Impormasyon sa paglabag sa data: ang ligal at regulasyon sa kapaligiran

Sa Estados Unidos, mayroong iba't ibang mga pederal at estado ng data na paglabag sa mga batas ng abiso, kahit na walang komprehensibong batas federal. Noong Mayo 2011, ang pamamahala ng Obama ay nagsumite ng isang komprehensibong panukala sa cybersecurity sa Kongreso na kasama ang isang kinakailangan ng pederal na data na kinakailangan sa paglabag. Ito ay maaaring mapabuti ang cybersecurity, ngunit noong Enero 2012, walang pederal na data ng paglabag sa abiso ng batas ang naipasa. Narito tinitingnan namin ang seguridad ng data at ang batas na inilalagay upang matugunan ang mga paglabag. (Para sa pagbabasa ng background, tingnan ang Pangunahing Mga Alituntunin ng IT Security.)

Paggawa ng isang Pederal na Kaso

Sa antas ng pederal ng US, may mga batas at gabay na nangangailangan ng pag-abiso sa paglabag para sa mga tiyak na uri ng data: ang Batas sa Seguro sa Pananagutan at Pananagutan (HIPAA) Act at ang Health Information Technology para sa Economic and Clinical Health (HITECH) Act para sa impormasyong pangangalaga sa kalusugan, Ang Gramm-Leach-Bliley Act para sa impormasyong pampinansyal, at gabay ng Office of Management and Budget (OMB) para sa personal na impormasyon na hawak ng mga ahensya ng pederal.

Ayon sa HITECH Act, ang mga tagapagbigay ng serbisyo sa pangangalaga ng kalusugan na sakop ng HIPAA ay dapat abisuhan ang mga pasyente na "agad" nang masira ang kanilang impormasyon sa kalusugan. Ang Kagawaran ng Kalusugan at Serbisyo ng Tao (HHS) at ang media ay dapat ipaalam sa mga kaso kung saan nakakaapekto ang mga paglabag sa higit sa 500 mga indibidwal. Ang mga Vendor ng impormasyon sa personal na kalusugan ay may katulad na mga kinakailangan sa paglabag sa notification, ngunit dapat ipaalam sa Federal Trade Commission, sa halip na HHS.

Ayon sa gabay na inilabas ng mga federal regulators sa banking sa ilalim ng Gramm-Leach-Bliley Act, kapag ang isang bangko o iba pang institusyong pampinansyal ay may kamalayan sa isang paglabag sa data, dapat itong magsagawa ng isang pagsisiyasat upang matukoy ang posibilidad na ang impormasyon ay naging o mai-abuso. Kung tinukoy ng bangko na ang maling paggamit ay nangyari o makatuwirang posible, dapat itong ipaalam sa mga apektadong customer sa lalong madaling panahon.

Maaaring maantala ang abiso ng customer kung ang pagpapatupad ng batas ay nagpapasya na ang abiso ay makakasagabal sa isang pagsisiyasat sa kriminal at magbibigay sa bangko ng isang nakasulat na kahilingan para sa pagkaantala. Dapat ipaalam sa bangko ang mga customer nito sa sandaling ang abiso ay hindi na makagambala sa imbestigasyon. Gayunpaman, ang abiso ay hindi maaaring maantala dahil sa kahihiyan o abala sa bangko.

Ayon sa patnubay ng OMB, ang mga ahensya ng pederal ay inaatasang mag-ulat ng lahat ng mga paglabag sa data na kinasasangkutan ng personal na makikilalang impormasyon sa loob ng isang oras ng pagtuklas / pagtuklas. Gayunpaman, ang mga ahensya ay may pagpapasya sa pag-uulat ng mga paglabag sa data sa labas ng ahensya. Maaari nilang maantala ang abiso para sa pagpapatupad ng batas, seguridad ng nasyonalidad, o mga pangangailangan ng ahensya.

Pangarap ng California

Sa antas ng estado, mayroong isang patchwork ng 46 mga batas ng estado (at ng Distrito ng Columbia) sa abiso ng data. Pinagtibay ng California ang unang batas ng paglabag sa abiso ng data noong 2002, at ginamit ito bilang isang modelo para sa maraming iba pang mga batas ng estado.

Sa ilalim ng batas ng California, dapat ibunyag ng mga kumpanya ang isang paglabag sa data sa mga customer "sa lalong madaling panahon, nang walang hindi makatwirang pagkaantala" sa pagsulat. Kung maipakita ng nagpapaalam na tao o negosyo na ang abiso ay nagkakahalaga ng higit sa $ 250, 000 o nakakaapekto sa higit sa 500, 000 mga tao, kung gayon ang isang kapalit na paunawa sa anyo ng isang pag-post ng website at pag-abiso sa mga pangunahing estatistika ng media ay maaaring magamit. Ang batas ay nagbubukod mula sa abiso ng anumang paglabag sa data kung saan naka-encrypt ang personal na impormasyon.

Gayunpaman, ang California, hindi katulad ng maraming iba pang mga estado, ay hindi kasama ang mga parusa para sa kabiguan na agad na ipaalam sa mga mamimili ng paglabag sa data. Ang National Conference of State Legislatures ay nagpapanatili ng isang listahan ng mga data ng estado na paglabag sa mga batas ng abiso at mga link sa mga batas na iyon.

Europa o Bust

Sa Europa, inaprubahan ng European Union ang isang kinakailangan sa paglabag sa data na kinakailangan sa isang pagbabago sa 2009 sa E-Privacy Directive nito. Ang mga estado ng miyembro ng European Union ay hanggang Mayo 25, 2011, upang maipatupad ang pagbabago sa pambansang batas.

Ang pagsususog ay nangangailangan ng "mga nagbibigay ng mga serbisyong pangkomunikasyon sa publiko sa publiko" upang ipaalam sa pambansang awtoridad tungkol sa isang paglabag sa personal na impormasyon na maaaring magresulta sa malaking pagkawala ng ekonomiya at pinsala sa lipunan sa mga customer "sa sandaling" nalalaman nila ang paglabag. Gayundin, ang mga apektadong customer ay dapat ipaalam sa paglabag sa "walang pagkaantala." Ang notification ay dapat isama ang impormasyon tungkol sa mga hakbang na ginagawa ng kumpanya, pati na rin ang inirekumendang pagkilos para sa mga apektadong customer.

Ang mga pagbabago sa Direksyon ng Data ng EU ay inaasahan sa 2012, kasama ang isang kinakailangan na ang lahat ng mga kumpanya, hindi lamang ang mga nagbibigay ng serbisyo ng komunikasyon sa elektronik, abisuhan ang mga pambansang awtoridad at apektado ang mga customer sa loob ng 24 na oras ng isang paglabag sa personal na impormasyon.

Ang UK Data Protection Act, na naghahula sa EU E-Privacy Directive, ay may isang komprehensibong hanay ng mga kinakailangan para sa mga kumpanya upang maprotektahan ang data, bagaman hindi ito naglalaman ng isang kinakailangan sa paglabag sa data na paglabag.

Ang Opisina ng Komisyoner ng UK (ICO), na namamahala sa pagpapatupad ng kilos, ay nagsabi na ang mga kumpanya ay dapat mag-ulat ng mga malubhang paglabag sa data, na tinukoy bilang mga paglabag na maaaring magdulot ng potensyal na pinsala sa mga indibidwal, sa ICO. Sinabi ng ahensya na aasahan nito ang mga kumpanya ng UK na abisuhan ito tungkol sa mga paglabag sa hindi pa nai-encrypt na personal na impormasyon sa 1, 000 o higit pang mga indibidwal. Sinabi ng ICO na hindi responsibilidad na ipaalam sa mga apektadong mga mamimili, ngunit maaaring magrekomenda na gawin ng kumpanya ang paglabag sa publiko "kung saan malinaw ito sa interes ng mga indibidwal na nababahala o mayroong isang malakas na argumento ng interes sa publiko na gawin ito."

Mga Paglabag sa Data at Pag-uulat

Bilang tugon sa mga lubos na naisapubliko na mga paglabag sa data at presyon ng publiko, isinasaalang-alang ng mga mambabatas ng Amerikano at European at regulators ang mga kinakailangan na iulat ng lahat ng mga kumpanya ang mga paglabag sa data sa mga pambansang awtoridad at apektado ang mga mamimili. Gayunman, noong Enero 2012, wala sa mga pagsisikap na nagresulta sa komprehensibong mga paglabag sa data ng mga batas at regulasyon sa alinman sa Estados Unidos o sa European Union.