ณ จุดนี้ ยากที่จะจินตนาการว่าอย่างน้อยข้อมูลส่วนบุคคลสล็อตแตกง่ายบางส่วนของคุณไม่ได้ขายในมุมมืดของอินเทอร์เน็ต ท้ายที่สุดการละเมิดข้อมูลก็เกิดขึ้นอย่างต่อเนื่อง บริษัทต่างๆ ดูดรายละเอียดของลูกค้า จากนั้นจึงพยายามอย่างเต็มที่ และสมมติว่าพวกเขาพยายามจริงๆ ให้ประกาศว่าข้อมูลดังกล่าวรั่วไหลหรือถูกแฮ็ก คุณรู้อยู่แล้ว; การประกาศการละเมิดที่ตามมามีลักษณะดังนี้: “อ๊ะ!! เราตกเป็นเหยื่อของการโจมตีทางอินเทอร์เน็ต และคุณก็เช่นกัน! ได้รับผลกระทบ ??? คนและเราคิดว่า ??? ข้อมูลมีส่วนเกี่ยวข้อง แต่เรายังคงคาดเดาได้ว่าเกิดอะไรขึ้น หวังว่าคุณจะมีระบบป้องกันการโจรกรรมข้อมูล ซึ่งบางทีเราเสนอให้ และอาจจะไม่ แต่ไม่ว่าอย่างไรก็รักเธอ! พวกเราคือครอบครัว! ได้โปรดกลับมาเร็ว ๆ นี้!”
สถานการณ์ทั้งหมดไม่ค่อยดีนัก
การละเมิดข้อมูลระดับสูงเป็นข่าวพาดหัวมานานหลายปี ในปี 2013 Target สูญเสียบัตรเครดิต บัตรเดบิต และข้อมูลอื่นๆ ของลูกค้าหลายสิบล้านราย ในปี 2561 แมริออทเปิดเผยการละเมิดข้อมูลซึ่งส่งผลกระทบต่อผู้คนมากถึง 500 ล้านคน ในปี 2020 ก็โดนอีกแล้ว ในปี 2564 แฮกเกอร์ได้รับข้อมูลลูกค้าจำนวนหนึ่งจาก T-Mobile ซึ่งบริษัทรายงานว่าพยายามและไม่สามารถกู้คืนได้ รายการการละเมิดดำเนินต่อไป
แน่นอน บริษัทเหล่านี้จะไม่จัดการกับสถานการณ์เหล่านี้
อย่างแน่นอน การละเมิดข้อมูลทำให้บริษัทต้องเสียเงินหลายล้านดอลลาร์และมักจะมาพร้อมกับความเสียหายด้านชื่อเสียงและบางครั้งอาจต้องเสียค่าปรับ ในขณะเดียวกัน นั่นไม่ได้หมายความว่าการสูญเสียข้อมูลผู้บริโภคอย่างต่อเนื่องเป็นที่ยอมรับได้ แน่นอนว่าเราอยู่ในยุคของอินเทอร์เน็ต และความเสี่ยงด้านความปลอดภัยบางอย่างก็หลีกเลี่ยงไม่ได้ แต่นั่นไม่ได้หมายความว่าคุณต้องยกมือขึ้นและยอมรับว่าข้อมูลของคุณปลอดภัย โดยพื้นฐานแล้ว ไม่มีที่ไหนเลย เป้าหมายและEquifaxesของโลกถูกปรับจำนวนมาก แต่ก็ยังมีอยู่ – ร่ำรวย และพวกเขายังคงดูดและสร้างรายได้จากข้อมูลส่วนบุคคลของผู้บริโภคอย่างต่อเนื่อง
มีเหตุผลง่ายๆ ที่บริษัทต่างๆ เก็บรวบรวมข้อมูลของเรามากมาย — เงิน — แต่ทำไมพวกเขาถึงได้รวบรวม เก็บไว้ และสร้างรายได้มากมายมหาศาลนั้นจึงซับซ้อนกว่า มีกฎหมายบางประการเกี่ยวกับความเป็นส่วนตัวและความปลอดภัยของข้อมูล แต่มีกฎหมายกระจายอยู่และโดยทั่วไปได้รับการจัดการตามรัฐและน่าจะดีกว่า บริษัทต่างๆ มักใช้ข้อมูลของเราผิดพลาด และไม่มีคำตอบที่ดีว่าต้องทำอย่างไรกับข้อมูลดังกล่าว
บริษัทหลังการละเมิดข้อมูล: Sry bae
ในเดือนกันยายน 2017 สำนักสินเชื่อ Equifax ได้ประกาศว่าข้อมูลของผู้คนกว่า 100 ล้านคนที่บริษัทถืออยู่ถูกบุกรุก ซึ่งรวมถึงหมายเลขประกันสังคม วันเกิด และที่อยู่ บริษัทใช้เวลาหลายสัปดาห์กว่าจะเปิดเผยการละเมิดต่อสาธารณะ และหลังจากนั้นไม่นาน CEO ก็ลาออกจากตำแหน่ง ในขณะที่มันยังคงป้องกันความเสี่ยงในสิ่งที่ถูกบุกรุกในการฝ่าฝืน ในปี 2019 Equifax ถูกปรับหลายร้อยล้านดอลลาร์โดย Federal Trade Commission (FTC), Consumer Financial Protection Bureau (CFPB) และระบุถึงการละเมิด นอกจากนี้ยังต้องใช้มาตรการอื่น ๆ รวมถึงการจัดทำรายงานเครดิตฟรีแก่ผู้บริโภคหกฉบับในแต่ละปีและให้การตรวจสอบสินเชื่อฟรีสูงสุด 10 ปีสำหรับผู้ที่ได้รับผลกระทบ ผู้ที่ตกเป็นเหยื่อการละเมิดข้อมูลควรจะสามารถเรียกร้องเช็ค 125 ดอลลาร์จากบริษัทได้ แต่เนื่องจากมีคนลงทะเบียนจำนวนมาก จำนวนเงินนั้นจึงถูกแปลเป็นเพียงเซ็นต์
จินและผู้หญิงมองเข้าไปในกล้อง
แต่หลังจากนั้น Equifax ซึ่งทำเงินได้ส่วนหนึ่งจากการขายข้อมูลส่วนบุคคลของผู้คนให้กับบุคคลที่สามไม่ได้เปลี่ยนแปลงแนวทางการดำเนินธุรกิจอย่างมากในการรวบรวมและขายข้อมูล แรงจูงใจพื้นฐานสำหรับบริษัทในการรวบรวมและสร้างรายได้จากข้อมูลให้มากที่สุดยังคงมีอยู่
Jamil Farshchi หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูลของ Equifax กล่าวในแถลงการณ์ถึง Vox ว่าบริษัทได้ลงทุนไปแล้วกว่า 1.5 พันล้านดอลลาร์เพื่อสร้างระบบความปลอดภัยและเทคโนโลยี “ตั้งแต่ต้นจนจบ” และว่าจ้างผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์กว่า 600 คนเพื่อพยายามปกป้องให้ดียิ่งขึ้น ข้อมูลผู้บริโภค “การให้คะแนนโดยอิสระหลายรายการแสดงให้เห็นว่าวุฒิภาวะและสถานะการรักษาความปลอดภัยของเราขณะนี้เกินค่าเฉลี่ยอุตสาหกรรมหลักทุกรายการ มีบริษัทเพียงไม่กี่แห่งที่ลงทุนเวลาและทรัพยากรมากขึ้นในช่วงไม่กี่ปีที่ผ่านมาเพื่อให้แน่ใจว่าข้อมูลของผู้บริโภคได้รับการปกป้อง” เขากล่าว โดยชี้ไปที่รายงานความปลอดภัยล่าสุด
ถึงกระนั้นก็ยากที่จะไม่สงสัยว่าสิ่งนี้เพียงพอหรือไม่ ท้ายที่สุด Equifax ยังคงเป็นหนึ่งในสามสำนักงานสินเชื่อรายใหญ่ในสหรัฐอเมริกาที่ผู้บริโภคต้องพึ่งพาเพื่อนำทางชีวิตทางการเงินของพวกเขา และธุรกิจของ บริษัท ก็ยังคงดำเนินต่อไป Equifax แม้จะผิดพลาดครั้งสำคัญ แต่ก็ไม่เป็นไร นอกจากนี้ยังเป็นหลักฐานว่าไม่มีคำตอบง่ายๆ เกี่ยวกับวิธีการจัดการกับการละเมิดข้อมูลหรือลงโทษบริษัทที่ทำผิดกฎหมาย ในขอบเขตที่มีกฎหมายที่บังคับใช้ตั้งแต่แรก
เริ่มจากช่องที่หนึ่ง: ไม่มีกฎหมายความเป็นส่วนตัวของรัฐบาลกลางในสหรัฐอเมริกา แทนที่จะเป็นกฎหมายของรัฐบาลกลางที่ครอบคลุมบางพื้นที่ (คิดว่าHIPAAกฎหมายความเป็นส่วนตัวของรัฐบาลกลางที่เกี่ยวข้องกับสุขภาพ) และกฎหมายของรัฐ ปัจจุบัน แคลิฟอร์เนีย โคโลราโด เวอร์จิเนีย และยูทาห์มีกฎหมายว่าด้วยความเป็นส่วนตัวของผู้บริโภคที่ครอบคลุมมากขึ้น (ผู้เชี่ยวชาญบางคนกล่าวว่ามีประสิทธิภาพมากกว่ากฎหมายอื่นๆ)
เริ่มจากช่องที่หนึ่ง: ไม่มีกฎหมายความเป็นส่วนตัวของรัฐบาลกลางในสหรัฐอเมริกา
ทั้ง50 รัฐมีกฎหมายที่กำหนดให้ธุรกิจต่างๆ และในกรณีส่วนใหญ่หน่วยงานของรัฐต้องออกการแจ้งเตือนเกี่ยวกับการละเมิดข้อมูล แต่พวกเขามักจะแตกต่างกันในสิ่งที่เกิดขึ้นต่อไปในแง่ของผู้ที่ได้รับอนุญาตให้บังคับใช้กฎหมายและดำเนินการตาม บริษัท ที่ทำผิดพลาด Caitriona Fitzgerald รองผู้อำนวยการศูนย์ข้อมูลความเป็นส่วนตัวทางอิเล็กทรอนิกส์ (EPIC) อธิบาย “บางรัฐมอบอำนาจให้ทนายความทั่วไปในการบังคับใช้กฎหมายละเมิดข้อมูล แต่พวกเขาไม่ได้ให้ทรัพยากรใด ๆ แก่พวกเขาในการทำสิ่งนี้” เธอกล่าว บางรัฐอนุญาตให้ใช้สิทธิในการดำเนินการส่วนตัว ซึ่งอนุญาตให้เอกชนฟ้องบริษัทได้โดยตรง แต่อาจเป็นเรื่องยากที่จะนำทาง ฟิตซ์เจอรัลด์กล่าวว่าศาลมักทำให้แต่ละบุคคลยากต่อการฟ้องร้อง เนื่องจากเป็นการยากที่จะประเมินความเสียหายและแสดงค่าใช้จ่ายของข้อมูลของคุณที่สูญหาย
ในระดับรัฐบาลกลาง ส่วนใหญ่เป็น FTC ที่ถูกตั้งข้อหาจัดการการละเมิดข้อมูล มันทำเช่นนั้นภายใต้พระราชบัญญัติ FTCซึ่งอนุญาตให้ดำเนินการตามแนวทางปฏิบัติที่ถือว่าหลอกลวงหรือไม่เป็นธรรม ได้นำมาซึ่งกรณีต่างๆเกี่ยวกับความปลอดภัยของข้อมูล ซึ่งรวมถึงUber , EquifaxและFacebookในเรื่องการจัดการความเป็นส่วนตัว แต่มีข้อจำกัดในสิ่งที่ FTC สามารถทำได้ บริษัทต่างๆ ไม่จำเป็นต้องพูดอะไรเกี่ยวกับวิธีที่พวกเขารักษาความปลอดภัยข้อมูล และอีกครั้งไม่มีกฎหมายความเป็นส่วนตัวของรัฐบาลกลางที่ร่างกฎเกณฑ์ใดๆ ปีที่แล้ว ศาลฎีกายังจำกัดความสามารถของ FTC ในการแสวงหาการบรรเทาทุกข์ทางการเงิน ซึ่งผูกมือของหน่วยงานให้ดียิ่งขึ้น
มีแนวคิดเกี่ยวกับ Capitol Hill ในการสร้างหน่วยงานด้านความเป็นส่วนตัวของข้อมูล ซึ่งรวมถึงจาก Sen. Kirsten Gillibrand (D-NY) และตัวแทน Anna Eshoo (D-CA) และ Zoe Lofgren (D-CA) ในทางทฤษฎี ความเป็นส่วนตัวของข้อมูลเป็นปัญหาสองฝ่าย แต่ปรากฎว่าสภาคองเกรสสนใจเพียงแค่ความเป็นส่วนตัวออนไลน์สำหรับเด็ก เป็นส่วน ใหญ่
ในระหว่างนี้ บริษัทต่างๆ ยังคงเก็บรวบรวมและสูญเสียข้อมูล
และเมื่อเกิดเหตุการณ์ดังกล่าว ผลที่ตามมาก็ล้นหลาม
Daniel Solove ศาสตราจารย์ด้านกฎหมายที่ George Washington University และผู้เขียนร่วมBreached! เหตุใดกฎหมายความปลอดภัยของข้อมูลจึงล้มเหลวและจะปรับปรุงได้อย่างไร ชี้ให้เห็นถึงตัวอย่างการแจ้งเตือนการละเมิดข้อมูล ซึ่งเขากล่าวว่าได้เกิดขึ้นตั้งแต่ประมาณปี 2548 เมื่อบริษัทต่างๆ เริ่มถูกขอให้แจ้งเมื่อมีการละเมิดเกิดขึ้น (ก่อนหน้านั้นหลายครั้งไม่มีใครรู้) ใช่ เป็นเรื่องดีที่บริษัทต่างๆ จะต้องพูดว่าเมื่อใดที่เกิดการละเมิดขึ้น แต่นั่นไม่ได้แก้ไขการละเมิด แต่ให้ความกระจ่างในเรื่องนี้ มันเหมือนกับที่หมอบอกคุณว่าคุณเป็นมะเร็ง และเมื่อคุณถามถึงขั้นตอนการรักษาต่อไป แพทย์ก็บอกว่าเท่านั้นแหละ ตอนนี้คุณก็รู้แล้ว “สมาชิกสภานิติบัญญัติชอบที่จะผ่านกฎหมายแจ้งเตือนการละเมิดเพราะดูเหมือนว่าคุณกำลังทำอะไรเพื่อความปลอดภัย แต่คุณไม่ได้ทำ” Solove กล่าว
มีแนวคิดมากมายเกี่ยวกับกฎหมายว่าด้วยความเป็นส่วนตัวและความปลอดภัยของข้อมูลที่ดีขึ้น รวมถึงการดูว่าบริษัทข้อมูลใดบ้างที่รวบรวม สิ่งที่พวกเขาทำกับมัน วิธีที่พวกเขาสร้างรายได้ และวิธีที่พวกเขาต้องปกป้อง . “ผู้บังคับใช้กฎหมายจำเป็นต้องเปลี่ยนแปลงแนวทางการดำเนินธุรกิจ” ฟิตซ์เจอรัลด์กล่าว
Solove โต้แย้งว่าองค์ประกอบความเป็นส่วนตัวและความปลอดภัยของข้อมูลจะต้องถูกจัดแยกส่วนให้น้อยลง โดยพื้นฐานแล้ว ความเป็นส่วนตัวที่ดีจะนำไปสู่การรักษาความปลอดภัยที่ดีขึ้น เขายังตั้งข้อสังเกตอีกว่า คุณยังได้รับอะไรมากมายจากบริษัทต่างๆ เท่านั้น การลงโทษอย่างชาญฉลาด หลังจากที่เกิดการรั่วไหลของข้อมูล รัฐบาลบางครั้งปรับธุรกิจเมื่อพวกเขาสูญเสียข้อมูล แต่การปรับเหล่านั้นจะมากพอที่จะทำให้เกิดบุ๋มจริง ตัวอย่างเช่น เมื่อ FTC ปรับ Facebook $5 พันล้านดอลลาร์จากความผิดพลาดด้านความเป็นส่วนตัวในปี 2019 ราคาหุ้นพุ่งสูงขึ้นหลังจากที่นักลงทุนค้นพบ
บ่อยครั้ง ค่าปรับจะถูกส่งต่อไปยังผู้ถือหุ้นและ พนักงานอยู่ดี และแม้ว่าในนามธุรกิจจำเป็นต้องเปลี่ยนแนวทางปฏิบัติทางธุรกิจ หากไม่เป็นเช่นนั้น พวกเขาก็จะถูกปรับอีก และอีกครั้ง ไม่มีบริษัทใดที่ต้องการประสบกับการละเมิดข้อมูล ในโลกสมัยใหม่ที่มีแฮ็กเกอร์และผู้ไม่หวังดีอยู่ ในระดับหนึ่ง พวกเขาหลีกเลี่ยงไม่ได้ คนหนึ่งถูกหลอกโดยอีเมลฟิชชิ่งและบูม
“ไม่มีกระสุนเงิน” โซโลฟกล่าว “การละเมิดจะไม่หายไป – จะมีการฝ่าฝืน” สล็อตแตกง่าย
