Tot voor kort, de vermoedelijke doelwitten voor massale gegevensdiefstal werden beschouwd als bedrijven die niet over geavanceerde cyberbeveiliging beschikten of het probleem niet serieus genoeg namen.

Maar sinds eind 2016 enkele van de grootste namen in geavanceerde technologie hebben hun meest gevoelige klantgegevens gezien, inclusief de inhoud van e-mails, creditcardnummers, en mobiele telefoonnummers in handen vallen van hackers, of in sommige gevallen dergelijke gegevens met derden gedeeld zonder medeweten of toestemming van de consument.

De lijst wordt snel lang. Dieven hebben informatie gedownload over 25 miljoen Amerikaanse Uber-rijders. Het kredietrapportagebureau Equifax had 143 miljoen klantbestanden gestolen door hackers. Cambridge Analytica verzamelde gegevens van ten minste 87 miljoen Facebook-gebruikers om te targeten met politieke advertenties. Deze zomer, Google gaf aan het Congres toe dat app-ontwikkelaars en anderen toegang hebben tot Gmail van gebruikers. Datawetenschappers ontdekten grote beveiligingsfouten in AT&T, T-Mobile, en Sprint-telefoons die klanten blootstelden. En net vorige week, Facebook onthulde zijn grootste inbreuk, met 50 miljoen getroffen gebruikers. Het zei dat telefoonnummers die door gebruikers aan Facebook waren verstrekt voor beveiliging met twee factoren, waren gedeeld met adverteerders.

Met zoveel schendingen - en zo weinig repercussies - senior executives van Google, Appel, Amazone, en Twitter, onder andere bedrijven, werden gedagvaard voor de Senaatscommissie voor Handel, Wetenschap, en transport vorige week om uit te leggen waarom inbreuken op de gegevensprivacy doorgaan, en om enkele remedies te bespreken. Senator John Thune (R., SD), de commissievoorzitter, zei dat het niet langer de vraag is of er een federale wet moet komen om de privacy van consumentengegevens te beschermen, maar "welke vorm de wet zou moeten aannemen". Later deze maand is er nog een hoorzitting gepland.

Urs Gasser, LL.M. '03, is uitvoerend directeur van het Berkman Klein Center for Internet &Society aan de Harvard University en professor in de praktijk aan de Harvard Law School. Zijn onderzoek en onderwijs richten zich op informatierecht en beleid, en hij schrijft vaak over privacy, gegevensbescherming, en de regulering van digitale technologie. Gasser besprak de staat van gegevensprivacy met de Gazette via e-mail en stelde voor wat er zou kunnen worden gedaan om gebruikers te beschermen tegen bedrijven die profiteren van de gegevens van mensen.

Vraag en antwoord

GAZETTE:Als iemand die al heel lang gegevensprivacy bestudeert, ben je verrast door deze reeks mislukkingen?

GASSER:Wat misschien wel het meest verrassend is, is de frequentie waarmee dergelijke privacy-relevante incidenten nu openbaar worden, evenals hun prevalentie en schaal. Wat de onderliggende oorzaken en effectiviteit van reacties betreft, het is belangrijk om elk incident afzonderlijk te analyseren. Een datalek veroorzaakt door externe hackers is niet hetzelfde probleem en vereist niet dezelfde tegenmaatregelen als privacybedreigingen als gevolg van overeenkomsten voor het delen van gegevens tussen een online platform en adverteerders die de kern vormen van het bedrijfsmodel. Dat gezegd hebbende, de effecten in termen van gebruikersprivacy kunnen vrij gelijkaardig zijn. Het is ook opmerkelijk dat de AVG [Algemene verordening gegevensbescherming van de Europese Unie] een breed scala aan schendingen van de gegevensprivacy aanpakt, en het zal interessant zijn om te zien of met name de Facebook-inbreuk zal leiden tot handhaving van de AVG.

GAZETTE:Veel van de grootste technologiebedrijven blijven toelaten of weigeren te voorkomen dat de gegevens van hun klanten in de handen van adverteerders vallen, app-ontwikkelaars, en andere derden. Ondanks frequente beloften van betere privacybescherming, er is weinig veranderd. Waarom nemen deze bedrijven dit niet serieuzer?

GASSER:Om eerlijk te zijn, bedrijven hebben belangrijke inspanningen geleverd om gebruikersgegevens beter te beschermen door middel van een breed scala aan maatregelen, inclusief privacydashboards, verbeterde privacy- en beveiligingsfuncties, zoals end-to-end encryptie, upgrades van hun privacybeleid, en meer. Maar er is inderdaad een dieper structureel probleem in de kern van de privacygevechten van onze tijd, waardoor de huidige inspanningen ontoereikend lijken. De meeste moderne tech-bedrijfsmodellen zijn gebaseerd op gerichte advertenties, die berust op het verzamelen, delen, en het analyseren van grote hoeveelheden gebruikersgegevens. Simpel gezegd, om echt prioriteit te geven aan de privacy van gebruikers, zou ook een onderliggend bedrijfsmodel in gevaar worden gebracht dat in economisch opzicht zeer succesvol is geweest en enkele van de rijkste bedrijven ter wereld heeft voortgebracht.

GAZETTE:Wetgevers hebben technologiebedrijven opgeroepen om hun gebruikersinformatie beter te beveiligen en hebben laten doorschemeren dat ze kunnen beginnen met strikte regulering van de manier waarop met gegevens wordt omgegaan als de bedrijven de gegevensbeveiliging niet versterken. Zal het Congres binnenkort iets doen om deze bedrijven verantwoordelijk te houden, en, als niet, wat zou er nodig zijn voor de federale regering om echte actie te ondernemen?

GASSER:In het huidige politieke klimaat, Ik betwijfel of iets dramatisch - zeg, zoals de AVG, zal binnenkort op federaal niveau plaatsvinden. Maar we zien veel activiteit op het gebied van consumentenprivacy op staatsniveau. Overweeg de recente inwerkingtreding van de California Consumer Privacy Act, die waarschijnlijk zeer invloedrijk zal zijn gezien het toepassingsgebied, of de wetgeving inzake gegevensmakelaars in Vermont. Gecombineerd met de verbeterde agenda voor consumentenbescherming door veel staats-AG's, dat is waar de actie is totdat het Congres met iets zinvols komt. En, natuurlijk, er is ook de toegenomen druk van de Europese wetgevende en gegevensbeschermingsautoriteiten, gebaseerd op de nieuwe beschermingen en instrumenten die zijn uiteengezet door de AVG. Sommigen beweren dat er een "markt voor privacy" aan het ontstaan ​​is die prikkels zal geven, in het bijzonder voor startups op het gebied van privacy, privacyvriendelijker te zijn.

GAZETTE:Is het tijd om het tijdperk van vrijwillig privacybeleid tot een mislukking te verklaren en deze bedrijven als openbare nutsbedrijven te gaan behandelen?

GASSER:Ik ben het ermee eens dat het zelfregulerende model er niet in is geslaagd om in de huidige technische omgeving voldoende niveaus van bescherming van de privacy van de consument te bieden. Waar te gaan vanaf hier is moeilijker te zeggen, Hoewel. Veel voorstanders van privacy wijzen op de AVG als een nieuwe gouden standaard. Ik ben meer sceptisch, aangezien een dergelijke benadering diep geworteld is in de Europese waarden, cultuur, en politieke economie en kan niet op een "knippen en plakken" manier worden getransplanteerd. Het heeft ook enkele ernstige nadelen, in termen van nalevingskosten, bijvoorbeeld. Ik denk dat het tijd is om de privacy van gegevens fundamenteler te heroverwegen. Een aantal van mijn gedachten vind je hier. Het introduceren van fiduciaire verplichtingen voor technologiebedrijven is een andere interessante nieuwe manier om na te denken over enkele van de eerder genoemde structurele problemen.

GAZETTE:Wie is er verantwoordelijk voor waar we nu zijn? Hebben gebruikers er deels schuld aan dat ze zich niet meer druk maken over privacyschendingen? Begrijpen de meeste mensen hoeveel van hun informatie in handen is van anderen, en hoe wordt het gebruikt?

GASSER:Ik ben het ermee eens dat het te simpel is om de technologiebedrijven de schuld te geven van de status-quo. Ik denk dat we de privacycrisis moeten zien als een probleem op ecosysteemniveau, met veel krachten in het spel - technologisch, markt, gedragsmatig, en legaal - en veel betrokken actoren, inclusief gebruikers die vaak privacybeslissingen nemen op basis van onvolledige informatie en met cognitieve vooroordelen in het spel. Daarom pleit ik in mijn eigen werk voor een meer holistische benadering van de toekomst van privacy, die sterke juridische bescherming combineert met digitale geletterdheid en educatieve inspanningen, next-gen privacy-verbeterende technologieën, en economische prikkels voor meer privacyvriendelijke diensten, onder andere elementen in de strategie, in plaats van alleen te wedden op GDPR-achtige wetten. Een dergelijke aanpak zou ook slimmere gebruikerseducatie en empowerment omvatten.

GAZETTE:Mensen kunnen zich niet afmelden voor het gebruik van Google, en zal niet besluiten om geen mobiele telefoon te hebben, dus wat kunnen mensen doen om zichzelf te beschermen?

GASSER:Er zijn een aantal online privacycheck-ups beschikbaar en een reeks zelfhulptools voor privacy, inclusief privacybrowsers of VPN's [virtuele privénetwerken], om er maar twee te noemen. Sommige worden geleverd door technologiebedrijven zelf, en sommige worden aangeboden door consumentenorganisaties zoals EPIC of EFF. Ik zou mensen ten zeerste aanbevelen om gebruik te maken van deze aanbiedingen, zelfs als ze alleen tactisch zijn in die zin dat ze begrijpelijkerwijs niet de structurele oorzaak van het probleem kunnen aanpakken.

Dit verhaal is gepubliceerd met dank aan de Harvard Gazette, De officiële krant van Harvard University. Voor aanvullend universiteitsnieuws, bezoek Harvard.edu.