美国国会本周提交了一项有争议的网络威胁信息法案,该法案的发起人和一些商业团体的领导人表示,隐私和数字权利团体夸大了对隐私的关注。
反对网络情报共享和保护法案(CISPA)的团体,介绍了在周三美国众议院情报委员会(House of Representatives Intelligence Committee)主席、密歇根州共和党众议员迈克·罗杰斯(Mike Rogers)是该法案的发起人之一。
(背景:奥巴马签署网络安全行政命令]
的法案将允许私人公司该法案规定,在美国,相互之间以及与政府机构共享与国家安全和网络犯罪有关的网络威胁信息,并给予以“善意”共享信息的公司免受客户诉讼的豁免权。CISPA还将允许政府机构与企业共享机密的网络威胁信息。
罗杰斯说,这项法案是必要的,因为公司害怕如果他们彼此分享网络威胁信息或政府,就会被起诉。
一些隐私和公民自由组织反对该法案,称该法案允许隐私公司在没有充分监督的情况下与政府机构分享广泛的个人信息。周四,就在众议院就CISPA举行听证会的同一天,数字权利组织“要求进步和为未来而战”(Demand Progress and Fight for the Future)表示,他们向国会提交了一份有30万人签名的请愿书,反对CISPA。
“根据该法案,只要是出于‘网络安全’目的,包括‘保护’网络等任何目的,个人信息都可以共享和获取,”为未来而战(Fight for the Future)联合创始人郑志伟(Tiffiniy Cheng)在电子邮件中写道。“你已经可以选择一系列符合这个(描述)的东西,大多数人会发现,这些东西是获取个人信息的可怕理由。”
但金融服务圆桌会议(Financial Services Roundtable)科技政策部门BITS总裁Paul Smocer在周四的听证会上表示,企业彼此之间或与政府机构分享的个人信息即使有,也很少。他说,公司将分享有关攻击类型和攻击来源的信息,而不是数据被泄露的客户的个人信息。
网络安全供应商Mandiant现在与客户共享攻击信息时,“这些数据是完全匿名的,”Mandiant首席执行官凯文•曼迪亚补充说。
Smocer认为,CISPA现行的隐私条款是充分的。
然而,在某些情况下,公司会共享可疑攻击者的IP地址,Smocer说。听证会上的证人没有谈到分享可疑袭击者的信息对隐私的影响。
情报委员会没有隐私或公民自由组织作证在CISPA听证会期间。
该委员会的大多数成员没有提出隐私方面的担忧,但加利福尼亚州民主党众议员亚当·希夫(Adam Schiff)询问证人,如果法案要求他们采取合理步骤删除个人信息,他们是否会拒绝分享网络威胁信息。四位商业证人都表示,这样的要求不会阻止他们共享信息。
希夫说:“美国人担心政府已经获得了大量的个人信息,而没有增加。”
商业圆桌会议(Business Roundtable)主席约翰•恩格勒(John Engler)表示,企业将准备好采取合理措施保护隐私。Engler补充说:“我们的目的和愿望是尽量减少风险,保护隐私。”“(对隐私)更大的威胁来自于攻击者试图将不应该公开的东西公之于众。”
但代表c.a马里兰州民主党人、CISPA联合发起人“Dutch”Ruppersberger质疑企业是否有责任从他们共享的威胁信息中删除个人信息。他问企业是否应该将未经过滤的威胁信息发送给政府机构,然后政府机构采取措施将个人数据匿名化。
鲁珀斯伯格说,一些企业抱怨说,他们没有资源来实时最小化个人信息。他说:“现在,我们的情报部门有能力在实时、大量的情况下做到这一点,将其最小化。”“因为我们的宪法,他们一直这样做。”
Smocer说,企业应该能够匿名化他们提供的数据。“信息提供者最适合匿名化这些信息,”他说。
“需求进步”项目主任穆恩说,数字权利组织反对CISPA,因为它要求美国居民相信私营公司和政府机构不会滥用他们的个人信息。
“再一次,国会试图保护企业在侵犯客户隐私时免受诉讼;再一次,CISPA的赞助商们坚称他们不会滥用这一权力,不会泄露用户个人信息,”他在一封电子邮件中说。“但在CISPA中,你找不到明确列出这些保护措施的地方。为什么CISPA的赞助商不把基本的隐私保护写下来?”
格兰特·格罗斯负责美国政府的技术和电信政策IDG新闻服务.在GrantGross的Twitter上关注格兰特。格兰特的电子邮件地址是grant_gross@idg.com。