盡管有對隱私問題的顧慮，參議院還是通過了網(wǎng)絡(luò)信息共享法案，但專家表示這些問題仍然有機(jī)會可以解決，因為CISA會與眾議院通過的類似法案進(jìn)行協(xié)調(diào)。

今年4月，眾議院通過了兩項網(wǎng)絡(luò)共享法案：2015網(wǎng)絡(luò)保護(hù)法案(PCNA)和國家網(wǎng)絡(luò)安全保護(hù)改進(jìn)法案(NCPAA)。但這兩個法案結(jié)合原有PCNA成為H.R.1560網(wǎng)絡(luò)保護(hù)法案的第一部分，NCPAA成為第二部分。

[[156455]]

前白宮網(wǎng)絡(luò)安全高級主管、Venable LPP網(wǎng)絡(luò)服務(wù)總經(jīng)理表示，與CISA相比，PCNA具有更好的隱私和責(zé)任保護(hù)，特別是在應(yīng)該收集哪些數(shù)據(jù)以及可以對這些數(shù)據(jù)做什么的方面。

“眾議院的法案更加明確，這些職責(zé)應(yīng)該如何安排到位，以及美國國土安全局在最小化這些數(shù)據(jù)中發(fā)揮的作用，”Schwartz表示，“而參議院的法案還不太明確這一點，對于允許什么和不允許什么，參議院法案的結(jié)構(gòu)很混亂，并且，它讓各聯(lián)邦機(jī)構(gòu)來解釋什么被允許以及什么不被允許。”

前白宮網(wǎng)絡(luò)安全顧問，現(xiàn)任TruSTAR Technology公司聯(lián)合創(chuàng)始人兼首席執(zhí)行官Paul Kurtz表示，這些法案都引發(fā)隱私顧慮，但眾議院的PCNA比CISA更有優(yōu)勢。

“眾議院法案對網(wǎng)絡(luò)事件信息類型提供了更好的定義，并且，這些信息的共享可以幫助阻止攻擊，促進(jìn)企業(yè)之間對如何緩解攻擊展開討論，”Kurtz稱，“眾議院的法案也被視為具有更強(qiáng)的隱私保護(hù)條款，因為其中定義了對刪除個人身份信息的網(wǎng)絡(luò)事件數(shù)據(jù)規(guī)定。”

Privacy Professor公司首席執(zhí)行官Rebecca Herold表示，調(diào)解的關(guān)鍵是整合PCNA的隱私保護(hù)到CISA中以緩解隱私問題。

“PCNA規(guī)定，如果個人數(shù)據(jù)沒有必要進(jìn)行分析，則應(yīng)該刪除。它還允許，當(dāng)政府機(jī)構(gòu)故意或蓄意違反隱私及公民自由準(zhǔn)則時，個人可以對聯(lián)邦政府提出訴訟。NCPPA要求個人數(shù)據(jù)只能用戶網(wǎng)絡(luò)安全目的，”Herold稱，“這些都是真正的最低保護(hù)，但也是重要和必要的。”

CloudPassage公司首席安全官兼主席Carson Sweet并不樂觀，他不認(rèn)為調(diào)解會帶來任何“可接受的”網(wǎng)絡(luò)安全立法。

“我不認(rèn)為眾議院的法案比CISA更有‘優(yōu)勢，’”Sweet表示，“對于隱私保護(hù)，這兩者都有令人顧慮的地方，它們都包含條款允許商業(yè)實體發(fā)布個人隱私信息，并且無視這一事實。在另一方面，很多安全供應(yīng)商(包括聯(lián)邦承包商)非常擔(dān)心這些條款會讓他們負(fù)責(zé)任，盡管他們只是在做自己的工作。”

調(diào)解的障礙

Schwartz表示，他預(yù)計調(diào)解會發(fā)生在2016年2月之前的某個時候，但他警告說，眾議院和參議院目前都還沒有進(jìn)行交談。并且，在眾議院出現(xiàn)新議長之前，我們都很難預(yù)測調(diào)解的結(jié)果。

“他們還沒有談過呢，我認(rèn)為這在很大程度上取決于眾議院領(lǐng)導(dǎo)層如何改組，”Schwartz稱，“我們還不知道當(dāng)眾議院新一屆領(lǐng)導(dǎo)班子出現(xiàn)的時候，情報委員會會是什么樣。”

Herold同意稱，在眾議院領(lǐng)導(dǎo)層確定后才會采取行動，但他指出，提交事物給總統(tǒng)的壓力可能會讓CISA通過批準(zhǔn)。

“眾議院可能會決定他們想要在新議長任職之前解決這件事情，議長John Boehner會希望繼續(xù)‘清理工作’，”Herold說，“他可能會推動眾議院簡單地參照參議院的版本，以討好那些推動網(wǎng)絡(luò)安全法案的各方。”

六月份，眾議院國土安全委員會主席兼NCPAA支持者M(jìn)ichael McCaul表示，參議院還需要做很多工作以讓CISA獲得眾議院批準(zhǔn)。

“我擔(dān)心的是他們有NSA信息共享部分，在眾議院的很多方面來看，這都是有問題的，”McCaul稱，“我警告過他們，如果這種法案回來，將不會批準(zhǔn)--這是政治現(xiàn)實。”

根據(jù)Schwartz表示，已通過的CISA版本仍包含NSA信息共享部分，他認(rèn)為這是CISA在調(diào)解過程中“重大問題”。

“眾議院版本很明確的是，你不能直接與NSA共享信息，而參議院版本沒有明確這一點，還有一部分表明所有信息需要傳遞到國土安全部，并有另一部分稱，當(dāng)與任何聯(lián)邦機(jī)構(gòu)共享信息時，你會有責(zé)任保護(hù)。所以，我認(rèn)為這對于眾議院是混亂而不能接受的，這是必須解決的重大問題。”

McCaul告訴SearchSecurity，他期待與參議院共同參與調(diào)解，但沒有回答該法案中可能引起爭論的特定部分問題。

“我祝賀參議院通過他們的網(wǎng)絡(luò)安全法案。在4月份，眾議院以類似的兩黨壓倒性投票通過了我們的版本，”McCaul代表眾議院國土安全委員會表示，“我們期待與參議院開會來確定我們的分歧，并制定最終的法案，以確保美國民眾的隱私性以及更好地保護(hù)我們國家的網(wǎng)絡(luò)。”

原有PCNA支持者、眾議員Devin Nunes對于調(diào)解的具體細(xì)節(jié)也拒絕發(fā)表評論，但表示“在今年年底之前，眾議院和參議院會召開會議，對這些法案之間的區(qū)別進(jìn)行談判。”

白宮發(fā)言人Eric Schultz告訴記者，美國總統(tǒng)奧巴馬也“希望參議院和眾議院可以盡可能地合作，盡快將最好的法案提交到總統(tǒng)辦公桌。”

Sweet稱，雖然CISA和PCNA在表面很類似，但主要差別在于細(xì)節(jié)。

“兩者之間的區(qū)別仍然很明顯，并且，在某些情況下，受到其他議程的驅(qū)動。這兩者非常難以進(jìn)行協(xié)調(diào)，”Sweet表示，“我的猜測是，整套立法將會廢除，或會提出新的立法。”

Kurtz更希望調(diào)解可以實現(xiàn)。

“事實上，所有各方都同意，共享網(wǎng)絡(luò)事件數(shù)據(jù)是解決網(wǎng)絡(luò)領(lǐng)域巨大挑戰(zhàn)的關(guān)鍵，我們需要法律來消除企業(yè)之間共享的障礙，”Kurtz表示，“而事情變得復(fù)雜的地方是，與政府共享網(wǎng)絡(luò)事件數(shù)據(jù)的情況。同時，對于什么是網(wǎng)絡(luò)事件數(shù)據(jù)的定義以及刪除個人身份信息的規(guī)定都需要進(jìn)行審慎協(xié)調(diào)。”

Herold并沒有對調(diào)解的可能性發(fā)表評論，而是強(qiáng)調(diào)其必要性，因為CISA將是數(shù)據(jù)安全和隱私性的破壞者。

Herold稱：“國會成員對OPM泄露事故以及其自己數(shù)據(jù)的泄露普遍表示憤慨，如果國會繼續(xù)對專家提出的CISA安全和隱私問題充耳不聞，沒有責(zé)任，沒有明確或有效的隱私和安全保護(hù)要求，他們可能會看到比OPM泄露事故更嚴(yán)重的數(shù)據(jù)泄露。”

“國會需要聽取安全和因素專家的意見，并試圖了解風(fēng)險和顧慮，最終明白這一點：在前期提出安全和隱私保護(hù)要求比后期的數(shù)據(jù)泄露更節(jié)約成本，并且對美國人民的傷害更小，我們不能等待不好的事情發(fā)生，然后嘗試修復(fù)它。”