英国各地都充满了对皇家税务与海关总署丢失两千五百万儿童福利金的纪录数据的抗议。但斯图尔特·如姆认为,与真正的数据灾难比起来,英国皇家税务与海关总署数据丢失事件不过是一个笑话而已。
公众对英国皇家税务与海关总署未能安全地保护数据表现出愤怒是有理由的,尽管事件的影响范围仍有待进一步了解。这个事件为数据安全敲响了警钟,让大家看到了十分贫弱的数据保护情况的冰山一角。
实际上,不论是在私营企业还是公共部门,不合规范的做法是普遍存在的。数据安全是一个国际问题,相比其发展的速度,现在所做的事情是远远不够的。
以美国为例,它发布了大量要求公司报告安全漏洞的法律。在这样的情况下,企图隐瞒事故是不可能的。如果欧洲采用了美国的模式,类似英国皇家税务与海关总署数据丢失之类的事件将被定期报告。
数据安全是一个国际问题。相比其发展的速度,现在所做的事情是远远不够的。
幸运的是,我们没有遇到真正意义上的数据安全灾难。否则的话,政府会垮台,而经济则有可能陷入衰退。
举例来说,在金融服务业的核心而不是周边发生灾难性的数据安全事故,会出现什么样的后果?象诺森罗克银行那样的大型银行的崩溃对大家来说,是一个愉快的记忆么?我确信,大部分人会陷入恐慌的状态。
如果在通讯业中出现灾难性的数据安全事件会有什么后果?在执法领域呢?或者其它重要的国家基础设施领域?
英国皇家税务与海关总署数据丢失事件暴露出来的只是安全风险的一种类型:人为的错误。而其它类型的,包括人为或者技术方面的恶意攻击,以及由于硬件或软件故障导致的技术问题,在这个事件中并没有表露出来。
这些其它类型的风险,与仅仅是由于疏忽导致的错误比较起来,可以造成更大的损害。
问题的关键是法律的不合事宜。以英国的数据保护法为代表的相关法律,是落后于时代的。它们是上世纪六十年代末制定的,反映的是当时的情况,和现在实际的情况完全不同。
尽管欧洲希望充分保护数据的安全,但英国皇家税务与海关总署数据丢失事件证明目前的法律不能对数据安全提供足够的保障。数据保护法,必须从根本上给予重新评估,技术解决方案需要加入进去。
该法必须被强制实施,要达到只有遵守数据保护的法律,公司才可以保持声誉和品牌,并得到来自客户的信任的效果。
但在现阶段,有一个比较大的问题。数据控制器不符合目前法律的要求,他们没有理由这么做。
举例来说,监管机构以及信息专员没有对违法的机构进行处罚的权力。金融服务局在今年二月得到的在全国范围内可以安全为理由对公司给予最多一百万英镑罚款的权力并没有法律的支持。
同样,对违反数据保护法的行为进行刑事处罚的可能几乎为零。因为,我们几乎不可能找到违反数据安全带来的影响,从而使法庭支持进行赔偿。
当然我们不应该忘记,政府刚宣布信息专员将被赋予于对公共机构进行审计的权力,这将会对目前的情况有所改善。但我们也不要对此有太大的期望,因为信息专员手下,既没有工作人员也没有相关资源来行使这样权力。
最关键的依然是,信息专员在进行审计的时间,是没有权力进行罚款和提起刑事诉讼。对于私营企业来说获得豁免的理由是什么?
这些荒谬的法律让企业觉得遵循它们并没有什么用处。因而,并没有什么实际的意义。
在目前情况下,数据保护对于大多数企业来说,是一种成本,在企业中的优先顺序也在利润的后面。除非出现非同寻常的大灾难,否则这种情况不会改变。
欧洲将开始建立第二版的资料保护法,这是无可避免的。但在开始这个进程以前,各国政府必须对监管机构和法院的权力分配取得一致的认识。
英国皇家税务与海关总署数据丢失事件可以说为数据安全保护敲响了警钟。直到目前为止,我们并没有对数据安全保护予以足够的重视。如果不尽快采取行动的话,下一次数据安全事件的后果可能就是不堪设想的了。