美国加大网络监管协调力度
数字监管合规性面临的障碍日益增多,给企业和监管机构都带来了挑战,特别是在网络安全法律领域。各种司法和部门法规对受监管实体提出了不同的合规要求,而监管机构则必须推测潜在的违规行为是否属于其管辖范围。为了推动美国网络监管的协调统一,包括白宫国家网络总监办公室(ONCD)在内的机构正在努力寻求一种平衡,以满足受监管实体和监管机构的目标。
在最近的一次R Street Institute网络研讨会上,美国密歇根州民主党参议员加里·彼得斯(Gary Peters)介绍了他提出的《联邦网络安全监管简化法案》(Streamlining Federal Cybersecurity Regulation Act),并阐述了如何通过潜在的协调框架实现协调目标,其中ONCD将发挥领导作用。该法案旨在“在ONCD内部建立一个跨机构协调委员会”,彼得斯表示,该提案“将使我们能够将所有监管机构聚集在一起,并确保我们产生实际成果,有助于协调整个联邦政府的网络安全工作”。
监管机构的视角
ONCD当前的网络监管努力主要通过“独立和行政部门监管机构网络安全论坛”(Cybersecurity Forum for Independent and Executive Branch Regulators)进行,这是一个联邦跨机构工作组,为旨在提高总体数字合规性的组织提供自愿性标准。ONCD网络政策和项目总监伊丽莎白·欧文(Elizabeth Irwin)表示,彼得斯提案的一个关键部分是利用独立的监管委员会,该委员会可以覆盖广泛的网络领域。“如果你的目标是跨部门协调,那么你需要让所有人都参与进来,”欧文说,她补充说,ONCD希望通过找到一个“最低标准”,来确定“所有关键基础设施领域的良好网络安全实践”,从而缓解监管机构和受监管实体面临的一些挑战。
白宫最近发布了《国家网络安全战略实施计划》,以保护关键基础设施和国家安全。欧文表示,这些指南直接遵循ONCD通过广泛途径改善监管协调的目标。
平衡的艺术
在复杂的网络环境中,一个问题是安全基本原则的关注度降低。哥伦比亚大学高级研究员杰森·希利(Jason Healy)指出,隐私与安全之间的相互作用就是这种情况发生的一个领域,特别是在将安全原则嵌入到隐私保护设计中时。“我们倾向于寻找控制或放置更昂贵的东西来实施,而不是让对手绕过它们。因此,我将监管协调纳入这个结构中,”希利说。他声称当前的监管努力往往是“符合性清单式的,效率低下,对公司来说没有效果”。
为了更深入地了解利益相关者对机构全面监管工作的看法,ONCD发布了一项征求反馈的请求,收到了86份回复,发现组织在合规负担方面面临困难。反馈显示,利益相关者希望监管能够具有行业针对性,并根据每个行业的监管标准来确定。许多组织支持通过确定网络安全的关键概念来缩小各个行业的需求范围的方法。
美国商会网络政策和运营副总裁文森特·沃西(Vincent Voci)表示,商会正在关注两个工作流:网络事件报告和基线网络安全要求,最终目标是“建立一个连贯、非碎片化、和谐的监管框架”。从征求意见反馈来看,一些利益相关者认为最低标准不符合每个行业的具体需求,而另一些人则表示,具有更基本监管合规要求的标准可能有助于降低合规成本。根据CATO研究所发布的研究,按照现有标准,组织在合规方面的支出占公司总薪资账单的1.3%至3.3%。“我认为我们从会员那里听到的最常见的事情是……‘帮助我们一次性完成合规’,因为这样做非常昂贵,”沃西说。
希利表示,统一和简化的标准可能是面临高昂成本的组织的解决方案。他说:“如果我们能有一套良好的统一有效标准,让他们可以一次性完成并简单报告,那么我们就满足了政府的需求,也实现了我们这样做的公共政策目的,即以更低的成本降低影响我们所有人的网络安全风险。”
注:本文由Lexie White撰写,来自国际隐私专业协会(IAPP)。