作为1997年到2005年间五位联邦贸易委员会(Federal Trade Commission,FTC)的成员之一,Orson Swindle参与了对信息安全与隐私保护的法律的制定。此外,他还参与了2002和2003年的经济合作(Economic Cooperation)和发展信息安全提纲(Development Information Security Guidelines)的修订工作。
现在,Swindle是信息政策领导中心(Center for Information Policy Leadership,这是一个由代理风险公司(Proctor & Gamble Co.)、Eli Lilu公司和微软等公司组成的秘密的智囊团)的高级政策顾问兼主席,他接受采访时谈了一些美国正面临着的隐私及个人信息方面的挑战。
目前,是什么在推动着议程的进展?
过去的一年,我们耳闻的就有上百起的安全攻击,从黑客进攻、丢失笔记本电脑、丢失文件、账号信息暴露,到甚至是计算机丧失传输数据的功能,涉及范围之广令人震惊。并且每一次这样的安全袭击都代表存在有泄露敏感信息的隐患。在某些案例中,看起来好像我们所读到的报告对危害程度有所夸张,但这并不意味着就没有问题存在。我们可以百分之百地肯定,问题是存在的,并且,现在对敏感数据的保护都非常不够。我们必须联合起来把工作做得更好。这里我说到“联合”,是因为这种事可能会发生在任何一个人的头上,包括普通消费者。而我们现在没有人主动发起安全保卫战、没有出台新的法律、也没有新的技术可以联合起来解决这个问题。
那么请问,对于企业来讲这意味着什么?
企业所关心的最大问题是,他们也认识到,如果你要处理信息,那么你就有责任对这些数据提供保护。去年,FTC做出的许多决策都很清晰地谈到了这一点。有两个典型案例,就是BJ批发社和DSW公司。两个案例中,针对的都是企业采集并使用了敏感信息,却没有采取充分的预防措施来保护这些数据。需要注意的很重要的一点是,BJ批发社和DSW都不是受控实体,像医疗机构、金融机构等。但是,他们违反了FTC法案第五章的不公平及欺诈行为方面的Gramm-Leach-Bliley条理的延伸。换句话说,FTC对这两个公司所说的就是,你们的行为没有对这些信息加以保护,这是不公平的,因为你们没有做你们应该做的事。
您觉得,FTC在对这些公司采取行动的时候更有前摄性吗,即便是事实上并没有攻击现象发生?
从效果上讲,这个已经发生了。记录在案的有很多案例,要我说出细节是不可能的。但至少,有这样一个案例,FTC又一次以第五章为依据,处理了一家公司,并不是因为发生了数据窃取才处理的,而是因为这家公司承诺会提供保护措施却没有做到。他们承诺了不可能做到的事情,因为他们没有把相应的保护机制安排到位来提供所需要保证的安全。
最近,ChoicePoint被FTC罚款,罚了1,500万美元,那么这个可以说是开了什么的先河呢?
这个和BJ和DSW的情况大相径庭。ChoicePoint这个案例中,违反了很多的条例,特别是违反了公正信用报告法案(Fair Credit Reporting Act)。这样的话,肯定就会对他除以罚金,这个案子中更是明显。如果没有其它事抢风头的话,肯定会在比较长的一段时期内受到人们的关注。只要是引起人们的注意了,即使是很小的事情也会炒起来的。
那么这些违反条例的案例会对业界带来什么样的影响呢?
首先外面说一下对个人的影响。我们知道,上百万的人都遭受了个人信息泄漏、银行卡账号被盗,并且还必须忍住心痛去处理事情,不能让自己的信用受损。接下我们谈一下那些由于疏忽或防护措施不到位而没有在安全方面有问题的公司,他们也遭受了重大损失。你可以问一下ChoicePoint,他们因为安全防护措施不到位遭受了多大的损失,除了经济上的,他们还遭受了名誉上的损失、往牌子上摸了黑、并且对股票也有重大影响。也就是说,外围的这些东西都变得异常糟糕。诉讼费和一切相关费用也是巨额的。这让消费者在使用IT媒体方面失去了信心,也许,这才是所有损失中最大的损失!
在国会上的讨论是怎样的呢?
遭受此种损失的国会议员和政府立法机关的官员们爆发出愤怒和叫嚣。不过很不幸的是我们会看到有一些法律条例,可能会让一些政治人物宣布胜利,然后从这件事中脱身。但实际上,很不幸,这并不是一个胜利。仅靠法律,是解决不了这个问题的。
那公司需要特别做些什么呢?
我们要认为,保护个人信息就是在保护外面自己的东西。我们要保护公司机密、可口可乐的配方等等。但是现在,信息安全好像是关于保护其它东西的一样。应该是保护外面所使用的信息呀。我们搜集信息、存储信息、处理信息、使用信息、交易信息、传输信息。所有的这些阶段中,拥有信息的公司都必须对其可能发生的安全问题负责。要把这件事做好,企业必须开始从整体上考虑他们应该怎样管理信息、怎样处理信息以及怎样使用处理结果。你知道,当我与CIO和负责隐私的主要官员谈论的时候,我常常听到他们在那里哀嚎,说他们加了三层防护、说他们在这方面被认为是领先的、说没有什么人注意到他们等等。好,CEO们,执行副总裁们,现在是开始管理的时候了,你们必须把信息看成企业的血液。