个人数据安全的徒劳：数据泄露如何揭示数据采集中的根本问题

万维网的出现以及随后建立在其最终在 21 世纪得到广泛普及的基础上的技术，将世界各地的人们连接在一起。虽然没有人会贬低互联网带来的巨大益处，但我们也应该仔细考虑这枚闪耀的技术硬币的另一面。互联网似乎无限，它带来的问题也同样无限。与互联网发展同步出现的最阴险问题之一，就是人们自愿，而且常常是强制性地提供有关自己的信息的数量之多。

自从 Facebook 参与 2016 年大选的剑桥分析丑闻曝光以来，将个人信息出售给第三方应用程序和数据收集者的公司已进入公众视野。然而，对数据追踪的意识提高并不意味着普通人，尤其是普通美国人，了解他们被追踪数据的程度以及这些数据可能去往何处。此外，皮尤研究中心 2017 年的一项研究表明，很大一部分美国人对网络安全主题知之甚少或存在错误信息。^[1] 很多时候，缺乏意识也源于人们认为基本的安保措施可以防止网站收集个人的数据，或者认为网站只拥有用户故意输入的数据，例如用户的用户名、密码、出生日期等，这通常是大多数互联网网站的基本注册流程。

然而，这仅仅是网站，特别是像 Facebook 及其附属公司 Instagram 和 WhatsApp 这样的大型社交媒体网站收集的信息的冰山一角，而这些信息通常会被恶意数据泄露事件和泄露事件幕后人员从网站数据库中获取的信息所揭示。观察一些最大的数据泄露事件，例如雅虎^[2] 和剑桥分析数据泄露事件，可以说明这些泄露事件有多少次不在个人控制范围之内。再加上 Statista 报告称数据泄露事件数量逐年增加，在美国对个人数据可以收集什么进行国家层面的改革，就像欧盟的通用数据保护条例 (GDPR) 一样，成为一项明确的必要措施。

数据泄露事件一直在发生，只要数据被收集就会发生，但互联网的出现以及随后大多数数据转移到数字存储中，只会导致每年数据泄露事件数量增加，而每次数据泄露事件中受影响的人数则呈指数级增长。虽然过去从被盗文件和员工泄露的信息中获得的数据并不鲜见，但在线收集和存储的数据对任何怀有恶意意图并知道如何绕过安全系统的人来说都是独一无二的脆弱点。当然，绕过为保护人们信息而设置的强大安全系统并非易事，但无论采取什么安全措施，安全都无法阻止——甚至减缓成功的泄露事件。正如 Statista 自 2005 年以来收集的数据所示，数据泄露事件的数量增加了十倍，从 2005 年的 157 起影响 6690 万条记录，到 2021 年达到峰值，达到 1862 起泄露事件，影响 2.9808 亿条记录。^[3] 在个人信息已成为可以出售给最高出价者的商品，而且常常被用于洞察用户群以操纵个人选择的情况下，这种隐私侵蚀是不可避免的。

个人信息被用来操纵用户意见的最引人注目的例子是，举报人克里斯托弗·怀利揭露剑桥分析公司如何收集 Facebook 用户的数据以及随后发布针对性帖子以在 2016 年美国总统大选中影响选民。怀利在接受有关剑桥分析公司目的的采访时解释说：“我们利用 Facebook 收集了数百万人的资料。并建立模型来利用我们对他们的了解，并针对他们的内心恶魔。这就是整个公司的基础。”^[4]

这是对隐私前所未有的破坏，更大的问题是 Facebook 在剑桥分析公司收集数百万用户数据事件曝光后如何处理数据泄露事件。Facebook 在确保用户数据安全方面行动迟缓，只是在事件发生后几个月才发布了一封信，要求删除收集的数据，而且几乎没有采取任何措施来确保数据不再落入第三方手中。^[4] 正如数据保护专家和 Facebook 参与事件调查的前沿调查员保罗-奥利维耶·德海耶解释的那样，尽管有证据表明 Facebook 在泄露事件发生后没有尽到应有的责任，但“Facebook 一再否认。它误导了议员和国会调查人员……它有法律义务向监管机构和个人通报此数据泄露事件，但它没有做到。”^[4] 不幸的是，Facebook 拒绝承认数据泄露事件的真实情况，以及随后对其发生后数据去向缺乏透明度，是公司淡化其参与程度和泄露事件严重程度的常见做法。

目前，美国没有关于公司向受影响个人披露数据泄露事件的联邦标准，虽然大多数州都通过了关于数据泄露事件透明度的法律，但对违反合规行为的要求和处罚往往各不相同。网络安全专家特洛伊·亨特概述了公司对数据泄露事件的反应，同时概述了在应对数据泄露事件时的最佳做法，以及公司的道德责任所在。从他的比较中可以明显看出，虽然有一些公司会在数据泄露事件发生后立即以透明的方式做出反应，但公司更有可能试图回避问题，直到迫不得已才解决问题。^[5]

此外，公司常常试图模糊曝光数据的意义，例如发表声明向客户保证，与帐户相关的信用卡或付款信息没有被盗，只是电子邮件地址和类似的，看似无关紧要的信息。然而，通过数据泄露事件，尤其是用户个人信息发现的未加密信息，总是与用户在线存在的其他方面有关，并会导致超过原始泄露网站的漏洞。据阿里克斯·朗戈报道，在 2017 年 T-Mobile 数据泄露事件的受害者梅根·克利福德的经历中，黑客获得她的手机号码，导致他们能够访问她的几乎所有帐户，“现在有人知道了她的手机号码，他们就可以进入她的银行帐户，并获得她手机上的常用应用程序（包括 Venmo 和 iTunes）的访问权限。”^[6] 除了像克利福德遇到的手机号码盗用骗局外，获得电子邮件列表通常会导致有针对性的网络钓鱼诈骗，或者可以出售给其他方以进一步利用。

由于缺乏对泄露事件后果的标准化，赔偿和责任通常是根据个案确定，而受影响的用户很少能在法律上追究被盗数据的责任，因为下级法院一直难以界定数据泄露事件带来的损害。正如索洛夫和西特龙在《德克萨斯法律评论》上发表的一篇论文中总结的那样

在过去二十年中，数百起案件中的原告都试图为因数据安全不足导致的数据泄露寻求赔偿。在大多数情况下，有证据表明被告未能对保护原告数据采取合理措施。然而，大多数案件并没有围绕被告是否应承担责任展开。相反，案件一直被损害问题所困扰。无论被告在安全方面如何失职，无论被告对先前的黑客攻击和数据泄露事件有多么警惕，如果原告无法证明存在损害，他们就无法在诉讼中胜诉（739）。^[7]

这篇论文进一步提供了实例，说明即使有明确的证据表明数据泄露事件传播的数据可能导致损害，但由于法院无法以具体的方式界定损害，原告在诉讼中也未能胜诉（779）。^[7] 鉴于通过互联网使用收集的关于个人的信息数量之多，以及在某种程度上没有在线足迹就无法在现代社会立足，数据泄露事件带来的负担不应由受影响的个人承担。然而，在美国，由于缺乏围绕收集的数据以及如何处理这些数据的规定，责任最终落在了个人身上。

个人数据隐私方面的规定显然需要通过，幸运的是，已经有一个有效的例子可以用来构建联邦法规，即通用数据保护条例 (GDPR)，该条例是欧盟于 2018 年 5 月批准的欧盟条例。GDPR 的目标是将个人数据的权力交回用户手中，以最大限度地降低风险，并在发生数据泄露事件时更进一步提高透明度。GDPR 被证明对公司来说是一个复杂的合规体系，但它本质上旨在允许用户请求有关网站收集哪些数据的相关信息，并在需要时永久删除数据记录。GDPR 还对未能及时以透明方式报告数据泄露事件的公司进行处罚，并且延迟越久，自最初通知泄露事件发生以来的时间越长，处罚就越重。

安全专家 Saryu Nayyar 在其《福布斯》文章“为了简单起见，企业希望有一套统一的标准监管要求来满足。这正是 GDPR 所做的事情，它取代了欧盟各成员国制定的众多不同的法规。”^[8] 正如她在文章中指出的，各州已开始通过有关数据泄露的法律，但缺乏标准化会为公司创造一个难以遵守的环境，并为那些不打算遵守的公司创造漏洞。美国用户已经看到了 GDPR 对公司产生的影响，这些公司不得不改变其隐私政策以符合 GDPR，并且已经存在针对特定数据集合的有关数据隐私的联邦法规，例如 FTC 对医疗记录泄露的规定。由于这些系统已经到位并正常运行，统一的监管不再是不可想象的。

与任何市场一样，数据收集需要受到监管，并制定执行规则以保护消费者免受不良商业行为的侵害，无论是有意恶意还是其他原因。虽然必要性正在成为一个越来越突出的问题，但在联邦层面上，关于数据收集和对数据泄露的应对措施尚未发生任何重大变化。除非有足够的改变要求，否则最终要由美国个人来保护其在互联网上可访问的自身数据和信息。网络安全专家建议为每个创建的帐户使用独特的强密码，并启用双因素身份验证，并在密码管理器下管理这些密码。此外，使用 VPN 来屏蔽互联网活动和 IP 地址以防止提供商和关联公司访问也是一个好习惯，就像使用不以收集用户数据为盈利的互联网浏览器一样。然而，这最终是对更大的数据收集问题的一种权宜之计，该问题是不必要的和过度的，只有类似 GDPR 的法律才能开始解决这个问题。

参考文献

↑ Olmstead, Kenneth 和 Aaron Smith。“公众对网络安全的了解。”皮尤研究中心：互联网、科学与技术，2017 年 3 月 22 日，
↑ Brown, Shelby。“Robinhood 数据泄露很糟糕，但我们已经看到了更糟糕的事情。”CNET. 2021 年 11 月。/
↑ Statista。“网络犯罪：2005 年至 2022 年美国数据泄露事件的数量和受害者数量。”Statista，2022 年 8 月 31 日。
↑ ^a ^b ^c Cadwallader, Carole 和 Graham-Harrison, Emma。“揭露：5000 万个 Facebook 个人资料在重大数据泄露中被用于剑桥分析。”卫报。2018 年 3 月。
↑ Hunt, Troy。数据泄露披露 101：如何在失败后取得成功。2017 年 3 月。https://www.troyhunt.com/data-breach-disclosure-101-how-to-succeed-after-youve-failed/
↑ Langone, Alexandra，“互联网时代个人隐私和数据安全”（2017）。CUNY 学术作品。https://academicworks.cuny.edu/gj_etds/506
↑ ^a ^b Solove, Daniel J 和 Danielle Keats Citron。“风险与焦虑：数据泄露损害理论。”德克萨斯法律评论，第 96 卷，2017 年 12 月，第 737-786 页。
↑ Nayyar, Saryu。“美国是否需要 GDPR 版本？”福布斯。2022 年 2 月。

[1] Olmstead, Kenneth 和 Aaron Smith。“公众对网络安全的了解。”皮尤研究中心：互联网、科学与技术，2017 年 3 月 22 日，

[2] Brown, Shelby。“Robinhood 数据泄露很糟糕，但我们已经看到了更糟糕的事情。”CNET. 2021 年 11 月。/

[3] Statista。“网络犯罪：2005 年至 2022 年美国数据泄露事件的数量和受害者数量。”Statista，2022 年 8 月 31 日。

[:0-4] Cadwallader, Carole 和 Graham-Harrison, Emma。“揭露：5000 万个 Facebook 个人资料在重大数据泄露中被用于剑桥分析。”卫报。2018 年 3 月。

[5] Hunt, Troy。数据泄露披露 101：如何在失败后取得成功。2017 年 3 月。https://www.troyhunt.com/data-breach-disclosure-101-how-to-succeed-after-youve-failed/

[6] Langone, Alexandra，“互联网时代个人隐私和数据安全”（2017）。CUNY 学术作品。https://academicworks.cuny.edu/gj_etds/506

[:1-7] Solove, Daniel J 和 Danielle Keats Citron。“风险与焦虑：数据泄露损害理论。”德克萨斯法律评论，第 96 卷，2017 年 12 月，第 737-786 页。

[8] Nayyar, Saryu。“美国是否需要 GDPR 版本？”福布斯。2022 年 2 月。

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]