目录:
在美国,尽管没有全面的联邦法律,但是有各种联邦和州数据泄露通知法律。 2011年5月,奥巴马政府向国会提交了一份全面的网络安全提案,其中包括联邦数据泄露通知要求。 这可以大大改善网络安全性,但是截至2012年1月,尚未通过任何联邦数据泄露通知立法。 在这里,我们看一下数据安全性和为解决数据泄露问题而制定的法规。 (有关背景知识,请参阅《 IT安全基本原理》。)
提出联邦诉讼
在美国联邦一级,有法律和指南要求针对特定类型的数据进行违规通知:针对医疗保健信息的《健康保险可移植性和责任制(HIPAA)法案》以及《经济和临床医疗卫生信息技术(HITECH)法案》,有关金融信息的《格拉姆-里奇-布里利法案》,以及联邦机构持有的关于个人信息的管理和预算办公室(OMB)指南。
根据《 HITECH法案》,HIPAA涵盖的医疗保健服务提供商必须在患者的健康信息遭到破坏时“立即”通知患者。 如果违反影响到500多人,则必须通知卫生和公共服务部(HHS)和媒体。 个人健康信息的供应商也有类似的违规通知要求,但必须通知联邦贸易委员会,而不是HHS。
根据联邦银行监管机构根据《格拉姆-里奇-布莱利法案》发布的指南,当银行或其他金融机构意识到数据泄露时,应进行调查以确定信息已被或将被滥用的可能性。 如果银行确定发生了滥用或有合理可能,则应尽快通知受影响的客户。
如果执法部门确定通知会干扰刑事调查并向银行提出书面要求,则可能延迟客户通知。 一旦通知将不再干扰调查,银行应立即通知其客户。 但是,由于银行的尴尬或不便,通知不能延迟。
根据OMB的指导,要求联邦机构在发现/发现一小时内报告涉及个人识别信息的所有数据泄露。 但是,代理机构可以自行决定是否在报告机构外部报告数据泄露事件。 他们可以延迟针对执法,国家安全或机构需求的通知。
加州梦
在州一级,有46个州法律(和哥伦比亚特区)对数据泄露通知的拼凑而成。 加利福尼亚州于2002年颁布了第一部数据泄露通知法,该法律已被用作许多其他州法律的典范。
根据加利福尼亚州的法律,公司必须以书面形式“尽快,无故拖延地”向客户披露数据泄露事件。 如果通知者或企业可以证明通知将花费超过$ 250, 000或影响超过500, 000人,则可以使用网站发布和通知全州主要媒体的形式的替代通知。 该法规免于通知任何对个人信息进行加密的数据泄露。
但是,与许多其他州不同,加利福尼亚州没有对未能及时通知消费者数据泄露的处罚。 全国州议会会议保留一份州数据泄露通知法律清单,并链接到这些法律。
欧洲或半身像
在欧洲,欧盟在2009年对其“电子隐私指令”进行的修订中批准了数据泄露通知要求。 欧盟成员国必须在2011年5月25日之前将修正案纳入本国法律。
该修正案要求“公开电子通信服务的提供者”在得知个人信息泄露后立即通知国家有关当局,这可能会给客户造成重大的经济损失和社会伤害。 此外,应“立即”告知违规的受影响客户。 该通知应包括有关公司正在采取的措施的信息,以及针对受影响客户的建议措施。
预计将于2012年对欧盟数据保护指令进行更改,其中包括要求所有公司(不仅是电子通信服务提供商)在违反个人信息的24小时内通知国家主管部门和受影响的客户。
早于欧盟电子隐私指令的英国数据保护法,对公司保护数据有一套全面的要求,尽管其中并未包含数据泄露通知要求。
负责实施该法案的英国信息专员办公室(ICO)表示,公司应向ICO报告严重的数据泄露,这些数据泄露是指可能对个人造成潜在伤害的泄露。 该机构表示,预计英国公司将在有关1000个或更多个人的未加密个人信息遭到破坏的情况下通知它。 ICO表示,没有责任通知受影响的消费者,但它可能建议公司“在明显符合有关个人利益或有强烈公共利益论据的情况下将违规行为公开。”
数据泄露和报告
为了应对广为宣传的数据泄露和公众压力,美国和欧洲的立法者和监管机构正在考虑要求所有公司向国家主管部门和受影响的消费者报告数据泄露。 但是,截至2012年1月,这些努力均未导致美国或欧盟制定全面的数据泄露通知法律和法规。