前几天,科罗拉多州州长签署了题为“消费者数据隐私保护”的HB18-1128号法案。 它将迫使组织在发生此类事件后30天内将数据“泄漏”通知客户和国家主管部门。 削减-我们对该法案进行了简要审查,同时考虑了GDPR实施的总体情况。
/ Flickr / 乍得·库珀 / CC BY需要什么
30天是所有州中最短的通知期。 它适用于所有公司,无一例外,但有一项修改。 为了调查的目的,公司不得出于必要而报告“流失” [法案
文本第9页(c)项]。 在这种情况下,执法机构必须首先警告公司。 解除他们要求的限制后,将恢复30天报告通知。
此外,该法律还要求公司向受影响的科罗拉多州居民提供有关泄漏日期,哪些数据被泄露的信息,以及公司代表的联系方式,以澄清有关该事件的所有信息。 所有这些都需要按以下方式提供给PD所有者(取决于可用数据):
同时,如果提供此数据和通知受害人的费用超过25万美元(或受害人人数超过25万,或者公司没有使用与客户进行这些沟通方式的必要信息,则可以使用以下方式通知PD的所有者:
- 公司网站页面上的消息(如果有);
- 在全州播放的区域性媒体。
情况
与PD配合使用的更严格的法规与许多备受关注的案例有关。 例如,对于
Equifax情况。 根据新法案,该法案耗资巨大,需要通过媒体向受害者公开通知。 回想一下,就Equifax而言,事件发生仅一个半月之后,公众才发现泄漏。
此外,该组织还承认信息安全问题早在当年3月就已知道,但无法“关闭”该漏洞(对此保持沉默)。
最近的一个案例是Eventbrite在2017年以2亿美元的
价格出售了Ticketfly事件服务。 “我被人拥有”项目的创建者特洛伊·亨特(Troy Hunt)
估计 ,该网站的受害者为2600万用户。 在与Motherboard的通信中,据称的网络犯罪分子
表示 ,他警告Ticketfly有关漏洞,并要求1比特币提供更多信息,但该公司没有表现出兴趣。 结果,该服务几天不可用,事件发生后仅一周,该公司
发布了一条消息,其中包含有关泄漏的信息,从而恢复了该服务。
/ Flickr / Korona Lacasse / CC BY为了防止此类事件发生,参议员开始“宣传”一项
法案 ,对允许PD泄漏的公司处以
罚款 。 以Equifax为例,罚款为15亿美元。 罚款法案尚未获得批准,但是可以假定新的通知截止日期是朝着积极考虑迈出的一步。
还有什么地方
科罗拉多州不是第一个更新对个人数据运营商要求的州。 例如,2017年在马里兰州引入了45天的截止日期,以通知PD所有者。 这是美国的
平均值 。
另一方面,在路易斯安那州是60天(
法案文本 ,第3页,E段)。 在此,该法案扩展了PD(个人识别信息)的概念。 例如,现在,它将包括生物识别数据和护照号码(
账单文本的第2页)。
如果我们谈论PD运营商的概念,那么在佛蒙特州,提议将其扩展到那些在其所有者不知情的情况下处理个人数据的公司。
该法案应于2019年1月1日生效,并将迫使这些公司每年进行报告:提供有关其自身的一般信息,披露获取PD的方法以及有关已发生泄漏及其范围的信息。
顺便说一句,欧洲通知要求设置了更严格的框架-从泄漏检测之日起
72小时 。 正式文件的
第33条规定,监管当局的通知应包括:
- 泄漏性质的描述,表明PD所有者的大概数量;
- 描述可能的后果以及为减轻这些后果所采取的措施;
- 以及泄漏公司的联系信息。
他们说什么
根据科罗拉多州该法案的起草人之一,该州已根据潜在风险和常识选择了最佳期限。 但是,该法案在专注于
HIPAA (健康保险可移植性和责任法案)的公司中引起了愤怒,例如在使用蜜糖号码时。 保险。 他们必须将通知期限从60天(HIPAA要求)减少到30天。
律师事务所
表示,泄漏通知期为30天是组织尚未习惯的要求。 但是,很少有人会怀疑,随着时间的流逝,PD运营商的要求将变得更加严格。 许多州可以采用欧洲方法,并将截止日期缩短至数十小时。
我们还在1cloud的公司博客上写些什么:
我们更流行的格式是在Yandex.Zen上的博客上: