施奈尔说,存储数据的公司,其安全操作需受到监管,只要没达到合规要求——罚!只要发现泄露个人信息——起诉!
安全大师布鲁斯·施奈尔日前发声,称让公司企业严肃对待信息安全的唯一办法,就是通过《塞班斯-奥克斯利法案》风格的监管,或者类似欧盟《通用数据保护条例》(GDPR)这样的法律。
施奈尔在博客中写道:“市场解决不了这个问题。市场的效果,来自买家在卖家中做选择,而卖家为争取买家而努力。提醒一下:你不是Equifax的客户,你是他们的产品。”
不仅仅是Equifax。它或许是最大型的几家之一,但还有其他2000到4000家数据代理商在收集、存储和售卖你的信息——几乎所有这些公司你都从未听说过,也没有任何业务往来。
而且,不仅仅是征信机构,比如Equifax,在尽力收集个人数据,几乎每家公司都在这么做。
Facebook是人类创造出来的最大型监视公司,其商业模式就是收集你的数据。我没有Facebook账户,但Facebook依然保有我和我联系人相当完整的资料——以防万一我忽然决定入圈。
Equifax仅仅是遭遇高破坏性安全事件的众多公司中最新曝出的一家而已。从很多方面看,这些安全事件都是因为无能和忽视而导致的。而这些公司在公开数据泄露事件方面,往往非常迟缓。
此类市场失效只能通过政府干预来解决。通过监管存有我们数据的公司的安全操作,惩罚不合规的公司,政府可以将不安全的代价,提升到足以让安全成为更廉价选择的程度。
赋予受安全事件影响的个人以成功起诉的能力,允许将个人数据的暴露本身作为一种伤害,也能达成同样目的。
美国联邦贸易委员会(FTC)不会因为基本的安全不称职就介入,除非你拿出“不公平及欺诈商业行为”的证据。
如果你不喜欢Equifax如此疏忽地对待你的数据,别浪费精神向Equifax抱怨,向你的政府抱怨去。
相关阅读
Equifax数据泄露事件致CIO和CISO离职
Equifax因Struts漏洞未及时打补丁 面临4500亿美元集体诉讼赔偿
