Tills nyligen, de presumtiva målen för massiv datastöld ansågs vara företag som saknade sofistikerad cybersäkerhet eller inte tog frågan på tillräckligt allvar.

Men sedan slutet av 2016, några av de största namnen inom den senaste tekniken har sett sina mest känsliga kunddata – inklusive innehållet i e-postmeddelanden, kreditkortsnummer, och mobiltelefonnummer — faller i händerna på hackare, eller i vissa fall delat sådana uppgifter med tredje part utan konsumenternas vetskap eller samtycke.

Listan blir snabbt lång. Tjuvar laddade ner information om 25 miljoner amerikanska Uber-åkare. Kreditupplysningsbyrån Equifax hade 143 miljoner kundfiler stulna av hackare. Cambridge Analytica samlade in data från minst 87 miljoner Facebook-användare för att rikta in sig på politiska annonser. Den här sommaren, Google erkände inför kongressen att apputvecklare och andra har tillgång till användarnas Gmail. Dataforskare fann stora säkerhetsbrister i AT&T, T-Mobile, och Sprint-telefoner som lämnade kunderna utsatta. Och bara förra veckan, Facebook avslöjade sitt största intrång, med 50 miljoner användare påverkade. Det sade att telefonnummer som tillhandahållits till Facebook av användare för tvåfaktorsautentiseringssäkerhet hade delats med annonsörer.

Med så många överträdelser – och så få konsekvenser – högre chefer från Google, Äpple, Amazon, och Twitter, bland andra företag, kallades inför senatens handelsutskott, Vetenskap, och Transportation förra veckan för att förklara varför dataintegritetsintrång fortsätter, och diskutera några lösningar. Sen. John Thune (R., S.D.), utskottets ordförande, sa att det inte längre är en fråga om huruvida det behöver finnas en federal lag för att skydda konsumenternas dataintegritet utan "vilken form lagen ska ha." Ytterligare en förhandling är planerad senare denna månad.

Urs Gasser, LL.M. '03, är verkställande direktör för Berkman Klein Center for Internet &Society vid Harvard University och professor i praktik vid Harvard Law School. Hans forskning och undervisning fokuserar på informationsrätt och policy, och han skriver ofta om integritet, dataskydd, och regleringen av digital teknik. Gasser diskuterade tillståndet för datasekretess med Gazette via e-post och föreslog vad som kan göras för att skydda användare från företag som tjänar på människors data.

Frågor och svar

GAZETTE:Som någon som har studerat datasekretess under lång tid, är du förvånad över denna rad misslyckanden?

GASSER:Det som kanske är mest förvånande är den frekvens med vilken sådana integritetsrelevanta incidenter nu blir offentliga, samt deras förekomst och omfattning. När det gäller de underliggande orsakerna och effektiviteten av svar, det är viktigt att analysera varje incident separat. Ett dataintrång orsakat av externa hackare är inte samma problem och kräver inte samma motåtgärder som integritetshot till följd av datadelningsavtal mellan en onlineplattform och annonsörer som är kärnan i affärsmodellen. Med det sagt, effekterna när det gäller användarnas integritet kan vara ganska lika. Det är också anmärkningsvärt att GDPR [Europeiska unionens allmänna dataskyddsförordning] tar upp ett brett spektrum av kränkningar av dataintegritet, och det kommer att bli intressant att se om Facebook-intrånget i synnerhet kommer att utlösa GDPR-åtgärder.

GAZETTE:Många av de största teknikföretagen fortsätter att antingen tillåta eller misslyckas med att förhindra att deras kunders data hamnar i annonsörernas händer, apputvecklare, och andra tredje parter. Trots frekventa löften om bättre integritetsskydd, lite har förändrats. Varför tar inte dessa företag detta på större allvar?

GASSER:För att vara rättvis, företag har gjort viktiga ansträngningar för att bättre skydda användardata genom ett brett spektrum av åtgärder, inklusive integritetsinstrumentpaneler, förbättrade integritets- och säkerhetsfunktioner, såsom end-to-end-kryptering, uppgraderingar av deras sekretesspolicyer, och mer. Men det finns verkligen ett djupare strukturellt problem i kärnan av vår tids integritetsstrider som gör att nuvarande ansträngningar känns otillräckliga. De flesta av dagens tekniska affärsmodeller är baserade på riktad reklam, som är beroende av insamling, delning, och analysera stora mängder användardata. Enkelt uttryckt, att verkligen prioritera användarnas integritet skulle också innebära att kompromissa med en underliggande affärsmodell som har varit mycket framgångsrik i ekonomiska termer och producerat några av de rikaste företagen i världen.

TIDNING:Lagstiftare har uppmanat teknikföretag att bättre säkra sin användarinformation och har antytt att de kan börja strikt reglera hur data hanteras om företagen inte stärker datasäkerheten. Kommer kongressen att göra något snart för att hålla dessa företag ansvariga, och, om inte, vad skulle det ta för den federala regeringen att vidta verkliga åtgärder?

GASSER:I det nuvarande politiska klimatet, Jag är tveksam till att något dramatiskt – säg, som GDPR – kommer att ske på federal nivå när som helst snart. Men vi ser mycket av konsumenternas integritetsaktivitet på statlig nivå. Tänk på det senaste antagandet av California Consumer Privacy Act, som sannolikt kommer att vara mycket inflytelserik med tanke på dess tillämpningsområde, eller Vermonts datamäklarlagstiftning. I kombination med den förbättrade konsumentskyddsagendan från många statliga A.G.s, det är där handlingen är tills kongressen kommer på något vettigt. Och, självklart, det finns också det ökade trycket från de europeiska lagstiftande myndigheterna och dataskyddsmyndigheterna, baserat på de nya skydden och instrumenten som anges av GDPR. Vissa hävdar att det finns en "marknad för privatliv" som kommer att ge incitament, särskilt till privatlivsstartuper, för att vara mer integritetsvänlig.

GAZETTE:Är det dags att förklara den frivilliga integritetspolitikens era ett misslyckande och börja behandla dessa företag som allmännyttiga företag?

GASSER:Jag håller med om att den självreglerande modellen har misslyckats med att tillhandahålla adekvata nivåer av konsumentskydd i dagens tekniska miljö. Vart man ska gå härifrån är svårare att säga, fastän. Många integritetsförespråkare pekar på GDPR som en ny guldstandard. Jag är mer skeptisk, eftersom ett sådant synsätt är djupt rotat i europeiska värderingar, kultur, och politisk ekonomi och kan inte transplanteras på ett "klipp och klistra" sätt. Det kommer också med några allvarliga nackdelar, när det gäller efterlevnadskostnader, till exempel. Jag tycker att det är dags att ompröva datasekretess mer fundamentalt. Du kan hitta några av mina tankar här. Att införa förtroendeplikter för teknikföretag är ett annat intressant nytt sätt att tänka på några av de strukturella problemen som nämnts tidigare.

GAZETTE:Vem är skyldig till var vi är nu? Är användarna delvis skyldiga att inte göra mer väsen av sig om integritetskränkningar? Förstår de flesta människor hur mycket av deras information som finns i andras händer, och hur används den?

GASSER:Jag håller med om att det är för enkelt att bara skylla på teknikföretagen för status quo. Jag tror att vi måste se på integritetskrisen som ett problem på ekosystemnivå, med många krafter i spel – tekniska, marknadsföra, beteendemässiga, och juridiska – och många aktörer inblandade, inklusive användare som ofta fattar integritetsbeslut baserat på ofullständig information och med kognitiva fördomar i spel. Det är därför jag i mitt eget arbete argumenterar för ett mer holistiskt synsätt på framtidens integritet, som kombinerar starkt rättsligt skydd med digital kompetens och utbildningsinsatser, nästa generations integritetsförbättrande teknik, och ekonomiska incitament för mer integritetsvänliga tjänster, bland andra inslag i strategin, i motsats till att satsa enbart på GDPR-liknande lagar. Ett sådant tillvägagångssätt skulle också innefatta smartare användarutbildning och bemyndigande.

GAZETTE:Människor kan inte välja bort att använda Google, och kommer inte att bestämma sig för att inte ha en mobiltelefon, så vad kan folk göra för att skydda sig själva?

GASSER:Det finns ett antal online integritetskontroller tillgängliga och en serie självhjälpsverktyg för integritet, inklusive sekretesswebbläsare eller VPN:n [virtuella privata nätverk], för att bara nämna två. Vissa av dem tillhandahålls av teknikföretag själva, och vissa erbjuds av konsumentorganisationer som EPIC eller EFF. Jag rekommenderar verkligen att folk använder sig av dessa erbjudanden, även om de bara är taktiska i den meningen att de förståeligt nog inte kan ta itu med den strukturella grundorsaken till problemet.

Den här historien är publicerad med tillstånd av Harvard Gazette, Harvard Universitys officiella tidning. För ytterligare universitetsnyheter, besök Harvard.edu.