当前位置:Linux教程 - Linux - 强制的安全

强制的安全



        
    



    内容:

    数字签名法令
    在线购物
    新的立法
    消费者的烦恼
    鉴定您网站保护个人信息的等级
    客户数据
    浏览会被控有罪吗?
    并不受欢迎
    参考资料
    关于作者




    适时的需要还是不受欢迎的干涉?
    Joe Rudich
    网络管理员
    2000 年 7 月


    在 6 月的最后一天,克林顿总统做了一件史无前例的事:他用一张智能卡,而不是钢笔将一项议案变为了法律。(事实上,在律师们争论古老的美国宪法是否可以灵活到允许数字签名的时候,书面文件还是被人工签署的。)克林顿是如何签署这项法令的无疑将吸引绝大部分人的注意,但这项法令本身也同样的重要:全球和国内商业法案中的电子签名会使数字签名在功能上完全等同于多种笔头签署工作。

    数字签名法令
    “数字签名”法令的影响可能涉及范围广大。对于在线销售商来说,它同时提供了机遇和责任:有了美国政府盖章通过的标准化安全措施能进一步加强在线消费者的权益保护,但同时为确认帐户制定了规则与程序。白宫官方通讯稿明确地称该新法令“保证了政府机构有权执行法律、保护公众利益,并在电子世界中实现他们的目标。”换句话说,现在联邦对于在线业务的操作有了发言权。

    这可能是数字签名法令以及近期各种联邦和州机构所采取的行动中最为重大的成果。早有迹象显示,这是快速发展的立法趋势的一部分;如果继续下去,在线服务供应商和商人为客户及其站点内容的安全提供保障的方法将将不再存在选择问题。事实上,站点所有者甚至无权选择是否采取行动来保护个人隐私和安全,更不用说采取什么方法了。

    在线购物
    至今,由于导致因特网上消费者经济损失的在线犯罪数量不大,因此公众对于在线金融风险的关注也被忽视了。(事实上,使公众产生最大关注和恐惧的“在线犯罪”是收到带有 "I Love You" 病毒的电子邮件。)而消费者们真正关心的似乎是他们每次在线购物时,隐私可能会受到侵犯。

    对于那些诸如消费者协会和国家消费者法律中心等消费者权益保护组织来说,它们的关注已经足够引起注意了,而立法者现在也加入其中。 总统候选人和州检察官都表达了日渐强烈的愿望,即通过立法来抵制侵犯隐私的行为。5 月份时,联邦贸易委员会向美国国会和参议院递交了一份全面的报告,声称因特网业界在自我规范方面的工作相当“匮乏”,并建议美国联邦政府通过相关法令来避免对在线消费者隐私的私自利用。

    FTC 的报告对于一些业界成员来说是个打击,他们害怕的不仅是这些针对个人隐私方面的法律会增加其成本并限制其站点管理方法的选择余地,而且这样的法律的制定可能预示着一个趋向,即越来越多关于管制在线产业的法律会出台。FTC 是联邦政府的“默认”个人隐私保护组织,然而直到出现五月的报告之前,该机构在自我规范政策方面一直是站在因特网业界一边的。

    新的立法
    政府中不止是 FTC、美国国会以及总统希望寻找机会将一些立法嵌入因特网产业中去。全美检察官协会 (NAAG) 两年前曾组织一些独立的州加入到赢得了烟草争议解决的强大队伍中去,今年又参加了司法部对微软的反垄断诉讼。甚至连在总统竞选一开始就企图得到硅谷及其他科技公司支持的 George W. Bush 也在谈论能对电子销售商加强控制的新立法。在最近的一次采访中,Bush 称:“我想应该有法律能说,不经我的允许任何公司不能使用我的个人信息。”

    消费者的烦恼
    FTC 五月的报告可能令自我规范的支持者们失望了,然而这对于因特网产业来说并不是一个完全的意外。消费者对于缺乏在线隐私保护的烦恼已随着因特网的使用而逐渐增加,而委员会 200 页的报告包括了从收集 Web 浏览者信息的因特网站点的研究中得出的结果。一项支持此广泛建议的数字是:研究发现在拥有每月 39,000 多个访问者的网站中,只有 20% 保护消费者的个人隐私(尽管这一数字在最受欢迎的 100 个站点中上升到了 42%),这有力证明了业界对自我规范的需求并未起作用。 FTC 的主席 Robert Pitofsky 说:“委员会的大多数人认为单靠自我规范而不运用立法不太可能为在线消费者提供其寻求的、也理应得到的保护。”只有五分之一的委员不同意报告所作出的结论。

    鉴定您网站保护个人信息的等级
    如果想知道您自己的站点针对关于个人隐私情况的调查报告将做些什么 -- 或已经做了些什么 -- 请用以下四个 FTC 认为是安全站点要素的因素进行自评:

    说明 -- 关于收集的信息及其如何使用的明确而显著的说明
    选择 -- 让消费者选择是否愿意将个人信息用作完成交易以外的用途
    合理的访问权 -- 消费者应该有权访问从他们那里收集的信息,并有一个合理的机会来修正错误或删除数据
    充分的安全性 -- 公司应该保证正当处理消费者信息,以防止未被授权的访问或身份盗窃
    对于一些人来说,这些危急的问题看起来很小;事实上,有时候人们会辩解说“个人隐私”在这里为了引起更大的公众关注与担忧而被过分强调了。个人信息是辩论的中心,但在大多数情况下,这并不是那些通常被视为高度机密的数据。(然而至少有一种情况发生了,其结果是敏感性不容争辩的信用卡及持卡人信息的被盗,其责任很大程度上在于在线销售商所采取的疏忽的安全措施。)

    客户数据
    最常透露的个人数据为姓名、电子邮件地址、联系信息以及 Web 用户的购物及浏览习惯。许多在线销售商收集了用户的全面信息。有时他们自己使用这些信息来发送销售通知或其他市场营销材料;有时,受欢迎的网站会收集用户数据然后转卖给他人。

    内部使用客户数据往往能得到一部分客户的原谅,但散发这些信息事实上激怒了所有遇到这种行为的人。那些为这一做法辩护的人声称这并非真正地侵犯个人隐私。而是与在百货商店或购物中心观察某个人的实际路线相同 -- 任何人只要愿意,就能够收集到此信息。当然,在电子交易出现以前,有关在大范围跟踪一个现实中的客户的行为是无法避免的。自从计算机第一次实现这种行为以来,就不能简单地将现实世界中的规则延伸到虚拟世界里来解决问题了。

    浏览会被控有罪吗?
    数据收集是否属于侵犯个人隐私,通过其产生的效果已经得到了肯定的回答。至少,出售客户联系信息能直接导致因特网用户的电子邮件帐户充斥着不请自来的垃圾邮件。公众的呼声已经表明了这是不能容忍的,但是依然存在着潜在的更多滥用。收集到的在线数据所针对的市场主要集中在其他销售商和市场营销公司(如网站广告布置方面的领头羊 DoubleClick, Inc.)。而关于用户在线习惯的数据的使用能轻易地延伸到如离婚等的审判证据或民事诉讼中去。如果消费者们发现浏览也有可能受到牵连的话,那么 web 的使用本身也会严重滑坡。

    个人隐私的拥护者对 FTC 的报告和建议表示欢迎。“三年的业界自我规范并未达到大多数消费者所期望的目标,”反广告服务 Junkbuster 的主席 Jason Catlett 这样说道。同时,根据市场调查公司 Forrester Research Inc. 于 1999 年 10 月所作的调查, 90% 的消费者希望对于如何使用被他人收集的信息有所控制。于 2000 年 3 月进行的一项 Business Week/Harris 投票表明, 57% 的投票者倾向于由法律来保护个人隐私,而 56% 的人表示如果能够选择,他们愿意选择不参与任何收集计划。

    在其他个人隐私拥护者中,Catlett 觉得实际上 FTC 的建议 -- 连同 FTC 本身 -- 都不够。“我们需要一个独立的机构,”他说,影射试图为个人隐私专门创建一个单独的政府部门的想法,这个想法得到了世界其他多数经济发达国家的响应。

    迄今为止,从科技公司自身得到的反应鲜有记录。有些人竟也对其作了评论,至少是公开的。Gary Clayton 是一家名为 Private Council 的科技公司的 CEO,该公司建议发展中的电子商务企业自行开发个人隐私条款。然而,当 Clayton 评论可能有效代替他的服务的立法的前景时说,“任何能改进消费者信任的措施可能都是好方法。”

    并不受欢迎的改变
    就像政府的规章制度一样,电子签名的使用和个人信息的保护可能是在线交易在发展过程中不可避免的趋势。但是,对于所有有关方面来说,它们并不都是受欢迎的改变,而它们导致的结果可能更不受人欢迎。数字签名法令可能是针对因特网业界制定的最为强有力的立法,并且它是在 FTC 向因特网的规章制度发起抵制的时刻制定的。

    同时,司法部最近在针对微软的过程中所取得的胜利鼓励了那些曾一度羞于干涉高科技领域的规章制度制订团体或消费者权益保护组织。如果曾鼓励政府参与反对 Bill Gates 及其公司的那些公司最终希望他们未曾将联邦和州牵涉到立法中来的话,那就够讽刺了。如果说微软看起来像个 800 磅重的大猩猩的话,那么政府管理者则绝不亚于金刚。

    参考资料

    请参阅 BusinessWeek.com 上的电脑空间:http://www.businessweek.com/1999/99_12/b3621069.htm class=green target=_blank>谁来制定规则?
    请访问 Junkbusters 反广告服务,阅读 Jason Catlett 关于个人隐私与声明的评论
    请访问 Privacy Council 网站以获取关于辨认智能个人隐私及数据的建议
    关于作者
    Joe Rudich 是明尼苏达州圣保罗的圣保罗公司的网络管理员。能通过电子邮件 [email protected] 联系他。

    发布人:netbull 来自:IBM developerWorks 中国网站