未能遏止數據泄露增勢！美國網絡安全法律體系被指存在重大缺陷

有研究指出，美國數據泄露通知制度未對網絡安全產生顯著影響，數據泄露事件依舊頻發；

研究提出了多種改進方案，如對規模以上公司進行網絡安全評分、實施強制網絡安全基線、改進法律問責制度等。

隨著科技的不斷發展，網絡攻擊也在持續增加，導致4億用戶的個人數據存在被竊取的潛在風險。作為應對，美國50個州政府相繼推出了數據泄露通知法（BNLs），要求公司在數據泄露時通知消費者。

近日，美國喬治梅森大學教授Brad Greenwood與明尼蘇達大學教授Paul M.Vaaler在《法律與經濟評論》期刊上發表論文指出，數據泄露通知法對整體安全保護幾乎沒有產生任何顯著影響。

研究人員使用了隱私權利清理中心（簡稱PRC）統計的數據。該組織整理了自2005年以來有關公司數據泄露的詳細信息。PRC的數據包括受影響公司、地點、原因以及泄漏記錄數量等信息。研究人員采用了雙向固定效應設計，也稱為“雙重差分”估計法。

研究旨在評估從2005年到2019年間，美國各州數據泄露通知法對數據泄露事件數量及規模有何影響。研究人員還采用美國聯邦貿易委員會（FTC）消費者哨兵網絡數據手冊的數據作為替代數據，剖析數據泄露通知法對后續欺詐和身份盜竊數量及規模的影響。

研究結果顯示，沒有證據表明數據泄露事件有所減少，或者泄露后數據的長期濫用有所減少。Greenwood指出：“統計結果非常不顯著，我們基本可以推定，因變量的影響是隨機的。”這表明，數據泄露通知法可能并未實現預期目標，未能減少數據泄露數量。

Greenwood列舉了數據泄露通知法失敗的一些原因。數據泄露通知法的目標是激勵公司增加網絡安全投資，避免因發布泄露通知而導致聲譽損害。但由于公眾對網絡安全失敗“普遍麻木”，這種激勵的效果被嚴重削弱。

他說，為了激勵公司采取切實行動，“必須提供經濟回報，或對未采取行動者施加經濟處罰。”

改進建議

Greenwood和Vaaler提出了幾種可能方案，以替代或補充數據泄露通知法。其中一項方案是，由聯邦貿易委員會為一定規模以上的美國公司進行網絡安全評分，以便人們比較它們的網絡安全狀況。

Greenwood補充道：“還可以通過聯邦立法規定最低安全協議，例如使用美國國家標準技術研究院廣泛認可的標準。這至少可以為預期行為設立法律基準。”

另一種可能的方案是改變當前的法律責任制度。目前，索賠人實質性損害的定損標準過高，這使得公司難以被起訴。“判例法在這方面正在逐漸發展。法院開始意識到，個人因網絡安全漏洞而花費的時間可以被視為損害，他們可以尋求賠償。但是，證明實質性損害的標準仍然相當嚴苛。”

Greenwood總結道：“就消費者保護而言，未來顯然是不確定的。但我們唯一確定的是，目前的保護制度只對網絡犯罪分子有利。”