1998年美国国会听证会情报和安全
1998年美国国会听证会Marc Rotenberg
电子隐私信息中心主任
乔治敦大学法律中心兼职教授
上
通信保密
之前
小组委员会法院和知识产权
众议院司法委员会
代表美国国会众议院
1998年3月26日
摘要
民意调查显示,隐私是网民最关心的问题。每个人都知道,大量的个人信息被收集,实际上没有任何有意义的保护措施。
在麦克维-AOL的情况下,一个人几乎失去了,因为这是由不正确的在线服务提供商披露的信息他的工作。电子通信隐私法的修正案,将有助于防止今后发生类似事件。但这个例子只是众多私密一个使用互联网的今天面临着一些风险,人们。
互联网缺乏足够的隐私保护。1997年,电子隐私信息中心(Electronic Privacy Information Center)对100家排名靠前的网站进行的调查发现,只有不到一半的网站制定了隐私政策,而那些制定了政策的网站几乎没有提供真正的保护。尽管如此,匿名在网络隐私中扮演着重要的角色,因为它让个人有能力控制自己身份的泄露。
尽管互联网是一个非常新的通信环境,但在美国建立隐私法律保护的承诺由来已久。美国发达的重要法律保障来保护隐私通讯和建立个人信息保护的基本方法——通常被描述为“公平信息实践”,明确的职责收集数据的组织和个人的权利放弃个人信息。
但是,我们的政策,美国还没有及时更新。没有隐私加上政府努力限制使用的新的隐私增强技术,如加密新的法律保护,已经产生的隐私权政策几乎是完全落后。如果你有自己的隐私保护的历史,并在世界其他地区目前的发展对比我们目前的政策,这变得特别明显。
我们必须采取几个步骤来重新制定我们的隐私政策。首先,可强制执行的公平信息实践应适用于互联网。这最好通过立法来实现。自我监管的方法不起作用。其次,应该鼓励保护隐私和匿名的技术,取消对加密的限制。最后,应该建立一个隐私机构,为隐私保护制定额外的建议,并在联邦政府内部就这一重要问题提供永久性的领导。
我们正处于一个漫长而艰难的时期私隐在这个国家保护的开始。科技是赛车前进。我们的法律和制度却远远落后。关于隐私的公众关注的程度越来越大。还有就是很多工作要做。
我是Marc Rotenberg。我是电子隐私信息中心的主任,这是华盛顿特区的一个无党派研究组织。我是乔治敦大学法律中心的兼职教授和华盛顿法学院的高级讲师。我也是Philip E. Agre的编辑,新景观:技术和隐私(麻省理工学院出版社1997)。
我感谢今天有机会在小组委员会面前作证。我要感谢小组委员会举办这次听证会,也感谢你们一直以来对代表古德拉特的安全法案的支持,这将有助于改革我们国家的加密政策。
McVeigh-AOL案例
关于隐私的Intenet的损失日益关注作出今年早些时候明确当海军开始基于由美国在线披露的水手的个人信息免遭装饰水手放电程序。一名海军调查人员,怀疑麦克维先生可能是违反了“不问,不说”政策,获得的链接麦克维先生的这是不是他的真实身份信息“网名”,与他的真实身份。一旦连接建立,放电程序开始。
该麦克维-AOL情况提出了一系列复杂的法律问题。金博宝正规网址AOL的服务协议条款明确禁止本公开。但对公司进行民事诉讼并不意味着海军复职。本发明还可能违反电子通讯隐私法案,但法规不明确有关可用于此类披露的受害者的救济。
麦克维先生向联邦法院起诉了海军部长约翰·道尔顿。斯坦利·斯波金法官发现,海军在进行调查时违反了“不问不说政策”。在判决过程中,斯波金法官还考虑了海军是否违反了《电子通信隐私法》。在这一点上,意见不太清楚。斯波金法官说,根据ECPA,海军进行的调查“很可能是非法的”,因为海军调查员在从“美国在线”(America Online)获取麦克维的个人信息之前,没有获得搜查令。政府认为遵守ECPA的义务不是政府参与者的责任,而是在线服务提供商的责任。
斯波金法官说,从整体上看,该法令明确了规范政府机构行为的意图。他发现,即使相关条款不适用于政府行为,“最基本的一点是,当个人权利受到侵犯时,不正当获得的信息可能会被压制。”Judge Sporkin concluded "in these days of 'big brother,' where through technology and otherwise the privacy interests of individuals from all walks of life are being ignored or marginalized, it is imperative that statues explicitly protecting these rights be strictly observed."
该麦克维的情况是有几个原因的关键。首先,它明确指出,侵犯隐私有真正的后果。麦克维先生的生命被永远被美国在线的决定,关于他的个人信息透露给他的雇主改变。二,本案合同显示解决方案的缺点。即使有一个非常明确的合同条款细节时,可能会披露个人信息,海军调查者仍然能够获得约麦克维先生的个人信息。三,案例表明,我们都越来越依赖于这些新的服务,以保护我们的隐私。今天的美国在线拥有超过1100万个用户。
麦克维先生的情况下,由于信息披露不当是做到有据可查,得到了国家的重视。但也有许多其他人在这个国家谁面临类似的隐私风险,他们的名字将永远不得而知。事实上,他们自己可能永远不会知道有关他们的信息不当披露。
什么是隐私?
在某些方面,麦克维情况似乎复杂。AOL实际上并没有透露有关麦克维先生的个人信息,如不公开的电话号码或社会安全号码。相反,该公司透露,链接他的实际身份用假身份信息。互联网引发似乎新颖和独特的许多隐私问题:金博宝正规网址
虽然这些例子看起来很复杂,但基本的隐私分析并不那么困难。几乎所有的隐私法和政策都是基于这样一种信念,即当个人向组织提供可识别的个人信息时,组织承担了一定的义务,而个人则被赋予了一定的权利。我们称这些责任和权利为“公平信息实践”。
公平信息惯例的关键要素包括:
你会发现这种方法在几乎所有的隐私保护隐私法在美国,包括许多最近的法规处理新技术,如用户隐私条款在1984年的电缆法案,1986年的电子通信隐私法》,1998年的视频隐私保护法案(录像租赁),1991年的电话消费者保护法案(auto-dialers和垃圾传真),甚至包括1996年电信改革法案(客户计费信息)中包含的CPNI规则。
为了有效,必须实施公平的信息实践,并提供补救措施。只说政策是什么,而不提供实施政策的手段是不够的。这就是为什么建立在公平信息实践基础上的自愿准则、专业标准和行为准则并不一定提供重要的隐私保护。
也有一些新的问题。金博宝正规网址一个非常有趣和非常重要的政策问题是新技术,使它们能够保护隐私在我们以前没有想到的途径发展带来的。传统上,我们明白,技术是隐私构成威胁,这是政府对限制使用可能对隐私侵入技术应有的作用。但是,现在我们在技术如公钥加密和匿名支付方案看,以开发新的手段来限制个人信息的泄露的机会。
然后,关键问题就变成了什么样的作用政府应该在促进,调节,或限制技术,如加密,允许个人以保护个人信息的播放。在美国,这场争论在很大程度上是在需要平衡的隐私权和商业利益对执法和国家安全的关切方面陷害。但是在看过这个问题在世界的其他大部分地区,有一个非常不同的看法。许多国家的政府认为,这些新技术应提倡并努力实行管制的执法目的是短期选址,并最终徒劳无功。
在我看来,信息时代的隐私,既意味着将公平的信息实践延伸到新的信息环境中,也意味着积极推广以加密为基础的技术来保护个人信息的泄露。这是基本政策目标。
了解隐私的问题在互联网上
为了更详细地了解互联网上的隐私问题,EPIC在1997年夏天对排名前100的网站进行了调查。这是第一次对互联网隐私的全面调查。我们研究了在最流行的网站上实际存在的策略和实践。对于每个站点,我们检查是否收集了个人可识别信息,是否显示了描述隐私政策的通知,政策是否足够,以及类似的问题。
我们发现,大约一半的受访我们收集的个人信息的网站。这是典型的做了在线注册,调查,用户配置文件和订单履行。十七网站有隐私声明或声明,但政策往往不容易找到,有些政策,我们只能找到后,我们注册了该网站。
我们认为,重要的是不要只看网站是否有隐私政策。隐私政策必须解释收集数据的组织的责任和提供数据的人的权利。我们发现,很少有遗址能提供足够的保护。未来互联网隐私的一个关键问题是,是否有办法强制执行公平的信息实践。
一个在我们的调查中最有趣的发现之一是,匿名在很大程度上是由网站的尊重。大多数网站允许用户访问和接收信息 - 关于产品或新闻,或几乎任何你可以在互联网上找到 - 但不会收集个人信息。
我们在报告的结论中说:
我们封闭了警告“当心冲浪”,因为我们的结论是,在互联网上简单地太少,隐私保护,为用户感到安全,我们希望强大的隐私标准将被制定。
几位网络运营商随后写信给我们冲浪者当心被释放的说,他们正在为自己的网站开发隐私政策。纽约时报网站上添加了一个隐私政策,我们的报告后几天就出来了。的反应已经很不错了。
本月,联邦贸易委员会对1200家网站进行了类似的调查。我怀疑联邦贸易委员会会发现越来越多的网站现在确实有隐私政策。但这些政策是否有意义,是否为使用这些服务的用户提供了补偿,目前仍不清楚。值得注意的是,美国在线拥有当今互联网运营公司中最全面和详细的隐私政策。然而,蒂莫西·麦克维几乎丢了工作。
通讯保密的历史
一位美国法律制度的伟大成就,是我们保护个人通信的隐私的坚定承诺。您可以跟踪至少这段历史追溯到本杰明·富兰克林,谁在建立国家邮政认识到有必要制定联邦法律来保护通讯隐私。
但它不是直到1928年,最高法院举行了第一次刷的我们的权利法案,在十八世纪的起草是否将适用于二十世纪及以后的新的通信技术的问题。在西北太平洋地区而言非常成功盗操作的情况下,由拉尔夫·奥姆斯特德操作。联邦特工开始了历时五个多月的广泛的监视行动。他们没有录音设备,让他们写下他们听到的。有时他们转达他们的谈话中回忆到一个速记员。最终,他们编制超过775页,他们送上法庭。问题是宪法第四修正案令要求是否适用于这一新的侦查手段。原审法院让证据,在奥姆斯特德先生的反对,上诉法院的肯定。
当案件最终送达最高法院时,首席大法官威廉·塔夫脱(William Taft)写了一份详细的意见,重点是没有进行《第四修正案》禁止的那种身体搜查,并得出结论认为证据是可以接受的。法院认为,第四修正案根本不适用于这种新形式的来文。
但有两个重要的不同意见。霍姆斯法官称此事是“肮脏的交易”,因为联邦特工已经违反了禁止窃听获得的证据华盛顿州法律。他投逆转。
布兰代斯大法官也持反对意见。他的意见是不是这么多的联邦特工的违法行为;他更感兴趣的是如何在第四修正案和我们的宪法普遍,应适用于这些新的通信技术的问题。他写道,在美国法律上最著名的词语之一,我们的宪法“的制定者寻求保护美国人在他们的信仰,他们的思想,他们的情绪和他们的感觉。他们商量后,作为对政府的权利是更何况 - 最全面的所有权利和最右边的文明人重视“。布兰代斯在异议奥姆斯戴德提醒我们保护隐私是我们有序自由体系的核心,而这一法律是一个不断发展的过程。
最高法院最终通过布兰代斯大法官的观点,并于1967年决定,宪法第四修正案确实适用于电话通信。继卡茨决定和相关案件,伯杰诉纽约,国会设置了在1968年建立一个框架,只允许在最有限的情况下电子窃听。该大会上提出,当时明确表示,窃听是成为的调查手段“不得已而为之”。
虽然一些人说,第三章明确指出,警方窃听电话通讯权当获得法院命令,我相信该法案的更好的观点是,它保证了电子监控将在严格的宪法第四修正案的要求提出。换句话说,我们的联邦窃听法令的目的是要限制这种侦查手段最窄情况。
自1967年以来,通信隐私法有了一些重大的发展。1978年,国会通过了《外国情报监视法案》,以解决窃听外国特工的难题。最高法院把这个问题留在了卡茨本案的第四修正案是否适用于国家安全的案件。国会解决与FISA这个问题在1978年,建立了一个标题III类的框架,尽管有更多的保密性和更少的责任。
在80年代中期,互联网和新通信服务的增长是显而易见的。人们使用台式电脑,并通过电子邮件的方式将消息发送到彼此。有关政府搜索相应的标准问题是引起。作为回应,美国国会修改标题III并颁布电子通信隐私法案,延长隐私保护存储的电子通讯。
接下来的显著发展发生在1994年国会通过法律实施法案(CALEA),这一措施通常被称为通信协助“数字电话”。CALEA给司法部设定为民族的电话系统技术标准,以试图确保窃听的持续生存的权力。
许多当时说,这项措施被认为这是一个错误,以通过这样的立法,不仅是因为它是在法律的方式来电子监视和警察的权力通常根本性的改变,但也该法案将是不切实际的,并最终不可行的。
是好还是坏,这个预测现在看来是正确的。联邦调查局(FBI)和电话行业有关实施立法无休止的争论深陷,估计费用远远超出了最初的授权,技术创新成果不断,并CALEA政策有所放缓采用的技术方法,如加密,可以使我们的通信网络的安全性和减少犯罪的风险。此外,我们的政府现在是在敦促其他国家发展更广泛的监视能力的不幸位置。
我希望日后司法委员会有机会再访CALEA,考虑这是否仍是一项明智的政策措施。
政府的角色
美国多年来一直在努力,以保护个人隐私的领导者。布兰代斯大法官在建立在这个国家和其他地方的法律要求十九世纪末写道右侧的著名法律评论文章的隐私权。该隐私权后来被描述为“美国侵权。”
许多其他国家也加入了美国努力牢固树立这一权利在第二次世界大战结束后。世界人权宣言获得通过和隐私权在许多国家的政府的宪法作出了明确。
美国继续与公平信用报告法案通过隐私保护的新时代,引领1970年,然后与1974年的隐私法所提供的由联邦政府持有的纪录全面的隐私保护。
但是,我们的领先优势有所下滑,我们现在被许多人看作是在保护这一重要权利的努力落后。政府当局的有关隐私保护的记录一直很差。不仅白宫抵制从长期的贸易伙伴和盟友呼吁制定更强的私密性措施,它已经积极地反对其他政府努力隐私权延伸到自己的公民。这与政府的企图延长技术电子监控相结合已经使美国在推动国家监督其他国家政府正在试图建立隐私保护的不幸位置。
与其他政府相比,我国政府在处理隐私问题上的鲜明对比,可以从“1998年10月”这一天的重要性来理解。金博宝正规网址In Europe that is the date when the European Data Directive goes into force. It is a comprehensive privacy measure that establishes rights for citizens and recognizes that privacy protection will remain critical for the information economy. It is the result of many years of hard work, negotiation, and commitment by lawmakers.
在我国,我们将于1998年10月纪念《通讯协助执法法》预期开始实施的日期。正如我所指出的,这项法律要求电话公司努力保护国家电话系统中的电子窃听。在其他国家为如何保护其公民的隐私权而苦苦挣扎之际,我们正在推行详尽而昂贵的国家通信监控政策。
今天我们不仅落后于发展中国家合理的隐私政策的曲线,但我们主要是从与世界的其余部分。由于缺乏正规的手段来制定的隐私政策和回应公众的关注,我们已经离开了执法界和营销界,以确定有多少隐私会出现在未来。该结果并不意外 - 有关于隐私的损失,我们面临的问题,我们应该追求的解决方案之间的差距越来越大越来越多的公众关注。
简单地说,我们的政策是落后的。我们的技术来保护隐私,在以市场为基础的解决方案是最好实行政府管制。我们离开的隐私问题的市场,需要政府的参与。
建议
今天,为了保护隐私的呼吁政府采取行动是毫不含糊的。最新的哈里斯民意调查发现,大多数受访者发现,隐私是人们上网的停留关闭的主要原因。他们现在希望立法在互联网上保护隐私。按照商业周刊/哈里斯民意调查,53%的人认为“政府现在应该通过法律的信息,如何个人可以收集并在互联网上使用。”的受访者,23%的人认为“政府应建议隐私标准的互联网,但当时没有通过法律。”只有19%的人认为政府“应该让小组制定自愿的隐私标准,但并非真正的,除非出现问题,现在采取任何行动。”
哈里斯/商业周刊调查是与已经问隐私和互联网类似问题的其他民意调查相一致。相反,流行的观点,即网民反对政府行为的所有形式,当它涉及到个人隐私的问题,他们认为新的法律是必要的。
关于互联网“自我监管”的可取性,人们也说了很多。事实上,在许多领域,政府可以做得最少,做得最多。在言论和内容方面尤其如此,我们强烈的第一修正案传统告诫政府不要试图规范人们可能说的话、读的话或看的话。但是自我监管并没有帮助保护互联网上的隐私。事实上,这让我们更加难以关注一个连贯的隐私政策这一更大的问题。它还侵蚀了我们对隐私保护的基本理解。
例如,公平信息实践的概念——明确地将责任赋予组织并赋予个人权利的所有隐私法和政策的共同主线——正在被修改以适应组织的需要,而不是保护个人的利益。过去人们理解个人应该有权访问、检查和纠正自己的数据,现在那些支持自我监管的人认为,只有提供隐私政策的访问权才有必要。
一旦个人同意是中央对个人信息的披露,现在关注的是个人选择对于一个范围的披露。当保密技术集中在手段来保护身份,现在的重点是手段获取信息。许多被提出的“技术解决方案” ---如开放剖析标,P3P和受托人的技术---将使它更容易,难度不大,以获得使用互联网的个人信息。事情显然是不妥。
现在是时候对公平信息惯例重新建立支持,明确指出,组织收集的信息有责任,那个人谁放弃信息拥有权利。这些原则已经很好地建立在我们的法律传统。隐私保护不应止于互联网开始的地方。
修改电子通信隐私法
国会应特别考虑根据ECPA第2703条扩大用户信息的隐私范围。目前,该法规仅禁止向“政府实体”披露此类数据,除非它们获得了法律程序的授权。此禁令应扩大到披露认购人信息任何第三方。海军之所以能够从AOL获得有关麦克维先生的信息,原因之一是ECPA对服务提供商没有任何限制,除非请求者将自己视为政府代理人,而海军调查员没有做到这一点。此外,目前的法定制度没有认识到,向非政府行为者披露个人信息可能造成重大损害。如果麦克维先生是一名私营部门雇员,ECPA绝对不会提供任何保护,尽管事实上他也可能以同样的方式失去工作。任何在收到服务提供者提供的个人信息之前,应要求请求者提供法律授权。
关于政府访问,ECPA应修订以禁止使用违反第2703条获得的信息作为证据,就像第2515条禁止使用非法获得的电报或口头通信一样。
最后,第2707条中的民事诉讼条款应予以修订,以明确诉讼事由将针对违反第2703条获取信息的政府实体。
支持通过《互联网私隐条例草案》及《儿童私隐条例草案
1997年的消费者互联网隐私保护法(HR 98)将阻止“交互式计算机服务”在没有用户书面内容的情况下向第三方披露用户的个人信息。这是一个很好的起点,但会留下许多应该得到保护的未覆盖区域。弗兰克斯议员法案,儿童隐私保护和家长授权法案也提供了重要的保障。
建立保密局
1973年,卫生、教育和福利部设立了一个特别小组,研究由于越来越多地使用自动数据处理设备而引起的隐私问题。金博宝正规网址该报告促成了1974年《隐私法》的制定和通过,这或许是我国最重要的隐私法。但该报告和随后的报告也明确指出,一个有效的联邦政策的基石是一个永久性的隐私机构。ReportsReports
今天是一个隐私机构建立是至关重要的。我们根本不具备专业知识,承诺,或在联邦必要的了解,制定必要的应对我们所面临的巨大挑战的策略。许多是与隐私保护显著后果作出的决定缺乏隐私问题充分的代表性。
世界各国都在努力解决这些隐私问题。欧盟正在推进实施广泛的隐私指令,该指令将为欧盟国家的所有公民确立合法权利。包括日本和加拿大在内的非欧盟国家正在推行全面的隐私政策。匿名技术正在德国、荷兰和其他地方推广。新西兰制定了强有力的医疗隐私立法。
在美国,甚至与美国联邦贸易委员会的工作,很少有感觉,我们正在取得进展。隐私担忧正在上升。公众不会被目前的政策说服。商业周刊本月初把它以及在社论:
时间对于网络社区跑出来。公众不信任其承诺进行自我调节,以确保隐私。民意调查显示,人们不相信这些自愿性标准都在工作。的网站显示有任何抽查,几乎没有做任何认真的努力以保护隐私。这也难怪,公众希望政府介入,立即将信息传递怎样的个人可以被收集和使用的法律。即使是硅谷自由主义者谁在自愿性标准认为多年不再那么肯定。
随着越来越多的经济转变,从工业到信息库,个人的私人数据采取过去的经济效用未知。因此,也确实在电子领域一个人的经济行为。未来的增长取决于数据的安全性,并为这种行为的舒适程度。民间社会和经济的增长越来越依赖于隐私。
美国长期以来一直是个人自由的灯塔和个人权利的冠军。我们今天面临的最大挑战是要发扬这一传统进入信息时代。对于今天的互联网用户和未来,这将意味着保护的隐私权。
司法的主页
参考
P.阿格雷和M.罗滕贝格编,技术和隐私:新的景观(麻省理工学院出版社1997)
J.科恩,“A权匿名阅读:近距离观察在网络空间版权管理”U.Conn.L.Rev。(1996)
W. Diffie和S. Landau,隐私攸关:窃听和加密的政治(麻省理工学院出版社1997)
S. Friewald,“不确定隐私:通讯属性数字电话后,” 69 S.卡尔。L.牧师949(1996)
国际工作组在数据保护,数据保护和隐私在互联网上,互联网上的数据保护和隐私(1996)[http://www.datenschutz-berlin.de/diskus/13_15.htm]
国家信息基础设施工作小组,信息政策委员会,“促进国家信息基础设施隐私保护的选择”(1997)
经济合作与发展保护个人资料私隐和跨境流动的准则(1980)[http://www.oecd.org/dsti/sti/it/secur/prod/PRIV-EN.HTM]
经济合作与发展密码政策指导原则(1997)[http://www.oecd.org/dsti/iccp/crypto_e.html]
p•里根隐私的立法:科技,社会价值和公共政策(北卡罗来纳大学出版社,1995)
通信隐私:网络设计的启示,"美国计算机协会通讯(1995)
M.罗滕贝格,“数据保护在美国 - 涨潮计算机法律和安全报告38-40 (1998 - 2)
M.罗滕贝格,“在隐私保护机构在美国的支持,”政府信息季刊(1991冬季)
P. Schwartz和J. Reidenberg,数据隐私法(1996米)
B. Schneier和D. Banisar,电子私隐文件(1997年约翰·威利)