Зміст:
У Сполучених Штатах існують різні федеральні та державні закони про порушення інформації про порушення, хоча загального федерального закону немає. У травні 2011 року адміністрація Обами представила Конгресу всебічну пропозицію щодо кібербезпеки, яка включає вимогу сповіщення про федеральну інформацію про порушення даних. Це може значно покращити кібербезпеку, але станом на січень 2012 року не було прийнято жодного федерального законодавства про повідомлення про порушення даних. Тут ми розглянемо безпеку даних та законодавство, яке встановлюється для усунення порушень. (Для ознайомлення з фоном див. Основні принципи безпеки ІТ.)
Складання федеральної справи
На федеральному рівні США існують закони та вказівки, що вимагають повідомлення про порушення для конкретних типів даних: Закон про переносність медичного страхування та підзвітність (HIPAA) та Закон про охорону здоров'я в галузі економічного та клінічного здоров’я (HITECH) про інформацію про охорону здоров'я, Закон "Грем-Ліч-Блілі" про фінансову інформацію та керівництво Управління та бюджету (ОМБ) щодо персональної інформації, що зберігається у федеральних відомствах.
Згідно із Законом HITECH, постачальники медичних послуг, на які поширюється HIPAA, повинні негайно повідомляти пацієнтів про порушення їхньої медичної інформації. Департамент охорони здоров’я та соціальних служб (HHS) та засоби масової інформації повинні бути повідомлені у випадках, коли порушення стосуються понад 500 осіб. Постачальники особистої медичної інформації мають подібні вимоги щодо сповіщення про порушення, але повинні інформувати Федеральну комісію з торгівлі, а не HHS.
Відповідно до вказівок, виданих федеральними банківськими регуляторами згідно із Законом Гремм-Ліч-Блілі, коли банк або інша фінансова установа дізнається про порушення даних, він повинен провести розслідування, щоб визначити ймовірність того, що інформація була використана або буде нецільовим чином використана. Якщо банк визнає, що зловживання відбулося або є розумно можливим, він повинен повідомити про це постраждалих клієнтів якнайшвидше.
Повідомлення клієнта може бути відкладено, якщо правоохоронні органи встановлять, що повідомлення буде перешкоджати розслідуванню кримінальної справи та надасть банку письмовий запит про затримку. Банк повинен повідомити своїх клієнтів, як тільки повідомлення більше не заважатиме розслідуванню. Однак повідомлення не може бути відкладено через збентеження або незручності для банку.
Згідно з керівництвом OMB, федеральні органи зобов’язані повідомляти про всі порушення даних, пов’язані з персонально ідентифікованою інформацією, протягом однієї години після виявлення / виявлення. Однак агенції мають розсуд щодо повідомлення про порушення даних за межами агентства. Вони можуть затримати сповіщення щодо правоохоронних органів, національної безпеки чи агентства.
Каліфорнійська мрія
На державному рівні існує 46 країн закону (та округу Колумбія) щодо повідомлення про порушення даних. Каліфорнія прийняла перший закон про сповіщення про порушення даних у 2002 році, і він був використаний як модель для багатьох інших державних законів.
Відповідно до закону Каліфорнії, компанії повинні розкрити клієнтам порушення даних "якнайшвидше, без необгрунтованої затримки" у письмовій формі. Якщо особа, що сповіщає, чи підприємство можуть продемонструвати, що сповіщення коштуватиме понад 250 000 доларів США або зачіпатиме понад 500 000 людей, тоді може бути використане повідомлення про заміну у вигляді розміщення веб-сайту та повідомлення у великих державних ЗМІ. Статут звільняє від повідомлення про будь-які порушення даних, в яких особиста інформація була зашифрована.
Однак Каліфорнія, на відміну від багатьох інших штатів, не передбачає штрафних санкцій за невідкладне повідомлення споживачів про порушення даних. Національна конференція законодавчих органів штатів підтримує перелік законів про повідомлення про порушення державних даних та посилання на ці закони.
Європа чи Бюст
У Європі Європейський Союз схвалив вимогу щодо сповіщення про порушення даних у поправці 2009 року до своєї Директиви про захист конфіденційності. Держави-члени Європейського Союзу мали до 25 травня 2011 року здійснити поправку до національного законодавства.
Поправка вимагає від "провайдерів загальнодоступних електронних послуг зв'язку" повідомляти національні органи про порушення особистої інформації, яке може призвести до значних економічних втрат та соціального збитку для клієнтів ", як тільки" їм стане відомо про порушення. Також постраждалих клієнтів слід повідомити про порушення "невідкладно". Повідомлення повинно містити інформацію про заходи, які вживає компанія, а також рекомендовані дії для клієнтів, які постраждали.
Зміни до Директиви про захист даних ЄС очікуються в 2012 році, включаючи вимогу, щоб усі компанії, а не лише постачальники послуг електронного зв’язку, протягом 24 годин повідомляли національні органи влади та зачеплених клієнтів про порушення особистої інформації.
Закон про захист даних Великобританії, що передує Директиві ЄС щодо конфіденційності в галузі електронної конфіденційності, має повний набір вимог щодо захисту даних щодо компаній, хоча він не містить вимоги щодо повідомлення про порушення даних.
Управління комітету з питань інформації Великобританії (ICO), яке відповідає за виконання цього акта, заявило, що компанії повинні повідомити ICO про серйозні порушення даних, визначені як порушення, які можуть заподіяти потенційну шкоду особам. Агентство заявило, що очікує, що британські компанії сповістять його про порушення незашифрованої особистої інформації на 1000 чи більше осіб. ICO заявила, що не несе відповідальності за інформування постраждалих споживачів, але може рекомендувати компанії оприлюднювати порушення, "якщо це явно в інтересах зацікавлених осіб або є вагомий аргумент громадського інтересу для цього".
Порушення даних та звітність
У відповідь на широко оприлюднені порушення даних та тиск громадськості, американські та європейські законодавці та регулятори розглядають вимоги, щоб усі компанії повідомляли про порушення даних національним органам влади та впливали на споживачів. Однак станом на січень 2012 року жодне з цих зусиль не призвело до вичерпного законодавства та правил щодо сповіщення про порушення даних ні в США, ні в Європейському Союзі.