Turinys:
- Federalinės bylos iškėlimas
- Kalifornijos svajonė
- Europa arba biustas
- Duomenų pažeidimai ir ataskaitų teikimas
Jungtinėse Valstijose galioja įvairūs federaliniai ir valstijų pranešimai apie duomenų pažeidimus, nors nėra išsamaus federalinio įstatymo. 2011 m. Gegužės mėn. Obamos administracija Kongresui pateikė išsamų kibernetinio saugumo pasiūlymą, kuriame yra federalinis reikalavimas pranešti apie duomenų pažeidimus. Tai galėtų žymiai pagerinti kibernetinį saugumą, tačiau nuo 2012 m. Sausio mėn. Nebuvo priimti jokie federaliniai pranešimai apie duomenų pažeidimus. Čia pažvelgsime į duomenų saugumą ir teisės aktus, kurie rengiami siekiant pašalinti pažeidimus. (Norėdami sužinoti daugiau apie tai, skaitykite Pagrindiniai IT saugumo principai.)
Federalinės bylos iškėlimas
JAV federaliniame lygmenyje galioja įstatymai ir rekomendacijos, reikalaujantys pranešti apie pažeidimus, susijusius su tam tikros rūšies duomenimis: Sveikatos draudimo perkeliamumo ir atskaitomybės (HIPAA) įstatymas ir Sveikatos informacinių technologijų ekonominei ir klinikinei sveikatai (HITECH) aktas, skirtas sveikatos priežiūros informacijai, „Gramm-Leach-Bliley“ įstatymas dėl finansinės informacijos ir Valdymo ir biudžeto tarnybos (OMB) gairės dėl asmeninės informacijos, kurią turi federalinės agentūros.
Pagal HITECH įstatymą sveikatos priežiūros paslaugų teikėjai, kuriems taikoma HIPAA, privalo „nedelsdami“ pranešti pacientams, kai buvo pažeista jų sveikatos informacija. Sveikatos ir žmonių aptarnavimo departamentas (HHS) ir žiniasklaida turi būti informuojami tais atvejais, kai pažeidimai paveikti daugiau nei 500 asmenų. Asmeninės sveikatos informacijos pardavėjai turi panašius pranešimo apie pažeidimus reikalavimus, tačiau apie tai turi pranešti Federalinei prekybos komisijai, o ne HHS.
Remiantis federalinių bankų reguliavimo institucijų paskelbtomis gairėmis pagal „Gramm-Leach-Bliley“ įstatymą, bankui ar kitai finansų įstaigai sužinojus apie duomenų pažeidimą, jis turėtų atlikti tyrimą, kad nustatytų tikimybę, kad informacija buvo ar bus netinkamai naudojama. Jei bankas nustato, kad piktnaudžiavimas buvo padarytas ar pagrįstai įmanomas, jis turėtų kuo greičiau pranešti paveiktiems klientams.
Kliento pranešimas gali būti atidėtas, jei teisėsauga nustato, kad pranešimas trukdys atlikti baudžiamąjį tyrimą, ir pateiks bankui rašytinį prašymą atidėti. Bankas turėtų pranešti savo klientams, kai tik pranešimas netrukdys tyrimui. Tačiau pranešimo negalima atidėti dėl sumišimo ar nepatogumų bankui.
Remiantis OMB gairėmis, federalinės agentūros per vieną valandą nuo atradimo / aptikimo privalo pranešti apie visus duomenų pažeidimus, susijusius su asmenį identifikuojančia informacija. Tačiau agentūros gali savo nuožiūra pranešti apie duomenų pažeidimus ne agentūroje. Jie gali atidėti pranešimą teisėsaugos, nacionalinio saugumo ar agentūrų poreikiams tenkinti.
Kalifornijos svajonė
Valstybiniu lygmeniu yra pateikiami 46 valstijų įstatymai (ir Kolumbijos apygarda), kuriuose pateikiami pranešimai apie duomenų pažeidimus. Kalifornija 2002 m. Priėmė pirmąjį pranešimo apie duomenų pažeidimus įstatymą, kuris buvo naudojamas kaip pavyzdys daugelyje kitų valstijų įstatymų.
Pagal Kalifornijos įstatymus įmonės privalo kuo greičiau, be nepagrįsto delsimo, atskleisti klientams duomenų pažeidimus. Jei pranešantis asmuo ar įmonė gali įrodyti, kad pranešimas kainuotų daugiau nei 250 000 USD arba paveiktų daugiau nei 500 000 žmonių, tada gali būti naudojamas pakaitinis pranešimas, paskelbtas tinklalapyje ir pranešimas pagrindinėms valstybinėms žiniasklaidos priemonėms. Įstatuose neleidžiama pranešti apie bet kokius duomenų pažeidimus, kuriais buvo užšifruota asmeninė informacija.
Tačiau Kalifornijoje, skirtingai nei daugelyje kitų valstijų, nėra numatytos baudos už tai, kad vartotojams nedelsiant nepranešta apie duomenų pažeidimus. Nacionalinėje valstybės įstatymų leidėjų konferencijoje yra valstybės įstatymų pažeidimų pranešimo įstatymų sąrašas ir nuorodos į tuos įstatymus.
Europa arba biustas
Europoje Europos Sąjunga patvirtino reikalavimą pranešti apie duomenų pažeidimus savo 2009 m. Privatumo direktyvos pakeitime. Europos Sąjungos valstybės narės iki 2011 m. Gegužės 25 d. Turėjo įgyvendinti pataisą nacionalinėje teisėje.
Pakeitimu reikalaujama, kad „viešai prieinamų elektroninių ryšių paslaugų teikėjai“ praneštų nacionalinėms valdžios institucijoms apie asmeninės informacijos pažeidimą, galintį sukelti didelę ekonominę žalą ir padaryti socialinę žalą klientams, kai tik jie sužino apie pažeidimą. Taip pat nukentėjusiems klientams turėtų būti nedelsiant pranešta apie pažeidimą. Pranešime turėtų būti informacija apie priemones, kurių imasi įmonė, taip pat rekomenduojami veiksmai paveiktiems klientams.
Tikimasi, kad 2012 m. Bus pakeisti ES duomenų apsaugos direktyva, įskaitant reikalavimą, kad visos įmonės, ne tik elektroninių ryšių paslaugų teikėjai, per 24 valandas praneštų nacionalinėms valdžios institucijoms ir paveiktiems klientams apie asmeninės informacijos pažeidimą.
JK duomenų apsaugos įstatyme, kuris buvo priimtas prieš ES e. Privatumo direktyvą, pateiktas išsamus reikalavimų įmonėms apsaugoti duomenis, nors jame nėra pranešimo apie duomenų pažeidimus reikalavimo.
JK informacijos komisijos biuras (ICO), atsakingas už šio akto įgyvendinimą, teigė, kad įmonės turėtų pranešti ICO apie rimtus duomenų pažeidimus, apibrėžtus kaip pažeidimai, galintys pakenkti asmenims. Agentūra pareiškė, kad tikisi, kad JK bendrovės praneš apie tai neužšifruotos asmeninės informacijos apie 1000 ar daugiau asmenų pažeidimus. ICO teigė, kad tai nėra pareiga informuoti paveiktus vartotojus, tačiau ji gali rekomenduoti bendrovei paskelbti pažeidimą viešai, „kai tai akivaizdžiai atitinka suinteresuotų asmenų interesus arba kai tam yra rimtas viešojo intereso argumentas“.
Duomenų pažeidimai ir ataskaitų teikimas
Atsakydami į viešai skelbiamus duomenų pažeidimus ir visuomenės spaudimą, Amerikos ir Europos įstatymų leidėjai ir reguliavimo institucijos svarsto reikalavimus, kad visos bendrovės praneštų apie duomenų pažeidimus nacionalinėms valdžios institucijoms ir paveiktiems vartotojams. Tačiau nuo 2012 m. Sausio mėn. Nei vienoje iš šių pastangų nei JAV, nei Europos Sąjungoje nebuvo priimti išsamūs pranešimų apie duomenų pažeidimus įstatymai ir kiti teisės aktai.
