密西西比州总检察长(AG)吉姆·胡德(Jim Hood)是全国总检察长协会(NAAG)的主席,该协会是全美50个州,哥伦比亚特区和美国领土的AG的专业协会。作为NAAG的总裁,胡德选择了网络安全和数字隐私以及伪造和IP盗窃作为NAAG的政策重点。他最近还于去年4月在比洛克西主持了NAAG的国家总统倡议会议,“保护我们的数字生活:总检察长的新挑战”, 聚集了十几个AG及其员工来关注这些问题。 Hood在此焦点中讨论了他的NAAG总统倡议,他对网络安全和数字隐私的兴趣以及他在这些领域的工作所能带来的期望。

The 隐私Advisor: 在过去的一年中,作为NAAG总裁,您一直在鼓励您的AG员工教育自己和他们的员工,并发挥他们的力量作为监管机构,应对不断发展的数据隐私和网络安全问题。为什么会出现这些问题;为什么现在,以及AG为什么要优先考虑这些?

引擎盖: 尽管数据隐私和网络安全是我今年担任NAAG总裁的工作重点,但是我和我的总检察长已经将这些问题列为优先事项至少十年了。 AG每天都在努力防止和解决身份盗用问题,已经在几乎每个州通过了安全漏洞通知法律,并例行采取其他措施来确保数字时代我们各州公民的安全。在过去的十年左右的时间里,股份公司在这些领域取得了长足的进步。例如,我们办公室的身份盗用报告数量一直在稳定增长,而潜在的数据泄露事件则大大增加了。作为AG,我们会共同努力解决全国性的安全违规事件,并尝试对企业和其他组织进行预防教育。

近年来,越来越严重的另一个担忧是在线知识产权盗窃。作为AG,我一直在努力保护消费者免受假冒商品的侵害,尤其是那些可能伤害甚至杀死消费者的假冒商品,例如药品,汽车配件和类似物品。就在上个月,我主持了有关这些问题的倡议。我们专注于网络犯罪领域的合作,特别是在虚拟世界中销售的假冒商品领域。这些在线操作广泛且复杂,因此在州和联邦一级集中我们的资源至关重要。这就是我们在密西西比州所做的,成立了由地方,州和联邦官员组成的知识产权盗窃工作队。我们成功地抓住了企图向密西西比州出售假冒且通常不安全的商品的犯罪者。

我们办公室的另一个重点领域是教育。这包括对消费者进行的有关身份盗窃,假冒商品和其他在线犯罪的教育。它还包括对其他执法机构的培训,内容涉及如何发现和解决这些问题。大多数股份公司都像我们一样处理这些问题:利用教育鼓励预防,但准备在事件发生时在民事或刑事层面上解决。

The 隐私Advisor: 您的NAAG总统倡议的主题反映了国家层面上正在进行的辩论,这些辩论不仅涉及私人实体如何使用个人信息,还涉及政府,尤其是执法部门如何使用这些信息。在许多情况下,联邦调查局,特勤局以及州和地方检察官在过去一年的NAAG会议上向AG强调,他们需要访问数字信息,特别是手机信息,以进行调查和解决犯罪。咨询小组之间是否就如何最好地平衡个人隐私以及执法部门对帮助解决犯罪的信息的需求达成共识?

引擎盖: 这是一个很好的问题,答案很复杂。我知道所有股份公司都希望确保按照宪法原则尊重消费者的隐私。在执法人员宣誓遵守法律的同时,我们还希望寻求所有法律途径,以收集可用于解决犯罪并进而保护我们公民的重要证据。当我们进行实时调查时,我们必须能够寻找和使用现有的证据将罪犯绳之以法。这可能意味着使用手机上的信息(现在每个人都像计算机一样使用手机)进行调查。

但是,平衡是通过我们获取信息的方式来实现的,例如当权证通过司法部门并允许对请求进行独立评估时,或者当权证要求存在适当例外时。最重要的是,尽管技术发生了变化,但适当寻找证据的途径却没有。仅需根据新兴技术和隐私问题来评估法律和证据的边界。我们将其留给法院以设定适当的平衡。

The 隐私Advisor: 而且,说到政府对数据的使用,就像私人实体一样,国家机构本身就是黑客和其他安全漏洞的对象,这已不是什么秘密。实际上,最近 NAAG报告清单 2014年前三季度,阿拉巴马州,加利福尼亚州,康涅狄格州,佛罗里达州,爱荷华州,伊利诺伊州,马里兰州,密歇根州,北卡罗来纳州,新泽西州,俄勒冈州,南卡罗来纳州,弗吉尼亚州,华盛顿州和怀俄明州等近两个州机构单独。 AG的主要工作是保护州消费者免受数据丢失或私人实体不当使用数据的侵害,但他或她的工作还在于在这些领域为州机构提供建议和辩护。您和您的AG合作伙伴如何发挥这些作用?

引擎盖: 总检察长经常被要求扮演双重角色,安全漏洞的领域也不例外。如果国家机构是黑客或安全漏洞的对象,则AG必须确保该机构遵守所有适用的州法律。这可能意味着向受影响的个人发出通知,调查违规的根源并采取其他补救措施。另一方面,我们作为AG的工作是保护受违规影响的非常消费者。这个双重角色虽然看起来很矛盾,但实际上并不是杂耍。取而代之的是,只要我们办公室的独立律师处理问题的各个“方面”,股份公司通常就负有履行这两个角色的宪法或法定义务。 AG对各个问题的深刻理解有助于该机构和受影响的个人。

The 隐私Advisor: 有人说,技术发展日新月异,以至于有关其使用的法律或法规一经制定,就已经过时了。您是否发现某些特定领域在您的工作中是对的,或者现有的州或联邦框架是否能够充分监管这些新技术?例如,在隐私和网络安全环境中,保护密西西比人免受不公平,欺诈和欺骗的现行法律是否足够?

引擎盖: 我认为,立法者和其他法规制定机构面临的最大挑战是如何将适用于该罪行的法律充分适用于特定情况。我们有严格的法律禁止网络犯罪,身份盗用和欺诈。有时,定义需要改变的不是罪行或成文法的实质。我们经常使用我们的网络犯罪,消费者保护和身份盗用法律来起诉犯罪者。结果,我们有时不得不争辩说,一个定义包括一组特定的事实。换句话说,我们可能必须更改一些定义以使法律更具包容性,而不是法规授权行动。这是很好的区别,但有时可以使必要的更改变得容易。

The 隐私Advisor: 像大多数州一样,密西西比州有一项数据泄露通知法,该法律要求被泄露的实体通知可能受到安全破坏影响的密西西比州居民。在过去的十年中,国会考虑了未能引起人们注意的联邦违规通知提案。今年春天,似乎有些微不足道的事实表明这种立法实际上可能会通过。引起人们广泛关注的法案旨在抢占州数据泄露通知法,但允许AG执行联邦违反通知法。您对这样的法律有意见吗?

引擎盖: 为了确保保护所有公民免遭数据泄露的侵害,尤其是在那些没有通知法的州,我相信我们需要在执法方面发挥双重联邦政府的作用。联邦数据泄露法不应取代或取代州法律。相反,它应该为消费者提供额外的保护层。法律的无数领域成功地维持了州和联邦执法机构之间的这种平衡,并确保可以解决所有违法行为(无论大小)。如果提供优先购买权的法案获得通过,我认为大多数(如果不是全部)股份公司都希望能够执行联邦法律。这对于诸如HIPAA的特定隐私法非常有效。

正如我提到的,在数据​​泄露方面,培训是关键。我们有通过NAAG成立的工作小组来解决广泛的安全漏洞,但是这些小组还讨论了通过敦促企业采取措施防止安全漏洞来“解决”问题的方法。我知道,司法部最近发布了“受害者响应和网络事件报告的最佳实践”一书,其中包括有关预防和解决网络入侵的有用技巧的小册子。此外,作为我应对网络犯罪挑战的总统倡议的一部分,密西西比州正在与其他州合作,进一步制定网络安全建议,以教育中小型企业和其他实体,并提供现有资源和标准清单。对于任何规模的企业而言,未能主动更新政策和培训员工都是危险的。尽管AG知道分析和实施变更所需的资源,但未能培训和更新的代价可能更大。投资更新策略的好处在于,根据我们的法规,拥有安全漏洞策略的公司可以自动满足密西西比州的安全漏洞要求,在其他一些州也是如此。

尽管采取了这些预防措施,仍会发生违规行为。我认为大多数AG都会同意我的普遍误解,即发现违规行为时企业不应与我们联系。但是有机会,我们将听到有关违规的消息,因此最好尽快通知AG。尽管确实通知受影响州的AG不会阻止采取执法行动,但这可以减轻因公司未能保护信息或通知消费者而导致的任何处罚。

作为股份公司,我们的最终目标和责任是确保在发生违规行为之后进行适当的通知和补救。如果拥有敏感信息的企业和其他组织采取措施来防止违规,并且我们拥有强大的违规通知法律(州或联邦),则从长远来看,消费者数据将更加安全。

*本文最初发表于 国际隐私专业协会 The 隐私Advisor.