ChoicePoint是一家消費者資料供應公司,它向偽裝成小型公司的犯罪分子提供了至少145,000人的個人資訊。電腦黑客竊取了32,000名Lexis-Nexis資料庫使用者的個人資訊。美洲銀行遺失的備份磁帶中有1.2百萬聯邦雇員的記錄。似乎每天都有報導稱(或是發生了,但是未加以報導)有新的身份資訊被盜事件發生,隨之而來的是一系列新問題:應該對資料供應公司進行監管嗎?身份資訊盜竊會對電子商務產生不利影響嗎?個人又該如何保護自己呢?不幸的是,沃頓商學院的研究人員及其他人員發現,這個問題並沒有簡單的答案,尤其是在這個通過搜索引擎可以非常方便地獲得個人資訊的時代尤為如此。
與此同時,因身份資訊失竊而造成的成本在不斷抬高。根據聯邦貿易委員會2003年9月發佈的調查報告,最近一年,有近一千萬美國人成為某種身份資訊盜竊事件的受害者,總計造成476億美元之巨的商業損失。受害者平均要花費30個小時修復所遭受的損害,所造成的損失總額達50億美元。
根據今年迄今為止上報的事故資料來看,這些數位在未來還有可能增加。另外,由於加利福尼亞州最近通過的法律要求所有在該州經營的公司在個人資訊丟失時必須進行披露,因此此類事件將會極快地進入公眾的視野:例如,3月8號,DSW鞋子倉庫公司(DSW Shoe Warehouse)報告說其103家店鋪中的採購資訊及顧客信用卡號碼失竊。另外,位於奇科的加利福尼亞州立大學披露黑客在一個食宿服務資訊系統中盜取了諸如姓名與社會保障號等個人資訊。
沃頓商學院資訊技術高級主任肯德爾·懷特豪斯(Kendall Whitehouse)說:“如果沒有加利福尼亞州的立法行為,我們根本瞭解不到這些失竊事件。”
與此同時,來自加州的民主黨參議員黛安·範斯坦(Diane Feinstein)於1月24日提出議案,要求美國的公司在顧客資料遭到非法入侵時必須加以披露。范斯坦的發言人說,這個效仿加利福尼亞洲的提案是在上次國會會議上提出的,但是還沒有在國會通過。他補充說:“這次,我們希望國會能通過這個提案。” 沃頓商學院運營與資訊管理學教授艾裏克·克萊蒙(Eric Clemons)指出,事實上,由於身份資訊盜竊事件不斷增加以及因此引起的公眾情緒,該提案很有可能順利通過。克萊蒙說:“你們必須向應對失竊負責的人行使追索權。因此要明確資料責任。”
與此同時,一些觀察人士對法律瞄準叫賣資料的公司表示擔心,害怕立法最終會限制商業的發展。直銷協會(Direct Marketing Association)的首席執行官小約翰A·格雷科(John A. Greco, Jr.)在一份聲明中指出,“必須掌控微妙的平衡”,從而既能預防身份資訊盜竊事件的發生,又能允許資料提供商的顧客迅速獲得簽發信用額度、核實資料及處理交易所需的資訊資料。
但是,其他人預測經改善的安全措施不會影響商業的發展速度。沃頓商學院法律研究學教授丹·亨特(Dan Hunter)說,減少身份資訊被盜事件的數量實際上有助於商業發展。這是因為隨著公司披露的非法入侵資料事件越來越多,此類盜竊行為肯定會開始阻礙網上購買。亨特說:“身份資訊盜竊事件猛增的狀況很難讓我的祖母確信她是否真的要開始網上購物。”
但就目前的情況來看,消費者並沒有對身份資訊失竊一事過度惱火,從而要求制定更嚴格的法規。亨特說,消費者認為身份資訊盜竊“只是眾多問題中的一個”。他說:“只要這些事沒有發生在他們身上,他們就認為這些事將來也不會發生在他們身上。”
披露資訊被盜事件的必要性
根據克萊蒙的觀點,ChoicePoint及Lexis-Nexis身份資訊被盜案將會使天平傾向于範斯坦提案的通過。事實上,克萊蒙剛開始時並不傾向於就身份資訊被盜事件的披露進行國家性立法,不過現在他認為這一立法是必要的。他認為,如果沒有法律保證的強制披露或對資料洩密行為進行懲處,公司是不會關心資料保護的。為什麼呢?這是因為現在造成資訊洩露的公司不對所造成的損失負責。金融機構則為大部分銀行欺詐、信用卡號碼被盜及其它類似的事件埋單。克萊蒙說:“如果讓造成資料被盜的機構組織承擔因此造成的全部損失,那他們對待資訊安全的態度將會完全不同。消息披露這一做法是有道理的,同時採取一些財務制裁也是適當的。”
亨特認為立法是必要的,但他指出,在那些以此為生的市場營銷公司的抵制下,立法要經過一段艱難的道路。像ChoicePoint這些目前尚未受到嚴格監管的公司是不會對那些將對公司安全政策進行監管的法律表示歡迎的。另外,亨特認為對於個人資料安全的態度需要轉變。他說:“目前有一種奇怪的想法,這些由公司收集的資料是他們的‘財產’,因為這些公司收集或購買了這些資料。因此,他們可以為所欲為。但是如果我們花點時間考慮一下,當身份資訊被盜後,這些無辜的人將不得不承擔的各種社會與個體成本,我們就應該為個人身份資訊的安全、訪問及編輯設置更高的標準。”
克萊蒙說進行國家立法有如下三個理由:第一,身份資訊盜竊行為所涉及的金額越來越大,並引起消費者很大的憂慮;第二,被盜事件的披露使個人及其相關金融機構有時間採取保護措施,並為那些認為因此可能承擔巨大金融風險的各方發佈預警資訊。事實上,懷特豪斯指出,使消費者有時間對身份資訊失竊做出反應是範斯坦提案通過的最有力的原因之一。“我認為消費者需應當迅速得到通知,這樣他們可以迅速向借貸機構告知個人資訊被盜,從而使風險降到最低。如果沒有披露制度,你只有在欺詐活動發生後才會瞭解到個人資訊被盜,而那時已經太晚了。”
第三,披露機制除了會使被披露的公司感到窘迫外,並不會造成其他不利影響。這樣一部披露法規會對那些導致損失或聽任損失發生的公司的名聲造成不利影響,不過這樣可以重新平衡一部分風險。
例如,由於ChoicePoint所披露出的安全問題,該公司已基本退出一項資料銷售業務(如社會保障號與駕駛執照號碼等),除非該項交易是由特定消費者所推動的,或是產品銷售是用於支援聯邦、州或地方政府及刑事司法目的的。ChoicePoint還任命卡羅爾A·迪巴蒂斯特(Carol A. DiBattiste)為該公司的首席信任、服從及隱私官員,此人現任美國運輸管理署的副署長。ChoicePoint首席執行官德里克·史密斯(Derek Smith)在一份聲明中說:“這些變革措施是對近期一些欺詐活動的直接回應。”
身份資訊盜竊案:作案簡單且發生頻度高
那麼為什麼身份資訊盜竊的發生情況就像正滾下山的雪球一樣越滾越大呢?這是因為它太容易得手了。一旦人們的資訊出現在互聯網上,它就不會消失。據亨特說,在Lexis-Nexis資料庫上花費一點時間就會找到財產記錄、已納稅額及其它個人資訊。亨特說:“直到我們意識到個人身份資訊作為個人生活的一部分是有價值的,而不只是為Reed-Elsevie(Lexis-Nexis公司的母公司)之類公司創造利潤的時候,我們才會注意到大約每三天就會發生一起針對身份資訊的違法事件。”
但真正的問題是,在可以使用Google搜索引擎時誰還需要<SPAN lang=EN-US style="FONT-SIZE: 10pt; FONT-FAMILY: Verdana; mso-fareast-font-family: PMingLiU; mso-bidi-font-family: 宋体; mso-fareast-l
Join The Discussion
No Comments So Far