Mục lục:
Tại Hoa Kỳ, có nhiều luật thông báo vi phạm dữ liệu liên bang và tiểu bang, mặc dù không có luật liên bang toàn diện. Vào tháng 5 năm 2011, chính quyền Obama đã đệ trình một đề xuất an ninh mạng toàn diện lên Quốc hội bao gồm yêu cầu thông báo vi phạm dữ liệu liên bang. Điều này có thể cải thiện đáng kể an ninh mạng, nhưng kể từ tháng 1 năm 2012, không có luật thông báo vi phạm dữ liệu liên bang nào được thông qua. Ở đây chúng tôi xem xét bảo mật dữ liệu và pháp luật đang được thiết lập để giải quyết các vi phạm. (Để đọc nền, xem Nguyên tắc cơ bản về bảo mật CNTT.)
Làm một vụ án liên bang
Ở cấp liên bang Hoa Kỳ, có luật pháp và hướng dẫn yêu cầu thông báo vi phạm đối với các loại dữ liệu cụ thể: Đạo luật về trách nhiệm giải trình và trách nhiệm bảo hiểm y tế (HIPAA) và Đạo luật công nghệ thông tin y tế cho kinh tế và lâm sàng (HITECH) về thông tin chăm sóc sức khỏe, Đạo luật Gramm-Leach-Bliley về thông tin tài chính và hướng dẫn của Văn phòng Quản lý và Ngân sách (OMB) đối với thông tin cá nhân do các cơ quan liên bang nắm giữ.
Theo Đạo luật HITECH, các nhà cung cấp dịch vụ chăm sóc sức khỏe được HIPAA bao trả phải thông báo cho bệnh nhân "kịp thời" khi thông tin sức khỏe của họ bị vi phạm. Bộ Y tế và Dịch vụ Nhân sinh (HHS) và phương tiện truyền thông phải được thông báo trong trường hợp vi phạm ảnh hưởng đến hơn 500 cá nhân. Các nhà cung cấp thông tin sức khỏe cá nhân có các yêu cầu thông báo vi phạm tương tự, nhưng phải thông báo cho Ủy ban Thương mại Liên bang, thay vì HHS.
Theo hướng dẫn được ban hành bởi các nhà quản lý ngân hàng liên bang theo Đạo luật Gramm-Leach-Bliley, khi một ngân hàng hoặc tổ chức tài chính khác nhận thức được vi phạm dữ liệu, cần tiến hành điều tra để xác định khả năng thông tin đã hoặc sẽ bị lạm dụng. Nếu ngân hàng xác định rằng việc sử dụng sai đã xảy ra hoặc có thể hợp lý, thì nên thông báo cho khách hàng bị ảnh hưởng càng sớm càng tốt.
Thông báo của khách hàng có thể bị trì hoãn nếu cơ quan thực thi pháp luật xác định rằng thông báo sẽ can thiệp vào một cuộc điều tra hình sự và cung cấp cho ngân hàng một văn bản yêu cầu trì hoãn. Ngân hàng nên thông báo cho khách hàng của mình ngay khi thông báo sẽ không còn can thiệp vào cuộc điều tra. Tuy nhiên, thông báo không thể bị trì hoãn vì bối rối hoặc bất tiện cho ngân hàng.
Theo hướng dẫn của OMB, các cơ quan liên bang được yêu cầu báo cáo tất cả các vi phạm dữ liệu liên quan đến thông tin nhận dạng cá nhân trong vòng một giờ sau khi phát hiện / phát hiện. Tuy nhiên, các cơ quan có quyền quyết định báo cáo vi phạm dữ liệu bên ngoài cơ quan. Họ có thể trì hoãn thông báo cho cơ quan thực thi pháp luật, an ninh quốc gia hoặc nhu cầu của cơ quan.
Giấc mơ California
Ở cấp tiểu bang, có một bản vá của 46 luật tiểu bang (và Quận Columbia) về thông báo vi phạm dữ liệu. California ban hành luật thông báo vi phạm dữ liệu đầu tiên vào năm 2002 và nó đã được sử dụng như một mô hình cho nhiều luật tiểu bang khác.
Theo luật California, các công ty phải tiết lộ vi phạm dữ liệu cho khách hàng "càng sớm càng tốt, không có sự chậm trễ vô lý" bằng văn bản. Nếu người thông báo hoặc doanh nghiệp có thể chứng minh rằng thông báo sẽ có giá hơn 250.000 đô la hoặc ảnh hưởng đến hơn 500.000 người, thì thông báo thay thế dưới dạng đăng tải trang web và thông báo tới các phương tiện truyền thông lớn trên toàn tiểu bang có thể được sử dụng. Đạo luật không thông báo bất kỳ vi phạm dữ liệu nào trong đó thông tin cá nhân được mã hóa.
Tuy nhiên, California, không giống như nhiều tiểu bang khác, không bao gồm các hình phạt cho việc không thông báo kịp thời cho người tiêu dùng về việc vi phạm dữ liệu. Hội nghị lập pháp quốc gia duy trì một danh sách các luật thông báo vi phạm dữ liệu nhà nước và các liên kết đến các luật đó.
Châu Âu hoặc Bust
Tại châu Âu, Liên minh châu Âu đã phê duyệt yêu cầu thông báo vi phạm dữ liệu trong bản sửa đổi năm 2009 đối với Chỉ thị về quyền riêng tư điện tử của mình. Các quốc gia thành viên Liên minh châu Âu đã có đến ngày 25 tháng 5 năm 2011 để thực hiện sửa đổi thành luật quốc gia.
Việc sửa đổi yêu cầu "các nhà cung cấp dịch vụ liên lạc điện tử có sẵn công khai" phải thông báo cho chính quyền quốc gia về việc vi phạm thông tin cá nhân có thể dẫn đến thiệt hại kinh tế và tổn hại xã hội đáng kể cho khách hàng "ngay khi" họ nhận thức được vi phạm. Ngoài ra, các khách hàng bị ảnh hưởng nên được thông báo về vi phạm "không chậm trễ". Thông báo phải bao gồm thông tin về các biện pháp được thực hiện bởi công ty, cũng như các hành động được đề xuất cho các khách hàng bị ảnh hưởng.
Những thay đổi đối với Chỉ thị bảo vệ dữ liệu của EU được dự kiến vào năm 2012, bao gồm yêu cầu tất cả các công ty, không chỉ các nhà cung cấp dịch vụ liên lạc điện tử, thông báo cho chính quyền quốc gia và khách hàng bị ảnh hưởng trong vòng 24 giờ sau khi vi phạm thông tin cá nhân.
Đạo luật bảo vệ dữ liệu của Vương quốc Anh, có trước Chỉ thị về quyền riêng tư của EU, có một bộ yêu cầu toàn diện cho các công ty để bảo vệ dữ liệu, mặc dù nó không có yêu cầu thông báo vi phạm dữ liệu.
Văn phòng Ủy ban Thông tin Vương quốc Anh (ICO), chịu trách nhiệm thực thi đạo luật, đã nói rằng các công ty nên báo cáo các vi phạm dữ liệu nghiêm trọng, được định nghĩa là các vi phạm có thể gây hại cho cá nhân, cho ICO. Cơ quan này cho biết họ sẽ mong đợi các công ty của Anh thông báo cho họ về việc vi phạm thông tin cá nhân không được mã hóa trên 1.000 cá nhân trở lên. ICO nói rằng họ không có trách nhiệm thông báo cho người tiêu dùng bị ảnh hưởng, nhưng họ có thể khuyến nghị công ty vi phạm công khai "nơi rõ ràng là vì lợi ích của các cá nhân liên quan hoặc có tranh luận về lợi ích công cộng mạnh mẽ để làm như vậy."
Vi phạm dữ liệu và báo cáo
Để đối phó với các vi phạm dữ liệu được công bố cao và áp lực công cộng, các nhà lập pháp và quản lý của Mỹ và châu Âu đang xem xét các yêu cầu mà tất cả các công ty báo cáo vi phạm dữ liệu cho chính quyền quốc gia và người tiêu dùng bị ảnh hưởng. Tuy nhiên, kể từ tháng 1 năm 2012, không có bất kỳ nỗ lực nào trong số đó đã dẫn đến các luật và quy định thông báo vi phạm dữ liệu toàn diện ở Hoa Kỳ hoặc Liên minh Châu Âu.