关于网络安全和数据隐私法律的不那么明确的指南

简单地说，美国的网络安全和数据隐私法是一团糟。

多年的零碎立法，最高法院决策和政府监测危机以及重复的企业失败来保护用户数据，这创造了一个法律景观，即美国公共和美国企业，混乱，复杂，彻头彻尾的烦人。

企业应遵守基于数据类型的数据隐私法。例如，有一项法律保护健康和医疗信息，另一项法律保护属于儿童的信息，还有另一项法律保护视频租赁记录。但令人困惑的是，其中一些法律只适用于某些类型的犯罪企业，而不仅仅是某些类型的数据．

另一方面，执法机构和情报机构需要遵守一个不同的框架，这个框架有时会根据“内容”和“非内容”将数据分开。例如，有一项法律保护电话通话，但另一项法律保护在键盘上拨打的实际号码。

即使数据相似，其保护措施也可能不同。例如，如果GPS位置数据由手机提供商持有，则可能会收到不同的保护，而不是通过在线位置“签到”服务或通过允许用户共享慢跑路线的健身应用程序故意上传。

国会可以通过全面的联邦数据隐私立法来精简这个脱节的网络;然而，监管执法仍存在问题，各州的个人数据隐私法在这个过程中是会得到尊重还是会被压垮。

为了更好地理解当前的领域，Malwarebytes推出了一个关于美国数据隐私和网必威平台APP络安全法律的有限的博客系列。我们将涵盖商业合规、部门立法、政府监督和即将出台的联邦立法。

以下是我们系列中的第一个博客。它从启动的角度探讨了今天美国的数据隐私合规性。

初创公司的故事——数据隐私法比比皆是

每年都有无数人前往硅谷加入21强^圣“世纪淘金热”，不是沿着海岸线，而是沿着沙丘路，在那里致富意味着带来一些严肃的风险资本融资。

但在任何一家初创公司成为下一个Facebook、Uber、谷歌或Airbnb之前，它必须遵守一系列广泛的、有时令人眼花缭乱的数据隐私法律。

幸运的是，有数据隐私律师可以提供帮助。

我们与位于华盛顿特区的法律事务所Wilmer Cutler Pickering Hale and Dorr的网络安全和隐私实践联合主席D.Reed Freeman Jr.进行了交谈，讨论了一家假设的数据收集初创公司需要遵守美国当前的数据隐私法。其路线图是什么样的？

我们的假设启动 - 让我们称之为Spuri.us-in-in in旧金山，完全专注于美国市场。该公司开发了一个应用程序，收集用户数据，以提高应用程序的性能，并且可能会在将来提供有针对性的广告。

这不是公司必须考虑在美国的数据隐私合规性的每个数据隐私法的详尽清单。相反，它是一个快照，提供信息和答案，以至于今天的一些最常见的问题。

美国的在线隐私政策

弗里曼说，为了正确地开展数据隐私合规工作，该公司需要像2004年那样，在网上撰写并发布一份清晰、真实的隐私政策《加州在线隐私保护法案》．

法律要求企业和商业网站运营商收集个人身份信息，以在线发布清晰，轻松可接近的隐私政策。这些隐私政策必须详细介绍从用户收集的信息类型，可以与第三方共享的信息类型，隐私政策的生效日期，以及进程 - 如果是用户审查和请求更改收集的信息。

隐私政策还必须包括有关公司如何响应“不跟踪”请求的信息，这是一种网络浏览器设置，旨在防止用户在线被跟踪。这些设置的有效性存在争议，苹果公司最近在Safari浏览器中退役了该功能．

弗里曼说，公司不必担心是否会满足“不跟踪”的要求，他们应该担心是否会遵守法律。

“你可以说‘我们不喜欢’，”弗里曼说，“但你必须说点什么。”

这项法律涵盖的不仅仅是隐私政策的内容。它还包括一家公司必须将其展示在多么显著的位置。根据法律规定，隐私政策必须“醒目地张贴”在网站上。

10多年前，谷歌试图测试该解释，后来退缩。遵循2007年纽约时报报道这揭示了公司的隐私政策至少有两次点击主页，多个隐私权组织向那封信给Then-Ceo Eric Sc​​hmidt发信，敦促该公司更加积极遵守。

“谷歌不愿在其主页上发布隐私政策链接，这令人担忧，”信中说，由美国公民自由联盟，数字民主中心和电子前沿基金会签署。“我们敦促您遵守加州在线隐私保护法案，并尽快对商业网站的广泛练习。”

工作的信。如今，用户可以点击这家搜索巨头主页上的“隐私”链接。

COPPA和HIPAA呢?

Spuri.us，就像任何灵活的硅谷启动一样，准备好了。在其增长的一点中，它被认为成为健康跟踪和健身应用程序，这意味着它将收集用户的心率，睡眠方案，水摄入，锻炼惯例，甚至他们的GPS位置适用于选定的慢跑和骑自行车的路线。Spuri.us还被认为是枢转入移动游戏，开发一个不为儿童制作的应用程序，但仍然可以下载到儿童的设备上并由孩子们播放。

Spuri。美国的创始人至少熟悉两项联邦数据隐私法——《健康保险便携和责任法案》(HIPAA)，监管医疗信息，以及《儿童在线隐私保护法》(杯)，它管理属于儿童的信息。

美国公司的创始人想知道：如果她的公司热衷于收集健康相关信息，它是否需要遵守HIPAA？

事实并非如此，弗里曼说。

“HIPAA，它的布局方式，不涵盖所有医疗信息，”Freeman说。“这是一个常见的误解。”

相反，弗里曼说，HIPAA只适用于三种类型的企业：医疗服务提供商（如医生、诊所、牙医和药房）、医疗计划（如医疗保险公司和卫生组织）和医疗信息交换所（如处理非标准医疗信息的账单服务）。

不适合任何这些描述，Spuri.us不必担心HIPAA合规性。

至于遵守COPPA，弗里曼称该法律“复杂”且“很难遵守”。弗里曼说，1998年国会会期结束时，一项庞大的综合法案附加了COPPA，“在它通过之前，没有人知道它是存在的”。

也就是说，COPPA的范围很容易理解。

“有些事情很简单，”弗里曼说。“如果你的网站是针对13岁以下儿童的，或者你确实知道自己在收集13岁以下儿童的信息，你就会受到国会的监管，有义务遵守其错综复杂的要求。”

这就引出了一个问题：什么是面向儿童的网站？根据弗里曼的说法，联邦贸易委员会创建了一个规则来帮助回答这个问题．

“像网站上的动画，语言看起来是针对儿童的，各种直观的因素都被考虑在内，”弗里曼说。

其他因素包括网站的主题、音乐、模特的年龄、“以儿童为中心的活动”的展示以及是否有儿童名人。

因为Spuri。我们不是在制作针对儿童的应用程序，它不会故意收集13岁以下儿童的信息，它不需要遵守COPPA。

简单介绍一下GDPR

如果不把欧盟(eu)的问题提出来，对数据隐私合规的担忧就不完整一般资料保障规例(GDPR)．GDPR于2016年通过，并于去年生效，规范了企业如何在线收集、存储、使用和共享欧盟公民的个人信息。GDPR生效当天，无数美国人收到了一封又一封关于隐私政策更新的电子邮件，这些邮件通常来自于在美国成立的公司。

美国的创始人斯普瑞很担心。她可能有欧盟用户，但她不确定。这些用户是否强迫她遵守GDPR？

“这是一个常见的误解，”弗里曼说。他说GDPR的一部分解释了这个话题，他称之为“域外适用”。或者，更清楚地说，弗里曼说：“如果你是一家美国公司，GDPR什么时候会伸出手来抓住你？”

GDPR影响着世界各地的公司，这取决于三个因素。第一，公司是否通过员工、办公室或设备在欧盟建立。第二，公司是否直接营销或与欧盟居民沟通。第三，公司是否监控欧盟居民的行为。

弗里曼说:“第三点是绊倒人们的东西。他说，美国的网站和应用程序——包括那些没有欧盟实体的公司运营的网站和应用程序——如果它们专门跟踪发生在欧盟的用户行为，仍然必须遵守GDPR。

弗里曼说：“如果你有一个分析服务或网络，或者你的网站上有像素，或者你把cookie放在欧盟居民的机器上跟踪他们的行为，”这都可以算作是对欧盟居民行为的监控。

弗里曼说，由于这些服务相当普遍，许多公司已经找到了解决方案。公司可以获取访问其网站的用户的IP地址，而不是拆分整个分析业务。然后这些公司执行反向定位查找。如果这些公司发现任何与欧盟位置相关的IP地址，它们就会屏蔽这些地址背后的用户，以防止在线跟踪。

当被问及这一设置是否已被证明可以防范GDPR监管机构时，Freeman表示，这些步骤表明了对该法律的理解和关切。他说，这种担忧应该经得起审查。

弗里曼说:“如果你是一家初创企业，欧盟监管机构发起了调查，你证明你已经尽了一切努力来避免被跟踪——你明白了，你知道法律——我希望最合理的监管机构不会对你采取严厉的行动。”“你已经尽了最大努力来避免被监管的东西，也就是轨道。”

每个州都有数据泄露法

Spuri.us有一个明确发布的隐私政策。它知道HIPAA和COPPA，它有一个GDPR计划。一切顺利......直到它不是。

Spuri。美国遭受数据泄露。

这取决于从Spuri获取的数据。我们和它指的是谁，这家初创公司将需要遵守加州列出的许多要求数据泄露通知法．法律规定了何时启动、什么被视为违反、通知谁以及告诉他们什么。

该法律保护加州人的“个人信息”结合信息。例如，名字和姓氏+社会安全号码计数为个人信息。所以第一个姓名和姓氏加上驾驶执照号码，或名字和姓氏加上任何过去的医疗保险索赔或医学诊断。根据法律，加利福尼亚州的用户名和相关密码也有资格符合“个人信息”。

法律还将违规定义为任何“未经授权获取”个人信息数据。因此，流氓威胁行为人访问数据库？不是违规。同一威胁行为人从数据库下载信息？违规。

在加州，一旦公司发现数据泄露，接下来就必须通知受影响的个人。这些通知必须包括哪些类型的个人信息被窃取的详细信息，对入侵的描述，公司的联系信息，以及，如果公司确实是入侵的源头，提供至少一年的免费身份盗窃预防服务。

该法律对向受影响的客户和个人发出通知特别严格。对于每份通知所包含的副标题的字体大小和要求都有规定:“发生了什么”、“涉及到什么信息”、“我们正在做什么”、“你能做什么”和“更多信息”。

Spuri之后。我们发出了一系列通知，它可能还有很多事情要做。

截至2018年4月，美国每个州都有自己的数据泄露通知法．弗里曼说，这些有时重叠的法律仍然包括重要差异。

弗里曼说：“有些州要求你通知受影响的消费者，有些州要求你通知州司法部长。”。“有些要求您通知信用局。”

例如，佛罗里达州的法律要求，如果有超过1000名居民受到影响，公司必须通知所有全国范围的消费者报告机构。犹他州的法律，另一方面，如果在调查之后，公司只需要通知，该公司发现了这一点身份盗窃爱荷华州是为数不多的同时保护电子和纸质记录的州法律之一。

在所有让人头疼的数据合规问题中，对于Spuri.us来说，这个问题可能是最耗时的。

与此同时，Freeman说，采取积极主动的方法，如发布准确和真实的隐私政策，对用户坦率和诚实的商业实践，将使初创公司处于明显的优势。

弗里曼说：“如果他们一开始就知道隐私方面的事情，而且只是在美国，那将是一个很好的开端，使他们领先于许多其他初创公司。”

请继续关注本系列的第二篇博客，其中将介绍美国目前为全面数据隐私立法而进行的斗争。