ACM通信

新闻

管理信息技术

由基思·柯克帕特里克
ACM通讯，2019年12月，第62卷第12期，19-21页
10.1145 / 3365583
评论(2)

2018年春天，Facebook首席执行官马克·扎克伯格被要求在国会作证，主要是为了回应英国咨询公司剑桥分析(Cambridge Analytica)在这家社交媒体巨头不知情或不同意的情况下，捕捉并使用超过8700万Facebook用户的数据来影响选举，以及承认Facebook本身被俄罗斯人利用来传播假新闻和宣传。在他的证词中，扎克伯格阐述了对科技公司及其产品和服务进行监管的必要性和必然性。

此后，扎克伯格发表了一份呼吁，呼吁政府通过限制有害内容、解决长期存在的隐私问题、确保选举的完整性以及确保数据的可移植性来监管互联网。然而，在撰写本文时，美国联邦政府还没有采取任何实质性行动来解决这些问题和其他与it相关的问题。

在美国，缺乏对互联网和计算机技术的一致和广泛的监管，尤其是在数据隐私和安全方面，这表明了一系列复杂因素的汇合，使得与技术相关的新联邦法规的制定不太可能，尽管公众越来越希望有一些实体来监督他们的个人数据和信息如何被跟踪、收集和使用。

雪城大学(Syracuse University)信息研究学院(School of Information Studies)副教授李•麦克奈特(Lee McKnight)提到1996年的《电信法》(Telecommunications Act)时说:“我们处在一个20多年前的框架之下，这个框架实际上并不为行业服务。”1996年的《电信法》是针对通信和IT公司活动的最后一项主要联邦法规。虽然该法案解除了对通信业务的管制，允许任何公司提供本地和长途电话、有线电视节目和其他视频服务，但其对数据隐私或安全问题的唯一提及是第725条中关于禁止本地交换机运营商记录或使用“报警监控服务提供商收到的呼叫的发生或内容，以代表该本地交换机运营商营销该等服务，或任何其他实体。”

麦克奈特说，事实上，考虑到过去23年发生的巨大的技术和商业模式变化，这部法律在很大程度上已经过时，它根本没有解决公司如何收集、分享、变相、保护个人和服务使用数据的问题，也没有解决数据安全漏洞的问题。监管活动的倡导者普遍认为，收集如此大量的数据、其巨大的商业价值，以及这些数据落入坏人之手的潜在负面影响，预示着需要强有力的监管控制，以及对不合规行为的严厉惩罚。

数字脸书董事长马克·扎克伯格被召到美国参议院委员会作证，此前有报道称，英国咨询公司剑桥分析公司在未经用户同意的情况下收集了超过8700万脸书用户的数据，以影响选举。

在美国国内，已经颁布了几项政府法规来解决一般的网络安全问题，包括《网络安全信息共享法案》(CISA)、《2014年网络安全增强法案》、《2015年联邦交换数据泄露通知法案》和《2015年国家网络安全保护进步法案》。然而，这些规定并没有专门针对计算机相关行业，如互联网服务提供商(isp)和软件公司(或服务公司，如社交媒体网站)，许多规定包括模糊的语言，留下了很大的解释空间。

反对增加监管活动的人认为，最敏感、最需要监管保护的个人数据已经受到了诸如《健康保险携带与责任法案》(HIPAA)等法规的保护，该法案规定了个人医疗信息的数据隐私和安全。

此外，要想在全球经济中发挥作用，获得额外的、特定的数据处理、隐私和安全法规可能很难实施，而且成本高昂，实施起来有些困难。许多现代商业服务，比如社交媒体网站，本质上都是全球性的，可能很难确定适用的司法管辖区(例如，如果一个南非公民通过Facebook平台从一家法国注册的公司购买商品，而这类商品的发货来自中国，哪些数据法律优先?)

---

在全球经济中，制定额外的、特定的数据处理、隐私和安全法规可能很难实施，而且成本高昂。

---

此外，那些商业模式主要基于将个人数据货币化的技术公司，无论是直接用于销售和营销目的，还是通过向他人提供数据访问权或出售数据而间接地，通常都不支持规定他们如何收集、使用和存储数据的监管。监管的反对者最常提出的论点是，监管往往会通过限制数据使用的创造性方式，以及通过要求加强和更频繁的数据更新、记录保存和数据安全违规通知，从而增加合规成本，从而扼杀创新。

然而，任何限制企业获取和使用个人数据方式的法规都可能对目前依赖于相对不受约束地访问和使用这些数据的企业产生负面影响。

尽管遭到一些科技公司的反对，但监管方面正在取得进展。欧盟(EU)于2018年颁布了《一般数据保护条例》(GDPR)，规范了欧盟和欧洲经济区(EEA)公民个人数据的处理和隐私，并解决了欧盟和EEA地区以外的个人数据导出问题。由于跨国公司在欧盟内外都有业务，一些公司正在其所有客户基础上应用GDPR规则，从而为美国等地区提供间接监管控制，而美国没有覆盖数据隐私或安全的国家监管框架。

康奈尔理工学院(Cornell Tech)和康奈尔法学院(Cornell law School)的法学教授詹姆斯•格里梅尔曼(James Grimmelmann)表示:“在这一点上，许多公司会很好地遵守GDPR，世界各地都有类似的规定，事实上，许多公司已经这么做了。”不过，鉴于《GDPR》某些部分的限制性，例如个人可在公布后30天内，以任何一种理由要求删除与其有关的个人资料，某些商业模式可能不兼容《GDPR》。

格里梅尔曼说:“Facebook和谷歌使用的那种广告网络可能根本无法在GDPR下运行。”他补充说，“这需要几年的时间才能证明事实是否如此。”

虽然美国正在努力保护个人隐私和个人数据，但大部分工作是在地方或地区层面完成的，而不是联邦层面。例如，去年时任加州州长杰里·布朗签署了《加州消费者隐私法案》，并将于明年1月生效。该法案向加州的消费者传达了三项主要权利:知情权;告知企业不要分享或出售其个人信息的能力;以及让收集和存储个人数据的公司实施数据保护的权利。然而，应该指出的是，最初推动这项立法的加州消费者隐私组织(california for Consumer Privacy)似乎并没有推动类似的全国性监管，该组织中也没有人回应为本文置评的多次电话和电子邮件。

---

关于如何提供联邦数据隐私和安全监管的细节，短期内不太可能得到解决。

---

致力于保护社会免受网络犯罪侵害的非营利组织adaptive Security的首席执行官兰·简森(Lan Jenson)表示，需要在那些希望进行IT监管的人和那些认为监管只会扼杀创新和竞争的人之间达成妥协。此外，在缺乏具体法规的情况下，Jenson认为应该齐心协力帮助小型和新进入市场的企业解决数据安全和隐私的根本问题。一些非营利组织正在努力解决这个问题，包括:

• Jenson's adaptive Security，提供无偿或按成本计算的咨询服务;
• 全球网络联盟，为中小企业提供免费的网络安全工具包
• 提供免费信息网络研讨会的国家网络安全联盟(National Cyber Security Alliance)正试图帮助较小的组织为其用户提供更好的数据安全。

哈佛大学伯克曼·克莱因互联网与社会中心的高级研究员、《互联网与社会》一书的作者大卫·温伯格认为，无论如何，就应该对什么进行监管、由哪个部门负责制定和执行监管规定、以及如何处罚等问题达成一致很可能是一个挑战日常混乱:技术、复杂性，以及我们如何在一个充满可能性的新世界中蓬勃发展。温伯格说:“我肯定会看到监管机构以某种方式介入。

然而，格里梅尔曼解释说，联邦数据隐私和安全监管的细节将不太可能在短期内得到解决，这主要是由于政治通道两边的多重竞争利益。

格里梅尔曼说:“我预计，10年后我们仍将努力解决这个问题。”“如果这只是一个简单的左右政治问题，你会认为，当共和党人控制局面时，他们会通过他们同意的立法，但他们没有。有些共和党人对技术高度自由主义，有些人对技术非常怀疑。有些民主党人对技术非常友好，还有一些人对大型技术及其对民主的影响非常怀疑。因此，你不会在华盛顿得到一个简单的联盟，他们会说，‘好吧，你现在掌权了，你要强加我们首选的隐私和其他技术法规’。”

进一步的阅读

适应性强的安全https://adaptablesecurity.org/

《加州消费者隐私法》https://www.caprivacy.org/

网络安全信息共享法https://www.congress.gov/bill/114th-congress/senate-bill/754

2014年网络安全增强法案https://www.congress.gov/bill/113th-congress/senate-bill/1353/text

《2015年联邦交易所数据泄露通知法》https://www.congress.gov/bill/114th-congress/house-bill/555

一般资料保障规例https://eugdpr.org/

全球网络联盟https://www.globalcyberalliance.org/

2015年国家网络安全保护推进法案https://www.congress.gov/bill/114th-congress/house-bill/1731

国家网络安全联盟https://staysafeonline.org/

1996年电信法https://transition.fcc.gov/Reports/tcom1996.pdf

马克·扎克伯格:互联网需要新的规则。让我们从这四个方面开始，《华盛顿邮报》2019年3月30日https://wapo.st/2R3hYlg

回到顶部

数字图书馆是由计算机协会出版的。版权所有©2019 ACM股份有限公司

---

评论

---

显示所有2评论