跳到主要内容

需要:国家数据隐私立法

来自教育者的电子杂志

许多与技术有关的法律已经支配着学校。学校管理者(乃至整个国家)是否真的需要在这方面加强监管?

当涉及数据隐私时,答案是 。企业,政府机构和教育机构中数据丢失的浪潮使数据隐私立法比以往任何时候都更加紧迫。

在过去的几年中,地址和社会安全号码等个人数据的泄漏急剧增加。根据位于圣地亚哥的一个倡导组织隐私权信息交换所维护的清单,自2005年2月以来已报告了190多次此类事件。自今年1月以来已报告了90起此类事件。联邦贸易委员会(Federal Trade Commission)估计,关键数据的无意或故意破坏每年使消费者和企业损失500亿美元。除了这些直接成本之外,数据泄漏还威胁到包括K-12学校在内的大小机构的信心。

州政府和私人组织已通过立法和自愿标准做出回应。联邦政府也进入了画面。去年,联邦贸易委员会(FTC)最近对其历史上最大的数据隐私罚款处以最高级别的罚款。

但是联邦贸易委员会已经公开表示其调查和罚款还不够。它需要更好的工具来确保消费者的最重要信息不会丢失,被盗或被卖给出价最高的人。这意味着新的和更强大的立法。

国会已经提出了数据隐私法案。尽管这些法案已被其他担忧所绕开,但对消费者,学生甚至军事数据的威胁并未受到威胁。新当选的国会应该拿起这些法案,并尽快通过数据隐私法规。任何立法都应遵循以下原则:

1.清晰,统一,全面的应用。 到2005年底,十七个州制定了某种类型的数据隐私法。领先的州法律是加利福尼亚州的SB 1386法。鉴于该法涵盖了在加利福尼亚开展业务的任何公司,因此SB 1386被称为 实际上 国家数据隐私法。但这是一个错误的说法。 SB 1386的规定不同于其他州法律的规定。结果:大型组织必须根据SB 1386调整其流程和程序 也适用于其他不同的州法律。

遵守多个法律框架以及经常相互冲突的法律框架会增加成本,更重要的是,它会最小化激发消费者和选民之间信任的必要清晰度。联邦立法应清晰,统一和全面。它应该权威地定义“个人数据”和“身份”。它必须建立起保护底线而不是上限的国家基准。最后,隐私立法应适用于私人 公共企业,包括联邦,州和地方政府。

2.使用当前最佳实践。 尽管有必要明确,统一和全面的立法,但它不一定要全盘覆盖。如上所述,许多州已经解决了数据隐私问题。私营企业,贸易协会和倡导团体也加入了政府机构的努力。我们国家的公共和私人组织共同开发了最佳实践,这些最佳实践可以并且应该在制定国家标准时加以利用。这些最佳做法包括:对私有数据有广泛的了解;即使存在安全程序,也应披露违规行为;在合理地认为数据已被泄露时披露违规;延迟披露以满足执法部门的合法需要;以及达到一定阈值的组织进行的年度风险评估,例如持有的身份数量。加州SB1386和支付卡行业安全标准是联邦立法的两个重要基准。

3.严格执行和重大处罚。 使用垃圾邮件以及其他滥用和犯罪活动的经验表明,执法是任何数字保护法规的关键要素。必须充分授权适当的政府机构,并拥有执行法律的必要资源。此外,为鼓励合规性,必须设计能够真正减少私人数据丢失风险的惩罚措施。这转化为大量资金;对故意违规的重大处罚;减少对无意违反的处罚;以及根据所公开身份的数量而受到的处罚。

立法对做出重大努力以遵守法规的组织予以奖励也至关重要。不幸的是,没有一个系统可以百分百安全。应当为此付出努力,以奖励部署了流程和技术以保护信息的学区,企业和其他组织。对于不符合这些行业标准要求的组织,应加重处罚。为了阻止潜在的犯罪者并保护消费者,对故意违反行为的处罚应严厉。

学生数据的有意或无意泄漏会严重损害学区的声誉。在商业世界中,数据挤压会破坏品牌,并因此破坏销售和利润。我们国家的经济和教育需求没有遵循选举时间表。现在是制定清晰,统一和全面的联邦数据隐私法规的时候了。

电子邮件:约翰·乔丹