Overskriftene begynner å bli så vanlige at vi nesten tuner dem ut: store kredittkortbrudd kl Target og Neiman Marcus; en stor sikkerhetsfeil i hjertet av Apples operativsystemer; den "hjerteblødning” bug i hjertet av OpenSSL … videre og videre. Denne uken er det kunst- og håndverkskjeden Michaels, som ser ut til å ha vært det tatt for opptil tre millioner kreditt- og debetkort over to åtte måneders perioder. (Ikke at vi dømmer.) Og la oss ikke glemme de pågående Snowden-avsløringene.
Er du nummen? Eller vil du at regjeringen skal "gjøre noe" for å beskytte dataene dine?
Anbefalte videoer
Den offentlige meningsdomstolen
Personvernproblemer og sikkerhetsbrudd ødelegger noens tillit. EN nylig meningsmåling av markedsundersøkelsesfirmaet GfK fant at én av tre forbrukere hevdet å ha vært det direkte påvirket av misbruk av personopplysninger det siste året, og 60 prosent sa at deres bekymring for personvern har økt det siste året. (Nesten ni av ti sier nå at de i det minste er "litt" bekymret for sikkerheten til deres personlige informasjon.) Videre sier over halvparten av respondentene at den amerikanske regjeringen gjør ikke nok for å beskytte dataene sine, og nesten 80 prosent sa at det burde være sterke regler for hvordan datameglere og andre kan gjenbruke personlig informasjon.
På samme måte, a undersøkelse utført i fjor av Pew Internet & American Life Project fant at 66 prosent av voksne sa at gjeldende personvernlovgivning ikke er god nok til å beskytte Internett-brukeres personvern – og interessant nok var bekymringen ensartet på tvers av respondentenes rapporterte politiske tilknytninger. Det spilte ingen rolle om folk var liberale eller Tea Party-tilhengere: de fleste var bekymret for personvernet deres på nettet. I januar, a egen Pew-undersøkelse fant at 18 prosent av respondentene hadde fått viktig personlig informasjon stjålet (som et kredittkort eller Social Sikkerhetsnummer), mens 21 prosent – det er én av fem – hadde hatt en e-postkonto eller en sosial nettverkskonto hacket.
Det burde være en lov!
Folk som gråter etter regler for hvordan selskaper håndterer dataene våre og håndterer personvernbrudd, vil bli lettet over å vite det er lover. Det er bare det at de hovedsakelig er det stat lover. Foreløpig har 47 av de femti statene vedtatt ulike former for personvernlovgivning, med Kentucky i kø denne uken og New Mexico ser ut til å bli neste.
"Den største bekymringen er at en føderal lov kan faktisk være svakere enn mange av statens lover."
Det er ikke som om den føderale regjeringen er helt ute av bildet. Seksjon fem i Federal Trade Commission Act forbyr "urettferdig eller villedende praksis", som FTC har fastslått kan gjelde for slappe datasikkerhetsprosedyrer. Faktisk var FTCs påstand opprettholdt forrige uke i en sak mot Wyndham Hotels, som lagret kredittkortinformasjon som ren tekst, mislyktes i å endre standardpassord... og ble tatt til rengjøringspersonell av russiske hackere ved flere anledninger. FTC kan imidlertid ikke vurdere straffer for brudd; i beste fall kan det tvinge selskaper inn i forliksavtaler der de endrer praksis, betaler erstatning og lover å spille hyggelig i noen år.
Hva om FB ble mer involvert?
Forslag til nasjonale databeskyttelsesforskrifter har eksistert i årevis – men har ikke gjort det så langt fått mye gjennomslag i kongressen, og det er liten enighet om standarder, terskler eller krav. Bør mistanke om datainnbrudd være nok til å utløse varsler, eller må faktisk skade ha skjedd? For eksempel ville et forslag fra 2011 fra Obama-administrasjonen ha krevd enhver virksomhet med informasjon om mer enn 10 000 folk å avsløre brudd som berører mer enn 5000 mennesker, men bare til kredittbyråer og den føderale regjeringen, ikke til faktiske forbrukere.
"Den største bekymringen er at et føderalt lovforslag faktisk kan være det svakere enn mange av statens lover," sa Justin Brookman, direktør for forbrukervern ved Senter for demokrati og teknologi. "Et av hovedpunktene med varsling om databrudd er ikke nødvendigvis å la alle få vite det, det er å pålegge selskaper en ansvarskostnad når de har disse forferdelige situasjonene. På den måten er det et sterkt insentiv til ikke å ha brudd. Hvis en føderal lov koster det mindre, det er ikke et flott resultat."
Når vi snakker om bakgrunnen, indikerte ledere hos to landsomfattende forhandlere at amerikanske virksomheter kan støtte en landsomfattende lov om databrudd – selv om den kom med ansvar. Man sammenlignet de forskjellige statlige personvernlovene med omsetningsavgiftssituasjonen i USA, der priser, rapportering og innkreving varierer mye fra stat, fylke og kommunal lov. En enkelt personvern- og databeskyttelsesstandard ville være lettere for bedrifter å administrere og – etter denne lederens syn – overgå.
Den andre lederen var imidlertid på vakt mot rapporteringskrav. Hvis virksomheter ble pålagt å rapportere hver mulig datainnbrudd for et hvilket som helst antall kunder, uansett om det har skjedd noen skade, kan de bli selskapene som ropte ulv, sa han. Forbrukere kan motta så mange advarsler at de rett og slett fjerner dem – noe som heller ikke ville være et godt resultat.
Du mener at vi bare får beskjeder?
Tilnærmingene som er beskrevet så langt fokuserer på å informere personer hvis informasjon er blitt kompromittert etter et brudd. Sikkert, den bedre tilnærmingen er å forhindre datainnbrudd i utgangspunktet. Og hva med datameglere, som samler inn og selger informasjon om oss til alle som har to nikkel å gni sammen?
Ikke forvent at den føderale regjeringen – eller statene, for den saks skyld – forsøker å lovfeste datasikkerhetspraksis. Konklusjonen er at lover og forskrifter beveger seg mye langsommere enn teknologi og forretningspraksis, og mens myndigheter kan ha krav til spesielle kontrakter eller tjenester utført med privat sektor, ingen forventer at regjeringen vil prøve å diktere bredt hvordan selskaper beskytter forbrukerne data.
Mye av nettøkonomien er drevet av sporing, analyse og videresalg av informasjon om forbrukere.
Noen datasikkerhetslover introdusert før kongressen har potensielt hatt bestemmelser som adresserer datameglere forplikter dem til å la forbrukere se, korrigere eller til og med slette informasjon som er samlet inn om dem. Imidlertid er mye av nettøkonomien drevet av sporing, analyse og videresalg av informasjon om forbrukere – tenk på all målrettet annonsering og personlig tilpassede tjenester vi ser hver dag. Selskaper som Google, Facebook og Amazon vil sannsynligvis være på vakt mot ethvert krav om å la forbrukere kontrollere hvordan data samles inn og genereres om dem.
Hva er sjansene for føderale forskrifter angående datameglere?
"Kongressen er så forbenet, det er så lite gulvtid til å flytte regninger, det er vanskelig å se at noe som ikke er helt ukontroversielt får trekkraft," sa Brookman. "Det er mulig at noe kan bevege seg, men jeg tror republikanere, demokrater, forbrukeradvokater og næringslivet sannsynligvis vil ha noe forskjellige ting."
Så ikke hold pusten.
[Endelig bilde med tillatelse av ljå5/Shutterstock]
Redaktørenes anbefalinger
- Kaspersky VPN bør være din favoritt for sikre tilkoblinger og personvern
- Her er hvordan jeg sporet opp folkene som solgte dataene mine, og deretter stoppet dem
- Hvordan øke personvernet og sikkerheten i Zoom
- Tastaturkrigere: Hvordan internett kan være en livline for funksjonshemmede aktivister
- Personvernet er dødt, men det betyr kanskje ikke så mye som vi tror
