha rilevato che l’86% dei consumatori ha adottato alcune misure per ridurre al minimo la presenza online tracciamento.

Alcuni progetti di legge sulla sicurezza dei dati presentati al Congresso contengono disposizioni potenzialmente rivolte ai broker di dati obbligandoli a consentire ai consumatori di vedere, correggere o addirittura eliminare le informazioni che sono state raccolte su di loro. Tuttavia, gran parte dell’economia online è guidata dal monitoraggio, dall’analisi e dalla rivendita delle informazioni sui consumatori: si pensi a tutta la pubblicità mirata e ai servizi personalizzati che vediamo ogni giorno. È probabile che aziende come Google, Facebook e Amazon siano diffidenti nei confronti di qualsiasi esigenza di consentire ai consumatori di controllare il modo in cui i dati vengono raccolti e generati su di loro.

Quali sono le possibilità delle normative federali relative ai data broker?

"Il Congresso è così fossilizzato, c'è così poco tempo per spostare le fatture, è difficile vedere qualcosa che non sia del tutto incontrovertibile ottenere trazione", ha detto Brookman. “È possibile che qualcosa si muova, ma penso che repubblicani, democratici, sostenitori dei consumatori e aziende probabilmente vogliano cose un po’ diverse”.

Quindi non trattenere il respiro.

[Immagine finale per gentile concessione di scyther5/Shutterstock]

Raccomandazioni degli editori

• Kaspersky VPN dovrebbe essere il tuo punto di riferimento per connessioni sicure e privacy
• Ecco come ho rintracciato le persone che vendevano i miei dati e poi le ho fermate
• Come aumentare la tua privacy e sicurezza su Zoom
• Guerrieri della tastiera: come Internet può essere un'ancora di salvezza per gli attivisti disabili
• La privacy è morta, ma potrebbe non essere così importante come pensiamo