Asiens lagstiftare behöver inte kopiera Europa

newsmaker Harriet Pearson var en gång en del av en petition som undertecknats av Facebook-användare, uppmanar den sociala nätverkssajten att göra mer när det gäller privatlivet. Men anser privatliv specialist själv som en med måttliga vyer när det gäller att skydda sin personliga information.

Telekom; Chorus meddelar gigabit-hastighet bredband över Nya Zeeland, telekom, Telstra, Ericsson, Qualcomm uppnå 1Gbps sammanlagda hastigheter i levande 4G-nät test, telekom, Samsung och T-Mobile samarbetar på 5G prövningar, Cloud, Michael Dell på balans EMC affär: “Vi kan tänka på årtionden

IBM: s Chief Privacy Officer på nio år, säger Pearson varje person behöver en mental modell för att bedöma nyttan och riskerna med att tillhandahålla personuppgifter. På samma sätt, regeringar borde vara tankeväckande när de utarbetar riktlinjer och lagar om dataskydd, sade hon. Den IBMer förra året antog också titeln på säkerhets råd.

I staden nyligen för Singapores årliga GovernmentWare konferens, Pearson satte sig med webbplatsen Asien för att diskutera dataskyddslagstiftningen och behovet av en balanserad syn dataintrång anmälan och förklara varför asiatiska tillsynsmyndigheterna bör inte “fotokopia” europeiska lagböcker.

Fråga: Hur har den globala sekretess landskapet utvecklats under de senaste ett till två år? Med ökningen av sociala nätverk där människor lägga en stor mängd information om sig själva på nätet, finns det ett behov av att ändra tänkande kring vad som utgör som privata, Pearson: Låt mig gå tillbaka lite längre. Det fanns en stor förändring i vissa delar av världen i hur människor tänkte om sekretess efter 11 september-attackerna. Den upplevda behovet av att hantera brister i säkerheten blev den enskilt viktigaste sak, och oron integritet och medborgerliga rättigheter i USA, till exempel för en tid blev mycket mindre viktig än den omedelbara reaktionen att försöka säkra de nationella gränserna, och sånt.

Det var för mig den enskilt mest betydande och plötslig förändring, där antalet absolutistiska grupper växte lite, eftersom det fanns en reaktion på den del av de människor som sysslar med regeringen har för mycket makt i insamling av information då.

Idag finns det åtminstone två aktuella frågor som har uppstått under de senaste två eller tre år. En är detta fenomen av sociala nätverk och Web 2.0 funktioner som tillåter oss att lägga upp information och publicera bilder. Den andra är framväxten av en ny computing paradigm, cloud computing, tillsammans med dess potential att öka effektiviteten och spara pengar. Allt detta är också åtföljas av vissa farhågor om var uppgifterna om mig ligger, som har det och vem som får tillgång till det. Dessa två faktorer som jag tror kommer att sätta press på människors förväntningar om sekretess och de uppgifter de har.

Det har varit lite fart i länder som Australien och Storbritannien, när det gäller att genomföra starkare dataskydd, till den grad att faktiskt vilja göra dataintrång anmälningsplikt. Som ett privatliv förmyndare, vad är din monter? Hur nödvändigt är detta;? Krav dataintrång anmälan är ett amerikanskt innovationspolitik, som faktiskt har sina rötter i miljö sfären. Denna idé bygger på “rätt att veta” lagar, där om du har en kemisk fabrik eller anläggning, fanns lagar som antagits under 1980-talet som sa du skulle behöva avslöja vad du lägger ut ur anläggningen.

Det har verkligen varit en stor insats spenderas på den del av företag som har haft dataintrång, att ta itu med och minska riskerna för dessa händer igen. Detta är bra eftersom det ökar informationssäkerheten. Samtidigt, eftersom dessa lagar genomförs i USA, kan du peka på situationer där det kan ha varit en del ineffektivitet eftersom organisationer skulle spendera alltför mycket pengar på ett visst område, i syfte att uppfylla lagens krav, och inte tillräckligt på något riktigt viktigt. För när du drabbas av en dataintrång, måste du meddela myndigheterna och lite mer viktiga projekt kan behöva hållas tillbaka som följd. Du måste balansera det.

Sammantaget är regeln ett bra incitament för att få säkrare. Andra länder – och ni nämnde några – har märkt denna effekt och de sade “Oh, kanske vi borde prova det i vår egen sammanhang.”

Jag tror att det är en mycket enkel policy modell för att anta att det inte kostar pengar, det finns inga skatter, det är ingen stor reglering bok – det är en mycket enkel idé. Det är redan en de facto skyldighet i Kanada, Japan har haft det ett tag, och jag tror att Tyskland antog bara deras lag på detta. Jag förväntar mig att hända i andra länder. Jag tror att om det är tankeväckande och den utlösande faktorn för rapporteringen är tankeväckande, då det kan föras. Men de säger att djävulen finns i detaljerna. Om det leder till överrapportering vid någon tidpunkt, då modellen inte kan vara att användbara.

Ett annat bekymmer är att över tiden, de flesta i USA blivit immuna mot det faktum att det har varit ett brott. De första åren var det en chock, och nu är det nästan som, “Ja, hände det igen.” Så för den enskilde, jag tycker det är lite svårt nu eftersom du får dessa meddelanden, men det finns egentligen ingen skada så säger de, “Det är kanske inte så illa trots allt.” Det finns en liten risk, över tiden, människor får immun mot detta men i slutet av dagen, kommer ansedda företag inte vill vara i tidningarna för att ha ett brott, så det är en mycket bra motivation.

Asien i allmänhet ses som mindre skyddande av en persons privatliv, men länder som Singapore tittar på de utarbetar sina egna lagar om dataskydd. Vad skulle du säga är avgörande beståndsdelar i en sådan lagstiftning,? Jag tror att det finns faktiskt ett sätt att tänka på detta som gör att varje samhälle och land att uttrycka sina egna unika värden och kultur. I en mycket global och uppkopplade värld är det inte nödvändigt att vi alla blir densamma. Och så om du har mer av en kultur av den enskilde, är det verkligen viktigt att du har för att skydda integriteten, äganderätt och allt det där. Det är en helt annan modell än Indien eller Kina, till exempel.

En aspekt av privatlivet är du vill förhindra att information om dig eller mig som används för att skada dig eller mig – du vill förhindra skada. Jag tror att det är en globalt accepterad förklaring. Vart du än går i världen, säger du jag dela min information med dig, en butik eller regeringen, men inte använda den för att skada mig. Avslöjar inte det och ha någon nu att kunna komma till mitt hus och attackera mig eftersom jag gjort ett misstag att dela den. Tappa inte bort den och låta någon hamnar i mitt bankkonto. ” De är säkerhetsfrågor. “Inte dela den med olämpliga personer som jag inte vill att det delade med.” Det är sekretess.

Det tror jag är en viktig del av någon dataskydd och integritet. Syftar till att skydda individen mot skada som kan komma till dem från olämplig användning av sina uppgifter.

Det andra begreppet handlar om ansvar. Om en organisation – regeringen eller privata – har ansvar för att hantera information, bör de vara ansvariga för vad de gör med informationen. Om de missköta det, förlorar den, dela den, göra något dåligt att det – om det orsakar dig skada eller gör något annat – de bör vara ansvarig. En annan viktig del i en nationell lagstiftning bör vara en del ansvar, några verkställighet.

Den tredje delen, som inte behöver vara densamma i alla länder, är vad jag kallar den kulturella aspekten. I Tyskland är rätten till integritet en mänsklig rättighet som bildas av erfarenheter i samhället som går tillbaka till andra världskriget och användning av information för att spåra upp judar och förfölja människor. Det är en helt annan historia och ethos än i den amerikanska Vilda Västern, där romantiska ideal för den enskilde är en robust individualist existerar. Och sedan komma till Kina och Indien, där det finns en mycket mer komfort i mycket genomträngande delning. I Indien, kom någon fram till mig och frågade “Hur gammal är du? Hur mycket pengar gör man? ” De ville veta, men att du inte frågar folk som i USA.

På tal om Indien, har du varit inblandad i styrgruppen för datasäkerhets Council of India (DSCI). Vad var den erfarenheten som,? Flera år sedan, var regeringen i Indien att titta på hur man kan stärka dataskydd och skydd av personuppgifter metoder för att säkerställa att det fortsätter att vara en livskraftig och attraktiv plats för business process outsourcing och IT-outsourcing. Ett antal organisationer ombads att lämna synpunkter. Vad regeringen begärde i branschen var att försöka bygga upp kapacitet inom IT och BPO (Business Process Outsourcing) industrier runt datasäkerhet och dataskydd.

Jag gick med i styrgruppen initialt att försöka ge dem råd om hur man ställer upp något för att försöka bygga upp denna kapacitet. Nyligen har vi en ny datasäkerhet och integritet officer i IBM Indien, Nandita Mahajan, och hon tog min plats i kommittén.

Jag skulle säga att ansträngningar fortsätter. Indiens regering faktiskt antogs i februari 2009 en ny datasäkerhet lag, och det är mycket omfattande. Den har ett par av nyckelkomponenter. Den ena är en skyldighet som hanterar information om personer för att hålla den säker, och jag tror att det har en bestämmelse anmälan i det. Det finns en avsevärd del av det som talar om regeringens tillgång till information för att skydda nationen – tanken är att skapa mer makt för regeringen att kunna få information för att föregripa ytterligare attacker. Motiveringen för anta den snabbt var delvis på grund av attackerna i Bombay som hände i slutet av 2008.

De har börjat genomföra lagen, även om det inte har genomförts fullt ut ännu. Den DSCI är ett av de viktigaste affärsenheter som tillhandahåller ingångar till att genomförandet för att säkerställa att när stadgan genomförs ekonomiska konkurrenskraft ett av de viktigaste tillväxtmotorer i Indien –even i denna nedgång – förblir livskraftig och är verkligen förbättras i dess ställning.

Som ni nämnde, IT-outsourcing och BPO industrier är tillväxtmotorer för Indien, men jag tror att vissa år tillbaka fanns det vissa datasäkerhets förfaller som uppmärksammade. Har saker förbättras? Jag tänker inte höra en hel del sådana klagomål av sent,. Ja, det är inte så intressant? Jag har inte hört talas om någon heller under det senaste året eller så, och jag tror att vi skulle ha hört talas om dem på annat sätt. Jag skulle vilja säga fokus i praxis datasäkerhet under de senaste åren leder till en stadig, fortsatta framsteg i de bolag som skulle bygga upp kapacitet och förmåga.

Varje organisation är fallible. Under många år hade IBM en mycket mogen och omfattande säkerhetsprogram i all vår verksamhet, men vi fortsätter att förbättras. Vi har sett andra organisationer förbättras också, och jag tror att det är Indiens fördel som en destination för outsourcing. Jag tror att Egypten går igenom liknande tänkande. Vi har varit engagerade i Filippinerna lite under de senaste åren, eftersom de var också intresserade av att genomföra lagar för att positionera sina IT och BPO branscher som mogen och attraktiv. Och vårt bidrag till alla dessa länder har varit densamma – vara tankeväckande, titta på de centrala begreppen förebygga skador och ansvarsskyldighet. Du kan uppnå dessa mål på många olika sätt, och du bör göra det på ett sätt som är till nytta för ert samhälle.

Vi har också sagt att det är inte nödvändigt att kopiera europeiska lagböcker. Denna idé är inte det enda sättet att uppnå en uppfattning om att du har en stark dataskydd. Den punkten tror jag har lätt att förstå eftersom även den europeiska modellen har kritiserats. Det fanns en Rand rapport som begärdes av brittiska Information Commissioner, som publicerades tidigare i år. Det var en studie av hur effektivt EU-direktivet har varit att skydda privatlivet och hur det positionerat för att anpassa sig till förändrade modeller av företag och teknik som cloud computing. Slutsatsen av Rand studien var att modellen av det europeiska direktivet baserades på stordatorer och ha kontroll över partier av uppgifter, men det är inte så längre.

Om du kommer att anta lagar, politik och praxis i de länder som har hög tillväxt eller inte har äldre rättssystem som de europeiska modeller, då skulle du inte vill hoppa framåt, förutse riktning och sedan anta lagar och politik som försöker att stödja tillväxten och samtidigt skydda människor? Varför skulle du vill kopiera en modell som har varit föremål för en hel del studie om hur det inte nödvändigtvis hänga med?

Jag har lärt mig under min karriär som lagar arbeta baklänges, där lagstiftare ser alltid på problemen och sedan försöka åtgärda dem. När du gör politik som ni tittar på den nuvarande, det är mycket svårt att föreställa sig framtiden. Som ett resultat kommer politik och lagar alltid vara bakom vad människa och teknik gör. Att ha ödmjukhet för att förstå det, och för att räkna ut hur man åtminstone vara neutral så att du kan anamma förändringar med teknik och fortfarande vara relevant med era lagar, är en mycket viktig metod som många regeringschefer i Asien förstår.

Chorus meddelar gigabit-hastighet bredband över Nya Zeeland

Telstra, Ericsson, Qualcomm uppnå 1Gbps sammanlagda hastigheter i levande 4G-nät testet

Samsung och T-Mobile samarbetar på 5G prövningar

Michael Dell på balans EMC affären: “Vi kan tänka på årtionden”