연방 개인 정보 보호법 (및 3 가지 다른 보안법)의 통과를 방해하는 가장 큰 분쟁 지점은 무엇입니까?
정치, 빨간 테이프 및 경쟁 관계가 종종 발전하는 과정에서 정부는 달팽이 속도로 움직이는 것으로 악명이 높습니다. 반면에 기술은 번개처럼 움직입니다.
불행하게도, 이러한 이중성은 특히 혁신율이 기업의 기술 및 소비자 데이터 사용으로 인해 발생하는 개인 정보 위협으로부터 개인을 보호하기 위해 고안된 규제를 통과 할 수있는 능력을 초과 할 때 문제를 일으킬 수 있습니다.
예를 들어, 2019 년 워싱턴 주에서 포괄적 인 데이터 개인 정보 보호법을 통과하지 못한 경우를 생각해보십시오. 지난 XNUMX 월 워싱턴 개인 정보 보호법이 폐지 된 한 가지 이유는 비평가들이 정부의 안면 인식 사용에 대해보다 엄격한 제한을 요구했기 때문입니다. 개인 정보 보호 옹호자들은 기술이 방해가되고 악용하기 쉽다고 걱정하지만, 기술 제조업체는 계속해서 비즈니스를 혁신하고 성장시킬 수 있기를 원합니다.
이는 새로운 개인 정보 보호법이 제안 될 때마다 반복되는 밸런싱 행위입니다. “회복 컴퓨터 과학 전공으로서, 저는 기술의 발전이 삶의 질을 향상 시켰음을 알고 있습니다. 그러나 데이터 보안을 개선해야한다는 긴급한 필요성을 무시할 수는 없습니다.”법원, 지적 재산권 및 인터넷에 관한 하원 사법 분과위원회에서 일하는 Ted Lieu (D-Calif.) 대변인은 말합니다. "기업이 개인 데이터를 사용하지 않고 소비자를 어두운 곳에 두지 못하도록 법적 제한을 두어야합니다."
1 년 2020 월 49 일 현재, CCPA (California Consumer Privacy Act)라는 랜드 마크가 공식적으로 발효되어 50 개의 다른 주가 소송을 따르고 있습니다. 여전히 XNUMX 개 주 모두에 적용되는 연방 소비자 개인 정보 보호법을 만들려는 노력은 여전히 진행 중입니다.
SC 미디어는 일련의 보안 및 개인 정보 보호 전문가에게 연방 개인 정보 보호법의 통과를 막는 가장 큰 분쟁의 여지가 있다고 생각하는 것에 동의하지 말라고 요청했습니다. 데이터 침해 통지, 사물 인터넷의 보안에 대한 표준을 만드는 미국의 추가 법률은 말할 것도 없습니다. 해커로부터 장치를 선택하고 선거 기술을 보호합니다. 그들이 말한 내용은 다음과 같습니다.
소비자 프라이버시 법률
CCPA가 2018 년에 통과하는 데 어려움을 겪은 과정은 Sen. Maria Cantwell (D-Wash. ) 및 최근 제안 된 2019 년 미국 소비자 데이터 개인 정보 보호법 (R.Miss. Sen. Roger Wicker)이 후원합니다.
사이버 보안 회사 인 Crypsis Group의 부사장 인 Art Ehuan은 이러한 잠재적 법률이 의회 내에서 논의됨에 따라“대폭 증가 된 비용, 생산성 저하, 더 많은 서류 작업 (동의 형식 등)을 기반으로 이의를 예상 할 수 있습니다. ) 소비자와 기업, 그리고 주정부 프로세스에 대한 연방 개입.”
거시적 차원에서 이러한 유형의 입법을 살펴보면 전문가들은 가장 큰 문제는 크게 연방 선점권과 사적 행동 권리라는 두 가지 주요 영역으로 요약 될 수 있다고 지적합니다.
선점 문제는 보편적 연방법이 모든 개별 주 입법을 효과적으로 대체 할 것인지 또는 주정부가 여전히 자신의 표준을 시행 할 권한이 있는지, 특히 의회가 통과 한 타협 법보다 더 엄격한 경우를 중심으로합니다.
전자의 관점은 기업이 하나의 규칙을 따를 수 있도록하는보다 비즈니스 친화적이고 통일 된 접근법이며, 후자는 전자 프론티어 재단 (EFF)과 같은 프라이버시 권리 옹호자와 시민 자유 단체에 더 호소합니다.
“우리는 더 약한 하나의 연방 법률을 대가로 더 강력한 주 프라이버시 법률을 완전히 지우는 연방 법률에 대한 경고를 오랫동안 울 렸습니다. 연방 프라이버시 법안을 검토 할 때 주법의 선점을 피하는 것이 우리의 최우선 과제입니다.”라고 EFF의 부 책임자 인 Gennie Gebhart는 작년에 조직 웹 사이트에 게시 된 기사에서 썼습니다. “주 의회는 오랫동안 '민주주의 연구소'로 알려져 왔으며 현재 데이터 프라이버시 보호를 위해 그 역할을 수행하고 있습니다. 강력한 법률을 통과시키는 것 외에도 주법은 기술과 사회적 규범이 계속해서 변화함에 따라 더욱 역동적 인 대화를 가능하게합니다.”
그러나 기술 발전을 지원하는 싱크 탱크 인 정보 기술 혁신 재단 (Information Technology and Innovation Foundation) 부회장 인 Daniel Castro는 국가의 권리를 위해 싸우는 프라이버시 옹호자들이“타협을 추구하기보다 강력한 규칙을 추구하고있다”고 말합니다. Castro는 선점을 "최선의 옵션이자 대부분의 비즈니스에 유일한 실용적인 옵션"이라고 부릅니다.
위험 관리 회사 인 Liberty Group Ventures의 사장 겸 관리 파트너이자 Cyber Readiness Institute의 전무 이사 인 Kiersten Todt는 연방 입법부가 미국 전역의 개인 정보 보호 정책을 결정하기 전에 먼저 주 차원에서 더 많은 작업을 수행해야한다고 믿습니다. 개인 정보 보호에 대한 기대와 정의는 지역마다 다를 수 있습니다.
(사실 Todt는 미국 시민이 디지털 프라이버시를 요구할 때 대체로 "자신의 데이터 통제"를 요구한다고 생각하므로 개인 정보를 자신이 선택한 당사자와 공유 할 수있는 권한이 있습니다. 그러나 그것은 하드 코어 옹호 단체가 추진하고있는 프라이버시의 정의 일 필요는 없으며, 이는 입법 노력을 더욱 복잡하게 할 뿐이라고 그녀는 말합니다.)
“연방 차원에서 우리가 도전을받는 곳은 시민으로서 프라이버시를 바라 보는 모든 방식입니다. 그래서 저는 이것이 주 차원에서 해결해야 할 문제라고 생각합니다.”한때 버락 오바마 전 대통령의 사이버 보안 고문이었던 Todt는 말합니다. "우리는 각 주가 자신의 방식으로 프라이버시를 바라 보게 한 다음 서로에게서 배우고 잠재적으로 연방 법률을 검토 할 수있는 다양한 접근 방식을 배울 수 있어야합니다."
Ehuan은“아마도 해결책은 국가 대표 및 업계 전문가 참여를 통해 강력한 보안 자문 패널을 만드는 것입니다. 여기서 지침을 작성하고 공개 검토 및 논평을 위해 공개 할 수 있습니다. 지역 간 균일 성 향상”
궁극적으로 연방 의회는 어떤 프라이버시 표준을 체계화해야 할뿐만 아니라 비준수 범죄자를 처벌하는 방법에 대한 합의에 도달해야합니다. 미국 정부 기관 및 규제 기관은 재정적 처벌을 제정 할 책임이 있습니까? 또는 소비자가 피해를 입지 않은 경우에도 손해 배상을 청구 할 수있는 사적인 행동 권한이 있어야합니까?
“사적 소송 권이 없으면 연방 거래위원회와 주 법무 장관이 집행에 대한 전적인 책임을집니다. 이를 위해서는 직원을 크게 늘려야합니다. 그리고 그러한 증가에도 불구하고 집행은 최소화 될 것입니다.”라고 DataMinding의 CEO 겸 설립자 인 Francoise Gilbert는 말합니다. 적절한 사례 : California AG 사무소는 CCPA에 따라 연간 몇 건의 사례 만 기소 할 것으로 예상하고 있습니다.
“개인의 소송권은 위반자를 [처벌]하는 소비자의 능력을 향상시킬 것입니다.”라고 Gilbert는 계속 말합니다. 그러나 “대개 이러한 사건은 일반적으로 집단소송의 형태로 끝나며, 궁극적으로 소비자는 자신이 입은 피해에 대해 거의 보상을 받지 못합니다.
피고가 지불한 손해배상금의 상당 부분은 소송비용 지불에 할당됐다”고 밝혔다.
민주주의 및 기술 센터의 개인 정보 보호 및 데이터 프로젝트의 정책 고문 인 Joseph Jerome은 IAPP (International Association of Privacy Professionals)에서 발행 한 2019 년 XNUMX 월 사설에서 사적인 행동권이“규제 비용을 -기관을 자원화하고 규제하는 산업이 기관을 포착 할 가능성을 줄입니다. " 그러나 동시에 그는 의원들에게“사적 소송이 과잉 집행 또는 파멸적인 책임으로 이어진다는 합법적 인 증거를 무시하지 말”라고 경고했습니다.
실제로, 행동 권리에 반대하는 사람들은 그것이 일련의 소송으로 이어질 수 있다고 주장합니다. 카스트로는“시험 변호사와 개인 정보 보호 옹호 단체는 정말로 이것을 원합니다. "이것은 그들에게는 금광 일 것이지만 회사는 비용에 대해 올바르게 걱정하고 있습니다."
“규제자들은 검찰 재량권을 행사하여 가장 심각한 위반자에 대해 집행합니다. [그러나] 원고의 변호사는 선의의 준수 노력에 관계없이 모든 회사를 망치게 될 것입니다.”라고 로펌 Hunton Andrews Kurth의 파트너이자 글로벌 개인 정보 보호 및 사이버 보안 업무의 위원장 인 Lisa Sotto는 말합니다. “한 가지 해결책은 FTC에 더 많은 집행 권한과 더 큰 망치를 부여하는 것입니다. 그렇게하면 준수를 장려하는 방법으로 원고의 조치가 덜 필요합니다.”
제롬은 의회가 또 다른 해결책은 미묘한 방식으로 행동권을 제정하고 사법 소송이 적절한시기를 정하고 그러한 소송의 범위를 설정하는 것을 고려할 수 있다고 말했다. 아마도 그는 단순히“연방 무역위원회 (Federal Trade Commission)를 확대하고 국회의원들이 특별한 관심을 갖고있는 개인들을 보호 할 수 있습니다…
입법자들이 어떤 결정을 내릴지 시간이 알려 주겠지 만 적어도 일부 전문가들은 터널 끝에서 빛을 봅니다. IAPP의 최고 지식 책임자 인 Omer Tene은 미국이 연방 소비자 개인 정보 보호법 통과에“한 번도 가까워진 적이 없다”며 의회가 고려중인 다양한 버전 사이에 실제로“일광이 많지 않다”고 덧붙였습니다.
"우리 의견으로는 양측간에 합의를위한 영역이 분명히 있습니다."라고 Tene은 말합니다. 선점시 법은 국가 경관을 조화시키고 상충되는 법률의 퀼트 작업을 방지하는 동시에 AI, IoT 또는 안면 인식과 같은 특정 문제에 대해 국가가 혁신 할 수있는 공간을 보존합니다. 사적 행동권에 대해 법은 FTC 및 주 AG와 같은 기관 집행자들에게 강력한 권한을 부여 할 가능성이 있지만 개인이 고용, 주택 또는 신용 차별과 같은 분야에서 청구를 추구 할 수 있도록 허용합니다.”
물론, Capitol Hill에서 정체 된 것은 데이터 개인 정보 보호법 만이 아닙니다. 데이터 침해, IoT 보안 및 선거 기술 보안을 다루는 연방 법률도 마찬가지입니다. 다음은 이러한 법안을 유지하는 요인에 대한 몇 가지 의견입니다.
데이터 침해 법규
제안 된 청구서의 예 : "2019 년 데이터 유출 방지 및 보상법"및 "데이터 책임 및 신뢰 법"
Art Ehuan, Crypsis Group 부사장 :“수년에 걸쳐 의회에서 수많은 연방법이 제안되었으며 사용자에게 충분한 수준의 보호 및 유연성을 제공하지 않았기 때문에 궁극적으로 기각되었습니다. 제안 된 법률은 알림 및 보안 요구 사항에 대한 임계 값을 강화하기보다는 낮추는 표준을 수립했으며, 주 내에서 데이터 보안을 강화하기 위해 연방법에 더하여 추가 법률을 제정 할 수있는 조항을 주에서 제공하지 않았습니다. 입법자들은 또한 이러한 입법 변화를 설명하기 위해 보안 정책을 개선하기 위해 상당한 돈을 투자해야하는 중소 규모 기업에 영향을 미칠 법안 제안을 거부했습니다.”
Hunton Andrews Kurth, 파트너이자 글로벌 개인 정보 보호 및 사이버 보안 법률 관행의 의장 인 Lisa Sotto :“미국에는 54 개의 위반 통지 법률이 있습니다.이 54 개를 선점하는 연방 법률을 통과하는 것이 전 세계에서 합리적이지만 법률에 따라 기업이나 개인 정보 보호 옹호자들이 그렇게하도록 요구하는 것은 거의 없습니다.” Sotto는 또한 연방 의원들이 선점 및 행동권 문제를 놓고 고군분투하고 있다고 말했습니다.
IOT 보안법
제안 된 법안의 예 : "2019 년 사물 인터넷 사이버 보안 개선법"및 "2019 년 사이버 방패 법".
IoT Security Foundation의 전무 이사 인 John Moor는 다음과 같이 말합니다.“가능한 한 빨리 규제가 도착해야합니다! 불행히도 이것은 간단한 연습이 아니며 여러 가지 이유로 올바른 것보다 잘못하는 것이 훨씬 쉽습니다. 산업과 관련된 주요 관심사는 규정 준수 비용입니다. '목적에 맞는'(최적의) 보안은 상황에 따라 달라지며 IoT가 거의 모든 경제 영역을 포괄하므로 보편적 요구 사항이 비현실적이라는 것을 의미합니다. 일부 응용 프로그램의 경우 범용 요구 사항이 너무 번거롭고 다른 응용 프로그램의 경우 부족한 것으로 발견 될 수 있습니다. 의료 기기 나 커넥 티드 카에 적합한 제품과 비교하여 소비자 기기에 적합한 것이 무엇인지 고려하십시오. 상황과 의미는 매우 다양합니다.”
“우리는 기대가 합리적이어야합니다. 완벽한 보안은 점근 적입니다. 따라서 우리는 가능한 한 빨리 최선의 테스트를 시도하고 규제가 시간이 지남에 따라 지속적으로 발전 할 것이라는 점을 받아 들여야합니다. 이를 효과적으로 수행하기 위해서는 모든 이해 관계자에게 잘 관리되는 프로세스를 통해 기여할 수있는 기회를 제공해야합니다. IoT 사이버 보안의 문제가 국경에서 멈추지 않고 요구 사항이 상충되지 않기 때문에 규제 시도가 국제적으로 조화를 이루는 것이 중요합니다. 지역은 해결하는 것보다 많은 문제를 일으킬 수 있습니다.”
Strategic Cyber Ventures의 고문 이사 인 Sounil Yu :“IoT 보안 법률에 대한 한 가지 논쟁은 SBoM (Software Bill of Materials)을 제공해야한다는 것입니다. 안타깝게도 현재 IoT 장치가 안전하더라도 그렇지 않습니다. t는 반드시 새로운 취약점이 발견되면 내일 안전 할 것임을 의미합니다. 이러한 취약점은 제조업체에 의해 반드시 발생하는 것이 아니라 소프트웨어 공급망에서 다양한 소프트웨어 구성 요소를 사용하는 과정에서 발생합니다. SBoM을 제공 할 수 없거나 제공 할 의사가없는 일부 제조업체에서 저항을 받았습니다. 그러나 제조업체의 무능력은 최신 소프트웨어 개발 도구로 인해 SBoM을 쉽게 생산할 수 있기 때문에 열악한 위생과 오래된 관행을 시사합니다. 무의식은 본질적으로 자신도 모르는 구매자에게 전달되는 공개되지 않은 잠재적 인 피해 (예 : 라이센스 위반, 취약성)가 있음을 암시 할 수도 있습니다.”
정보 기술 산업 협의회(정보 통신 기술 산업을 대표하는 무역 협회)의 정무 담당 선임 이사 Kelsey Guyselman: IoT 장치는 "안전하고 탄력적이어야 합니다. 즉, 장치에만 집중한다고 해서 모든 IoT 보안 문제가 해결되지는 않습니다. IoT 사이버 보안은 또한 광범위한 생태계 보안 문제를 해결해야 하기 때문에 모든 IoT 장치에 대한 기본 보안 기능에 대한 합의를 개발해야 합니다. 우리는 광범위하게 적용 가능하고 시장 수요에 따라 구동되는 공통 모범 사례 및 보안 기능 세트를 식별하는 것이 좋습니다. NIST의 NISTIR 8228, "사물인터넷 사이버보안 및 개인정보 위험 관리에 대한 고려 사항"은 IoT 장치와 관련된 취약성을 해결하고 완화하려는 조직을 위한 프레임워크를 제공합니다.
NIST가 기본 보안 표준 채택을 위해 업계와 협력할 수 있는 유연성을 제공합니다.”
선거 보안 합법화
제안 된 법안의 예 :“미국 연방 선거 (SAFE) 법 확보”,“2019 년 선거 안보 법”및 선거 안보 지원법.
Art Ehuan, Crypsis Group :“오늘날 각 주마다 선거가 매우 다르게 시행되고 있습니다. 따라서 선거 보안을 지속적으로 사용하는 것은 매우 어려운 과제입니다. 연방 차원에서 다수의 선거 보안 법안이 도입되고 무효화되었습니다. 최근에는 주 선거를 확보하기 위해 425 억 XNUMX 만 달러의 연방 자금이 승인되었지만 많은 사람들은 이것이 선거를 확보하기에 충분하지 않으며 연방 차원에서 표준이 필요하다고 주장합니다. 국가의 권리와 안보의 필요성 사이의 싸움은 곧 해결 될 것 같지 않습니다.”
다니엘 카스트로 (Daniel Castro), 정보 기술 및 혁신 재단 (Information Technology and Innovation Foundation) 부사장 :“선거 운영 방식의 탈 중앙화 특성도 심각한 문제이며, 선거 지원위원회는 선거 전문 지식을 수용 할 수있는 것보다 더 큰 역할을 수행해야합니다. 연방 정부에이 권한을 부여하고 싶습니다.”
Liberty Group Ventures의 사장 겸 관리 파트너 인 Kiersten Todt :“… 우리는 연방 정부와 협력하여 주 수준을 살펴보고 주에 자원을 제공해야합니다. 주 정부가 환경과 위협을 잘 알고 있기 때문입니다. 이를위한 최선의 접근 방식을 파악한 다음 국가 수준, 관할권 수준의 보안 노력의 국가 구조를 구축 할 수 있습니다.
“연방 차원에서 우리는 위협 환경 정보를 공유하고 주와 위협 정보를 공유하며 사이버 보안에서 더 잘할 수 있도록 더 나은 작업을 수행해야합니다. 사이버 보안은 지난 XNUMX 년 동안 하나의 항목이 되었기 때문에 ... 그들은 여전히 돈을 할당하는 방식에이를 통합하고 있으며, 이것이 선거에서 매우 사실이라고 생각합니다. 이것은 연방 정부가 입법 자원 [및] 권한을 제공 할 수있는 곳입니다. 주와 협력하고, 위협 정보를 제공하고, 모범 사례와 자원을 제공하고, 선거 시스템을 보호하기위한 접근 방식에 대한 지침을 제공합니다. "
출처 : https://www.scmagazine.com/home/security-news/hang-ups-hold-ups-and-hurdles/
