สารบัญ:
ในสหรัฐอเมริกามีกฎหมายแจ้งเตือนการละเมิดข้อมูลของรัฐบาลกลางและรัฐหลายแห่งแม้ว่าจะไม่มีกฎหมายของรัฐบาลกลางที่ครอบคลุม ในเดือนพฤษภาคม 2554 ผู้บริหารของโอบามาได้ส่งข้อเสนอการรักษาความปลอดภัยทางไซเบอร์ที่ครอบคลุมต่อสภาคองเกรสซึ่งรวมถึงข้อกำหนดการแจ้งเตือนการละเมิดข้อมูลของรัฐบาลกลาง สิ่งนี้สามารถปรับปรุงการรักษาความปลอดภัยทางไซเบอร์อย่างมหาศาล แต่จนถึงเดือนมกราคม 2012 ไม่มีการออกกฎหมายแจ้งเตือนการละเมิดข้อมูลของรัฐบาลกลาง ที่นี่เราจะดูความปลอดภัยของข้อมูลและกฎหมายที่มีการตั้งค่าเพื่อแก้ไขช่องโหว่ (สำหรับการอ่านพื้นหลังดูหลักการพื้นฐานของการรักษาความปลอดภัยไอที)
ทำคดีรัฐบาลกลาง
ในระดับรัฐบาลกลางของสหรัฐอเมริกามีกฎหมายและแนวทางที่จำเป็นต้องมีการแจ้งเตือนการละเมิดข้อมูลเฉพาะประเภท: พระราชบัญญัติประกันสุขภาพการพกพาและความรับผิดชอบ (HIPAA) และเทคโนโลยีสารสนเทศด้านสุขภาพสำหรับเศรษฐกิจและคลินิกสุขภาพ (HITECH) พระราชบัญญัติสำหรับข้อมูลการดูแลสุขภาพ Gramm-Leach-Bliley พระราชบัญญัติสำหรับข้อมูลทางการเงินและคำแนะนำการจัดการสำนักงานและงบประมาณ (OMB) สำหรับข้อมูลส่วนบุคคลที่จัดขึ้นโดยหน่วยงานรัฐบาลกลาง
ตามพระราชบัญญัติ HITECH ผู้ให้บริการด้านการดูแลสุขภาพที่ HIPAA จะต้องแจ้งให้ผู้ป่วย "ทันที" เมื่อข้อมูลด้านสุขภาพของพวกเขาถูกละเมิด กรมอนามัยและบริการมนุษย์ (HHS) และสื่อจะต้องได้รับแจ้งในกรณีที่การละเมิดส่งผลกระทบต่อบุคคลมากกว่า 500 คน ผู้ขายข้อมูลด้านสุขภาพส่วนบุคคลมีข้อกำหนดการแจ้งเตือนการฝ่าฝืนที่คล้ายกัน แต่ต้องแจ้ง Federal Trade Commission มากกว่า HHS
ตามคำแนะนำที่ออกโดยหน่วยงานกำกับดูแลการธนาคารกลางภายใต้พระราชบัญญัติ Gramm-Leach-Bliley เมื่อธนาคารหรือสถาบันการเงินอื่นตระหนักถึงการฝ่าฝืนข้อมูลควรดำเนินการสอบสวนเพื่อพิจารณาความเป็นไปได้ที่ข้อมูลนั้นจะถูกนำไปใช้ในทางที่ผิด หากธนาคารพบว่ามีการใช้งานในทางที่ผิดหรือเป็นไปได้อย่างสมเหตุสมผลควรแจ้งลูกค้าที่ได้รับผลกระทบโดยเร็วที่สุด
การแจ้งเตือนลูกค้าอาจล่าช้าหากหน่วยงานบังคับใช้กฎหมายกำหนดว่าการแจ้งเตือนนั้นจะรบกวนการสอบสวนทางอาญาและแจ้งให้ธนาคารทราบเป็นลายลักษณ์อักษรถึงความล่าช้า ธนาคารควรแจ้งลูกค้าทันทีที่การแจ้งเตือนไม่รบกวนการตรวจสอบอีกต่อไป อย่างไรก็ตามการแจ้งเตือนไม่สามารถล่าช้าได้เนื่องจากความอับอายขายหน้าหรือความไม่สะดวกกับธนาคาร
ตามคำแนะนำของ OMB หน่วยงานรัฐบาลกลางจะต้องรายงานการละเมิดข้อมูลทั้งหมดที่เกี่ยวข้องกับข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ภายในหนึ่งชั่วโมงหลังจากการค้นพบ / ตรวจจับ อย่างไรก็ตามหน่วยงานมีดุลยพินิจในการรายงานการละเมิดข้อมูลนอกหน่วยงาน พวกเขาสามารถชะลอการแจ้งเตือนสำหรับการบังคับใช้กฎหมายความมั่นคงของชาติหรือความต้องการของหน่วยงาน
แคลิฟอร์เนียฝัน
ในระดับรัฐมีกฎหมายของรัฐ 46 ฉบับ (และ District of Columbia) ในการแจ้งเตือนการละเมิดข้อมูล แคลิฟอร์เนียประกาศใช้กฎหมายแจ้งเตือนการฝ่าฝืนข้อมูลเป็นครั้งแรกในปี 2545 และใช้เป็นแบบจำลองสำหรับกฎหมายของรัฐอื่น ๆ อีกมากมาย
ภายใต้กฎหมายของรัฐแคลิฟอร์เนีย บริษัท จะต้องเปิดเผยการละเมิดข้อมูลต่อลูกค้า "โดยเร็วที่สุดโดยไม่มีการล่าช้าอย่างไม่มีเหตุผล" เป็นลายลักษณ์อักษร หากผู้แจ้งหรือธุรกิจสามารถแสดงให้เห็นว่าการแจ้งเตือนนั้นมีค่าใช้จ่ายมากกว่า $ 250, 000 หรือมีผลกระทบต่อผู้คนมากกว่า 500, 000 คนให้ใช้การแจ้งเตือนทดแทนในรูปแบบของการโพสต์เว็บไซต์และการแจ้งเตือนไปยังสื่อหลัก กฎหมายได้รับการยกเว้นจากการแจ้งเตือนเมื่อมีการฝ่าฝืนข้อมูลใด ๆ ซึ่งข้อมูลส่วนบุคคลได้รับการเข้ารหัส
อย่างไรก็ตามแคลิฟอร์เนียซึ่งแตกต่างจากรัฐอื่น ๆ ไม่ได้รวมบทลงโทษสำหรับความล้มเหลวในการแจ้งผู้บริโภคถึงการละเมิดข้อมูลโดยทันที การประชุมระดับชาติของรัฐ Legislatures เก็บรักษารายการข้อมูลแจ้งเตือนการฝ่าฝืนข้อมูลของรัฐและเชื่อมโยงกับกฎหมายเหล่านั้น
ยุโรปหรือหน้าอก
ในยุโรปสหภาพยุโรปได้อนุมัติข้อกำหนดการแจ้งเตือนการละเมิดข้อมูลในการแก้ไข 2009 ในคำสั่ง E-Privacy ประเทศสมาชิกสหภาพยุโรปมีเวลาจนถึงวันที่ 25 พฤษภาคม 2554 เพื่อดำเนินการแก้ไขกฎหมายแห่งชาติ
การแก้ไขดังกล่าวจำเป็นต้องมี "ผู้ให้บริการการสื่อสารทางอิเล็กทรอนิกส์ที่เปิดเผยต่อสาธารณชน" เพื่อแจ้งเจ้าหน้าที่ระดับชาติเกี่ยวกับการละเมิดข้อมูลส่วนบุคคลที่อาจส่งผลให้เกิดการสูญเสียทางเศรษฐกิจและเป็นอันตรายต่อลูกค้า "ทันทีที่" พวกเขาตระหนักถึงการละเมิด นอกจากนี้ลูกค้าที่ได้รับผลกระทบควรได้รับแจ้งการละเมิด "โดยไม่ชักช้า" การแจ้งเตือนควรมีข้อมูลเกี่ยวกับมาตรการที่ บริษัท ดำเนินการรวมถึงการดำเนินการที่แนะนำสำหรับลูกค้าที่ได้รับผลกระทบ
คาดว่าจะมีการเปลี่ยนแปลงแนวทางการคุ้มครองข้อมูลของสหภาพยุโรปในปี 2555 รวมถึงข้อกำหนดที่ทุก บริษัท ไม่เพียง แต่ให้บริการการสื่อสารทางอิเล็กทรอนิกส์แจ้งหน่วยงานระดับชาติและลูกค้าที่ได้รับผลกระทบภายใน 24 ชั่วโมงหลังจากการละเมิดข้อมูลส่วนบุคคล
พระราชบัญญัติการปกป้องข้อมูลของสหราชอาณาจักรซึ่งมีมาก่อน EU E-Privacy Directive มีข้อกำหนดที่ครอบคลุมสำหรับ บริษัท ต่างๆในการปกป้องข้อมูลแม้ว่าจะไม่ได้มีข้อกำหนดการแจ้งเตือนการละเมิดข้อมูล
สำนักงานคณะกรรมการข้อมูลของสหราชอาณาจักร (ICO) ซึ่งรับผิดชอบการดำเนินการดังกล่าวได้กล่าวว่า บริษัท ควรรายงานการละเมิดข้อมูลที่ร้ายแรงซึ่งหมายถึงการละเมิดที่อาจก่อให้เกิดอันตรายต่อบุคคลต่อ ICO หน่วยงานกล่าวว่าคาดว่า บริษัท ในสหราชอาณาจักรจะแจ้งให้ทราบเกี่ยวกับการละเมิดข้อมูลส่วนบุคคลที่ไม่ได้เข้ารหัสใน 1, 000 หรือมากกว่าบุคคล ICO กล่าวว่ามันไม่ใช่ความรับผิดชอบในการแจ้งผู้บริโภคที่ได้รับผลกระทบ แต่อาจแนะนำให้ บริษัท เปิดเผยการละเมิด "ซึ่งเป็นที่เห็นได้ชัดว่าอยู่ในความสนใจของบุคคลที่เกี่ยวข้องหรือมีการโต้เถียงผลประโยชน์สาธารณะอย่างเข้มแข็ง"
การละเมิดข้อมูลและการรายงาน
เพื่อตอบสนองต่อการรั่วไหลของข้อมูลที่ได้รับการเผยแพร่อย่างสูงและแรงกดดันจากสาธารณะผู้ออกกฎหมายและหน่วยงานกำกับดูแลของสหรัฐอเมริกาและยุโรปกำลังพิจารณาข้อกำหนดที่ บริษัท ทุกแห่งรายงานการละเมิดข้อมูลต่อหน่วยงานระดับชาติและผู้บริโภคที่ได้รับผลกระทบ อย่างไรก็ตาม ณ เดือนมกราคม 2555 ความพยายามเหล่านั้นไม่ได้ส่งผลให้เกิดการละเมิดกฎหมายและข้อบังคับการแจ้งเตือนข้อมูลที่ครอบคลุมในสหรัฐอเมริกาหรือสหภาพยุโรป
