Может ли правительство регулировать конфиденциальность в Интернете?

Заголовки становятся настолько распространенными, что мы почти игнорируем их: крупные взломы кредитных карт в Таргет и Нейман Маркус; серьезная ошибка безопасности в основе операционных систем Apple; «кровотечение из сердца» ошибка в основе OpenSSL… и так далее. На этой неделе это сеть магазинов декоративно-прикладного искусства Michaels, которая, похоже, была принимается до трех миллионов кредитных и дебетовых карт над два восьмимесячные периоды. (Не то чтобы мы осуждаем.) И давайте не будем забывать о продолжающихся разоблачениях Сноудена.

Ты онемел? Или вы хотите, чтобы правительство «что-то сделало» для защиты ваших данных?

Суд общественного мнения

Проблемы конфиденциальности и нарушения безопасности подрывают доверие некоторых людей. А недавний опрос исследовательская фирма GfK обнаружила, что каждый третий потребитель утверждает, что был напрямую пострадали от неправомерного использования личных данных в прошлом году, при этом 60 процентов заявили, что их обеспокоенность по поводу конфиденциальности данных возросла за последний год. (Почти девять из десяти сейчас говорят, что они хотя бы «немного» обеспокоены безопасностью своей личной информации.) Кроме того, более половины респондентов говорят, что правительство США не делает достаточно для защиты своих данных, и почти 80 процентов заявили, что должны быть строгие правила, регулирующие то, как брокеры данных и другие лица могут перепрофилировать личные данные. информация.

Аналогично, опрос, проведенный в прошлом году По данным Pew Internet & American Life Project, 66 процентов взрослых заявили, что действующие законы о конфиденциальности «недостаточно хороши», чтобы защитить конфиденциальность пользователей Интернета – и, что интересно, эта обеспокоенность была одинаковой во всех сообщениях респондентов о политических событиях. принадлежности. Не имело значения, были ли люди либералами или сторонниками «Чайной партии»: большинство беспокоилось о своей конфиденциальности в Интернете. В январе отдельный опрос Pew обнаружили, что у 18 процентов респондентов была украдена важная личная информация (например, кредитная карта или данные из социальных сетей). защитный номер), а 21 процент (то есть каждый пятый) имели электронную почту или учетную запись в социальной сети. взломан.

Должен быть закон!

Люди, требующие введения правил относительно того, как корпорации обрабатывают наши данные и предотвращают нарушения конфиденциальности, узнают об этом с облегчением. являются законы. Просто они в основном состояние законы. В настоящее время сорок семь из пятидесяти штатов приняли различные формы законодательства о защите конфиденциальности, причем Кентукки присоединился к ним только на этой неделе, а Нью-Мексико, похоже, будет следующим.

Требования штатов сильно различаются и в основном касаются условий, при которых жители должны быть проинформированы о том, что их личные данные были (или могли быть) скомпрометированы. В одном штате отдельный потребитель может быть немедленно проинформирован, если его или ее личная информация была раскрыта, но в другом штате предприятиям, возможно, не придется этого делать. информировать кого-либо, за исключением случаев, когда известно, что пострадало определенное количество потребителей, или когда анализ рисков показывает, что нарушение могло привести к реальным последствиям. вред. В некоторых штатах предприятиям приходится напрямую связываться с потребителями; в других случаях они могут просто разместить объявление в каком-нибудь темном уголке своего веб-сайта.

Это не значит, что федеральное правительство полностью вышло из поля зрения. Раздел пятый Закона о Федеральной торговой комиссии запрещает «несправедливую или вводящую в заблуждение практику», которая, по мнению Федеральной торговой комиссии, может применяться к нестрогим процедурам защиты данных. На самом деле утверждение Федеральной торговой комиссии было оставлено в силе на прошлой неделе в деле против Wyndham Hotels, которая хранила информацию о кредитных картах в виде обычного текста, не смогла изменить пароли по умолчанию… и несколько раз попадала в чистку российскими хакерами. Однако Федеральная торговая комиссия не может налагать штрафы за нарушения; в лучшем случае это может заставить компании заключить мировые соглашения, в которых они изменят свою практику, возместят ущерб и пообещают вести себя хорошо в течение нескольких лет.

Что, если федералы вмешаются в дело?

Предложения о национальных правилах защиты данных существуют уже много лет, но до сих пор так и не появились. получили большую поддержку в Конгрессе, и существует мало согласия по стандартам, пороговым значениям или требования. Должно ли подозрения в утечке данных быть достаточным, чтобы вызвать уведомления, или должен быть нанесен реальный вред? Например, предложение администрации Обамы от 2011 года требовало, чтобы любой бизнес располагал информацией о более чем 10 000 людям сообщать о нарушениях, затрагивающих более 5000 человек, но только кредитным агентствам и федеральному правительству, а не фактическому потребители.

«Самое большое беспокойство вызывает то, что федеральный законопроект может фактически быть слабее чем многие законы штата», — сказал Джастин Брукман, директор по конфиденциальности потребителей в Центр демократии и технологий. «Одним из основных пунктов уведомления об утечке данных является не обязательно информирование всех, а наложение ответственности на компании, когда у них возникают такие ужасные ситуации. Таким образом, появляется сильный стимул не допускать нарушений. Если федеральный закон предусматривает такую ​​стоимость меньше, это не лучший результат».

Говоря об истории, руководители двух общенациональных ритейлеров отметили, что американские предприятия могут поддержать общенациональный закон о утечке данных, даже если он влечет за собой ответственность. Один из них сравнил различные законы штата о конфиденциальности с ситуацией с налогом с продаж в Соединенных Штатах, где ставки, отчетность и сбор сильно различаются в зависимости от законов штата, округа и муниципалитета. Предприятиям было бы легче управлять единым стандартом конфиденциальности и защиты данных и, по мнению этого руководителя, превосходить его.

Однако другой руководитель с осторожностью относился к требованиям к отчетности. Если бы предприятия были обязаны отчитываться каждый Возможная утечка данных для любого количества клиентов, независимо от того, причинен ли какой-либо вред, они могут стать компаниями, которые закричат ​​«волк», сказал он. Потребители могут получать так много предупреждений, что просто игнорируют их, что также будет не очень хорошим результатом.

Вы имеете в виду, что мы просто будем получать уведомления?

Описанные до сих пор подходы направлены на информирование людей, чья информация была скомпрометирована. после нарушение. Конечно, лучший подход — это в первую очередь предотвратить утечку данных. А как насчет брокеров данных, которые собирают и продают информацию о нас любому, у кого есть два пятака?

Не ожидайте, что федеральное правительство – или штаты, если уж на то пошло – попытается законодательно закрепить методы обеспечения безопасности данных. Суть в том, что эти законы и правила меняются гораздо медленнее, чем технологии и деловая практика, и хотя у правительств могут быть требования к конкретных контрактов или услуг, выполняемых с частным сектором, никто не ожидает, что правительство попытается широко диктовать, как компании защищают потребителей. данные.

А как насчет брокеров данных? Потребители опасаются, что о них торгуют информацией. Упомянутое ранее исследование GfK показало, что большинство людей в каждой возрастной группе не доверяют маркетологам. свои личные данные, а прошлогоднее исследование Pew показало, что 86 процентов потребителей предприняли некоторые шаги, чтобы свести к минимуму количество онлайн-запросов. отслеживание.

Некоторые законопроекты о безопасности данных, представленные Конгрессу, содержат положения, касающиеся брокеров данных, потенциально обязывая их позволять потребителям видеть, исправлять или даже удалять информацию, собранную о них. Однако большая часть онлайн-экономики основана на отслеживании, анализе и перепродаже информации о потребителях – подумайте обо всей таргетированной рекламе и персонализированных услугах, которые мы видим каждый день. Такие компании, как Google, Facebook и Amazon, вероятно, будут с осторожностью относиться к любым требованиям, позволяющим потребителям контролировать сбор и создание данных о них.

Каковы шансы на федеральное регулирование в отношении брокеров данных?

«Конгресс настолько закостенел, у него так мало времени для продвижения законопроектов, что трудно увидеть, что что-то, что не является совершенно бесспорным, получит поддержку», — сказал Брукман. «Возможно, что-то и может измениться, но я думаю, что республиканцы, демократы, защитники прав потребителей и бизнес, вероятно, хотят несколько разных вещей».

Так что не задерживайте дыхание.

[Окончательное изображение предоставлено коса5/Шаттерсток]

Рекомендации редакции

• Kaspersky VPN должен быть вашим выбором для обеспечения безопасных соединений и конфиденциальности.
• Вот как я выследил людей, продающих мои данные, а затем остановил их
• Как повысить вашу конфиденциальность и безопасность в Zoom
• Воины клавиатуры: как Интернет может стать спасательным кругом для активистов с ограниченными возможностями
• Конфиденциальность мертва, но это может быть не так важно, как мы думаем