前情回顾·美国网络安全法律动态

安全内参2月21日消息,随着科技的不断发展,网络攻击也在持续增加,导致4亿用户的个人数据存在被窃取的潜在风险。作为应对,美国50个州政府相继推出了数据泄露通知法(BNLs),要求公司在数据泄露时通知消费者。

近日,美国乔治梅森大学教授Brad Greenwood与明尼苏达大学教授Paul M. Vaaler在《法律与经济评论》期刊上发表论文指出,数据泄露通知法对整体安全保护几乎没有产生任何显著影响。

研究人员使用了隐私权利清理中心(简称PRC)统计的数据。该组织整理了自2005年以来有关公司数据泄露的详细信息。PRC的数据包括受影响公司、地点、原因以及泄漏记录数量等信息。研究人员采用了双向固定效应设计,也称为“双重差分”估计法。

研究旨在评估从2005年到2019年间,美国各州数据泄露通知法对数据泄露事件数量及规模有何影响。研究人员还采用美国联邦贸易委员会(FTC)消费者哨兵网络数据手册的数据作为替代数据,剖析数据泄露通知法对后续欺诈和身份盗窃数量及规模的影响。

研究结果显示,没有证据表明数据泄露事件有所减少,或者泄露后数据的长期滥用有所减少。Greenwood指出:“统计结果非常不显著,我们基本可以推定,因变量的影响是随机的。”这表明,数据泄露通知法可能并未实现预期目标,未能减少数据泄露数量。

Greenwood列举了数据泄露通知法失败的一些原因。数据泄露通知法的目标是激励公司增加网络安全投资,避免因发布泄露通知而导致声誉损害。但由于公众对网络安全失败“普遍麻木”,这种激励的效果被严重削弱。

他说,为了激励公司采取切实行动,“必须提供经济回报,或对未采取行动者施加经济处罚。”

改进建议

Greenwood和Vaaler提出了几种可能方案,以替代或补充数据泄露通知法。其中一项方案是,由联邦贸易委员会为一定规模以上的美国公司进行网络安全评分,以便人们比较它们的网络安全状况。

Greenwood补充道:“还可以通过联邦立法规定最低安全协议,例如使用美国国家标准技术研究院广泛认可的标准。这至少可以为预期行为设立法律基准。”

另一种可能的方案是改变当前的法律责任制度。目前,索赔人实质性损害的定损标准过高,这使得公司难以被起诉。“判例法在这方面正在逐渐发展。法院开始意识到,个人因网络安全漏洞而花费的时间可以被视为损害,他们可以寻求赔偿。但是,证明实质性损害的标准仍然相当严苛。”

Greenwood总结道:“就消费者保护而言,未来显然是不确定的。但我们唯一确定的是,目前的保护制度只对网络犯罪分子有利。”

参考资料:https://techxplore.com/news/2024-02-reveals-massive-failures-cybersecurity-laws.html

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。