欧洲立法者热衷于通过《数字市场法》遏制大型科技公司,他们正在冒着所有欧洲人的隐私和安全的风险。 是时候接受这样一个现实了,即旨在迫使大型平台更加开放的措施将迫使它们降低防御并将欧洲人的数据开放给不良行为者。 再多的一厢情愿也改变不了强制开放与安全拉锯战的事实。 DMA 的隐私和安全规定并没有认真对待这个问题,并且不合理地期望科技公司解决 DMA 将产生的一类新风险。
毋庸置疑,DMA 的一些头条思想,如强制互操作性或数据可移植性,将产生新的隐私和安全风险。 真正的问题是,这些风险在 DMA 中没有得到充分解决。 立法者似乎认为他们告诉科技公司就足够了:“做这件非常危险和困难的事情,同时确保它不会造成隐私和安全风险。” 或者,换句话说,“更难的书呆子”。 这不是一种负责任的方式来规范和危及欧洲人的数据以及我们对我们所依赖的服务的访问。
排除不良和不可靠的参与者是安全的本质
DMA 讨论最多的想法之一,强制互操作性,很容易成为最大的技术政策失败之一。 与欧洲议会通过的激进修正案相比,最初的 DMA 提案相对合理,尤其是在社交网络和消息服务方面。 如果采用这些规则,这些规则将使欧洲人的数据受到不良行为者的利用,其规模将使剑桥分析公司甚至不值得一提。
拒绝与身份不明、未经审查的第三方交换我们的数据正是我们对数字服务提供商的期望。 如果认真对待,“保证高度安全”将意味着数据只能与至少提供同等安全级别的企业交换。 这就是问题所在:主要科技公司为其用户提供的安全级别在商业世界中基本上是无与伦比的,甚至绝大多数政府组织都无法与之匹敌。
我们需要避免逐底竞争。 安全的互操作性是可能的,但这可能意味着“两个人在地下室”初创企业的显着摩擦和排斥。 DMA 会以一种接受这一现实的方式来解释,还是会通过更多的挥手和将竞争对手的失败归咎于大型科技公司来解决这种担忧? 答案并不难猜。
与强制互操作性类似,DMA 将强制范围内的公司与其他企业共享用户数据,包括可以追溯搜索引擎用户的个人搜索的数据。 正如欧洲数据保护主管所注意到的那样,只要知道他们在网上搜索的内容,就可以收集有关任何人的大量敏感信息。
说,就像 DMA 一样,这种共享应该简单地进行匿名化,这暴露了对以无法去匿名化的方式共享用户级数据的困难程度缺乏了解。 去匿名化技术只会越来越复杂。 共享用户级数据的规则几乎没有希望得到有效执行,因此,如果它永远不会成为法律,对我们所有人来说会更安全。
网络安全需要结合数据
为了有效,网络防御者需要信息。 他们对攻击者行为的了解越多,他们就越能更好地保护他们关心的用户。 例如,扫描传入的电子邮件是否存在安全威胁可能需要集成外部安全服务。 仅查看电子邮件可能会提供一些线索,但攻击者很容易准备通过这种方式不容易识别的诱饵电子邮件。
除非用户提供特定同意,否则 DMA 将禁止合并来自各种服务的个人数据。 为了在 DMA 下继续提供当前的安全级别,服务提供商将不得不开始用一种新的同意弹出窗口轰炸用户。 提供者也将面临巨额罚款的风险,因为他们提供的信息过多和过少,或者以积极的态度表示同意。 在网络攻击变得越来越危险的时候,让服务提供商更难保护他们的用户是不明智的。
如何使 DMA 对用户更安全? 一些欧盟政府提出了朝这个方向迈出的一步——即在第 7 条 DMA 中增加一项一般规定,即只应要求看门人在 DMA 下按比例行事,同时考虑到保护隐私、用户安全、质量和服务的功能。
众所周知,通过法律提高信息隐私和安全性是非常困难的,即使这是立法的明确目标。 但是,我们至少应该期望法律不会降低隐私和安全水平。 DMA,尤其是在欧洲议会的版本中,显然牺牲了用户隐私和安全,以帮助一些企业与大型科技公司抗争。 DMA 需要更清楚地关注用户的利益。
Source: www.neweurope.eu
