未能遏止数据泄露增势！美国网络安全法律体系被指存在重大缺陷

有研究指出，美国数据泄露通知制度未对网络安全产生显著影响，数据泄露事件依旧频发；

研究提出了多种改进方案，如对规模以上公司进行网络安全评分、实施强制网络安全基线、改进法律问责制度等。

随着科技的不断发展，网络攻击也在持续增加，导致4亿用户的个人数据存在被窃取的潜在风险。作为应对，美国50个州政府相继推出了数据泄露通知法（BNLs），要求公司在数据泄露时通知消费者。

近日，美国乔治梅森大学教授Brad Greenwood与明尼苏达大学教授Paul M.Vaaler在《法律与经济评论》期刊上发表论文指出，数据泄露通知法对整体安全保护几乎没有产生任何显著影响。

研究人员使用了隐私权利清理中心（简称PRC）统计的数据。该组织整理了自2005年以来有关公司数据泄露的详细信息。PRC的数据包括受影响公司、地点、原因以及泄漏记录数量等信息。研究人员采用了双向固定效应设计，也称为“双重差分”估计法。

研究旨在评估从2005年到2019年间，美国各州数据泄露通知法对数据泄露事件数量及规模有何影响。研究人员还采用美国联邦贸易委员会（FTC）消费者哨兵网络数据手册的数据作为替代数据，剖析数据泄露通知法对后续欺诈和身份盗窃数量及规模的影响。

研究结果显示，没有证据表明数据泄露事件有所减少，或者泄露后数据的长期滥用有所减少。Greenwood指出：“统计结果非常不显著，我们基本可以推定，因变量的影响是随机的。”这表明，数据泄露通知法可能并未实现预期目标，未能减少数据泄露数量。

Greenwood列举了数据泄露通知法失败的一些原因。数据泄露通知法的目标是激励公司增加网络安全投资，避免因发布泄露通知而导致声誉损害。但由于公众对网络安全失败“普遍麻木”，这种激励的效果被严重削弱。

他说，为了激励公司采取切实行动，“必须提供经济回报，或对未采取行动者施加经济处罚。”

改进建议

Greenwood和Vaaler提出了几种可能方案，以替代或补充数据泄露通知法。其中一项方案是，由联邦贸易委员会为一定规模以上的美国公司进行网络安全评分，以便人们比较它们的网络安全状况。

Greenwood补充道：“还可以通过联邦立法规定最低安全协议，例如使用美国国家标准技术研究院广泛认可的标准。这至少可以为预期行为设立法律基准。”

另一种可能的方案是改变当前的法律责任制度。目前，索赔人实质性损害的定损标准过高，这使得公司难以被起诉。“判例法在这方面正在逐渐发展。法院开始意识到，个人因网络安全漏洞而花费的时间可以被视为损害，他们可以寻求赔偿。但是，证明实质性损害的标准仍然相当严苛。”

Greenwood总结道：“就消费者保护而言，未来显然是不确定的。但我们唯一确定的是，目前的保护制度只对网络犯罪分子有利。”