目录:
- 如果数据符合法案所称的“网络威胁信息”,可以帮助私营公司与执法人员和政府机构共享数据,这可以帮助解决犯罪问题。电子隐私信息中心的国家安全研究员杰拉米斯科特说,这个术语的含糊性是隐私问题的重要组成部分。 “它在定义中使用了'网络脆弱性'和'对网络完整性构成威胁'等术语,这些术语留给私营部门来解释,”Scott说。“
- 数据共享将变得更加容易或自动
- 尽管提供公司从其分享的数据中剥离PII似乎是合理的,但在CISPA下,这项任务属于政府。 David LeDuc是软件和信息行业协会的公共政策高级主管,软件和信息行业协会是支持CISPA的软件开发人员和数字内容业务的主要贸易集团。 LeDuc淡化了PII在网络安全方面的重要性,并称专业人士并未参与打击网络犯罪。 “安全专家寻找趋势,”他说,“某些行为的普遍存在以及恶意软件的传播模式 - 而不是个人信息。”
- 但SIIA的LeDuc坚持认为有一个过程。 “个人公民不会失去起诉或利用法院进行补救的能力,”他说。 “任何一家公司被发现不以”诚信行事“的情况下,他们可能会对个人造成伤害。”
- ”我们绝不会知道他们对这些数据做了什么,“Reitman说。 “我们认为这不会是真诚的,但对客户来说很难发现并且以后证明。”
更新:美国新闻周四报道说,CISPA“几乎肯定会被搁置”,他援引美国参议院商业,科学和运输委员会一位未具名代表的评论。 “美国新闻”还援引了美国公民自由联盟立法顾问米歇尔理查森的话,他说:“我认为现在已经死了,CISPA的争议太大了,太膨胀了,这与参议院去年的计划不一样。”理查森估计,新立法可能需要几个月的时间才能投票。网络安全和在线隐私是似乎注定永远不会相处的两个关键利益。当然,您希望将恶意黑客,垃圾邮件发送者和其他网络犯罪分子绳之以法 - 但您也希望保护您的在线数据。
然而,网络犯罪斗争的一大部分要求收集干草堆的汇总在线数据,以及扫描它的可疑活动难以捉摸的针。您的在线数据可能会被扫描到其中一个桩中并进行扫描。
[进一步阅读:如何从Windows PC中删除恶意软件]理解网络安全如何工作的第一步是接受您的在线数据将被扫描,并且已经在进行中这就是为什么你要关注网络智能共享和保护法案(CISPA),该法案上周通过美国众议院,目前正由参议院审议,目前正在委员会审议中。 CISPA旨在放宽目前管理网络安全调查人员之间共享数据的限制。这听起来似乎足够合理,但关于数据处理方式的争议来自于数据的处理方式 - 具体而言,它是如何共享的,以及个人身份信息(PII)如何被最小化。此外,该法案对诉讼产生了高度的免疫力对于共享数据的政府和私营公司而言。当他们分享您的数据时,这并不令人满意。
理解网络安全如何运作的第一步是接受您的在线数据已被扫描。政府,执法部门和私营公司都在寻找可疑的互联网活动。垃圾邮件发送者,僵尸网络以及恶意黑客入侵Twitter等网站都属于网络犯罪的一大类。更令人担忧的是企图攻击“关键基础设施”(如电力和供水设施,通信网络)或平民。
CISPA将让私营公司共享被认为是“网络威胁信息”的数据。
如果数据符合法案所称的“网络威胁信息”,可以帮助私营公司与执法人员和政府机构共享数据,这可以帮助解决犯罪问题。电子隐私信息中心的国家安全研究员杰拉米斯科特说,这个术语的含糊性是隐私问题的重要组成部分。 “它在定义中使用了'网络脆弱性'和'对网络完整性构成威胁'等术语,这些术语留给私营部门来解释,”Scott说。“
涵盖数据的定义足够模糊以引起泛滥
根据美国公民自由联盟的立法律师Michelle Richardson的说法,从尼日利亚收到的每一个愚蠢的垃圾邮件都可能使您的数据成为公平的游戏,以供进一步调查。 Richardson说:“这些日常事件是该法案规定的网络安全事件。 Electronic Frontier Foundation的活动主任Rainey Reitman表示,一项服务可以共享任何它认为是“网络威胁信息”的数据,并且可以这样做“没有法律程序,只要它是”真诚的“,并且”网络安全的目的。'“
数据共享将变得更加容易或自动
美国公民自由联盟的理查森补充说,在CISPA下,数据共享将会非常流畅。理查森说:“如果数据将被自动路由,而不是通过政府明确要求信息的过程,”他们正在谈论某种过程,自动将这些过程转发给政府,“Richardson说。何时以及如何将PII从数据中剥离出来将成为一个更大的问题。不幸的是,没有人在谈论使用户身份完全匿名。不,CISPA背后的人们仅仅满意于“最小化” - 制定合理的努力去除PII。 EPIC的Scott称:“这里是”网络威胁信息“的定义再次发挥作用的地方:”CISPA不需要(私人公司)去除或缩小提供给政府的信息,只要它落在广泛的伞下的网络威胁信息。“
安全专家寻找趋势,某些行为的普遍性以及恶意软件的传播模式 - 而不是个人信息。 -David LeDuc,SIIA
尽管提供公司从其分享的数据中剥离PII似乎是合理的,但在CISPA下,这项任务属于政府。 David LeDuc是软件和信息行业协会的公共政策高级主管,软件和信息行业协会是支持CISPA的软件开发人员和数字内容业务的主要贸易集团。 LeDuc淡化了PII在网络安全方面的重要性,并称专业人士并未参与打击网络犯罪。 “安全专家寻找趋势,”他说,“某些行为的普遍存在以及恶意软件的传播模式 - 而不是个人信息。”
LeDuc还指出,CISPA从基于政府的最小化选择到修改它是强制的。 “联邦政府必须尽量减少从私营部门获得的信息,以获取有关对网络威胁作出反应所不需要的特定人员的信息,”他说,“但是,这一修正案并未解决发生什么问题数据在私营公司之间分享。由于只有政府才能在CISPA下将PII降至最低,因此私营公司可能会共享相对丰富的PII数据,而不会采取任何措施尽量减少。众议院在CISPA投票前发言时,代表亚当·希夫(D-California)明确表示不赞同。 “私人实体可以彼此分享信息,而不需要经过政府,”他说。 “在这种情况下,政府如何最大限度地减少它从未拥有的东西?因此,仅仅政府方面的最小化,仅仅是这个法案包括在内,是不够的。“
众议员希夫已经提出了修正案来解决这个漏洞,但他抱怨CISPA的提案人从未将它提交给众议院投票。
私营公司关心的是:诉讼在所有关于共享和最小化的谈论之下,CISPA真正看到的是如何保护提供数据的公司免于被起诉。当被问及什么是消费者最需要了解的CISPA时,SIIA的LeDuc表示,责任风险正在阻碍网络安全工作。 “不幸的是,在目前的法律框架下,公司或任何私营实体面临分享信息的监管或法律行动的风险,他们认为这些信息对于预防或减轻网络安全威胁或事件可能是有价值的,”他表示,“
我们大多数人都不知道我们的数据是否被使用或滥用,除非它回来咬我们。
诉讼的前景有点古怪。毕竟,通过这些巨大的数据扫描工作,我们大多数人都不知道我们的数据是被使用还是被滥用,除非它回来咬我们。但是,如果这种情况发生,那么有一个法律追索程序是很好的。再一次,CISPA的模糊语言使得隐私难以保护。美国公民自由联盟的理查森说:“这不仅仅是你可以分享的东西,而且你根据共享的信息做出的任何决定也都可以免疫。他们实际上使用了'做出的决定'这个术语,这个术语非常宽泛。“
'善意'涵盖了许多善意的损害
但SIIA的LeDuc坚持认为有一个过程。 “个人公民不会失去起诉或利用法院进行补救的能力,”他说。 “任何一家公司被发现不以”诚信行事“的情况下,他们可能会对个人造成伤害。”
联邦军Reitman表示,“诚信”的封面也可以轻易实现远。免于责任,公司可以更自由地共享更多数据。例如,Reitman说,“Netflix可以向政府提供一份名单,信用卡号码,家庭住址和帐户活动的列表,供在Netflix前三周观看电影
的所有人观看遭受轻微的DDOS攻击“。目前,CISPA通过国土安全部和其他实体提供平民数据共享监督,但如果数据传递给军事实体,则监督结束。
”我们绝不会知道他们对这些数据做了什么,“Reitman说。 “我们认为这不会是真诚的,但对客户来说很难发现并且以后证明。”
CISPA可能不会太远
这是CISPA第二次获得参议院批准,并且它的成功还远远没有确定 - 尤其是考虑到总统明确表示要以目前的形式否决CISPA的意图。虽然没有一部立法是完美的,但反对者指出CISPA的模糊性和漏洞作为阻止游戏的手段。美国公民自由联盟的理查森说:“人们正在谈论中国打破和窃取知识产权。如果他们已经就此写了法案,我们的投诉就会减少。 CISPA展现了大量的日常活动。“ CISPA展示了网络隐私与网络安全努力之间的复杂拉锯战。 参议员也在制定其他网络安全立法 - 尽管去年这种立法并不奏效, 。约翰D.(杰伊)洛克菲勒参议员(D-West Virginia)赞助2013年网络安全和美国网络竞争力法案(正如他2012年类似的努力一样停滞不前)。在众议院对CISPA投票后发布的新闻稿中,参议员洛克菲勒说:“即使CISPA的隐私保护不足,今天在众议院的行动也很重要。我们需要采取行动加强我们网络安全的所有要素,而不仅仅是一个,这就是参议院将要实现的目标。“本周早些时候,同一法案的共同发起人参议员戴安·范恩斯坦(D-California)表示, “我们目前正在起草一项两党信息共享法案,并将在我们达成协议后尽快着手。”
该法案表明,网络隐私与网络安全工作之间的复杂拉锯战。美国公民自由联盟的理查森认为,CISPA将激励参议院寻找更好的解决方案。 “这个游戏中的其他人都在寻找更有针对性,更具战略性和隐私保护的东西。”这个不完美的答案就在那里,希望能够为那个小家伙提供尽可能多的保护,就像大数据似的。