ระบบการคุ้มครองข้อมูลของสหรัฐอเมริกาแตกต่างจากของสหภาพยุโรปเนื่องจากระบบของสหรัฐอเมริกาใช้การกำกับดูแลแบบสาขาอุตสาหกรรม ซึ่งหมายความว่าข้อมูลส่วนบุคคลได้รับการคุ้มครองภายใต้กฎหมายแตกต่างกันในแต่ละสาขาอุตสาหกรรมหรือบริการ นอกจากนี้ ยังมีทั้งกฎหมายในระดับสหพันธรัฐและมลรัฐที่กำหนดเงื่อนไขการคุ้มครองข้อมูลส่วนบุคคล ปัญหาที่บรรดาธุรกิจและอุตสาหกรรมในสหรัฐอเมริกาต้องเผชิญคือการต้องปฏิบัติตามกฎหมายและมาตรฐานที่แตกต่างกันหลายฉบับ
เมื่อเทคโนโลยีเข้ารหัสก้าวหน้าและธุรกิจดังกล่าวเติบโตอย่างรุดหน้าในหลายอุตสาหกรรม ก่อให้เกิดประเด็นที่ส่งผลต่อการละเมิดการเปิดเผยข้อมูลตามกฎหมายที่มีอยู่เดิม ดังนั้น ประมาณ 47 มลรัฐได้กำหนดข้อยกเว้นสำหรับการเปิดเผยการละเมิดกฎความมั่นคงปลอดภัยแบบบังคับในกรณีที่ข้อมูลได้รับการคุ้มครองโดยการเข้ารหัส นอกจากนี้มีการนำเสนอร่างกฎหมายคุ้มครองผู้บริโภคที่สะท้อนมุมมองของรัฐบาลในเรื่องการคุ้มครองสิทธิส่วนตัวที่กำหนดหลักเกณฑ์ที่จะบังคับใช้ในการคุ้มครองข้อมูลส่วนบุคคลบนนออนไลน์ เช่น หลักการความมั่นคงปลอดภัยที่กำหนดให้ผู้บริโภคทุกคนมีสิทธิได้รับความทั่นคงปลอดภัยและรับผิดชอบในการจัดการข้อมูบส่วนบุคคลของตน ในทางปฏิบัติก่อให้เกิดความคาดหวังของผู้บริโภคในการใช้งานเทคโนโลยีการเข้ารหัสในบางสถานการณ์และได้รับการสนับสนุนโดยกฎหมาย
กฎหมายในระดับมลรัฐ เช่น กฎหมายละเมิดการรายงานและการคุ้มครองความมั่นคงปลอดภัยของข้อมูล ในสหรัฐอเมริกาไม่เพียงแต่เป็นกฎหมายเฉพาะสาขาอุตสาหกรรมแต่ยังเป็นกฎหมายที่มีผลบังคับใช้เฉพาะในมลรัฐบางมลรัฐเป้นการเฉพาะเจาะจงเท่านั้น มลรัฐส่วนใหญ่มีกฎหมายการแจ้งเตือนกรณีที่มีการละเมิดข้อมูลอยู่แล้ว เช่น มลรัฐแคริฟอร์เนียถือเป็นมลรัฐแนวหน้าที่มีการให้ความคุ้มครองที่ดีโดยมีหน่วยงานคุ้มครองและบังคับใช้กฎหมายเพื่อความเป็นส่วนตัว ที่สังกัดกระทรวงยุติธรรม และกฎหมายฉบับใหม่ของมลรัฐแคริฟอร์เนียว่าด้วยสิทธิส่วยตัวที่ผ่านในเดือนกรกฎาคม 2014 กำหนดให้บริษัทที่ดำเนินธึรกิจในมลรัฐที่เป้นเจ้าของคอมพิวเตอร์ที่ใช้ประมวลผลข้อมูลส่วนบุคคลต้องแจ้งประชาชนในมลรัฐในกรณีที่มีการละเมิดความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล รวมมั้งกรณีต้องสงสัยว่าจะมีการละเมิดด้วย เว้นแต่ข้อมูลดังกล่าวได้มีการเข้ารหัสความปลอดภัยไว้ ส่วนมลรัฐแมสซาชูแสทได้ผ้านกฎหมายที่กำหนดให้มีการเข้ารหัสข้อมูลส่วนบุคคลที่สื่อสารผ่านระบบอิเล็กทรอนิกส์และกำหนดให้ระบบคอมพิวเตอร์ต้องมีมาตรการรักษาความมั่นคงปลอดภัยที่เพียงพอเพื่อคุ้มครองข้อมูลส่วนบุคคล โดยต้องมีการเข้ารหัสบันทึกและไฟล์ข้อมูลที่มีข้อมูลส่วนบุคคลที่ส่งผ่านโครงข่ายสาธารณะหรือข้ามโครงข่ายไม่ว่าจะทางสายหรือไร้สายและต้องมีการเข้ารหัสข้อมูลส่วนบุคคลทั้งหมดที่จัดเก็บรักษาไว้บนคอมพิวเตอร์หรืออุปกรณ์แบบพกพา
คณะกรรมการการค้าแห่งสหพันธ์รัฐ (Federal Trade Commission หรือ FTC) แต่งตั้งขึ้นในปี 1914 โดยกฎหมายคณะกรรมการการค้าแห่งสหพันธ์รัฐและคณะกรรมการฯได้รับการแต่งตั้งโดยประะานาธิบดีวหรัฐอเมริกาด้วยความเห็นชอบของวุฒิสภา เพื่อทำหน้าที่คุ้มครองผู้บริโภคและจัดการกับพฤติกรรมที่กีดกันการแข่งขัน การหลอดลวงและการดำเนินธุรกิจที่ไม่เป็นธรรม รวมทั้งส่งเสริมสิทธิผู้บริโภค คณะกรรมการฯจึงกำหนดให้หน่วยงานและภาคธุรกิจดำเนินการให้มีวิีการเข้ารหัสที่เหมาะสมในการคุ้มครองข้อมูลของผู้บริโภค ประการแรกมีการตีความแล้วว่ากฎหมายคณะกรรมการการค้าแห่งสหพันธ์รัฐกำหนดให้มีการเข้ารหัสข้อมูล โดยเกิดเหตุที่กลุ่มธุรกิจโรงแรมถูกขโมยข้อมูลทางการเงินที่ไม่ได้เข้ารหัสโดยแฮกเกอร์ จึงได้เกิดการตรวจสอบแนวทางการกำกับดูแลบริการทางการชำระเงินอย่างละเอียดซึ่งสอดคล้องกับการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้นของบริษัทชั้นนำต่างๆ เช่น Target,
Neiman Marcus, และ Michaels Stores ที่มีข้อมูลลูกค้าจำนวนมหาศาลในสหรัฐอเมริกา
ต่อมาในเดือนมกราคม 2014 คณะกรรมการการค้าแห่งสหพันธ์รัฐพบว่าหน่วยงานรัฐที่มีอำนาจได้มีคำสั่งลงโทษบริษัทที่ไม่สามารถปฏิบัติตามมาตรการรักษาความมั่นคงปลอดภัยเกี่ยวกับการส่งข้อมูลทางอิเล็กทรอนิกส์ของคนไข้และผู้ใ้ช้บริการตามมาตรฐานที่กำหนดไว้ได้ คณะกรรมการการค้าแห่งสหพันธ์รัฐมีอำนาจที่สั่งให้ธุรกิจที่ฝ่าฝืนต้องรับผิดในการขาดมาตรการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคลที่เพียงพอซึ่งอาจก่อให้เกิดหรือมีแนวโน้มก่อให้เกิดอันตรายหรือเสียหายต่อผู้บริโภคอย่างชัดเจน ทั้งนี้ คณะกรรมการการค้าแห่งสหพันธ์รัฐอ้างว่าปัจจุบันนี้มีเทคโนโลยีการเข้ารหัสที่สามารถป้องกันได้ ดังนั้น การไม่ดำเนินการจึงถือว่าไม่ปกป้องข้อมูลและมีมาตรการรักษาความปลอดภัยอย่างเพียงพอ
กฎหมายความรับผิดชอบและการย้ายประกันสุขภาพ ค.ศ. 1996 (Health Insurance Portability and
Accountability Act 1996 หรือ HIPAA) รัฐบาลสหรัฐอเมริกาตระหนักถึงความก้าวหน้าของระบบการแลกเปลี่ยนข้อมูลทางอิเล็กทรอนิกส์ภายในอุตสาหกรรมการรักษาสุขภาพที่อาจก่อให้เกิดความเสี่ยงต่อความมั่นคงปลอดภัยและความเป็นส่วนตัว จึงได้ผ่านกฎหมายดังกล่าวมาเพื่อสร้างมาตรฐานแห่งชาติสำหรับข้อมูลสุขภาพที่ได้รับความคุ้มครองบนระบบอิเล็กทรอนิกส์ สำนักงานสิทธิพลเมืองกำหนดกฎจำนวนมากตามกฎหมายนี้ เช่น กฎเรื่องความเป็นส่วนตัว กฎเรีื่องการรักษาความปลอดภัย กฎเรื่องการแจ้งการละเมิดกฎ และกฎความปลอดภัยของคนไข้ เป็นต้น กฎเรื่องการรักษาความปลอดภัยกำหนดให้หน่วยงานต้องปฏิบัติตามการรักาาความปลอดภัยทางเทคนิคในการคุ้มครองข้อมูลสุขภาพทั้งหมด โดยเฉพาะมาตรการการเข้ารหัสข้อมูลเพื่อความปลอดภัย โดยได้กำหนดตัวอย่างของวิธีการเข้ารหัสไว้ด้วยที่สามารถใช้และปัจจัยที่ถือว่าเมื่อมีการปฏิบัติตามและประกันความสำเร็จตามแผนการเข้ารหัส จึงเห็นได้ว่านโยบายเรื่องการเข้ารหัสในกิจการการรักษาสุขภาพมีความชัดเจนมาก หน่วยงานที่เกี่ยวข้องมีหน้าที่คุ้มครองข้อมูลสุขภาพด้วยการเข้ารหัสข้อมูลตามมาตรฐานที่กำหนด
กฎหมาย Gramm-Leach-Bliley Act 1999 (GLB) หรือกฎหมายการปรับปรุงบริการทางการเงินให้ทันสมัย ถูกนำเสนอตามนโยบายปฏิรูปการกำกับดูแลบริการทางการเงินในสหรัฐอเมริกา กฎหมาย GLB นี้ใช้บังคับกับสถาบันการเงินและยังครอบคลุมรวมถึงการกำกับดูแลการบริหารจัดการข้อมูลส่วนบุคคลที่ไม่เกี่ยวกับการเงินด้วย นอกจากนี้ กฎหมาย GLB ยังกำหนดเกณฑ์พื้นฐานให้สถาบันการเงินปฏิบัติตามในเรื่องการเก็บรักษาข้อมูลทางการเงินส่วนบุคคลให้มีความปลอดภัย ให้มีการแจ้งนโยบายเกี่ยวกับการแบ่งปันข้อมูลการเงินส่วนบุคคล และให้ลูกค้าสามารถเลือกที่จะแบ่งปันข้อมูลบางส่วนได้ ทั้งนี้ มาตรา 501(b) กำหนดให้สถาบันการเงินปฏิบัติตามมาตรฐานของหน่วยงานกำกับดูแลเพื่อคุ้มครองความปลอดภัยและความลับของข้อมูลลูกค้าแม้มิใช่ข้อมูลทางการเงินโดยการรักษาความปลอดภัยทั้งการกายภาพ ทางเทคนิค และการบริหารงานองค์กร และยังกำหนดให้สถาบันการเงินจัดให้มีโครงการรักษาความมั่นคงปลอดภัยข้อมูลที่ครอบคลุมครบถ้วนเป็นลายลักษณ์อักษรที่เหมาะสมกับขนาด ความซับซ้อนและขอบเขตของกิจกรรมของสถาบันด้วย ที่น่าสนใจคิอการกำหนดให้สถาบันการเงินต้องจัดให้มีการวางระบบการเข้ารหัสสำหรับข้อมูลลูกค้าที่จัดเก็บรักษาไว้และที่ส่งทางอิเล็กทรอนิกส์ตามความเหมาะสม
กฎหมายรายงานเครดิตเป็นธรรม 1970 (Fair Credit Reporting Act 1970 หรือ FCRA) มีวัตถุประสงค์เพื่อกำกับดูแลการเก็บรวบรวมและการใช้ข้อมูลของลูกค้า โดยเฉพาะข้อมูลเครดิตของลูกค้า และบทบัญญัติที่บังคับใช้โดยคณะกรรมการการค้าแห่งสหพันธ์รัฐ เพื่อประกันความเป็นธรรม ความถูกต้อง และความเป็นส่วนตัวของข้อมูลส่วนบุคคลที่อยู่ในไฟล์ของรายงานเครดิตของหน่วยงาน ตามกฎหมาย FCRA ลูกค้ามีสิทธิหลายประการ เช่น สิทธิที่จะได้รับการแจ้ง หากข้อมูลในไฟล์ถูกใช้ สิทธิที่จะรู้ว่าข้อมูลอะไรบ้างที่อยู่ในไฟล์ประวัติ สิทธิในการสอบถามคะแนนเครดิตของตนเอง และสิทธิร้องขอให้แก้ไขข้อมูลกรณีข้อมูลไม่ถูกต้องหรือไม่สมบูรณ์ การเข้ารหัสไม้ได้ถูกกำหนดไว้ในกฎหมายนี้ แต่ หน่วยงานดูแลเครดิตฯ ถูกคาดหวังให้จัดเก็บข้อมูลและปกป้องข้อมูลรั่วไหล สูญหาย หรือเสียหาย และดังนั้น จึงเป็นนัยยะว่าต้องมีการจัดให้มีเทคโนโลยีการเข้ารหัสใช้ในเรื่องนี้ด้วย
กฎหมายบริหารความปลอดภัยข้อมูลของสหพันธรัฐ (Federal Information Security Management
Act 2002 หรือ FISMA) และที่แก้ไขเพิ่มเติมในปี 2013 ซึ่งผ่านภายใต้ชุดกฎหมายรัฐบาลอิเล็กทรอนิกส์ ปี 2002 (Electronic
Government Act 2002) เป็นกฎหมายที่กำหนดให้หน่วยงานรัฐมีหน้าที่ต้องจัดให้มีชุดของกระบวนการและการควบคุมระบบที่ออกแบบเพื่อประกันความลับ ความมั่นคง และระบบเทคโนโลยีสารสนเทศ และข้อมูลที่เกี่ยวข้อง พร้อมนี้ได้กำหนดกรอบในการคุ้มครองข้อมูลของรัฐบาล การดำเนินงาน และสินทรัพย์ของรัฐบาลต่อภัยคุกคามทางธรรมชาติหรือที่เกิดจากมนุษย์ สำหรับกฎหมายที่แก้ไขปี 2013 ได้ขยายเงื่อนไขของหน่วยงานรัฐให้มีหน้าที่รับผิดชอบในการปฏิบัติตามมาตรฐานคอมพิวเตอร์ที่พัฒนาโดยสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (National
Institute of Standards and Technology หรือ NIST) ซึ่งประกันมาตรฐานเป็นเอกภาพและมีมาตรฐานเสริมและระบบความมั่นคงปลอดภัยแห่งชาติ การจัดให้มีสิ่งอำนวยความสะดวกสำหรับข้อมูลที่เป็นความลับและประกันตัวชี้วัดการปฏิบัติตามความปลอดภัยของข้อมูล NIST ซึ่งเป็นหน่วยงานหนึ่งของกระทรวงพาณิชย์มีหน้าที่รับผิดชอบในการส่งเสริมและรักษามาตรฐาน โดยจะตีพิมพ์มาตรฐานและแนวปฏิบัติที่หลากหลาย เช่น แนวปฏิบัติในการเก็บรักษาเทคโนโลยีการเข้ารหัสสำหรับอุปกรณ์ผู้ใช้งาน โดยระบุว่าการควบคุมความปลอดภัยหลักสำหรับการจำกัดการเข้าถึงข้อมูลที่อ่อนไหวที่เก็บรักษาในอุปกรณ์ต้องมีการเข้ารหัสและพิสูจน์ความแท้จริง พร้อมทั้งรายละเอียดของทางแก้ไขที่แนะนำ NIST ยังได้ตีพิมพ์รายงานฉบับพิเศษ ‘Special
Publication (SP) 800-53 ที่กล่าวถึงการควบคุมความปลอดภัยที่แนะนำสำหรับระบบสารสนเทศสหพันธรัฐที่พัฒนาเพื่อสนับสนุนกฎหมายบริหารความปลอดภัยข้อมูลของสหพันธรัฐ หน่วยงานของสหพันธรัฐมีหน้าที่ต้องปฏิบัติตามโดยต้องปกป้องและบำรุงรักษาความมั่นคงปลอดภัยของข้อมูลรัฐบาลด้วยการใช้เทคโนโลยีการเข้ารหัส
ในปี 2013 รัฐบาลสหรัฐได้ออกคำสั่งฝ่ายบริหารว่าด้วยความมั่นคงปลอดภัยทางไซเบอร์ที 13636 เรื่องการยกระดับความมั่นคงปลอดภัยโครงสร้างพื้นฐานที่สำคัญด้านไซเบอร์ (Executive Order 13636 entitled ‘Improving Critical Infrastructure Cybersecurity) ซึ่งสอดคล้องกับแนวนโยบายการพัฒนาของสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ พร้อมมอบหมายให้สภาบันมาตรฐานและเทคโนโลยีแห่งชาติเป็นผู้นำหลักในการพัฒนากรอบความมั่นคงปลอดภัยด้านไซเบอร์ของสหรัฐอเมริกาและสร้างแนวปฏิบัติที่ดีสำหรับธุรกิจธนาคาร การป้องกันประเทศ สาธารณูปโภค และอุตสาหกรรมสำคัญอื่นๆที่เกี่ยวข้อง เพื่อสนุบสนุนการป้องกันการถูกโจมตีทางไซเบอร์ สถาบันฯได้พัฒนามาตรฐานหลายด้าน เช่น ด้านโครงข่ายพลังงานไฟฟ้า การขนส่ง และการเข้ารหัสข้อมูล เป็นต้น
ในเรื่องการเข้ารหัสข้อมูล สถาบันฯได้นำเสนอมาตรฐานที่ทำงานร่วมกับกลุ่มผู้เชี่ยวชาญเพื่อสนับสนุนให้เกิดมาตรฐานการเข้ารหัสที่แข็งแกร่งและมีประสิทธิภาพ ในเดือนกุมภาพันธ์ 2014 รัฐบาลสหรัฐอเมริกาได้ประกาศกรอบมาตรฐานเทคโนโลยีการเข้ารหัสและรับข้อเสนอแนะจากภาคส่วนที่เกี่ยวข้องกว่า 3000 ราย แนวทางใช้วิธีการแบบสมัครใจสำหรับภาคอุตสาหกรรมในการใช้งาน นอกขากนี้ กระทรวงความมั่นคงภายในประเทศได้จัดตั้งโครงการชุมชนจิตอาสาทางไซเบอร์ด้านโครงสร้างพื้นฐาน (Critical Infrastructure Cyber Community (C3) Voluntary Program) เพื่อสร้างความตระหนักรู้แก่ประชาชน แม้ว่ากรอบดังกล่าวจะเป็นเรื่องความสมัครใจและไม่มีการบังคับอุตสาหกรรมในสหรัฐอเมริกา แต่ก็มีผลกระทบต่อบริษัทต่างชาติเพราะบริษัทที่ดำเนินธุรกิจกับบริษัทในสหรัฐอเมริกามีความจำเป็นต้องประเมินการใช้งานข้อมูลส่วนบุคคลในกิจกรรางไซเบอร์เพื่อประกันว่าดำเนินการได้อย่างปลอดภัยและเหมาะสม ดังนั้น มาตรฐานของสถาบันฯจึงมีผลกระทบต่อธุรกิจที่ต้องเข้าถึงและใช้ข้อมูลส่วนบุคคลของคนในสหรัฐอเมริกาอย่างหลีกเลี่ยงไม่ได้ โดยต้องดำเนินการตามแนวปฏิบัติและกระบวนการตามพันธกรร๊ตามกฎหมาย มาตรฐานอุตสาหกรรม และความคาดหวังของการกำกับดูแลของสหรัฐอเมริกาอยู่ดี
ไม่มีความคิดเห็น:
แสดงความคิดเห็น