chevronin kunnioitus on kuollut. nyt mikä banneri

Chevron Deference on kuollut. Mitä nyt?

Tänä kesänä päättyi 40 vuotta kestänyt oikeudellinen oppi, jolla lupaa olla merkittäviä seurauksia kyberturvallisuuteen ja moniin muihin sektoreihin. Mikä se on ja mitä sen purkaminen tarkoittaa?

Chevron Deference, joka juontaa juurensa 40 vuotta, kuvaa liikkumavaraa, joka liittovaltion virastojen on tulkittava omaa politiikkaansa säänteleessään.

Kongressi päivitti Clean Air Actin vuonna 1977 ja pakotti organisaatiot asentamaan saastumisenhallintatekniikkaa aina tehdessään teknisiä muutoksia tiloissaan.

Tämänkaltaisia ​​lakeja antaa Yhdysvaltain hallituksen (kongressi) lainsäädäntöelin, mutta ne edellyttävät toimeenpanovaltaa (liittovaltion virastot) panemaan ne täytäntöön sääntelyn avulla. Tässä tapauksessa ympäristönsuojeluviraston tehtävänä oli varmistaa, että saastuttajat tekivät muutokset. Carterin hallinnon aikana (tämä oli presidentti, joka asensi aurinkopaneelit Valkoisen talon katolle) EPA olisi todennäköisesti valvonut niitä voimakkaasti.

Hallinnon muuttuessa muuttuvat kuitenkin myös sääntelijöiden asenteet poliittisten nimitysten ansiosta virastojen johdossa. 1980-luvun alussa öljyjätti Chevron teki joitain muutoksia yhdellä tehtaallaan, mutta siihen mennessä EPA - oli konservatiivisemman Reaganin hallituksen alaisuudessa (Reagan oli presidentti, joka poisti nuo aurinkopaneelit).

Reaganin EPA tulkitsi asetuksensa käsittelemään voimalaitoksia yhtenä yksikkönä sen sijaan, että se keskittyisi yksittäisiin laitteisiin. Tämän ansiosta Chevron pystyi päivittämään tehtaansa laitteita asentamatta ylimääräisiä ilmanpesureita.

Natural Resources Defense Council (NRDC) haastoi EPA:n oikeuteen väittäen, että sen olisi pitänyt tulkita sen sääntöjä tiukemmin. Korkein oikeus perusteli, että liittovaltion virastojen tulisi saada tulkita omia sääntöjään tuomioistuinten sijaan niin kauan kuin tulkinta ei ole ristiriidassa asetuksen kielen kanssa.

Siitä lähtien kaikki ensimmäisen oikeusasteen tuomioistuimen päätös liittovaltion asetusta koskevasta tapauksesta on jätettävä liittovaltion virastolle asetuksen tulkinnassa. Perusteluna oli, että virastolla oli enemmän asiantuntemusta kuin liittovaltion tuomareilla.

Eli tähän asti. Kesäkuun 28. päivänä korkein oikeus antoi päätöksen toisesta tapauksesta, Loper Bright Enterprises v. Raimondo. Loper Bright on New England -kalastusyhtiö, joka halusi riitauttaa National Marine Fisheries Servicen (NMFS) päätöksen. Kalastusrajoituksia määräävän Magnuson-Stevens-lain mukaan NMFS edellytti kalastusalusten nimeämistä valtion tarkastajille, jotka valvovat saaliitaan kalastusyhtiöiden kustannuksella.

Loper Bright oli kiistänyt NMFS:n kyvyn määrätä tämä asetus käräjäoikeudessa, joka sovelsi Chevron Deferencea antaakseen NMFS:n päättää. Asia meni korkeimpaan oikeuteen, joka kumosi päätöksen ja kumosi Chevron Deferencen.

Mitä tämä tarkoittaa kyberturvallisuuden kannalta

Tämä päätös antaa jälleen kerran piirituomioistuimille mahdollisuuden päättää, kuinka liittovaltion virastojen tulisi tulkita laillisia säädöksiä, mikä asiantuntijoiden mielestä merkitsee sitä, että tuomareiden annetaan päättää politiikasta. NRDC, joka lopulta toivotti Chevron Deferencen tervetulleeksi keinona tarjota varmuutta liittovaltion politiikkaa koskevissa kiistoissa, puhelut Deference'n jälkeinen oikeusmaisema "vastaa tikan heittämistä alemman kentän tikkatauluun".

"[On] yli kymmenen erilaista piiriä, joista jokaisessa on useita tuomareita", väittää John Walke, organisaation ympäristöterveysohjelman vanhempi asianajaja. "Jokaisella on mahdollisuus päättää, mikä järkevä tulkinta on heidän suosikkinsa järkevä tulkinta."

Mitä tekemistä tällä on kyberturvallisuuden kanssa? Tämä on suhteellisen nuori tieteenala, joka on edelleen lyömässä liittovaltion politiikkaa. Nyt huolestuttaa se, että poliittisten päätösten jättäminen eriävistä mielipiteistä koostuvan piiri- ja piirituomareiden paneelille saastuttaa vedet.

Liittovaltion virastot ovat tulossa aggressiivisemmaksi kyberturvallisuuden säätelyssä, mutta a Kongressi, joka on vähemmän tuottava kuin koskaan, he luottavat yhä enemmän säännösten lisäämiseen vanhoihin säädöksiin, joissa ei viitata kyberturvallisuuteen, sanoa, Harley Geiger, Ines Jordan-Zoob ja Tanvi Chopra Cybersecurity Policy -keskuksesta.

Keskuksen asiantuntijat ovat huolissaan siitä, että Chevron Deferencen häviäminen voi vaikuttaa useisiin viimeaikaisiin lainsäädännöllisiin muutoksiin, mukaan lukien SEC:n vaatimus, jonka mukaan organisaatiot raportoivat nopeasti kyberturvallisuushäiriöistä, sekä Gramm-Leach-Bliley Actin vuoden 2022 tarkistukset, jotka vaativat rahoituslaitoksia raportoimaan kyberturvallisuushäiriöistä. Säännöt, joihin nämä määräykset perustuvat, eivät sisältäneet mitään selkeää kyberturvallisuuskieltä. Ilman Chevron Deferencen suojaa he voivat kohdata oikeudellisia haasteita piirituomioistuimissa.

Keskus on huolissaan siitä, että tämä vaikeuttaa organisaatioiden saada selkeät, maanlaajuiset kyberturvallisuuspolitiikkaa koskevat säännöt.

"Tulos saattaa olla vähemmän johdonmukainen säännösten soveltamisessa eri lainkäyttöalueilla", kirjoittajat sanovat. "Toimivaltaiset yritykset kyberturvallisuusmääräysten harmonisoimiseksi ilman kongressin nimenomaista valtaa voivat menettää tehonsa ja pakottaa alan noudattamaan sääntöjä edelleen kamppailemaan turvasääntöjen tilkkutäkkien kanssa."

Keskuksen kirjoittajat ovat myös huolissaan siitä, että kyberturvallisuuskysymyksiä koskevien uusien lakien on oltava vähemmän moniselitteisiä, jolloin sääntelyviranomaisille jää vähemmän liikkumavaraa nopeasti kehittyvällä teknologia-alalla. Tämä voi vaikeuttaa tulevien kyberturvallisuuslakien hyväksymistä, kirjoittajat varoittavat.

Yksi oikeudellinen testi on edelleen voimassa, jonka avulla tuomioistuimet voivat lykätä liittovaltion virastoja politiikkakysymyksissä. Skidmore Doctrine -niminen se juontaa juurensa vuoden 1944 tapauksesta, joka antaa tuomioistuimille mahdollisuuden lykätä viraston tulkintaa, joka perustuu "valtaan suostutella, jos niillä ei ole valtaa valvoa". Se, kuinka hyvin virasto suostuttelee, on oletettavasti kuitenkin oikeudenkäynti- tai valittajatuomarin mielipide.

Mitä sinun pitäisi tehdä?

Mihin tämä jättää yritykset, jotka yrittävät noudattaa kyberturvallisuusmääräyksiä?

"Ehkä nyt enemmän kuin koskaan tarvitaan yksityisen sektorin aloitteita tehokkaiden kyberriskien hallintaohjelmien vapaaehtoiseksi ottamiseksi käyttöön kuluttajien, yritysten ja yhteiskunnan kestävyyden vahvistamiseksi", sanoivat Cybersecurity Policy -keskuksen kirjoittajat.

Onneksi on olemassa runsaasti kestäviä puitteita, mukaan lukien ISO 27001 ja NIST-kyberturvallisuuskehys, joihin yritykset voivat perustaa kyberturvallisuustyönsä. Niiden ansiosta yritykset noudattavat todennäköisemmin liittovaltion säännöksiä ja tarjoavat myös enemmän suojaa kyberturvallisuushäiriöiltä. Epävakaammassa oikeudellisessa ympäristössä vankka vapaaehtoinen noudattaminen tarjoaa jonkin verran varmuutta ja osoittaa, että organisaatiot ovat noudattaneet lain henkeä, eivät pelkästään sen kirjainta.

kirjailija

Danny Bradbury

Danny Bradbury on ollut teknologiaan erikoistunut printtitoimittaja vuodesta 1989 ja freelance-kirjoittaja vuodesta 1994. Hän on kirjoittanut kansallisiin julkaisuihin molemmin puolin Atlanttia ja on voittanut palkintoja tutkivasta kyberturvallisuusjournalismista.

Näytä kaikki Danny Bradburyn viestit

Aiheeseen liittyvät julkaisut

DORA on täällä! Paranna digitaalista kestävyyttäsi tänään tehokkaalla uudella ratkaisullamme!