有研究指出,美国数据泄露通知制度未对网络安全产生显著影响,数据泄露事件依旧频发;
研究提出了多种改进方案,如对规模以上公司进行网络安全评分、实施强制网络安全基线、改进法律问责制度等。
2月21日消息,随着科技的不断发展,网络攻击也在持续增加,导致4亿用户的个人数据存在被窃取的潜在风险。作为应对,美国50个州政府相继推出了数据泄露通知法(BNLs),要求公司在数据泄露时通知消费者。
近日,美国乔治梅森大学教授Brad Greenwood与明尼苏达大学教授Paul M. Vaaler在《法律与经济评论》期刊上发表论文指出,数据泄露通知法对整体安全保护几乎没有产生任何显著影响。
研究人员使用了隐私权利清理中心(简称PRC)统计的数据。该组织整理了自2005年以来有关公司数据泄露的详细信息。PRC的数据包括受影响公司、地点、原因以及泄漏记录数量等信息。研究人员采用了双向固定效应设计,也称为“双重差分”估计法。
研究旨在评估从2005年到2019年间,美国各州数据泄露通知法对数据泄露事件数量及规模有何影响。研究人员还采用美国联邦贸易委员会(FTC)消费者哨兵网络数据手册的数据作为替代数据,剖析数据泄露通知法对后续欺诈和身份盗窃数量及规模的影响。
研究结果显示,没有证据表明数据泄露事件有所减少,或者泄露后数据的长期滥用有所减少。Greenwood指出:“统计结果非常不显著,我们基本可以推定,因变量的影响是随机的。”这表明,数据泄露通知法可能并未实现预期目标,未能减少数据泄露数量。
Greenwood列举了数据泄露通知法失败的一些原因。数据泄露通知法的目标是激励公司增加网络安全投资,避免因发布泄露通知而导致声誉损害。但由于公众对网络安全失败“普遍麻木”,这种激励的效果被严重削弱。
他说,为了激励公司采取切实行动,“必须提供经济回报,或对未采取行动者施加经济处罚。”
Greenwood和Vaaler提出了几种可能方案,以替代或补充数据泄露通知法。其中一项方案是,由联邦贸易委员会为一定规模以上的美国公司进行网络安全评分,以便人们比较它们的网络安全状况。
Greenwood补充道:“还可以通过联邦立法规定最低安全协议,例如使用美国国家标准技术研究院广泛认可的标准。这至少可以为预期行为设立法律基准。”
另一种可能的方案是改变当前的法律责任制度。目前,索赔人实质性损害的定损标准过高,这使得公司难以被起诉。“判例法在这方面正在逐渐发展。法院开始意识到,个人因网络安全漏洞而花费的时间可以被视为损害,他们可以寻求赔偿。但是,证明实质性损害的标准仍然相当严苛。”
Greenwood总结道:“就消费者保护而言,未来显然是不确定的。但我们唯一确定的是,目前的保护制度只对网络犯罪分子有利。”
参考资料:
techxplore.com