2016 年 2 月 16 日,联邦政府提供了具体指导,说明公共和私人组织如何自愿分享《2015 年网络安全法》中所述的“网络威胁指标”。同一天,联邦法院命令苹果公司帮助 FBI 解锁圣贝纳迪诺枪击案一名袭击者使用的 iPhone 密码。(九天后,苹果公司申请撤销法院命令。据《纽约时报》最近的一篇文章报道,其他科技公司——微软、谷歌、推特、脸书和雅虎——已表示将在联邦法庭上支持苹果公司。)
2015 年《网络安全法》和苹果与 FBI 的冲突都使隐私安全之争成为头条新闻。在我关于《网络安全信息共享法》(CISA)/2015 年《网络安全法》的三部分系列文章的第一部分中,我谈到了这场争论。现在,我们将考虑三个问题,以帮助您确定信息共享的好处是否大于您的业务成本。
问题 1:隐私到底有多隐私?在奥巴马总统签署《2015 年网络安全法案》的前一天,一个由安全专家和民间社会团体组成的联盟致信国会,反对该法案。一个主要担忧是,该法案将允许公司加强对其用户在线活动的监控,并允许在没有足够隐私保护的情况下共享“定义模糊”的网络威胁指标。
根据CISA 的条款,组织必须首先“在共享指标之前删除个人信息或可识别与网络安全威胁无直接关系的特定人员的信息”。然而,隐私和安全专家写道,“当前法案包括一项标准,允许公司默认共享描述网络威胁不必要的个人信息,而不是将其删除,并且仅要求公司对指标进行粗略审查以识别个人信息。”
负责管理该信息共享门户网站的美国国土安全部 (DHS)表示,该法律提供了所谓的“两层隐私保护”。第一层是去身份识别过程。第二层是国土安全部“必须并已实施自己的流程,对收到的信息进行隐私审查”。此外,门户网站本身的技术参数“充当了一种非成文的隐私保护,为 CISA 中包含的几乎所有其他信息共享元素奠定了基础”,Lawfare 执行主编兼 Lawfare Institute 总法律顾问Susan Hennessey 写道。
问题 2.数据共享后会怎样?这个问题的答案取决于你问谁。MetricStream 专业服务副总裁 David Williamson 在CSO 的一篇文章中表示,该法律(责任保护)的激励措施是让公司“将无法证明不是威胁指标的人员信息传递给……国土安全部,然后传递给国家安全局,在那里这些信息将与联邦政府保存的其他公民信息联系起来。
他说:“一旦信息在各个联邦机构之间汇总、链接和共享,其用途将不受限制。”
作为指导意见的一部分,国土安全部通过其门户网站发布了多份有关信息共享的报告,即自动指标共享 (AIS)功能。其中一份是临时隐私报告,为联邦实体如何处理数据提供了框架。例如:“具体而言,根据 CISA 提供给联邦政府的网络威胁指标和防御措施可能会被披露给联邦政府、由联邦政府保留和使用,仅用于网络安全目的……”
“联邦政府因共享信息而开展的这些授权活动可能会引发诉讼,例如联 新加坡号码几位数 邦刑事诉讼,”律师 Sean Hoar、Adam Greene 和 Bryan Thompson 在Davis Wright Tremaine 律师事务所的隐私和安全法律博客上写道。“该法案并不妨碍在刑事诉讼中披露网络威胁指标或防御措施。”
律师补充道:“担心其信息保密性或专有性的公司应仔细考虑任何信息共享对业务的影响,因为这些信息可能会在公开程序中被引用。但是,根据联邦和州信息自由法,该法案免除了共享信息的披露。”
问题 3:我共享的信息有多安全?一旦公司泄露了这些信息,它受到的保护有多好?
联邦政府意识到自身的脆弱性,正在采取措施加强自身的网络安全态势。今年 2 月,奥巴马总统寻求拨款 190 亿美元用于 2017 年联邦政府的网络安全,比今年多 50 亿美元。这项预算请求是奥巴马总统新发布的《网络安全国家行动计划》的一部分。此外,还拨款 31 亿美元用于更新政府过时的 IT 基础设施。政府还首次聘请了联邦 CISO来监督其网络安全工作。
作为这些网络安全举措的一部分,奥巴马总统还通过行政命令成立了联邦隐私委员会。国土安全部首席隐私官 Karen Neuman 告诉IAPP 的隐私顾问,“联邦政府在某些非常古老的隐私法及其解释下运作……” 。“技术以闪电般的速度发展,人与技术互动的方式也同样快速发展,法律根本跟不上。该委员会将很好地决定如何将这些法律带入现代,并让隐私专业人士能够灵活应对。”
让我们一起努力
无论你是否相信苹果应该帮助 FBI 解锁攻击者的 iPhone,也无论你是否选择与政府分享网络威胁信息,汇集资源,或者用CFO 杂志的话来说“协调辩护”,都是有价值的。Sidley Austin 的律师合