ChoicePoint是一家消费者数据供应公司,它向伪装成小型公司的犯罪分子提供了至少145,000人的个人信息。电脑黑客窃取了32,000名Lexis-Nexis数据库使用者的个人信息。美洲银行遗失的备份磁带中有1.2百万联邦雇员的记录。似乎每天都有报道称(或是发生了,但是未加以报道)有新的身份信息被盗事件发生,随之而来的是一系列新问题:应该对数据供应公司进行监管吗?身份信息盗窃会对电子商务产生不利影响吗?个人又该如何保护自己呢?不幸的是,沃顿商学院的研究人员及其他人员发现,这个问题并没有简单的答案,尤其是在这个通过搜索引擎可以非常方便地获得个人信息的时代尤为如此。
与此同时,因身份信息失窃而造成的成本在不断抬高。根据联邦贸易委员会2003年9月发布的调查报告,最近一年,有近一千万美国人成为某种身份信息盗窃事件的受害者,总计造成476亿美元之巨的商业损失。受害者平均要花费30个小时修复所遭受的损害,所造成的损失总额达50亿美元。
根据今年迄今为止上报的事故数据来看,这些数字在未来还有可能增加。另外,由于加利福尼亚州最近通过的法律要求所有在该州经营的公司在个人信息丢失时必须进行披露,因此此类事件将会极快地进入公众的视野:例如,3月8号,DSW鞋子仓库公司(DSW Shoe Warehouse)报告说其103家店铺中的采购信息及顾客信用卡号码失窃。另外,位于奇科的加利福尼亚州立大学披露黑客在一个食宿服务信息系统中盗取了诸如姓名与社会保障号等个人信息。
沃顿商学院信息技术高级主任肯德尔·怀特豪斯(Kendall Whitehouse)说:“如果没有加利福尼亚州的立法行为,我们根本了解不到这些失窃事件。”
与此同时,来自加州的民主党参议员黛安·范斯坦(Diane Feinstein)于1月24日提出议案,要求美国的公司在顾客数据遭到非法入侵时必须加以披露。范斯坦的发言人说,这个效仿加利福尼亚洲的提案是在上次国会会议上提出的,但是还没有在国会通过。他补充说:“这次,我们希望国会能通过这个提案。” 沃顿商学院运营与信息管理学教授艾里克·克莱蒙(Eric Clemons)指出,事实上,由于身份信息盗窃事件不断增加以及因此引起的公众情绪,该提案很有可能顺利通过。克莱蒙说:“你们必须向应对失窃负责的人行使追索权。因此要明确数据责任。”
与此同时,一些观察人士对法律瞄准叫卖数据的公司表示担心,害怕立法最终会限制商业的发展。直销协会(Direct Marketing Association)的首席执行官小约翰A·格雷科(John A. Greco, Jr.)在一份声明中指出,“必须掌控微妙的平衡”,从而既能预防身份信息盗窃事件的发生,又能允许数据提供商的顾客迅速获得签发信用额度、核实数据及处理交易所需的信息资料。
但是,其他人预测经改善的安全措施不会影响商业的发展速度。沃顿商学院法律研究学教授丹·亨特(Dan Hunter)说,减少身份信息被盗事件的数量实际上有助于商业发展。这是因为随着公司披露的非法入侵数据事件越来越多,此类盗窃行为肯定会开始阻碍网上购买。亨特说:“身份信息盗窃事件猛增的状况很难让我的祖母确信她是否真的要开始网上购物。”
但就目前的情况来看,消费者并没有对身份信息失窃一事过度恼火,从而要求制定更严格的法规。亨特说,消费者认为身份信息盗窃“只是众多问题中的一个”。他说:“只要这些事没有发生在他们身上,他们就认为这些事将来也不会发生在他们身上。”
披露信息被盗事件的必要性
根据克莱蒙的观点,ChoicePoint及Lexis-Nexis身份信息被盗案将会使天平倾向于范斯坦提案的通过。事实上,克莱蒙刚开始时并不倾向于就身份信息被盗事件的披露进行国家性立法,不过现在他认为这一立法是必要的。他认为,如果没有法律保证的强制披露或对数据泄密行为进行惩处,公司是不会关心数据保护的。为什么呢?这是因为现在造成信息泄露的公司不对所造成的损失负责。金融机构则为大部分银行欺诈、信用卡号码被盗及其它类似的事件埋单。克莱蒙说:“如果让造成数据被盗的机构组织承担因此造成的全部损失,那他们对待信息安全的态度将会完全不同。消息披露这一做法是有道理的,同时采取一些财务制裁也是适当的。”
亨特认为立法是必要的,但他指出,在那些以此为生的市场营销公司的抵制下,立法要经过一段艰难的道路。像ChoicePoint这些目前尚未受到严格监管的公司是不会对那些将对公司安全政策进行监管的法律表示欢迎的。另外,亨特认为对于个人数据安全的态度需要转变。他说:“目前有一种奇怪的想法,这些由公司收集的数据是他们的‘财产’,因为这些公司收集或购买了这些数据。因此,他们可以为所欲为。但是如果我们花点时间考虑一下,当身份信息被盗后,这些无辜的人将不得不承担的各种社会与个体成本,我们就应该为个人身份信息的安全、访问及编辑设置更高的标准。”
克莱蒙说进行国家立法有如下三个理由:第一,身份信息盗窃行为所涉及的金额越来越大,并引起消费者很大的忧虑;第二,被盗事件的披露使个人及其相关金融机构有时间采取保护措施,并为那些认为因此可能承担巨大金融风险的各方发布预警信息。事实上,怀特豪斯指出,使消费者有时间对身份信息失窃做出反应是范斯坦提案通过的最有力的原因之一。“我认为消费者需应当迅速得到通知,这样他们可以迅速向借贷机构告知个人信息被盗,从而使风险降到最低。如果没有披露制度,你只有在欺诈活动发生后才会了解到个人信息被盗,而那时已经太晚了。”
第三,披露机制除了会使被披露的公司感到窘迫外,并不会造成其他不利影响。这样一部披露法规会对那些导致损失或听任损失发生的公司的名声造成不利影响,不过这样可以重新平衡一部分风险。
例如,由于ChoicePoint所披露出的安全问题,该公司已基本退出一项数据销售业务(如社会保障号与驾驶执照号码等),除非该项交易是由特定消费者所推动的,或是产品销售是用于支持联邦、州或地方政府及刑事司法目的的。ChoicePoint还任命卡罗尔A·迪巴蒂斯特(Carol A. DiBattiste)为该公司的首席信任、服从及隐私官员,此人现任美国运输管理署的副署长。ChoicePoint首席执行官德里克·史密斯(Derek Smith)在一份声明中说:“这些变革措施是对近期一些欺诈活动的直接回应。”
身份信息盗窃案:作案简单且发生频度高
那么为什么身份信息盗窃的发生情况就像正滚下山的雪球一样越滚越大呢?这是因为它太容易得手了。一旦人们的信息出现在互联网上,它就不会消失。据亨特说,在Lexis-Nexis数据库上花费一点时间就会找到财产记录、已纳税额及其它个人信息。亨特说:“直到我们意识到个人身份信息作为个人生活的一部分是有价值的,而不只是为Reed-Elsevie(Lexis-Nexis公司的母公司)之类公司创造利润的时候,我们才会注意到大约每三天就会发生一起针对身份信息的违法事件。”
但真正的问题是,在可以使用Google搜索引擎时谁还需要Lexis-Nexis帐户?IOActive公司是一家位于西雅图的安全公司,该公司的首席执行官约书亚·彭内尔(Joshua Pennell)最近在一次执法会议上阐述了利用Google搜索引擎寻找个人身份信息是何等容易。“有了Google,即便不是专业黑客也可以轻松上手。任何人都能做到这一点。”除了诸如公司人员评估、Excel表格及护照扫描件之类的文件外,他还找到了1,000多条记录。那么这些数据是如何登录在网页的呢?是公司或个人把文件放在互联网上,他们还以为没有人会看得到。彭内尔说:“我们面对的是一个文化问题。你可以在全球各地设置防火墙,但如果你在互联网上张贴文件,文件就会被其他人读到。安全措施太松懈了。”
这就是彭内尔为什么说法律会促进安全措施提高的原因。“为了带来文化变革,我们将促使公司进行整顿。毕竟谁愿意告诉公众你把他们的信息搞丢了呢?”
现供职于卡内基梅隆学院的前宾夕法尼亚大学信息科学教授戴维·法伯(David Farber)说,互联网使得捡取一些片段的信息并把它们凑在一起拼成某人的身份信息变得非常容易。互联网上的个人数据信息就如同无法重返魔瓶的妖怪一样。他说:“因为我们生活在网络社会,所以应对这种情况变得更为困难。”
解决问题
法伯说,由于盗窃身份信息a)简单易行,且b)是由公司制度不严引起的,因此为了避免身份信息盗窃事件的发生,拥有个人数据的消费者与公司都要对此进行努力。“公司制度必须加以改变,同时消费者也得保管好自己的数据。”在消费者方面,法伯和许多人的观点一致,建议个人对记录文档进行碎纸处理并避免对外提供个人信息。只使用一张信用卡来进行网上交易,这样在安全信息被暴露的情况下,只需要注销一张信用卡就可以了。对于索要信用卡号及社会安全号之类的电子邮件,也不要加以回复,同时还要定期检查信用卡记录报告。
<S
Join The Discussion
No Comments So Far