بيت الأمان إشعار خرق البيانات: البيئة القانونية والتنظيمية

إشعار خرق البيانات: البيئة القانونية والتنظيمية

جدول المحتويات:

Anonim

في الولايات المتحدة ، يوجد العديد من قوانين إخطار خرق البيانات الفيدرالية وقوانين الولايات ، على الرغم من عدم وجود قانون اتحادي شامل. في مايو 2011 ، قدمت إدارة أوباما اقتراحًا شاملاً للأمن السيبراني إلى الكونغرس يتضمن متطلبًا إخطارًا الفيدراليًا بخرق البيانات. قد يؤدي هذا إلى تحسين الأمن السيبراني إلى حد كبير ، ولكن اعتبارًا من يناير 2012 ، لم يتم إصدار أي تشريع اتحادي بشأن خرق البيانات. نحن هنا نلقي نظرة على أمن البيانات والتشريعات التي يجري إعدادها لمعالجة الانتهاكات. (للاطلاع على قراءة الخلفية ، راجع المبادئ الأساسية لأمن تكنولوجيا المعلومات.)

جعل القضية الاتحادية

على المستوى الفيدرالي الأمريكي ، هناك قوانين وإرشادات تتطلب الإخطار بالخرق لأنواع محددة من البيانات: قانون قابلية قابلية التأمين الصحي والمساءلة (HIPAA) وقانون تكنولوجيا المعلومات الصحية من أجل الصحة الاقتصادية والسريرية (HITECH) لمعلومات الرعاية الصحية ، قانون Gramm-Leach-Bliley للمعلومات المالية ، وإرشادات مكتب الإدارة والميزانية (OMB) للمعلومات الشخصية التي تحتفظ بها الوكالات الفيدرالية.


وفقًا لقانون HITECH ، يجب على مقدمي خدمات الرعاية الصحية المشمولين بـ HIPAA إخطار المرضى "على الفور" عند انتهاك معلوماتهم الصحية. يجب إخطار وزارة الصحة والخدمات الإنسانية (HHS) ووسائل الإعلام في الحالات التي تؤثر فيها الانتهاكات على أكثر من 500 شخص. لدى بائعي معلومات الصحة الشخصية متطلبات مماثلة للإخطار ، ولكن يجب عليهم إبلاغ لجنة التجارة الفيدرالية ، بدلاً من HHS.


وفقًا للتوجيهات الصادرة عن الجهات الرقابية المصرفية الفيدرالية بموجب قانون Gramm-Leach-Bliley ، عندما يكون البنك أو أي مؤسسة مالية أخرى على علم بانتهاك البيانات ، يجب أن يجري تحقيقًا لتحديد احتمال إساءة استخدام المعلومات أو إساءة استخدامها. إذا قرر البنك أن سوء الاستخدام قد حدث أو كان ممكنًا بشكل معقول ، فيجب عليه إخطار العملاء المتضررين في أقرب وقت ممكن.


قد يتأخر إشعار العميل إذا قرر تطبيق القانون أن الإخطار سيتداخل مع التحقيق الجنائي ويزود البنك بطلب كتابي بالتأخير. يجب على البنك إخطار عملائه بمجرد عدم تدخل الإخطار في التحقيق. ومع ذلك ، لا يمكن تأجيل الإخطار بسبب الإحراج أو الإزعاج للبنك.


وفقًا لتوجيهات مكتب الإدارة والميزانية ، يتعين على الوكالات الفيدرالية الإبلاغ عن جميع خروقات البيانات التي تتضمن معلومات التعريف الشخصية خلال ساعة واحدة من الاكتشاف / الاكتشاف. ومع ذلك ، فإن الوكالات لها سلطة تقديرية في الإبلاغ عن خروقات البيانات خارج الوكالة. يمكنهم تأخير إخطار تطبيق القانون أو الأمن القومي أو احتياجات الوكالة.

كاليفورنيا تحلم

على مستوى الولاية ، هناك خليط من 46 من قوانين الولايات (ومقاطعة كولومبيا) بشأن إخطار خرق البيانات. سنت كاليفورنيا أول قانون إشعار بخرق البيانات في عام 2002 ، وقد تم استخدامه كنموذج للعديد من قوانين الولايات الأخرى.


بموجب قانون ولاية كاليفورنيا ، يجب على الشركات الكشف عن خرق البيانات للعملاء "في أقرب وقت ممكن ، دون تأخير غير معقول" في الكتابة. إذا كان بإمكان الشخص أو الشركة المبلغة إثبات أن الإشعار سيكلف أكثر من 250،000 دولار أو يؤثر على أكثر من 500000 شخص ، فيمكن استخدام إشعار بديل في شكل نشر موقع ويب وإخطار لوسائل الإعلام الرئيسية على مستوى الولاية. يعفي النظام الأساسي من الإخطار أي خرق للبيانات تم تشفير المعلومات الشخصية فيه.


ومع ذلك ، لا تشمل كاليفورنيا ، على عكس العديد من الولايات الأخرى ، عقوبات على الإخطار الفوري للمستهلكين بخرق البيانات. يحتفظ المؤتمر الوطني لمجالس تشريعات الولايات بقائمة من قوانين الإخطار الخاصة ببيانات الولاية وروابط تلك القوانين.

أوروبا أو التمثال

في أوروبا ، وافق الاتحاد الأوروبي على شرط إخطار خرق البيانات في تعديل 2009 لتوجيه الخصوصية الإلكترونية. كان على الدول الأعضاء في الاتحاد الأوروبي حتى 25 مايو 2011 ، تنفيذ التعديل في القانون الوطني.


يتطلب التعديل من "مقدمي خدمات الاتصالات الإلكترونية المتاحة للجمهور" إبلاغ السلطات الوطنية بخرق المعلومات الشخصية التي يمكن أن تؤدي إلى خسائر اقتصادية كبيرة وأضرار اجتماعية للعملاء "بمجرد أن يصبحوا على دراية بالانتهاك. أيضًا ، يجب إخطار العملاء المتأثرين بالخرق "بدون تأخير". يجب أن يتضمن الإشعار معلومات حول التدابير التي تتخذها الشركة ، فضلاً عن الإجراءات الموصى بها للعملاء المتأثرين.


من المتوقع إجراء تغييرات على التوجيه الخاص بحماية بيانات الاتحاد الأوروبي في عام 2012 ، بما في ذلك اشتراط أن تقوم جميع الشركات ، وليس فقط مقدمي خدمات الاتصالات الإلكترونية ، بإبلاغ السلطات الوطنية والعملاء المتأثرين في غضون 24 ساعة بخرق المعلومات الشخصية.


يحتوي قانون حماية البيانات في المملكة المتحدة ، الذي يسبق توجيه الخصوصية الإلكترونية للاتحاد الأوروبي ، على مجموعة شاملة من المتطلبات للشركات لحماية البيانات ، على الرغم من أنه لا يحتوي على شرط الإخطار بخرق البيانات.


قال مكتب مفوض المعلومات في المملكة المتحدة (ICO) ، المسؤول عن تنفيذ القانون ، إنه يتعين على الشركات الإبلاغ عن انتهاكات خطيرة للبيانات ، والتي تم تعريفها على أنها انتهاكات يمكن أن تتسبب في ضرر محتمل للأفراد ، إلى ICO. وقالت الوكالة إنها تتوقع من الشركات البريطانية إخطارها بانتهاكات المعلومات الشخصية غير المشفرة على 1000 شخص أو أكثر. قالت ICO إنه ليس من مسؤوليتها إبلاغ المستهلكين المتأثرين ، ولكنها قد توصي بأن تعلن الشركة عن الاختراق "حيث يكون ذلك بوضوح في مصلحة الأفراد المعنيين أو توجد حجة قوية للمصلحة العامة للقيام بذلك."

خروقات البيانات وإعداد التقارير

استجابةً لانتهاكات البيانات التي تم نشرها بشكل كبير والضغط العام ، يدرس المشرعون والمنظمون الأمريكيون والأوروبيون متطلبات أن تقوم جميع الشركات بالإبلاغ عن انتهاكات البيانات للسلطات الوطنية والمستهلكين المتضررين. ومع ذلك ، اعتبارًا من يناير 2012 ، لم تسفر أي من هذه الجهود عن قوانين ولوائح شاملة لإخطار البيانات في الولايات المتحدة أو الاتحاد الأوروبي.

إشعار خرق البيانات: البيئة القانونية والتنظيمية