美国国会如何控制谷歌和FACEBOOK？

美国国会如何控制谷歌和FACEBOOK？

--立法者正准备承担数据隐私，但该法案的细节仍有待争取

由 Makena Kelly @kellymakena 2018年10月31日，美国东部时间上午9:00

Alex Castro的 插图

今年4月，马克·扎克伯格被召集到参议院商务和司法委员会，负责剑桥分析。这是一次残酷的听证会，立法者似乎已准备好接受新的监管。

“这对技术界来说应该是一个警钟，”有影响力的商务委员会主席参议员John Thune（R-SD）在听证会上说。

民主党也不温柔。“如果Facebook和其他在线公司不会或不能修复隐私侵犯，”该委员会的排名成员参议员比尔尼尔森（D-FL）说，“那么我们将不得不这样做。我们国会。“

六个月以及之后的几次听证会，国会仍在确定修正隐私可能意味着什么。在制定了像欧盟通用数据保护法规（GDPR）这样雄心勃勃的新数据共享法规之后，国会正在计划自己的数据隐私法，而它的编写方式对谷歌和Facebook这样的公司来说非常重要。

“问题在于法律应该采取什么样的形式。”

行业领导者和消费者权益倡导者已经对该法案的条款提出了异议，比如它是否会禁止各州制定更严格的隐私规则或确切地说如何定义个人信息。这场斗争将决定美国政府如何能够在可预见的未来限制掠夺性隐私做法。

“这些发展都将消费者数据隐私问题完全置于国会的门口，”Thune在上个月的商业听证会上表示。“问题不再是我们是否需要联邦法律来保护消费者的隐私。问题是法律应该采取什么样的形式。“

消费者对他们的数据有多少控制权？

GDPR之前和之后互联网最明显的区别之一是用户被要求同意收集数据的次数。在GDPR下，用户必须先提供某种形式的明确同意，然后公司才能抓取数据。他们也必须随时提供撤销同意的方法。无论细节如何，这些透明度和控制要求的某些版本将成为任何立法的核心。

一些最着名的“选择加入”法案是在剑桥分析公司丑闻之后提出的，认为这是用户同意的失败。许多法案试图通过要求用户选择收集或至少被告知他们的数据走向以及用于何种目的而试图考虑这个缺陷。众议员布莱克本（R-TN）浏览器法案和参议员Ed Markey（D-MA）同意法案要求边缘提供商在收集任何敏感数据之前要求用户选择加入。它与目前的型号不同，谷歌等公司在配置文件的设置选项中提供选择退出模型。

将FTC建立为强大的新联邦隐私执法者

但即使这些法案已经成为法律，它们也可能不会惩罚其他类似剑桥分析的事件。这两项法案仅涵盖社会安全号码，生物识别数据和精确地理位置数据等敏感信息。Cambridge Analytica处理的数据点通常不被视为“敏感”，如兴趣和位置签到。

在涉及违规后通知用户时，Sens.Amy Klobuchar（D-MN）和John Kennedy（R-LA）社交媒体隐私和消费者权利法案将强制执行72小时的披露窗口，该窗口与实施的披露相同由GDPR。Markey法案将指示联邦贸易委员会针对“合理可能发生损害”的情况制定违规披露要求。到目前为止，FTC在控制技术公司对隐私侵权行为负责方面没有太多权力。其中一些法案将向该机构灌输具有规则制定权限的机构，如FCC的电信管理机构，有效地将FTC建立为强大的新联邦隐私执法者。

还提出了在涉及用户控制时国会行动之外的其他方法。今年夏天，参议员马克华纳（D-VA）发表了一份白皮书，其中列出了一些监管技术的建议，包括将平台视为“ 信息受托人”的建议。基本上，这会将提供商重新分类为类似于属于医学，法律和金融，要求像Facebook这样的社交媒体平台不违反其用户的利益。这条规则可以由几个政府机构主持，比通过国会的任何法案都要快。如果获得批准，它将使这些公司达到比以往更高的标准。

什么算作敏感数据？

从历史上看，与信用卡信息和社会安全号码等更“敏感”的数据相比，电话簿中容易找到的个人详细信息并不被视为具有破坏性。然而，在过去十年左右的时间里，这种讨论已经发生了变化。对Reddit或OkCupid的匿名用户名附加的法定名称泄露可能会造成声誉和情感伤害，即使它在技术上并不构成违规行为。那些更严格的规则是坚定的消费者倡导者认为值得争取包括在立法中的东西。

“信息被盗会带来情感上的伤害”

通过像加州消费者隐私法案这样的措施，消费者对这些数据拥有更多的代理权 但是，任何立法的核心都在于如何定义“个人”或“敏感”信息。如果这些更基本的信息不包含在该定义中，那么如果违反用户名，电子邮件或地址，许多公司可能会毫无后果地滑行。

乔治城法律隐私与技术中心执行主任劳拉·莫伊说：“我们在过去几年中已经认识到，个人在更多的信息中拥有更广泛的隐私权，而不仅仅是可以用来窃取他们身份的东西。” “即使不是有关其财务状况的信息，信息被盗也会带来情感上的伤害。”

这个术语中的一些法案也与这个定义搏斗，列出了在规范隐私辩论的某些部分时应该涵盖哪些类型的信息，而忽略了那些不应该的数据形式。

给我们一个提示？ 使用SecureDrop或Signal安全地向The Verge发送消息和文件，而不会泄露您的身份。

Kennedy-Klobuchar法案将涵盖更多陈规定型的个人信息，如用户的电子邮件和电话号码，以及更敏感的信息。无论ITI和互联网协会已经制定了将扩展更大的控制，以用户在自己的数据框架，以确保他们能改正，删除所收集的信息。但在像ITI这样的提案中，用户只需明确同意收集敏感信息，而不是收集更多个人信息，如电话号码。

布莱克本和马基的账单更加有限，目标信息我们通常认为是“敏感的”.Klobuchar包含该信息，但它进一步扩展以涵盖更多个人详细信息，如电子邮件，电话号码和“足以识别名称的任何位置信息一条街道和一个城市或城镇，包括一个实际地址，“也是。如果将这些作为广泛的联邦法规的指导，那么像Klobuchar提出的更广泛的定义将极大地影响什么样的数据，如果被违反，将导致对公司的更严厉的惩罚。

本月早些时候，Facebook宣布在黑客通过安全漏洞获取登录凭据后，有3000万个帐户遭到入侵。根据Facebook，黑客只能获得一些基本的安全信息，如用户的姓名，电子邮件和电话号码。如果要通过Klobuchar法案，法律要求Facebook向用户披露这些更多个人信息的泄露。

弱联邦法可能会阻止更强大的州法律

随着国会的失败，一些最强大的隐私保护措施来自加州消费者隐私法案（CCPA）等州级法案。根据该法律，公司必须允许用户选择退出销售和收集其数据。如果一家公司继续这样做，消费者可以起诉他们。但行业领导者现在正在推动联邦法案中的先发制人条款，该条款将取代CCPA并禁止任何未来的州议案通过。如果包括该条款，即使是相对强大的联邦法案也可能意味着对加州这样的州的隐私保护退一步。

期待更多的听证会，调查信和呼吁联邦调查

行业领导者表示，制定单一的联邦标准将使企业更容易遵守新规则。但对于隐私组织而言，这只是一种游说反对各州强有力保护的方式。美国公民自由联盟高级立法法律顾问Neema Singh Guliani上个月在一篇专栏文章中表示，“通常是州立法机构 - 而不是国会 - 已经引领了保护消费者隐私的努力”。 “私营部门知道这一点，很多公司都在寻求制止它。”

所有50个州都有数据违规立法，一些州的强制规则使得Equifax在去年信贷监控公司大规模违规后全国范围内应用它们具有足够的吸引力。

“如果联邦标准强大并适应新的威胁，各州可能认为没有必要通过自己的法律来补充这些标准。但是，如果不是这样的话，保留他们的行动能力对公众有益，“古利亚尼说。

这仅仅是个开始

没有人知道国会何时会提出这些建议 - 可能不会很快 - 但讨论，听证会和拟议的立法确实表明立法者正在质疑在这些科技巨头中可以和应该做些什么。

在接下来的几个月里，期待更多的听证会，调查信和呼吁联邦调查，但不要指望像Facebook和谷歌这样的公司如何收集和传播你的数据有任何真正的，戏剧性的变化。商务部尚未提出其框架，但一旦宣布，它有可能进一步改变辩论。

到目前为止，大部分谈话都只是立法者为未来的争论标记其领土。当下一届国会召开会议时，这场讨论将会成为一个问题，国会将不得不决定如何利用Facebook等平台的新力量。