「布鲁金斯学会：集中精力推动企业数据隐私和安全管理的范式转变」 2022年10月27日，布鲁金斯学会（Brookings Institution）发布加州大学伯克利分校博士后学者Jordan Famularo与佐治亚理工学院助理教授Richmond Wong共同撰写的文章《“罗诉韦德案”被推翻后，科技行业如何保护个人数据（How the tech sector can protect personal data post-Roe）》。文章指出，在美国最高法院决定推翻罗伊诉韦德案(Roe v. Wade)的判决后，记者和隐私权倡导者迅速发出警告，在与堕胎相关的案件中，可能存在检察官寻求和利用商业收集的数据的风险。实际上，这种情况已非假设。据《福布斯》报道，内布拉斯加州的一名少女和她的母亲的隐私数据被Facebook分享给了执法官员后，她们就因非法堕胎而面临刑事指控。就在此案发生的几周前，一项调查表明，除了Facebook收集用户与危机怀孕中心网站（crisis pregnancy center）的互动数据外，反堕胎营销公司还利用Meta的Pixel广告工具追踪用户在网络上的操作，以此获得了隐私数据。隐私专家的主要担忧是：由于部分企业持有可以用来推断一个人是否怀孕、寻求堕胎帮助、以及帮助他人堕胎的意图的信息，在禁止或严格限制堕胎的州，执法人员可能会通过向应用程序开发人员、搜索引擎、数据经纪人、网站运营商、无线运营商、操作系统开发人员和其他企业发出搜查令而获取数据。所幸政策制定者也意识到了这一问题，并出台了部分举措来应对。加州的立法者最近通过的A.B. 1242号法案为加州的科技和通信公司提供了一种方案，用于抵制其他州在堕胎诉讼中使用数字活动数据的要求。这项法律是美国第一部禁止州外调查人员使用数字信息查询州内合法的堕胎相关行为的法律。与此同时，美国总统拜登要求联邦贸易委员会（Federal Trade Commission，FTC）主席考虑采取措施，在消费者提供或寻求有关生殖保健服务的信息时保护他们的隐私。   作者表示，随着数字化不断深入人们的生活，现有无数的潜在的在线犯罪数据来源，如在线搜索历史，私人通信渠道等。因此，保护用户的隐私和安全不仅仅是政策制定者的责任，科技公司也发挥着关键作用。科技公司需要就数据隐私和安全管理问题对维权人士、投资者以及更广泛的公众做出回应，采取有效行动来回应不断变化的相应社会规范。同时，在企业未能保护消费者数据安全时，董事会、投资者和更广泛的公众也有责任追究企业的责任。尽管公众也应仔细考虑自己的数字行踪所存在的暴露隐私的风险，但保护自己隐私的负担仍然不应该放在消费者身上。这是因为大多数美国人在日常生活中无法停止使用数字服务，并且大多数人也缺乏评估和应对这些服务可能会带来的风险的专业知识。   文章指出，尽管保护用户隐私远非易事，但科技公司仍可以采取一些基本措施来保护消费者信息。企业尤其应该关注以下措施: 一、采取“少即是多”的方法。公司通常不需要收集和存储那么多的数据，可以通过实施“数据最小化”来减少敏感数据的数量，以防止黑客入侵或泄露。“数据最小化”是指只收集必要的数据，且只将收集到的数据用于授权用途，并尽可能少地保留这些数据。而“数据最大化”的方法使数据安全性更难保证，同时也增加了操作和监管的风险。除了风险方面的问题外，海量数据也有监管方面的问题。根据FTC的法案，尽管是出于合法的商务用途或法律原因，超过必要的时间地保留数据仍然是不公平的做法。二、增强数据加密强度。为了更好地管理自己收集的数据，企业需要增强数据加密规范力度，如在即时通讯应用和电子邮件上默认提供“端到端”加密（end-to-end-encryption）。对于内布拉斯加州的这名少女和她的母亲来说，完全的“端到端”加密会确保她们的私人信息不被移交给当地警方。然而，这一转变需要谨慎平衡人权风险。尽管“端到端”加密可以实现言论、信仰、结社和信息访问的自由，不法分子也可以利用加密来攻击弱势群体、伤害儿童、传播仇恨言论或助长其他弊端。为了引导企业减轻“端到端”加密对人权的潜在不利影响，商务社会责任国际协会（Business for Social Responsibility）发布了一组部分基于它为Meta执行的大规模评估的建议。三、朝着“信任标记”（trustmarks）发展。“信任标记”是由第三方机构提供的徽章、标志、印章或标签。科技行业应该加速开发与互联网连接设备、服务的隐私安全相关的消费者友好型信任标志，如UL Solutions是一家进行安全科学研究并将其转化为标准的公司，该公司正在为物联网(IoT)开发一种信任标志。与此同时，美国国家标准与技术研究所(National Institute of Standards and Technology，NIST)在总统拜登发布关于改善国家网络安全的行政命令后，正在实施的两项消费者网络安全标签计划。总而言之，企业应该寻找机会帮助塑造和扩大拟议的信任标志，并找到与消费者沟通数据安全和隐私实践的新方法。四、提高透明度的报告。透明报告是以自愿披露的形式呈现内容，由谷歌在2010年首创。透明度报告最初是一个程序，用来发布政府要求删除的内容的有关数据，后来扩展到其他互联网和电信公司，包括第三方对用户数据的要求和来自执法部门的请求。为了在“罗伊韦德案”后更好地保护数字隐私，公司应该提高报告的透明度，像Twitter做到的那样，提供更多对判决有用的信息。这些信息可以帮助个人和公众更好地了解他们的个人风险模型。作者最后强调，活动人士、监管机构、投资者和公众已经促成了在与环境、社会和治理实践相关的企业行为方面的巨大的转变。尤其是在美国最高法院推翻“罗伊诉韦德案”的重大决定面前，推动企业数据隐私和安全管理的范式转变迫在眉睫。   Jordan Famularo：加州大学伯克利分校长期网络安全中心（Center for Long-Term Cybersecurity）博士后学者。 Richmond Wong：佐治亚理工学院文学、媒体和传播学院数字媒体助理教授。 原文链接： https://www.brookings.edu/techstream/how-tech-firms-can-protect-personal-data-after-roe-us-privacy-abortion-surveillance/