2021-12-08 20:36

随着中国8月份出台类似GDPR的个人信息保护法和数据安全法，美国目前是世界上唯一一个在国家层面上没有数据保护法的大国。不过，这种情况可能很快就会改变。上个月，40多个维权团体发起请愿，要求国会通过一项国家数据隐私法。鉴于公众对这一措施的支持率达到了历史最高水平，不难想象他们会成功。

但数据隐私倡导者现在还不应该庆祝。虽然国家数据隐私法确实使天平向消费者倾斜，但它们没有解决勒索软件、数据泄露或选举干扰的最大潜在因素。解决这些问题需要企业对其客户的安全承担更大的责任，并努力保护数字生态系统。

充满风险的一年

2021是围绕数据隐私和在线安全的话语权的一年。我们不仅看到了恶意网络活动的普遍上升，引起了高度的公众攻击，而且在消费者层面上，2021的数据泄露数量已经超过去年总数的17%。

所有这些都来自于导致数据隐私风险增加的几个全球趋势的合流：

1.国际威胁行为者的复杂程度有所提高，能够更好地获得知识、工具和利用。

2.越来越多的互联设备（物联网、可穿戴设备和工业控制系统）在没有充分保护的情况下推向市场。

3.盗窃数据的黑市蓬勃发展，发展中国家的金融动机增强。

4.不断加剧的地缘政治紧张局势增加了民族国家参与选举干预和错误宣传运动的动机。

美国消费者明白他们是目标，他们想要更多的控制。理论上，数据隐私法为他们提供了一个简单的模板，让企业满足他们的需求——但现实更令人失望。

数据隐私立法：有缺陷的解决方案

从《加利福尼亚消费者隐私保护法》（CCPA）到《中华人民共和国个人信息保护法》（PIPL），2018年生效的欧盟GDPR一直是全球数据隐私立法的基础。但在这几年中，GDPR和类似GDPR的法规却因严重缺陷而受阻。即：

1.缺乏有意义的同意机制：世界各地的企业已转向同意管理平台（CMP）来处理GDPR合规性问题，导致互联网上出现令人恼火的“不跟踪”弹出窗口。但许多CMP没有向用户提供足够的信息，一些CMP甚至会将忽略弹出窗口解释为同意。

2.缺乏执行机制：试图规制互联网的主要困难始终是缺乏边界。如果没有一个世界性的机构或优秀的过滤式的解决方案，就无法在海外网站和应用程序上实施国家数据隐私法。同时，外国数据收集对国家安全以及个人隐私构成了风险。

有人说，第二个问题的解决办法在于国际合作。到目前为止，GDPR覆盖了所有27个欧盟成员国，最终，世界大多数国家都可以通过类似的立法。但最终，即使是这一解决方案也忽略了消费者最大的风险来源，即不受监管的第三方。

第三方：最大的数据隐私风险

继去年12月涉及SolarWinds的攻击之后，企业比以往任何时候都更加关注第三方风险。该漏洞影响了9个政府机构和数百家企业，表明即使是充满警觉的组织也可能被可信的第三方应用程序所破坏。

但许多人仍然没有意识到，这种风险的来源以第三方代码的形式存在于所有数字应用程序和网站中，这些代码支持内容推荐、媒体渲染、货币化功能等。如今，通过互联网传输的数据中有高达90%由第三方捕获和处理。

就像电子邮件一样，第三方代码能够向消费者提供目标内容，包括错误信息、网络钓鱼攻击、指向欺诈网页的链接等等。在最近的历史中，它推动了主要的刷卡活动。此前，它还应对影响8700万Facebook用户的剑桥分析数据丑闻负责。

企业如何管控？

到目前为止，数据隐私立法还没有以一种有意义的方式解决数字第三方带来的风险，而且归根结底，这是不可能的：恶意第三方隐藏在合法代码背后，隐藏在大型企业的技术背后。大多数组织甚至都没有意识到这一点——他们不知道他们的数字合作伙伴是谁，更不用说他们在哪里，或者他们在用客户的数据做什么了。

因此，企业需要实施长期监控其数据财产的战略，并在威胁出现时立即采取补救措施。笔者建议的策略包括：

1.扫描：连续的客户端扫描，以捕获在模拟用户会话上执行的代码。

2.数字攻击的地图：记录您的核心执行代码以及与站点功能的相关性。

3.锁定报告：对表面图之外出现的新域和cookie发出警报。

4.记录卡：生成全面的报告，以告知有关数字风险的执行决策。

在某些事情发生变化之前，互联网用户不会安全，也不会有任何立法让他们安全。虽然GDPR和类似法律是朝着正确方向迈出的一步，但想要保护客户的组织必须加快步伐，收回对其在线域名的控制权。而这，首先要做到监控数字合作伙伴的活动，并了解他们是谁。