记录: 你的书的澳门威尼斯人注册网站研究是如何开始的？

第一部数据泄露通知法于21世纪初在加利福尼亚州通过。从那时起，所有州都通过了类似的法律，联邦贸易委员会一直在对公司提出不公平的数据安全措施的投诉。虽然令人钦佩的是，立法者和监管机构正在考虑数据安全，但它仍然是一个日益严重的问题。

我和我的合著者丹尼尔·索洛夫（Daniel Solove）想知道：为什么新的数据安全法和加强的执法力度没有缩小数据泄露的规模和数量？我们查阅了有关网络安全和计算机科学的文献，然后将其与数据安全法律方面的努力进行比较，以找出可能出现问题的地方。

记录: 要继续预防和减轻数据泄露，需要接受哪些人为限制？

法律倾向于将人视为理性的、一贯的澳门威尼斯人注册行动者。它通常假设，如果给你一系列选择和保障措施，你就会优化这些选择和保障措施，以最大限度地发挥保护作用。问题是人们很粗心，他们总是犯错误。这在网络安全文献中是众所周知的，但由于某种原因，这份备忘录还没有提交给立法者和监管机构。
 
目前，当数据泄露发生时，数据安全法要求首先向消费者发送泄露通知。这些规则似乎假定：A，人们会阅读通知；B，他们会了解威胁是什么，并采取措施减轻威胁，通过冻结我们的信用或更改我们所有的密码，或每天监控我们的银行账户，以监视欺诈性收费。有些人可能会开始按照这种指导行事，但人们不可能无限期地这样做。我们知道，数据泄露的威胁可能会持续数年，影响范围很广。
 
我和我的合著者认为，数据安全法对个人的要求太高了，好像他们是超人，有能力记住1000个不同的密码，或者很容易识别有针对性的欺诈电子邮件。

没有为人类犯错的事实做好计划，没有为此做好计划，实际上会让我们更脆弱。在违反了!，我们主张建立一个有很多冗余的框架，假设人们不会去读那些细则。我们的框架旨在保护人们，无论他们可能会犯什么合理或可预见的错误。

这些人为错误只是更深层次的结构性问题的冰山一角，作为数据安全的一个有意义的部分，法律尚未解决这些问题。其中之一就是我们收集了太多的数据。没有被收集的数据不会被破坏。

我们需要一种更全面的方法，不仅要追究违规实体的责任，还要更全面地描绘出导致数据泄露风险的各种因素。

例如，让所有参与者承担责任，将更好的安全设计价值整合到他们的软件和硬件工具中。隐私概念和数据安全概念之间的关系比许多立法者和监管者所认识到的更为紧密。我们未能直面信息隐私问题，与信息泄露事件的增多密切相关，尽管它们可以被视为不同的概念。在组织上和法律上，我们应该把信息隐私问题和违规行为紧密联系起来。

记录: 政策制定者是否可以考虑其他行业或模式，以收集新的、全面的方法来防止数据泄露？

考虑数据安全法的一种方法是考虑公共卫生方面的方法。它在很多方面与数据安全相似，包括使用一些相同的术语，如“病毒”。对我们来说，像洗手这样的行为是很重要的，因为我们的行为会影响到其他人的弱点，这在安全法中也是如此。

它的相似之处还在于，应对措施需要大型组织行为者集体传递信息并承担集体责任，以关注公共卫生并建立复原力。我们知道传染病和入侵是会发生的，我们需要关注的不仅仅是应对当前的入侵，还要为未来的威胁做好准备。我们还澳门威尼斯人注册网站研究了影响人们行为的环境因素和社会原因。

所有这些都为数据安全领域的立法者和监管者提供了很好的教训，因为这两个问题都不是个人责任可以解决的问题，而是深刻的、全面的变革。

记录: 你能给普通的数字公民提供一些保护他们数据的指导吗？

当涉及到你可以做的事情时，你可以更好地保护你的数据，我的建议不是很多。最大的误解之一是，数据安全是个人的责任，而不是需要集体结构解决方案的集体结构问题。

它助长了一种虚假的安全感，让我们认为，“如果我们监控自己的银行账户，选择合适的密码，那么我们的信息就会很安全。”

当然有些事情对个人来说是有益的。任何时候您都可以选择为您的帐户启用双因素身份验证，这是一个好主意。你要选择不同且复杂的密码；如果你感兴趣的话，可以使用密码管理器。

但这些都不能像立法者对数据安全采取的整体方法那样真正保护你，这种方法关注所有不同的参与者，让我们收集更少的数据，让我们以更有效的方式映射我们的信息流向，并具有有意义的执行机制。它只是对我们提出了太多的要求，要求我们负责保护世界各地其他实体和非常复杂的系统中存储的所有数据。

记录: 在为这本书做澳门威尼斯人注册网站研究的时候，有没有什么事情让你感到惊讶？

让我惊讶的一件有趣的事情是数据泄露的新概念。直到20世纪90年代末和21世纪初，当我们第一次收到这些数据泄露通知时，真正的数据泄露才开始被认识到。相对而言，我们仍处于思考如何处理数据泄露的早期阶段。我们不需要让数据泄露成为数据安全领域的中心。在我们探索和提出建议的过程中，这确实让我们感到惊讶和指导。