Rumah Keselamatan Pemberitahuan pelanggaran data: persekitaran undang-undang dan peraturan

Pemberitahuan pelanggaran data: persekitaran undang-undang dan peraturan

Isi kandungan:

Anonim

Di Amerika Syarikat, terdapat pelbagai undang-undang pemberitahuan pelanggaran data persekutuan dan negeri, walaupun tidak ada undang-undang persekutuan yang komprehensif. Pada Mei 2011, pentadbiran Obama telah mengemukakan cadangan keselamatan siber yang komprehensif kepada Kongres yang merangkumi keperluan pemberitahuan pelanggaran data persekutuan. Ini dapat meningkatkan keselamatan siber, tetapi pada Januari 2012, tiada undang-undang pemberitahuan undang-undang melanggar undang-undang persekutuan telah diluluskan. Di sini kita melihat keselamatan data dan undang-undang yang ditubuhkan untuk menangani pelanggaran. (Untuk bacaan latar belakang, lihat Prinsip Asas Keselamatan IT.)

Membuat Kes Persekutuan

Di peringkat persekutuan AS, ada undang-undang dan panduan yang memerlukan pemberitahuan pelanggaran untuk jenis data tertentu: Akta Keselamatan dan Kemampuan Insurans Kesihatan (HIPAA) dan Teknologi Maklumat Kesihatan untuk Kesihatan Ekonomi dan Klinikal (HITECH) untuk maklumat penjagaan kesihatan, Gramm-Leach-Bliley Act untuk maklumat kewangan, dan bimbingan Office of Management and Budget (OMB) untuk maklumat peribadi yang dipegang oleh agensi persekutuan.


Menurut Akta HITECH, penyedia perkhidmatan penjagaan kesihatan yang dilindungi oleh HIPAA mesti memberitahu pesakit "segera" apabila maklumat kesihatan mereka telah dilanggar. Jabatan Kesihatan dan Perkhidmatan Manusia (HHS) dan media harus diberitahu dalam kes-kes pelanggaran yang mempengaruhi lebih dari 500 individu. Vendor maklumat kesihatan peribadi mempunyai keperluan pemberitahuan pelanggaran yang sama, tetapi mesti memberitahu Suruhanjaya Perdagangan Persekutuan, bukan HHS.


Menurut panduan yang dikeluarkan oleh pengawal selia perbankan persekutuan di bawah Akta Gramm-Leach-Bliley, apabila bank atau institusi kewangan lain menyedari pelanggaran data, ia harus menjalankan penyiasatan untuk menentukan kemungkinan maklumat tersebut telah atau akan disalahgunakan. Sekiranya bank menentukan bahawa penyalahgunaan telah berlaku atau kemungkinan yang munasabah, ia harus memaklumkan pelanggan yang terjejas secepat mungkin.


Pemberitahuan pelanggan mungkin tertunda jika penguatkuasaan undang-undang menentukan pemberitahuan itu akan mengganggu penyiasatan jenayah dan menyediakan bank dengan permintaan tertulis untuk penangguhan. Bank itu harus memaklumkan pelanggannya sebaik sahaja pemberitahuan tidak lagi mengganggu siasatan. Walau bagaimanapun, pemberitahuan tidak boleh ditangguhkan kerana rasa malu atau kesulitan kepada bank.


Menurut bimbingan OMB, agensi-agensi persekutuan dikehendaki melaporkan semua pelanggaran data yang melibatkan maklumat peribadi dalam masa satu jam penemuan / pengesanan. Walau bagaimanapun, agensi mempunyai kebijaksanaan melaporkan pelanggaran data di luar agensi. Mereka boleh melengahkan pemberitahuan untuk penguatkuasaan undang-undang, keselamatan negara, atau keperluan agensi.

Memimpikan California

Di peringkat negeri, terdapat 46 patutan undang-undang negeri (dan Daerah Columbia) mengenai pemberitahuan pelanggaran data. California menggubal undang-undang pemberitahuan pelanggaran data pertama pada tahun 2002, dan ia telah digunakan sebagai model untuk banyak undang-undang negeri lain.


Di bawah undang-undang California, syarikat mesti mendedahkan pelanggaran data kepada pelanggan "secepat mungkin, tanpa kelewatan yang tidak munasabah" secara bertulis. Sekiranya orang atau perniagaan yang diberitahu boleh menunjukkan pemberitahuan itu akan menelan belanja lebih dari $ 250, 000 atau menjejaskan lebih daripada 500, 000 orang, maka notis pengganti dalam bentuk posting laman web dan pemberitahuan kepada media seluruh negara boleh digunakan. Undang-undang mengecualikan daripada pemberitahuan apa-apa pelanggaran data di mana maklumat peribadi disulitkan.


Walau bagaimanapun, California, tidak seperti banyak negeri lain, tidak termasuk penalti kerana kegagalan untuk segera memberitahu pengguna mengenai pelanggaran data. Persidangan Kebangsaan Dewan Undangan Negeri mengekalkan senarai undang-undang pemberitahuan pelanggaran data negara dan pautan kepada undang-undang tersebut.

Eropah atau dada

Di Eropah, Kesatuan Eropah meluluskan keperluan pemberitahuan pelanggaran data dalam pindaan 2009 kepada Arahan E-Privasinya. Negara anggota Kesatuan Eropah telah sampai 25 Mei 2011, untuk melaksanakan pindaan itu ke dalam undang-undang negara.


Pindaan itu memerlukan "penyedia perkhidmatan komunikasi elektronik yang tersedia secara awam" untuk memaklumkan pihak berkuasa kebangsaan tentang pelanggaran maklumat peribadi yang boleh mengakibatkan kerugian ekonomi yang besar dan bahaya sosial kepada pelanggan "dengan segera" mereka menyedari pelanggaran tersebut. Juga, pelanggan yang terjejas perlu dimaklumkan mengenai pelanggaran "tanpa berlengah-lengah." Pemberitahuan harus termasuk maklumat mengenai langkah-langkah yang diambil oleh syarikat, serta tindakan yang disyorkan untuk pelanggan yang terlibat.


Perubahan kepada Arahan Perlindungan Data EU dijangka pada tahun 2012, termasuk keperluan bahawa semua syarikat, bukan hanya pembekal perkhidmatan komunikasi elektronik, memberitahu pihak berkuasa negara dan pelanggan yang terlibat dalam tempoh 24 jam dari pelanggaran maklumat peribadi.


Akta Perlindungan Data UK, yang mendahului EU E-Privacy Directive, mempunyai satu set keperluan yang komprehensif bagi syarikat-syarikat untuk melindungi data, walaupun tidak mengandung keperluan pemberitahuan pelanggaran data.


Pejabat Pesuruhi Maklumat UK (ICO), yang bertanggungjawab untuk melaksanakan akta itu, mengatakan bahawa syarikat harus melaporkan pelanggaran data yang serius, yang ditakrifkan sebagai pelanggaran yang boleh menyebabkan kemudaratan potensial kepada individu, kepada ICO. Agensi itu berkata ia menjangkakan syarikat UK akan memaklumkan tentang pelanggaran maklumat peribadi yang tidak diskrit mengenai 1, 000 atau lebih individu. ICO mengatakan bahawa ia bukan tanggungjawabnya untuk memaklumkan kepada pengguna yang terjejas, tetapi ia mungkin mengesyorkan bahawa syarikat itu membuat pelanggaran awam "di mana ia jelas demi kepentingan individu yang bersangkutan atau terdapat hujah kepentingan awam yang kuat untuk melakukannya."

Pelanggaran dan Pelaporan Data

Sebagai tindak balas terhadap pelanggaran data yang sangat dipublikasikan dan tekanan awam, ahli perundangan dan pengawal selia Amerika dan Eropah sedang mempertimbangkan keperluan bahawa semua syarikat melaporkan pelanggaran data kepada pihak berkuasa negara dan pengguna yang terjejas. Walau bagaimanapun, sehingga Januari 2012, tiada satu pun daripada usaha tersebut telah menyebabkan undang-undang dan peraturan pemberitahuan pelanggaran data komprehensif sama ada di Amerika Syarikat atau Kesatuan Eropah.

Pemberitahuan pelanggaran data: persekitaran undang-undang dan peraturan