CISA隐私问题尚有调解的空间

尽管有对隐私问题的顾虑，参议院还是通过了网络信息共享法案，但专家表示这些问题仍然有机会可以解决，因为CISA会与众议院通过的类似法案进行协调。

今年4月，众议院通过了两项网络共享法案：2015网络保护法案(PCNA)和国家网络安全保护改进法案(NCPAA)。但这两个法案结合原有PCNA成为H.R.1560网络保护法案的第一部分，NCPAA成为第二部分。

[[156455]]

前白宫网络安全高级主管、Venable LPP网络服务总经理表示，与CISA相比，PCNA具有更好的隐私和责任保护，特别是在应该收集哪些数据以及可以对这些数据做什么的方面。

“众议院的法案更加明确，这些职责应该如何安排到位，以及美国国土安全局在最小化这些数据中发挥的作用，”Schwartz表示，“而参议院的法案还不太明确这一点，对于允许什么和不允许什么，参议院法案的结构很混乱，并且，它让各联邦机构来解释什么被允许以及什么不被允许。”

前白宫网络安全顾问，现任TruSTAR Technology公司联合创始人兼首席执行官Paul Kurtz表示，这些法案都引发隐私顾虑，但众议院的PCNA比CISA更有优势。

“众议院法案对网络事件信息类型提供了更好的定义，并且，这些信息的共享可以帮助阻止攻击，促进企业之间对如何缓解攻击展开讨论，”Kurtz称，“众议院的法案也被视为具有更强的隐私保护条款，因为其中定义了对删除个人身份信息的网络事件数据规定。”

Privacy Professor公司首席执行官Rebecca Herold表示，调解的关键是整合PCNA的隐私保护到CISA中以缓解隐私问题。

“PCNA规定，如果个人数据没有必要进行分析，则应该删除。它还允许，当政府机构故意或蓄意违反隐私及公民自由准则时，个人可以对联邦政府提出诉讼。NCPPA要求个人数据只能用户网络安全目的，”Herold称，“这些都是真正的最低保护，但也是重要和必要的。”

CloudPassage公司首席安全官兼主席Carson Sweet并不乐观，他不认为调解会带来任何“可接受的”网络安全立法。

“我不认为众议院的法案比CISA更有‘优势，’”Sweet表示，“对于隐私保护，这两者都有令人顾虑的地方，它们都包含条款允许商业实体发布个人隐私信息，并且无视这一事实。在另一方面，很多安全供应商(包括联邦承包商)非常担心这些条款会让他们负责任，尽管他们只是在做自己的工作。”

调解的障碍

Schwartz表示，他预计调解会发生在2016年2月之前的某个时候，但他警告说，众议院和参议院目前都还没有进行交谈。并且，在众议院出现新议长之前，我们都很难预测调解的结果。

“他们还没有谈过呢，我认为这在很大程度上取决于众议院领导层如何改组，”Schwartz称，“我们还不知道当众议院新一届领导班子出现的时候，情报委员会会是什么样。”

Herold同意称，在众议院领导层确定后才会采取行动，但他指出，提交事物给总统的压力可能会让CISA通过批准。

“众议院可能会决定他们想要在新议长任职之前解决这件事情，议长John Boehner会希望继续‘清理工作’，”Herold说，“他可能会推动众议院简单地参照参议院的版本，以讨好那些推动网络安全法案的各方。”

六月份，众议院国土安全委员会主席兼NCPAA支持者Michael McCaul表示，参议院还需要做很多工作以让CISA获得众议院批准。

“我担心的是他们有NSA信息共享部分，在众议院的很多方面来看，这都是有问题的，”McCaul称，“我警告过他们，如果这种法案回来，将不会批准–这是政治现实。”

根据Schwartz表示，已通过的CISA版本仍包含NSA信息共享部分，他认为这是CISA在调解过程中“重大问题”。

“众议院版本很明确的是，你不能直接与NSA共享信息，而参议院版本没有明确这一点，还有一部分表明所有信息需要传递到国土安全部，并有另一部分称，当与任何联邦机构共享信息时，你会有责任保护。所以，我认为这对于众议院是混乱而不能接受的，这是必须解决的重大问题。”

McCaul告诉SearchSecurity，他期待与参议院共同参与调解，但没有回答该法案中可能引起争论的特定部分问题。

“我祝贺参议院通过他们的网络安全法案。在4月份，众议院以类似的两党压倒性投票通过了我们的版本，”McCaul代表众议院国土安全委员会表示，“我们期待与参议院开会来确定我们的分歧，并制定最终的法案，以确保美国民众的隐私性以及更好地保护我们国家的网络。”

原有PCNA支持者、众议员Devin Nunes对于调解的具体细节也拒绝发表评论，但表示“在今年年底之前，众议院和参议院会召开会议，对这些法案之间的区别进行谈判。”

白宫发言人Eric Schultz告诉记者，美国总统奥巴马也“希望参议院和众议院可以尽可能地合作，尽快将最好的法案提交到总统办公桌。”

Sweet称，虽然CISA和PCNA在表面很类似，但主要差别在于细节。

“两者之间的区别仍然很明显，并且，在某些情况下，受到其他议程的驱动。这两者非常难以进行协调，”Sweet表示，“我的猜测是，整套立法将会废除，或会提出新的立法。”

Kurtz更希望调解可以实现。

“事实上，所有各方都同意，共享网络事件数据是解决网络领域巨大挑战的关键，我们需要法律来消除企业之间共享的障碍，”Kurtz表示，“而事情变得复杂的地方是，与政府共享网络事件数据的情况。同时，对于什么是网络事件数据的定义以及删除个人身份信息的规定都需要进行审慎协调。”

Herold并没有对调解的可能性发表评论，而是强调其必要性，因为CISA将是数据安全和隐私性的破坏者。

Herold称：“国会成员对OPM泄露事故以及其自己数据的泄露普遍表示愤慨，如果国会继续对专家提出的CISA安全和隐私问题充耳不闻，没有责任，没有明确或有效的隐私和安全保护要求，他们可能会看到比OPM泄露事故更严重的数据泄露。”

“国会需要听取安全和因素专家的意见，并试图了解风险和顾虑，最终明白这一点：在前期提出安全和隐私保护要求比后期的数据泄露更节约成本，并且对美国人民的伤害更小，我们不能等待不好的事情发生，然后尝试修复它。”