Дом Безопасность Уведомление о нарушении данных: нормативно-правовая среда

Уведомление о нарушении данных: нормативно-правовая среда

Оглавление:

Anonim

В Соединенных Штатах существуют различные федеральные законы и законы штата об уведомлении о нарушении данных, хотя не существует всеобъемлющего федерального закона. В мае 2011 года администрация Обамы представила в Конгресс всеобъемлющее предложение по кибербезопасности, которое включает требование уведомления о нарушении федеральных данных. Это может значительно улучшить кибербезопасность, но по состоянию на январь 2012 года федеральное законодательство об уведомлении о нарушении данных не было принято. Здесь мы рассмотрим безопасность данных и законодательство, которое создается для устранения нарушений. (Дополнительные сведения см. В разделе «Основные принципы информационной безопасности».)

Делая федеральное дело

На федеральном уровне США существуют законы и руководства, требующие уведомления о нарушении для определенных типов данных: Закон о мобильности и подотчетности медицинского страхования (HIPAA) и Закон о медицинских информационных технологиях для экономического и клинического здоровья (HITECH) для информации о здравоохранении, Закон Грэма-Лича-Блейли о финансовой информации и руководство Управления по вопросам бюджета и бюджета (OMB) для персональной информации, хранящейся в федеральных агентствах.


В соответствии с Законом HITECH поставщики медицинских услуг, на которые распространяется действие HIPAA, должны уведомлять пациентов «незамедлительно», когда их медицинская информация была нарушена. Министерство здравоохранения и социальных служб (HHS) и средства массовой информации должны быть уведомлены в случаях, когда нарушения затрагивают более 500 человек. Поставщики личной медицинской информации предъявляют аналогичные требования к уведомлению о нарушении, но должны информировать Федеральную торговую комиссию, а не HHS.


Согласно руководству, изданному федеральными банковскими регуляторами в соответствии с Законом Грэма-Лича-Блейли, когда банку или другому финансовому учреждению становится известно о нарушении данных, оно должно провести расследование, чтобы определить вероятность того, что информация была или будет использована не по назначению. Если банк определяет, что злоупотребление имело место или является разумно возможным, ему следует как можно скорее уведомить об этом затронутых клиентов.


Уведомление клиента может быть задержано, если правоохранительные органы определят, что уведомление будет препятствовать уголовному расследованию, и предоставят банку письменный запрос на задержку. Банк должен уведомить своих клиентов, как только уведомление больше не будет мешать расследованию. Тем не менее, уведомление не может быть отложено из-за смущения или неудобств для банка.


Согласно руководству OMB, федеральные агентства обязаны сообщать обо всех нарушениях данных, связанных с личной информацией, в течение одного часа после обнаружения / обнаружения. Однако агентства могут по своему усмотрению сообщать о нарушениях данных за пределами агентства. Они могут задержать уведомление для правоохранительных органов, национальной безопасности или ведомственных нужд.

мечты о Калифорнии

На уровне штатов, в уведомлении о нарушении данных, есть набор из 46 законов штата (и округа Колумбия). В Калифорнии был принят первый закон об уведомлении о нарушении данных в 2002 году, и он использовался в качестве модели для многих других законов штата.


В соответствии с законодательством штата Калифорния, компании должны сообщать клиентам о нарушении данных «как можно скорее, без необоснованной задержки» в письменной форме. Если уведомляющее лицо или организация могут продемонстрировать, что уведомление будет стоить более 250 000 долларов США или затронуть более 500 000 человек, то можно использовать заменяющее уведомление в виде размещения веб-сайта и уведомления в основных средствах массовой информации штата. Статут освобождает от уведомления любое нарушение данных, при котором личная информация была зашифрована.


Однако Калифорния, в отличие от многих других штатов, не предусматривает штрафов за неспособность своевременно уведомить потребителей о нарушении данных. Национальная конференция законодательных органов штатов ведет список законов об уведомлении о нарушении государственных данных и ссылки на эти законы.

Европа или Бюст

В Европе Европейский союз утвердил требование об уведомлении о нарушении данных в поправке 2009 года к своей Директиве об электронной конфиденциальности. Государства-члены Европейского Союза должны были до 25 мая 2011 года внести поправку в национальное законодательство.


Поправка требует, чтобы «поставщики общедоступных услуг электронных коммуникаций» уведомляли национальные органы власти о нарушении личной информации, которое может привести к значительным экономическим потерям и социальному ущербу для клиентов », как только« они узнают о нарушении. Кроме того, пострадавшие клиенты должны быть уведомлены о нарушении «безотлагательно». Уведомление должно содержать информацию о мерах, принимаемых компанией, а также рекомендуемые действия для затронутых клиентов.


В 2012 году ожидается внесение изменений в Директиву ЕС о защите данных, в том числе требование о том, чтобы все компании, а не только поставщики услуг электронной связи, уведомляли национальные органы и затронутых клиентов в течение 24 часов о нарушении личной информации.


Закон Великобритании о защите данных, предшествующий Директиве ЕС по электронной конфиденциальности, содержит полный набор требований к компаниям по защите данных, хотя он не содержит требования об уведомлении о нарушении данных.


Управление информационной комиссии Великобритании (ICO), отвечающее за реализацию этого закона, заявило, что компании должны сообщать ICO о серьезных нарушениях данных, определенных как нарушения, которые могут нанести потенциальный вред отдельным лицам. Агентство заявило, что будет ожидать, что британские компании уведомят его о нарушениях незашифрованной личной информации на 1000 или более человек. ICO заявила, что не несет ответственности за информирование затронутых потребителей, но может порекомендовать, чтобы компания обнародовала информацию о нарушении, «если это явно отвечает интересам заинтересованных лиц или если для этого есть веские аргументы общественного интереса».

Нарушения данных и отчетность

В ответ на широко разрекламированные нарушения данных и общественное давление американские и европейские законодатели и регулирующие органы рассматривают требования, чтобы все компании сообщали о нарушениях данных национальным органам власти и затронутым потребителям. Однако по состоянию на январь 2012 года ни одна из этих усилий не привела к всеобъемлющим законам и правилам уведомления о нарушении данных ни в Соединенных Штатах, ни в Европейском союзе.

Уведомление о нарушении данных: нормативно-правовая среда