3月3日,No. 62,隱私與監控的戰國時代(三)
昨天提到美國沒有一部全國性的隱私保護專法,但聯邦政府依然有許多產業別的法律,其中主要是醫療業與金融業的規範,畢竟這兩個產業涉及美國人敏感的個資。
只是提到隱私專法,最大範圍主管機關,是Federal Trade Commission (FTC)根據Federal Trade Act (FTA)第五條不公平競爭或詐欺手法。這部法律廣義來說只要是涉及跨州商業的企業與消費者交易都受約束。換句話說,目前美國的隱私保護主要是在公平交易法的範疇——即避免企業利用其優勢地位,濫用消費者的資訊(包括疏於保護)。不過雖然FTC一直主張自己有權力監管企業不當使用民眾個資的情況,但畢竟法律條文並沒有提到「隱私權」或「個資」的部分,因此過往也有人質疑其實FTC其實無權過問,只是民不與官鬥,企業也大多尊重FTC的政策。1980年FTA 修法約30年後的2008-09年,連鎖飯店集團Wyndham Worldwide Corporation因為房客資訊外洩遭裁罰,才正式對簿公堂,直到2015年判決敗訴,才確認FTC確實有監管企業善用消費者資訊的法令權限。
回到今天的金句,出自甲骨文創辦人2001年的發言,支持聯邦政府推出美國人的身分證——瞧!是不是另一個政府與跨國企業聯手的情境呢?
(嗯,沒錯,美國人沒有國家身分證,只有州政府駕照或州民居民證。)
最後,分享FTC 2017年對於美國企業的資安守則:
- 以安全為始 (Start with security): FTC建議企業在商業各面向均依考量安全性,且搜集個資應該以必要性為原則。
- 權限限制 (Control access to data sensibly): 類似必要性,就是不要給非必要的人機密權限,
- 採行密碼與驗證措施 (Require secure passwords and authentication): 這其實是常識,但是很多人都忽略——不要用白痴密碼。第一集提到去年SolarWinds網路安全事件,其中一個漏洞是他們的密碼採用Solarwinds123,國會參議員質詢時表達,我限制小孩看Youtube的密碼都比這高明,更何況是國防部的合作廠商。
- 個資加密及加密傳輸 (Store sensitive personal information securely and protect it during transmission): 鼓勵廠商採用業界標準,換句話說,每個產業的標準不同,但原則上都需要加密。
- 區別重要資訊網路及參與人員 (Segment your network and monitor who’s trying to get in and out) 及 網路加密 (Secure remote access to your network) :簡單說就是區分內網、外網,以及遠端連線時採用VPN保護。
- 研發新產品應採行安全措施 (Apply sound security practices when developing new products)
- 確認你的服務提供商也採行安全措施 (Make sure your service providers implement reasonable security measures)
- 定期更新安全措施 (Put procedures in place to keep your security current and address vulnerabilities that may arise)
- 確保紙本以及硬體安全 (Secure paper, physical media, and devices)
後面幾點我覺得蠻白話,應該不用額外解釋。老實說這個守則只是給大方向,對外行人可以有提綱挈領的感覺,對真正資安工作者只是廢話,而且沒有法律拘束力,所以很多企業依然覺得無所適從,不曉得做到什麼程度才符合法律要求,特別是幾乎五十個州個別都有獨自的個資法,遵守州法與遵守FTC的規定雖然經常重疊,但彼此不必然有關,也因此一直有呼聲應該要有聯邦層級的個資專法,取代各州各自為政的情況。
當然,立法表決只是最後臨門一腳,現在審議階段便是各大企業遊說影響國會議員的時候,後續會怎麼發展,讓我們看下去。
#隱私與監控的戰國時代 #dailymrps #mrps20210303 #每日猜招 #權力鬥爭 #資訊戰 #資訊戰國3 #隱私權 #cybersecurity #FTC #FTA #美國 #oracle
