区块链 vs. 信息洩露?新兴产业背後僱主需面对的法律议题

在工作场所中,信息无处不在。但是保护和共享数据的传统方式(从各种来源访问受密码保护的信息)效率低下、繁琐且风险大。随著旧的身份验证方法被生物识别和区块链应用技术所取代,公司将享有更高的效率、更稳固的安全性和更低的成本。但在此之前,了解其中潜在的法律问题,是极为明智的做法。

1. 问题

“用户名”和“密码”作为九十年代数据保护的基本设置尽人皆知。该设计是用於阻止未授权的第叁方访问系统所保护的用户。通常,登录密码会被大幅简化以提高可记忆度,或者是人们使用相同的凭证来同时访问工作和家中的设备或系统。无论是采用哪种方式,为了提高效率,系统安全性都会受到影响。更糟的是,解决这个问题的典型方案更为死板:让系统每90天强制性地更改密码。

用户名——密码系统也是颇为昂贵的。据微软公司程序管理总监埃里克斯·西蒙称,该公司每月花费超过200万美元帮助人们更改和恢复密码。而IBM估计,一次数据泄露的平均成本为360万美元。

2. 基於生物识别和区块链技术的解决方案

生物识别技术是指测量和分析个人的生物特征,如个人的脸部、指纹、虹膜、步态、或耳腔(这种特征比指纹更独特)。您可以已经使用生物识别数据来解锁您的手机或汽车。如果您打电话给银行,银行使用生物识别技术验证您的声音的可能性很高。而且,随著技术更为普及,雇主可以使用生物识别数据来记录员工工作时间,以防止欺诈行为,并限制对工作场所的未授权访问。

尽管生物识别认证有望在降低成本的同时提高便利性,但它本身并不能为用户名—— 密码系统存在的难题提供一个灵丹妙药。若是遭受盗窃或是被有意破坏,依靠用户名、密码、驾驶执照、和社会安全号码的传统身份验证方式可以被更改或替换。但是生物识别数据是不可篡改的,因此,它在工作场所的使用,引发了大量关於隐私问题的讨论,而这可能使员工身份数据被盗的风险增加。虽然生物特征数据比用户名——密码更为安全,但生物特征数据仍然是可以被复制、共享、泄露、和黑客入侵的。因此,如果将生物特征数据存储在错位的闪存盘上,任何得到该闪存盘的人都可能将这些数据用於非法目的。这可能将公司的整个系统暴露於单一失误。

对此的解决方案是何在?区块链——分散的、数字化的、分布式的系统。与依赖单一访问集中式数据库的传统身份验证方法不同,区块链通过将信息分发到被加密链接的不相关计算机或服务器(即“节点”)网络上的一系列数字化“块”来保护信息。用外行人的话来说,这意味著没有因单一失误,而全盘皆没的可能。除非有人全数入侵这些数字化块,而这极为困难。

当结合到一起时,生物识别技术与区块链技术能够解决价值数十亿美元的用户名——密码信息保护的难题。生物识别技术可以确保用户是其所说的那个人,并且只要用手指或眨眼即可访问她需要的信息;而区块链技术可确保她的个人数据安全且私密,并可以共享於可以信赖网络。而其中是一个不变的数字身份,使得公司能够无缝、安全地与员工和客户进行交流。

3. 法律问题

在进入电子数据身份的新世界之前,公司需要考虑的法律问题并不少见。加州尚未颁布立法专门管理生物识别数据。但是,《劳动法汇编》第1051条禁止雇主与第叁方分享员工指纹和照片。《民法汇编》第3344条禁止在未事先征得同意的情况下使用某人的“姓名、声音、签名、照片、或肖像”获得利润。因此,加州的雇主需要确保他们掌握的任何生物识别数据都必须是安全的,而且未经员工同意,不得在公司以外分享。

同样,联邦政府亦尚未颁布具体管理生物识别数据的立法。然而,在2012年,联邦贸易委员会推荐了公司使用面部识别技术的细则。而在2016年,国家电信和信息管理委员会也纷纷效仿。这些机构的报告表明,根据现行法律,不当使用生物特征数据可能是违法行为的。

考虑到生物识别信息高度个人化的特征,公司还必须应对大量关於个人隐私法律,尤其是欧盟的“通用数据保护条例”(“GDPR”)。该条例适用於任何收集、处理、管理或存储欧洲公民数据的行为,而无关於公司所在的位置。

公司在信息安全事件发生时还必须了解其义务。美国所有50个州都制定了立法要求公司通知用户有关个人身份信息的安全漏洞。在加州,隐私权受宪法保护,而且该州是第一个制定数据泄露通知法的州。根据民法汇编第1798.29(a)和1798.82(a)条,公司必须通知加州居民,包括公司雇员,其“个人信息”曾被或已被合理地认为遭到破坏。

另外,在2015年,加州议会推出了A.B. 83法案,这将把“个人信息”的定义扩大到包括生物识别数据。该法案还要求企业采取合理措施保护生物识别数据免遭未经授权的访问,并允许个人提起民事诉讼,并获得民事赔偿。虽然该法案未获得参议院通过,但这不会是在加州就信息安全问题而制定法律的最后努力。

针对工作场所中信息安全问题的解决方案,南加州知名商业劳工法审判出庭律师、前检察官郑博仁就表示,生物识别应用正在使工作场所更加高效和安全。但是,就像任何新技术一样,随著新法律的颁布,以及监管机构将现有法律应用於新的商业实践,生物识别技术将会引起一系列法规问题。

Categories: Chinese