個人資料安全的徒勞：資料洩露如何揭示資料採集中的根本問題

全球資訊網的出現以及隨後建立在其最終在 21 世紀得到廣泛普及的基礎上的技術，將世界各地的人們連線在一起。雖然沒有人會貶低網際網路帶來的巨大益處，但我們也應該仔細考慮這枚閃耀的技術硬幣的另一面。網際網路似乎無限，它帶來的問題也同樣無限。與網際網路發展同步出現的最陰險問題之一，就是人們自願，而且常常是強制性地提供有關自己的資訊的數量之多。

自從 Facebook 參與 2016 年大選的劍橋分析醜聞曝光以來，將個人資訊出售給第三方應用程式和資料收集者的公司已進入公眾視野。然而，對資料追蹤的意識提高並不意味著普通人，尤其是普通美國人，瞭解他們被追蹤資料的程度以及這些資料可能去往何處。此外，皮尤研究中心 2017 年的一項研究表明，很大一部分美國人對網路安全主題知之甚少或存在錯誤資訊。^[1] 很多時候，缺乏意識也源於人們認為基本的安保措施可以防止網站收集個人的資料，或者認為網站只擁有使用者故意輸入的資料，例如使用者的使用者名稱、密碼、出生日期等，這通常是大多數網際網路網站的基本註冊流程。

然而，這僅僅是網站，特別是像 Facebook 及其附屬公司 Instagram 和 WhatsApp 這樣的大型社交媒體網站收集的資訊的冰山一角，而這些資訊通常會被惡意資料洩露事件和洩露事件幕後人員從網站資料庫中獲取的資訊所揭示。觀察一些最大的資料洩露事件，例如雅虎^[2] 和劍橋分析資料洩露事件，可以說明這些洩露事件有多少次不在個人控制範圍之內。再加上 Statista 報告稱資料洩露事件數量逐年增加，在美國對個人資料可以收集什麼進行國家層面的改革，就像歐盟的通用資料保護條例 (GDPR) 一樣，成為一項明確的必要措施。

資料洩露事件一直在發生，只要資料被收集就會發生，但網際網路的出現以及隨後大多數資料轉移到數字儲存中，只會導致每年資料洩露事件數量增加，而每次資料洩露事件中受影響的人數則呈指數級增長。雖然過去從被盜檔案和員工洩露的資訊中獲得的資料並不鮮見，但線上收集和儲存的資料對任何懷有惡意意圖並知道如何繞過安全系統的人來說都是獨一無二的脆弱點。當然，繞過為保護人們資訊而設定的強大安全系統並非易事，但無論採取什麼安全措施，安全都無法阻止——甚至減緩成功的洩露事件。正如 Statista 自 2005 年以來收集的資料所示，資料洩露事件的數量增加了十倍，從 2005 年的 157 起影響 6690 萬條記錄，到 2021 年達到峰值，達到 1862 起洩露事件，影響 2.9808 億條記錄。^[3] 在個人資訊已成為可以出售給最高出價者的商品，而且常常被用於洞察使用者群以操縱個人選擇的情況下，這種隱私侵蝕是不可避免的。

個人資訊被用來操縱使用者意見的最引人注目的例子是，舉報人克里斯托弗·懷利揭露劍橋分析公司如何收集 Facebook 使用者的資料以及隨後釋出針對性帖子以在 2016 年美國總統大選中影響選民。懷利在接受有關劍橋分析公司目的的採訪時解釋說：“我們利用 Facebook 收集了數百萬人的資料。並建立模型來利用我們對他們的瞭解，並針對他們的內心惡魔。這就是整個公司的基礎。”^[4]

這是對隱私前所未有的破壞，更大的問題是 Facebook 在劍橋分析公司收集數百萬使用者資料事件曝光後如何處理資料洩露事件。Facebook 在確保使用者資料安全方面行動遲緩，只是在事件發生後幾個月才釋出了一封信，要求刪除收集的資料，而且幾乎沒有採取任何措施來確保資料不再落入第三方手中。^[4] 正如資料保護專家和 Facebook 參與事件調查的前沿調查員保羅-奧利維耶·德海耶解釋的那樣，儘管有證據表明 Facebook 在洩露事件發生後沒有盡到應有的責任，但“Facebook 一再否認。它誤導了議員和國會調查人員……它有法律義務向監管機構和個人通報此資料洩露事件，但它沒有做到。”^[4] 不幸的是，Facebook 拒絕承認資料洩露事件的真實情況，以及隨後對其發生後資料去向缺乏透明度，是公司淡化其參與程度和洩露事件嚴重程度的常見做法。

目前，美國沒有關於公司向受影響個人披露資料洩露事件的聯邦標準，雖然大多數州都通過了關於資料洩露事件透明度的法律，但對違反合規行為的要求和處罰往往各不相同。網路安全專家特洛伊·亨特概述了公司對資料洩露事件的反應，同時概述了在應對資料洩露事件時的最佳做法，以及公司的道德責任所在。從他的比較中可以明顯看出，雖然有一些公司會在資料洩露事件發生後立即以透明的方式做出反應，但公司更有可能試圖迴避問題，直到迫不得已才解決問題。^[5]

此外，公司常常試圖模糊曝光資料的意義，例如發表宣告向客戶保證，與帳戶相關的信用卡或付款資訊沒有被盜，只是電子郵件地址和類似的，看似無關緊要的資訊。然而，透過資料洩露事件，尤其是使用者個人資訊發現的未加密資訊，總是與使用者線上存在的其他方面有關，並會導致超過原始洩露網站的漏洞。據阿里克斯·朗戈報道，在 2017 年 T-Mobile 資料洩露事件的受害者梅根·克利福德的經歷中，駭客獲得她的手機號碼，導致他們能夠訪問她的幾乎所有帳戶，“現在有人知道了她的手機號碼，他們就可以進入她的銀行帳戶，並獲得她手機上的常用應用程式（包括 Venmo 和 iTunes）的訪問許可權。”^[6] 除了像克利福德遇到的手機號碼盜用騙局外，獲得電子郵件列表通常會導致有針對性的網路釣魚詐騙，或者可以出售給其他方以進一步利用。

由於缺乏對洩露事件後果的標準化，賠償和責任通常是根據個案確定，而受影響的使用者很少能在法律上追究被盜資料的責任，因為下級法院一直難以界定資料洩露事件帶來的損害。正如索洛夫和西特龍在《德克薩斯法律評論》上發表的一篇論文中總結的那樣

在過去二十年中，數百起案件中的原告都試圖為因資料安全不足導致的資料洩露尋求賠償。在大多數情況下，有證據表明被告未能對保護原告資料採取合理措施。然而，大多數案件並沒有圍繞被告是否應承擔責任展開。相反，案件一直被損害問題所困擾。無論被告在安全方面如何失職，無論被告對先前的駭客攻擊和資料洩露事件有多麼警惕，如果原告無法證明存在損害，他們就無法在訴訟中勝訴（739）。^[7]

這篇論文進一步提供了例項，說明即使有明確的證據表明資料洩露事件傳播的資料可能導致損害，但由於法院無法以具體的方式界定損害，原告在訴訟中也未能勝訴（779）。^[7] 鑑於透過網際網路使用收集的關於個人的資訊數量之多，以及在某種程度上沒有線上足跡就無法在現代社會立足，資料洩露事件帶來的負擔不應由受影響的個人承擔。然而，在美國，由於缺乏圍繞收集的資料以及如何處理這些資料的規定，責任最終落在了個人身上。

個人資料隱私方面的規定顯然需要透過，幸運的是，已經有一個有效的例子可以用來構建聯邦法規，即通用資料保護條例 (GDPR)，該條例是歐盟於 2018 年 5 月批准的歐盟條例。GDPR 的目標是將個人資料的權力交回使用者手中，以最大限度地降低風險，並在發生資料洩露事件時更進一步提高透明度。GDPR 被證明對公司來說是一個複雜的合規體系，但它本質上旨在允許使用者請求有關網站收集哪些資料的相關資訊，並在需要時永久刪除資料記錄。GDPR 還對未能及時以透明方式報告資料洩露事件的公司進行處罰，並且延遲越久，自最初通知洩露事件發生以來的時間越長，處罰就越重。

安全專家 Saryu Nayyar 在其《福布斯》文章“為了簡單起見，企業希望有一套統一的標準監管要求來滿足。這正是 GDPR 所做的事情，它取代了歐盟各成員國制定的眾多不同的法規。”^[8] 正如她在文章中指出的，各州已開始透過有關資料洩露的法律，但缺乏標準化會為公司創造一個難以遵守的環境，併為那些不打算遵守的公司創造漏洞。美國使用者已經看到了 GDPR 對公司產生的影響，這些公司不得不改變其隱私政策以符合 GDPR，並且已經存在針對特定資料集合的有關資料隱私的聯邦法規，例如 FTC 對醫療記錄洩露的規定。由於這些系統已經到位並正常執行，統一的監管不再是不可想象的。

與任何市場一樣，資料收集需要受到監管，並制定執行規則以保護消費者免受不良商業行為的侵害，無論是有意惡意還是其他原因。雖然必要性正在成為一個越來越突出的問題，但在聯邦層面上，關於資料收集和對資料洩露的應對措施尚未發生任何重大變化。除非有足夠的改變要求，否則最終要由美國個人來保護其在網際網路上可訪問的自身資料和資訊。網路安全專家建議為每個建立的帳戶使用獨特的強密碼，並啟用雙因素身份驗證，並在密碼管理器下管理這些密碼。此外，使用 VPN 來遮蔽網際網路活動和 IP 地址以防止提供商和關聯公司訪問也是一個好習慣，就像使用不以收集使用者資料為盈利的網際網路瀏覽器一樣。然而，這最終是對更大的資料收集問題的一種權宜之計，該問題是不必要的和過度的，只有類似 GDPR 的法律才能開始解決這個問題。

參考文獻

↑ Olmstead, Kenneth 和 Aaron Smith。“公眾對網路安全的瞭解。”皮尤研究中心：網際網路、科學與技術，2017 年 3 月 22 日，
↑ Brown, Shelby。“Robinhood 資料洩露很糟糕，但我們已經看到了更糟糕的事情。”CNET. 2021 年 11 月。/
↑ Statista。“網路犯罪：2005 年至 2022 年美國資料洩露事件的數量和受害者數量。”Statista，2022 年 8 月 31 日。
↑ ^a ^b ^c Cadwallader, Carole 和 Graham-Harrison, Emma。“揭露：5000 萬個 Facebook 個人資料在重大資料洩露中被用於劍橋分析。”衛報。2018 年 3 月。
↑ Hunt, Troy。資料洩露披露 101：如何在失敗後取得成功。2017 年 3 月。https://www.troyhunt.com/data-breach-disclosure-101-how-to-succeed-after-youve-failed/
↑ Langone, Alexandra，“網際網路時代個人隱私和資料安全”（2017）。CUNY 學術作品。https://academicworks.cuny.edu/gj_etds/506
↑ ^a ^b Solove, Daniel J 和 Danielle Keats Citron。“風險與焦慮：資料洩露損害理論。”德克薩斯法律評論，第 96 卷，2017 年 12 月，第 737-786 頁。
↑ Nayyar, Saryu。“美國是否需要 GDPR 版本？”福布斯。2022 年 2 月。

[1] Olmstead, Kenneth 和 Aaron Smith。“公眾對網路安全的瞭解。”皮尤研究中心：網際網路、科學與技術，2017 年 3 月 22 日，

[2] Brown, Shelby。“Robinhood 資料洩露很糟糕，但我們已經看到了更糟糕的事情。”CNET. 2021 年 11 月。/

[3] Statista。“網路犯罪：2005 年至 2022 年美國資料洩露事件的數量和受害者數量。”Statista，2022 年 8 月 31 日。

[:0-4] Cadwallader, Carole 和 Graham-Harrison, Emma。“揭露：5000 萬個 Facebook 個人資料在重大資料洩露中被用於劍橋分析。”衛報。2018 年 3 月。

[5] Hunt, Troy。資料洩露披露 101：如何在失敗後取得成功。2017 年 3 月。https://www.troyhunt.com/data-breach-disclosure-101-how-to-succeed-after-youve-failed/

[6] Langone, Alexandra，“網際網路時代個人隱私和資料安全”（2017）。CUNY 學術作品。https://academicworks.cuny.edu/gj_etds/506

[:1-7] Solove, Daniel J 和 Danielle Keats Citron。“風險與焦慮：資料洩露損害理論。”德克薩斯法律評論，第 96 卷，2017 年 12 月，第 737-786 頁。

[8] Nayyar, Saryu。“美國是否需要 GDPR 版本？”福布斯。2022 年 2 月。

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]