Законы об уведомлении о нарушении безопасности или законы об уведомлении о нарушении данных - это законы, которые требуют, чтобы физические или юридические лица, пострадавшие от нарушения данных , несанкционированного доступа к данным , [1] уведомляли своих клиентов и другие стороны о нарушении, а также предпринимали конкретные шаги для устранения ситуация, основанная на законодательном собрании штата. Законы об уведомлении об утечке данных преследуют две основные цели. Первая цель - дать людям возможность снизить риски утечки данных. Вторая цель - стимулировать компании к усилению безопасности данных. [2] Вместе эти цели работают, чтобы минимизировать вред для потребителей от утечки данных, включая выдачу себя за другое лицо, мошенничество и кражу личных данных. [3]
Такие законы нерегулярно принимались во всех 50 штатах США с 2002 года. В настоящее время во всех 50 штатах приняты формы законов об уведомлении об утечке данных. [4] Однако следует отметить, что, несмотря на предыдущие законодательные попытки, не существует федерального закона об уведомлении об утечке данных. [5] Эти законы были приняты в ответ на увеличивающееся число нарушений потребительских баз данных, содержащих личную информацию . [6] Точно так же многие другие страны, такие как Общий регламент о защите данных Европейского союза (GDPR) и Закон Австралии о внесении изменений в конфиденциальность (уведомление о нарушениях данных) 2017 (Cth), добавили законы об уведомлении об утечке данных для борьбы с участившимися случаями утечки данных.
Рост числа нарушений данных, совершаемых как странами, так и отдельными лицами, очевиден и вызывает тревогу, поскольку количество зарегистрированных нарушений данных увеличилось с 421 в 2011 году до 1091 в 2016 году и 1579 в 2017 году, согласно данным Центра ресурсов по кражам личных данных (ITRC). [7] [8] Он также затронул миллионы людей и привлек внимание общественности из-за крупных утечек данных, таких как нарушение Equifax в октябре 2017 года, в результате которого были обнаружены личные данные почти 146 миллионов человек. [9]
Австралия
22 февраля 2018 года Австралия приняла Закон 2017 года о внесении поправок в закон о конфиденциальности (подлежащие уведомлению о нарушениях данных) (Cth), который вступил в силу в 2018 году. Это внесло поправки в Закон о конфиденциальности 1988 года (Cth), который установил систему уведомлений для случаев утечки данных, касающихся личных данных. информация, которая может причинить вред. Теперь организации с существующими обязательствами по обеспечению безопасности личной информации в соответствии с Законом Австралии о конфиденциальности должны уведомлять Управление австралийского комиссара по информации (OAIC) и затронутых лиц обо всех «допустимых нарушениях данных». [10] Поправка основана на опыте крупных утечек данных в Австралии, таких как взлом Yahoo в 2013 году с участием тысяч правительственных чиновников и утечка данных НПО Австралийского Красного Креста, раскрывающая личную информацию о 550 000 доноров крови.
Критика уведомления об утечке данных включает: необоснованное освобождение определенных субъектов, таких как малые предприятия и Уполномоченного по вопросам конфиденциальности, от которых не требуется размещать информацию о нарушениях данных в одном постоянном месте для использования в качестве данных для будущих исследований. Кроме того, обязательства по уведомлению не согласованы на уровне штата. [11]
Китай
В середине 2017 года Китай принял новый Закон о кибербезопасности, который включал требования об уведомлении об утечке данных. [11]
Европейский Союз
В 1995 году ЕС принял Директиву о защите данных (DPD), которая недавно была заменена Общим регламентом по защите данных (GDPR) 2016 года, всеобъемлющим федеральным законом об уведомлении об утечке данных. GDPR предлагает более строгие законы о защите данных, более широкие законы об уведомлении об утечке данных и новые факторы, такие как право на переносимость данных. Однако некоторые разделы законов об уведомлении о взломе данных дополняются другими законами о защите данных. [11]
Примеры этого включают в себя то, что Европейский Союз ввел закон об уведомлении о нарушениях в Директиве о конфиденциальности и электронных коммуникациях ( Директива об электронной конфиденциальности) в 2009 году, касающейся личных данных , хранящихся у поставщиков телекоммуникационных и интернет-услуг. [12] [13] Этот закон содержит некоторые обязательства по уведомлению о нарушениях данных. [11]
Данные трафика абонентов, которые используют голосовую связь и данные через сетевую компанию, сохраняются в компании только по эксплуатационным причинам. Однако данные трафика должны быть удалены, когда они больше не нужны, чтобы избежать нарушений. Однако данные трафика необходимы для создания и обработки биллинга абонентов. Использование этих данных возможно только до конца периода, в течение которого счет может быть погашен в соответствии с законодательством Европейского Союза (статья 6 - параграфы 1-6 [14] ). Что касается маркетингового использования данных трафика для продажи дополнительных платных услуг, они могут быть использованы компанией только в том случае, если подписчик дает свое согласие (но согласие может быть отозвано в любой момент). Кроме того, поставщик услуг должен информировать подписчика или пользователя о типах обрабатываемых данных трафика и о продолжительности их обработки на основе вышеуказанных предположений. Обработка данных трафика, в соответствии с приведенными выше деталями, должна быть ограничена лицами, действующими под руководством поставщиков сетей связи общего пользования и общедоступных услуг электронной связи, занимающихся биллингом или управлением трафиком, запросами клиентов, обнаружением мошенничества, маркетингом услуг электронных коммуникаций. или предоставление дополнительных услуг и должно быть ограничено тем, что необходимо для целей такой деятельности.
Обязательства по уведомлению о взломе данных включены в новую Директиву о безопасности сети и информационных систем (Директива NIS). Это создает требования к уведомлению для поставщиков основных услуг и цифровых услуг. Среди них - незамедлительное уведомление властей или групп реагирования на инциденты компьютерной безопасности (CSIRTS), если они сталкиваются с серьезной утечкой данных.
Подобно озабоченности США по поводу индивидуального подхода, создающего повышенные затраты и затрудняющего соблюдение всех законов штата, различные требования ЕС об уведомлении о нарушениях в различных законах вызывают озабоченность. [11]
Япония
В 2015 году Япония внесла поправки в Закон о защите личной информации (APPI) для борьбы с массовыми утечками данных. В частности, массовая утечка данных корпорации Benesse в 2014 году, когда было продано около 29 миллионов единиц информации о частных клиентах. Сюда входят новые штрафные санкции за незаконные транзакции, однако в APPI нет специального положения, касающегося уведомления об утечке данных. Вместо этого Политика в отношении защиты личной информации в соответствии с APPI создает политику, которая поощряет бизнес-операторов добровольно раскрывать утечки данных. [15]
Каори Исии и Таро Комукай предположили, что японская культура предлагает потенциальное объяснение того, почему нет специального закона об уведомлении об утечке данных, который побуждал бы компании усилить безопасность данных. Японская общественность и СМИ, в частности, осуждают утечки информации. Следовательно, утечки данных быстро приводят к потере доверия клиентов, ценности бренда и, в конечном итоге, прибыли. Например, после утечки данных в 2004 году Softbank быстро потерял 107 миллиардов иен, а Benesse Corporation потеряла 940 000 клиентов после утечки данных. Это привело к соблюдению требований о раскрытии утечек данных в соответствии с политикой. [15]
Хотя доказательство того, что японская культура требует определенных законов об уведомлении об утечке данных, трудно объективно доказать, было показано, что компании, столкнувшиеся с утечкой данных, наносят как финансовый, так и репутационный ущерб. [16] [17]
Новая Зеландия
1 декабря 2020 года вступил в силу Закон Новой Зеландии о конфиденциальности 2020 года, заменив закон 1993 года. Закон делает обязательным уведомление о нарушениях конфиденциальности. [18] Организации, получающие и собирающие данные, теперь должны будут сообщать о любых нарушениях конфиденциальности, которые, по их мнению, причинили или могут причинить серьезный ущерб.
Соединенные Штаты
По состоянию на 2020 год законы об уведомлении об утечке данных были приняты во всех 50 штатах. Попытки принять федеральный закон об уведомлении об утечке данных не увенчались успехом. [19]
50 штатов
Первый такой закон, то безопасность данных закон об уведомлении о нарушениях Калифорния , [20] был принят в 2002 году и вступил в силу 1 июля 2003 года [21] Законопроект был принят в ответ на страхе кражи личных данных и мошенничества . [7] [22] Как указано в заявлении о счете, закон требует, чтобы «государственное агентство или физическое или юридическое лицо, ведущее бизнес в Калифорнии, владеющее или лицензирующее компьютеризированные данные, которые включают личную информацию, как определено, раскрывать определенными способами. , любое нарушение безопасности данных, как это определено, любому жителю Калифорнии, чья незашифрованная личная информация была или есть основания полагать, что она была получена неуполномоченным лицом ". Кроме того, закон допускает отсроченное уведомление, «если правоохранительный орган определит, что это помешает расследованию уголовного дела». Закон также требует, чтобы любое юридическое лицо, лицензирующее такую информацию, уведомляло владельца или лицензиата информации о любом нарушении безопасности данных.
В целом, большинство государственных законов следуют основным положениям первоначального закона Калифорнии: Компании должны немедленно раскрывать данные нарушения клиентов, как правило , в письменной форме. [23] С тех пор Калифорния расширила свой закон, включив в него скомпрометированную информацию о медицинском страховании и страховании здоровья. [24] Больше всего в законопроектах различаются сведения о том, на каком уровне нарушение должно быть сообщено Генеральному прокурору штата (обычно, когда оно затрагивает 500 или 1000 человек или более). Некоторые штаты, например Калифорния, публикуют эти уведомления об утечке данных на своих веб-сайтах oag.gov. О нарушениях необходимо сообщать, если «конфиденциальная личная информация была получена или есть основания полагать, что она была получена неуполномоченным лицом и с достаточной вероятностью может причинить существенный вред лицам, к которым относится эта информация». [25] Это оставляет место для некоторой интерпретации (причинит ли это существенный вред?); но о нарушениях зашифрованных данных сообщать не нужно. Также нельзя сообщать о том, что данные были получены или просмотрены неавторизованными лицами, если нет оснований полагать, что они будут использовать данные во вред.
Национальная конференция государственных законодательных органов ведет перечень принятых и предлагаемых законов об уведомлении о нарушениях безопасности. [6]
Некоторые из государственных различий в законах об уведомлении об утечке данных включают пороговые значения ущерба, причиненного утечкой данных, необходимость уведомления определенных правоохранительных органов или агентств потребительского кредитования, более широкие определения личной информации и различия в штрафах за несоблюдение. [11]
История федерального закона об уведомлении о взломе данных
По состоянию на 2020 год федерального закона об уведомлении об утечке данных нет. Первый предложенный федеральный закон об уведомлении об утечке данных был внесен в Конгресс в 2003 году, но он так и не вышел из судебного комитета. [5] Точно так же в Конгресс США был внесен ряд законопроектов, устанавливающих национальный стандарт уведомления о нарушениях безопасности данных , но ни один из них не был принят 109-м Конгрессом . [26] Фактически, в 2007 году было предложено три федеральных закона об уведомлении об утечке данных, но ни один из них не был принят Конгрессом. [5] В своей речи о положении дел в 2015 году президент Обама предложил новый закон, чтобы создать национальный стандарт утечки данных, который установит требование об уведомлении в течение 30 дней с момента обнаружения нарушения. [27] Это привело к предложению президента Обамы 2015 года об уведомлении и защите персональных данных (PDNPA). Это могло бы создать федеральные правила и стандарты уведомления, но это так и не вышло из-под контроля комитета. [5]
Хлотия Гаррисон и Кловия Гамильтон предположили, что потенциальная причина неспособности принять федеральный закон об уведомлениях об утечке данных - это права штатов. На данный момент во всех 50 штатах действуют разные законы об уведомлении об утечке данных. Некоторые из них носят ограничительный характер, а другие - широкие. [5] Хотя федерального закона об уведомлениях об утечке данных нет, в некоторых штатах есть законы о конфиденциальности данных с положениями о нарушениях. Некоторые примечательные примеры включают: Закон о Федеральной торговой комиссии ( Закон FTC), Закон о модернизации финансовых услуг (Закон Грэмма-Лича-Блайли) и Закон о переносимости и подотчетности медицинского страхования (HIPAA). [11]
Дебаты по федеральным законам или законам штата об уведомлении об утечке данных
Большинство ученых, таких как Анджела Дейли, выступающих за федеральные законы об уведомлении об утечке данных, подчеркивают проблему наличия различных форм законов об уведомлении об утечке данных. То есть компании вынуждены соблюдать несколько законов штата об уведомлении об утечке данных. Это создает повышенные трудности с соблюдением законов и расходами. Кроме того, ученые утверждали, что индивидуальный подход создал проблему некомпенсированных жертв и неадекватных стимулов, чтобы убедить компании и правительства инвестировать в безопасность данных. [11]
Сторонники индивидуального подхода к законам об уведомлении об утечке данных подчеркивают повышенную эффективность, усиление стимулов к повышению безопасности данных местными органами власти, ограниченное федеральное финансирование, доступное из-за нескольких проектов, и, наконец, штаты могут быстро адаптировать и принимать законы, постоянно развивающиеся технологии взлома данных. [9]
Влияние
Нарушения данных происходят из-за технических проблем, таких как плохой код или экономические проблемы, из-за которых конкурирующие фирмы не сотрудничают друг с другом для решения проблем безопасности данных. [28] В ответ законы об уведомлении об утечке данных пытаются предотвратить нанесение вреда компаниям и общественности.
Влияние преступности
Серьезным вредом утечки данных является кража личных данных . Кража личных данных может нанести вред людям, когда их личные данные украдены и используются другой стороной для нанесения финансового ущерба, такого как вывод их денег, нефинансового характера, например, мошенническое требование получения пособий по здоровью, притворство ими и совершение преступлений. [29] Согласно данным, собранным Федеральной торговой комиссией США с 2002 по 2009 год, использование уведомлений о взломе данных помогло снизить уровень кражи личных данных на 6,1 процента. [30]
Экономическое влияние
В целом уведомления об утечке данных приводят к снижению рыночной стоимости, что очевидно в случае публичных компаний, которые испытывают снижение рыночной стоимости. [31] [32] Другие затраты включают потерю доверия потребителей к компании, потерю бизнеса, снижение производительности и ответственность перед третьими сторонами. [32] Примечательно, что тип данных, которые просочились в результате утечки, оказывает различное экономическое воздействие. Нарушение данных, которое приводит к утечке конфиденциальных данных, имеет более серьезные экономические последствия. [33]
Ответ жертвы
Большинство федеральных исков о нарушении данных имеют определенные характеристики. К ним относятся истец, ищущий помощи в случае потери кражи личных данных, эмоционального расстройства, будущих убытков и повышенного риска будущего ущерба; большинство судебных разбирательств - это частные коллективные иски; ответчиками обычно являются крупные фирмы или предприятия; сочетание общего права и установленных законом оснований для иска; и, наконец, большинство дел урегулируются или отклоняются. [34]
Рекомендации
- ^ Сен, Рави; Борле, Шарад (03.04.2015). «Оценка контекстного риска утечки данных: эмпирический подход» . Журнал информационных систем управления . 32 (2): 314–341. DOI : 10.1080 / 07421222.2015.1063315 . ISSN 0742-1222 .
- ^ Бизони, Фабио (2016). «Доказательство пределов государственных законов об уведомлении о взломе данных: является ли федеральный закон наиболее адекватным решением?» . Журнал информационной политики . 6 : 154–205. DOI : 10,5325 / jinfopoli.6.2016.0154 . ISSN 2158-3897 .
- ^ Аккисти, Алессандро; Фридман, Аллан; Теланг, Рахул (2006). «Есть ли плата за нарушение конфиденциальности? Исследование событий» (PDF) . ICIS 2006 Поступая .[ мертвая ссылка ]
- ^ Мурчиано-Горофф, Равив (2019). «Do данных Нарушение раскрытия информации Законы Увеличение фирм, инвестиции в обеспечении безопасности их цифровой инфраструктуры? » ». Практикум по экономике информационной безопасности : 1-39.
- ^ а б в г д Гарнизон, Хлотия; Гамильтон, Кловия (2019-01-02). «Сравнительный анализ GDPR ЕС и уведомлений о нарушениях в США» . Закон об информационных и коммуникационных технологиях . 28 (1): 99–114. DOI : 10.1080 / 13600834.2019.1571473 . hdl : 10535/10737 . ISSN 1360-0834 .
- ^ а б «Законы об уведомлении о нарушениях безопасности» . www.ncsl.org . Проверено 27 января 2019 .
- ^ а б Бизони, Фабио; Асгари, Хади (2020). «Больше, чем подозреваемый: расследование связи между нарушениями данных, кражей личных данных и законами об уведомлении о нарушениях данных» . Журнал информационной политики . 10 : 45–82. DOI : 10,5325 / jinfopoli.10.2020.0045 . ISSN 2381-5892 .
- ^ Романоски, Саша; Будро, Бенджамин (26.08.2020). «Атрибуция киберинцидентов в частном секторе: преимущества и риски для правительства США» . Международный журнал разведки и контрразведки : 1–31. DOI : 10.1080 / 08850607.2020.1783877 . ISSN 0885-0607 .
- ^ а б Рональдсон, Николас (01.05.2019). «ХАКЕРС: КИБЕРПРЕСТУПЛЕНИЕ ДЛЯ НЕЗАКРЫТОГО ВОЗРАСТА, БЛОКИРОВКА И ПОЛОЖЕНИЕ, А ТАКЖЕ ДЕБАТЫ МЕЖДУ ГОСУДАРСТВЕННЫМ И ФЕДЕРАЛЬНЫМ ЗАКОНОДАТЕЛЬСТВОМ ОБ УВЕДОМЛЕНИИ О НАРУШЕНИИ ДАННЫХ» . Северо-западный журнал технологий и интеллектуальной собственности . 16 (4): 305. ISSN 1549-8271 .
- ^ Грин, Пол. «Австралийские законы об обязательном уведомлении о взломе данных: готовы ли вы?» . Деловой аспект . Проверено 30 ноября 2020 .
- ^ Б с д е е г ч Дейли, Анджела (2018). «Введение законодательства об уведомлении о взломе данных в Австралии: сравнительный взгляд» . Обзор компьютерного права и безопасности . 34 (3): 477–495. DOI : 10.1016 / j.clsr.2018.01.005 . ISSN 0267-3649 .
- ^ «Поправка к статье 4, лит. 3-5 Директивы 2002/58 / EC (Директива об электронной конфиденциальности), статьей 2, лит. 4 с) Директивы 2009/136 / EC» . Проверено 27 января 2019 .
- ^ «Новые особые правила для потребителей в случае потери или кражи личных данных телекоммуникационных компаний в ЕС» . Единый цифровой рынок . 5 ноября 2016 . Дата обращения 11 мая 2016 .
- ^ «EUR-Lex - 32002L0058 - EN - EUR-Lex» . eur-lex.europa.eu . Проверено 27 января 2019 .
- ^ а б Исии, Каори; Комукай, Таро (07.09.2016). «Сравнительное правовое исследование утечки данных в Японии, США и Великобритании» AICT-474: 86. doi : 10.1007 / 978-3-319-44805-3_8 . Цитировать журнал требует
|journal=
( помощь ) - ^ Ханивилл, Шон (2006-03-01). «Уведомление о защите данных и утечке данных для финансовых учреждений» . Банковский институт Северной Каролины . 10 (1): 269.
- ^ Кредитование, Клэр; Минник, Кристина; Шорно, Патрик Дж. (02.04.2018). «Корпоративное управление, социальная ответственность и утечки данных» . Финансовый обзор . 53 (2): 413–455. DOI : 10.1111 / fire.12160 . ISSN 0732-8516 .
- ^ «Переход от Закона о конфиденциальности 1993 года к Закону о конфиденциальности 2020 года» . Проверено 29 ноября 2020 года .
- ^ Восс, В. Грегори; Хаузер, Кимберли А. (20 мая 2019 г.). «Персональные данные и GDPR: обеспечение конкурентных преимуществ для компаний США» . Американский журнал делового права . 56 (2): 287–344. DOI : 10.1111 / ablj.12139 . ISSN 0002-7766 .
- ↑ SB 1386 , Cal. Civ. Код 1798.82 и 1798.29.
- ↑ SB 1386 Законопроект Сената, архивированный 13 июня 2007 г. в Wayback Machine
- ^ Бурдон, Марк; Лейн, Билл; фон Нессен, Пол (2010). «Обязательное уведомление об утечке данных: вопросы, возникающие в связи с изменениями в законодательстве Австралии и ЕС» . Обзор компьютерного права и безопасности . 26 (2): 115–129. DOI : 10.1016 / j.clsr.2010.01.006 . ISSN 0267-3649 .
- ^ Скотт Беринато (12 февраля 2008 г.). «Серия раскрытия информации ОГО - Законы об уведомлении о взломе данных, штат за штатом» . CSO Online . Дата обращения 11 мая 2016 .
- ^ «Законопроект о собрании AB 1298 - ГЛАВА» . Дата обращения 11 мая 2016 .
- ^ https://www.bakerlaw.com/files/uploads/documents/data%20breach%20documents/state_data_breach_statute_form.pdf
- ^ «Блоги RSA» . RSA.com . Проверено 27 января 2019 .
- ^ «Закон об уведомлении и защите персональных данных» (PDF) . Obamawhitehouse.archives.gov . Дата обращения 4 мая 2018 .
- ^ Сен, Рави (2018). «Вызовы кибербезопасности: текущее состояние дел» . Коммуникации Ассоциации информационных систем : 22–44. DOI : 10.17705 / 1cais.04302 . ISSN 1529-3181 .
- ^ Белый, Майкл Д .; Фишер, Кристофер (2008). «Оценка наших знаний о краже личных данных» . Обзор политики в области уголовного правосудия . 19 (1): 3–24. DOI : 10.1177 / 0887403407306297 . ISSN 0887-4034 .
- ^ Романоски, Саша; Теланг, Рахул; Acquisti, Алессандро (2011). «Уменьшают ли законы о раскрытии информации о нарушении конфиденциальности кражи личных данных?» . Журнал анализа политики и управления . 30 (2): 256–286. DOI : 10.1002 / pam.20567 . ISSN 0276-8739 .
- ^ Gatzlaff, Kevin M .; Маккалоу, Кэтлин А. (2010). «Влияние утечки данных на благосостояние акционеров» . Обзор управления рисками и страхования . 13 (1): 61–83. DOI : 10.1111 / j.1540-6296.2010.01178.x . ISSN 1098-1616 .
- ^ а б Чавушоглу, Хусейн; Мишра, Бирендра; Рагхунатан, Шринивасан (2004). «Влияние объявлений о нарушениях безопасности в Интернете на рыночную стоимость: реакция рынка капитала для взломанных фирм и разработчиков безопасности в Интернете» . Международный журнал электронной коммерции . 9 (1): 70–104. DOI : 10.1080 / 10864415.2004.11044320 . ISSN 1086-4415 .
- ^ Кэмпбелл, Кэтрин; Гордон, Лоуренс А .; Loeb, Martin P .; Чжоу, Лэй (2003). «Экономическая цена публично объявленных нарушений информационной безопасности: эмпирические данные фондового рынка» (PDF) . Журнал компьютерной безопасности . 11 .
- ^ Романоски, Саша; Хоффман, Дэвид; Аккисти, Алессандро (17 января 2014 г.). «Эмпирический анализ судебных разбирательств по утечке данных» . Журнал эмпирических правовых исследований . 11 (1): 74–104. DOI : 10.1111 / jels.12035 . ISSN 1740-1453 .
Внешние ссылки
- Национальная конференция законодательных собраний штатов таблица законов об уведомлении о нарушениях безопасности
- Интерактивная карта, сравнивающая законы США об уведомлениях о нарушениях безопасности (требуется подписка)
- Закон ЕС о безопасности сетевых данных