Hvorfor dine online data ikke er sikre

Indtil for nylig, de formodede mål for massivt datatyveri blev anset for at være virksomheder, der manglede sofistikeret cybersikkerhed eller ikke tog problemet alvorligt nok.

Men siden slutningen af ​​2016, nogle af de største navne inden for avanceret teknologi har set deres mest følsomme kundedata – inklusive indholdet af e-mails, kreditkortnumre, og mobiltelefonnumre – falder i hænderne på hackere, eller i nogle tilfælde delt sådanne data med tredjeparter uden forbrugernes viden eller samtykke.

Listen bliver hurtigt lang. Tyve downloadede oplysninger om 25 millioner amerikanske Uber-ryttere. Kreditoplysningsbureauet Equifax fik stjålet 143 millioner kundefiler af hackere. Cambridge Analytica indsamlede data fra mindst 87 millioner Facebook-brugere for at målrette dem med politiske annoncer. Den her sommer, Google indrømmede over for Kongressen, at app-udviklere og andre har adgang til brugernes Gmail. Dataforskere fandt store sikkerhedsfejl i AT&T, T Mobil, og Sprint -telefoner, der efterlod kunder udsat. Og i sidste uge, Facebook afslørede sit største brud, med 50 millioner brugere berørt. Det sagde, at telefonnumre leveret til Facebook af brugere til to-faktor autentificeringssikkerhed var blevet delt med annoncører.

Med så mange overtrædelser - og så få konsekvenser - ledende medarbejdere fra Google, Æble, Amazon, og Twitter, blandt andre virksomheder, blev indkaldt for Senatets komité for handel, Videnskab, og Transportation i sidste uge for at forklare, hvorfor krænkelser af databeskyttelse fortsætter, og diskutere nogle løsninger. Sen. John Thune (R., S.D.), udvalgsformanden, sagde, at det ikke længere er et spørgsmål om, hvorvidt der skal være en føderal lov for at beskytte forbrugernes databeskyttelse, men "hvilken form loven skal tage." En anden høring er planlagt senere på måneden.

Urs Gasser, LL.M. '03, er administrerende direktør for Berkman Klein Center for Internet &Society ved Harvard University og professor i praksis ved Harvard Law School. Hans forskning og undervisning fokuserer på informationsret og -politik, og han skriver ofte om privatliv, data beskyttelse, og regulering af digital teknologi. Gasser diskuterede tilstanden af ​​databeskyttelse med Gazette via e-mail og foreslog, hvad der kunne gøres for at beskytte brugere mod virksomheder, der profiterer på folks data.

Spørgsmål og svar

GAZETTE:Som en, der har studeret databeskyttelse i lang tid, er du overrasket over denne række af fiaskoer?

GASSER:Det, der måske er mest overraskende, er den hyppighed, hvormed sådanne fortrolighedsrelevante hændelser nu bliver offentlige, samt deres udbredelse og omfang. Med hensyn til de underliggende årsager og effektivitet af svar, det er vigtigt at analysere hver hændelse separat. Et brud på data forårsaget af eksterne hackere er ikke det samme problem og kræver ikke de samme modforanstaltninger som fortrolighedstrusler som følge af aftaler om deling af data mellem en online platform og annoncører, der er kernen i forretningsmodellen. Når det er sagt, virkningerne i forhold til brugernes privatliv kan være ret ens. Det er også bemærkelsesværdigt, at GDPR [Den Europæiske Unions generelle databeskyttelsesforordning] omhandler en lang række krænkelser af privatlivets fred, og det bliver interessant at se, om især Facebook-bruddet vil udløse GDPR-håndhævelse.

GAZETTE:Mange af de største teknologivirksomheder fortsætter enten med at tillade eller undlade at forhindre, at deres kunders data falder i hænderne på annoncører, app udviklere, og andre tredjeparter. På trods af hyppige løfter om bedre beskyttelse af privatlivets fred, lidt har ændret sig. Hvorfor tager disse virksomheder ikke dette mere seriøst?

GASSER:For at være retfærdig, virksomheder har gjort en stor indsats for bedre at beskytte brugerdata gennem en bred vifte af foranstaltninger, herunder fortrolighedsdashboards, forbedrede privatlivs- og sikkerhedsfunktioner, såsom ende-til-ende-kryptering, opgraderinger til deres privatlivspolitikker, og mere. Men der er faktisk et dybere strukturelt problem i kernen af ​​vor tids privatlivskampe, som gør, at den nuværende indsats føles utilstrækkelig. De fleste af nutidens teknologiske forretningsmodeller er baseret på målrettet reklame, som er afhængig af indsamling, deling, og analysere enorme mængder brugerdata. Kort fortalt, at virkelig prioritere brugernes privatliv ville også betyde at kompromittere en underliggende forretningsmodel, der har haft stor succes i økonomisk henseende og produceret nogle af de rigeste virksomheder i verden.

GAZETTE:Lovgivere har opfordret teknologivirksomheder til bedre at sikre deres brugeroplysninger og har antydet, at de kan begynde strengt at regulere, hvordan data håndteres, hvis virksomhederne ikke styrker datasikkerheden. Vil kongressen gøre noget snart for at holde disse virksomheder ansvarlige, og, hvis ikke, hvad skal der til for den føderale regering at tage reelle handlinger?

GASSER:I det nuværende politiske klima, Jeg er i tvivl om, at noget dramatisk - sig, ligesom GDPR – vil ske på føderalt niveau når som helst snart. Men vi ser megen aktivitet i forbrugernes privatliv på statsniveau. Overvej den nylige vedtagelse af California Consumer Privacy Act, som sandsynligvis vil være meget indflydelsesrig i betragtning af dets anvendelsesområde, eller Vermonts datamæglerlovgivning. Kombineret med den forbedrede dagsorden for forbrugerbeskyttelse fra mange statslige A.G.'er, det er der, handlingen er, indtil Kongressen kommer med noget meningsfuldt. Og, selvfølgelig, der er også et øget pres fra de europæiske lovgivnings- og databeskyttelsesmyndigheder, baseret på de nye beskyttelser og instrumenter fastsat af GDPR. Nogle hævder, at der er ved at opstå et "marked for privatliv", som vil give incitamenter, især til privatlivsstartups, at være mere privatlivsvenlig.

GAZETTE:Er det på tide at erklære den frivillige privatlivspolitik for en fiasko og begynde at behandle disse virksomheder som offentlige forsyningsselskaber?

GASSER:Jeg er enig i, at den selvregulerende model ikke har givet tilstrækkelige niveauer af forbrugernes privatlivsbeskyttelse i dagens teknologiske miljø. Hvor man skal gå herfra er sværere at sige, selvom. Mange fortrolige fortalere peger på GDPR som en ny guldstandard. Jeg er mere skeptisk, da en sådan tilgang er dybt forankret i europæiske værdier, kultur, og politisk økonomi og kan ikke transplanteres på en "klip og indsæt" måde. Det kommer også med nogle alvorlige ulemper, med hensyn til overholdelsesomkostninger, for eksempel. Jeg synes, det er på tide at gentænke databeskyttelse mere fundamentalt. Du kan finde nogle af mine tanker her. At indføre tillidspligter for teknologivirksomheder er en anden interessant ny måde at tænke på nogle af de strukturelle problemer, der er nævnt før.

GAZETTE:Hvem er skyld i, hvor vi er nu? Er brugerne til dels skyld i ikke at lave mere ballade om krænkelser af privatlivets fred? Forstår de fleste mennesker, hvor meget af deres information, der er i hænderne på andre, og hvordan bliver det brugt?

GASSER:Jeg er enig i, at det er for simpelt at bare bebrejde teknologivirksomhederne for status quo. Jeg tror, ​​vi skal se på privatlivskrisen som et problem på økosystemniveau, med mange kræfter i spil – teknologiske, marked, adfærdsmæssige, og juridiske – og mange involverede aktører, herunder brugere, der ofte træffer privatlivsbeslutninger baseret på ufuldstændige oplysninger og med kognitive skævheder på spil. Derfor argumenterer jeg i mit eget arbejde for en mere holistisk tilgang til fremtidens privatliv, som kombinerer stærk juridisk beskyttelse med digital færdighed og uddannelsesindsats, næste generations privatlivsforbedrende teknologier, og økonomiske incitamenter til mere privatlivsvenlige tjenester, blandt andre elementer i strategien, i modsætning til at sætte mine væddemål på GDPR-lignende love alene. En sådan tilgang vil også omfatte smartere brugeruddannelser og empowerment.

GAZETTE:Folk kan ikke fravælge at bruge Google, og beslutter sig ikke for ikke at have en mobiltelefon, så hvad kan folk gøre for at beskytte sig selv?

GASSER:Der er en række online fortrolighedskontroller tilgængelige og en række selvhjælpsværktøjer til beskyttelse af personlige oplysninger, inklusive privatlivsbrowsere eller VPN'er [virtuelle private netværk], for blot at nævne to. Nogle af dem leveres af teknologivirksomheder selv, og nogle tilbydes af forbrugerorganisationer såsom EPIC eller EFF. Jeg vil meget anbefale, at folk gør brug af disse tilbud, selvom de kun er taktiske i den forstand, at de forståeligt nok ikke kan løse den strukturelle årsag til problemet.

Denne historie er offentliggjort med tilladelse fra Harvard Gazette, Harvard Universitys officielle avis. For yderligere universitetsnyheder, besøg Harvard.edu.