보안 데이터 유출 알림 : 법률 및 규제 환경

데이터 유출 알림 : 법률 및 규제 환경

차례:

Anonim

미국에는 종합적인 연방법이 없지만 다양한 연방법 및 주 데이터 침해 통지 법이 있습니다. 2011 년 5 월, 오바마 행정부는 연방 데이터 유출 통지 요건을 포함하는 포괄적 인 사이버 보안 제안을 의회에 제출했습니다. 이로 인해 사이버 보안이 크게 향상 될 수 있지만 2012 년 1 월 현재 연방 데이터 유출 알림 법안은 통과되지 않았습니다. 여기에서는 데이터 보안과 위반을 해결하기 위해 마련된 법률을 살펴 봅니다. 배경 읽기에 대해서는 IT 보안의 기본 원칙을 참조하십시오.

연방 사건 만들기

미국 연방 수준에는 특정 유형의 데이터에 대한 위반 통지를 요구하는 법률 및 지침이 있습니다 : 건강 보험 이동성 및 책임 (HIPAA) 법 및 건강 관리 정보에 대한 건강 및 임상 건강을위한 건강 정보 기술 (HITECH) 법 재무 정보에 대한 Gramm-Leach-Bliley Act 및 연방 기관이 보유한 개인 정보에 대한 OMB (Office of Management and Budget) 지침.


HITECH 법에 따르면, HIPAA가 보장하는 건강 관리 서비스 제공 업체는 건강 정보가 침해 될 때 환자에게 "신속하게"알려야합니다. 위반이 500 명 이상에게 영향을 미치는 경우 보건 복지부 (HHS)와 미디어에 통지해야합니다. 개인 건강 정보 공급 업체는 유사한 위반 통지 요구 사항을 갖지만 HHS가 아닌 연방 무역위원회에 알려야합니다.


Gramm-Leach-Bliley Act (Gram-Leach-Bliley Act)에 따라 연방 은행 규제 기관이 발행 한 지침에 따르면 은행이나 기타 금융 기관이 데이터 유출을 알게되면 정보가 오용 될 가능성이 있는지 조사하기 위해 조사를 수행해야합니다. 은행에서 오용이 발생했거나 합리적으로 가능한 것으로 판단되면 영향을받는 고객에게 가능한 빨리 알리십시오.


법 집행 기관이 통지가 형사 조사를 방해하고 은행에 지연에 대한 서면 요청을 제공한다고 판단하는 경우 고객 통지가 지연 될 수 있습니다. 은행은 통지가 더 이상 조사를 방해하지 않는 즉시 고객에게 통지해야합니다. 그러나 당황 스럽거나 은행에 불편을 끼쳐 알림을 늦출 수는 없습니다.


OMB 지침에 따르면, 연방 기관은 발견 / 탐지 후 1 시간 이내에 개인 식별 정보와 관련된 모든 데이터 유출을보고해야합니다. 그러나 대행사는 대행사 외부의 데이터 침해보고에 대한 재량을 가지고 있습니다. 법 집행, 국가 안보 또는 기관 요구에 대한 통지를 지연시킬 수 있습니다.

캘리포니아 드림

주 차원에서는 데이터 위반 통지에 관한 46 개 주법 (및 컬럼비아 특별구)의 패치 워크가 있습니다. 캘리포니아는 2002 년에 최초의 데이터 침해 통지 법을 제정했으며 다른 많은 주법의 모델로 사용되었습니다.


캘리포니아 법률에 따라 회사는 "불법 한 지연없이 가능한 한 빨리"고객에게 데이터 유출을 공개해야합니다. 통지하는 사람이나 사업체가 통지 비용이 $ 250, 000 이상이거나 50 만 명 이상에게 영향을 미친다는 것을 입증 할 수 있다면, 웹 사이트 게시 및 주 전체 매체에 대한 통지 형태의 대체 통지가 사용될 수 있습니다. 법령은 개인 정보가 암호화 된 데이터 침해에 대한 통지를 면제합니다.


그러나 캘리포니아는 다른 많은 주와 달리 소비자에게 데이터 침해 사실을 즉시 알리지 않은 것에 대한 처벌을 포함하지 않습니다. 국가 주의회 의원은 주 데이터 위반 통지 법 목록과 그 법에 대한 링크를 유지 관리합니다.

유럽 ​​또는 흉상

유럽에서 유럽 연합은 E-Privacy Directive에 대한 2009 개정안에서 데이터 위반 통지 요구 사항을 승인했습니다. 유럽 ​​연합 회원국은 2011 년 5 월 25 일까지 국가 법 개정을 시행해야했습니다.


이 개정안은 "공개 전자 통신 서비스 제공 업체"가 개인 정보의 침해에 대해 국가 당국에 통보하여 "위반을 알게되는 즉시"고객에게 심각한 경제적 손실과 사회적 피해를 초래할 수 있음을 통지해야합니다. 또한 영향을받는 고객에게 "지연없이"위반 사실을 통보해야합니다. 통지에는 회사가 취한 조치에 대한 정보와 영향을받는 고객을위한 권장 조치가 포함되어야합니다.


2012 년에는 전자 통신 서비스 제공 업체뿐만 아니라 모든 회사가 개인 정보를 위반 한 후 24 시간 이내에 국가 당국과 해당 고객에게 통지해야한다는 요구 사항을 포함하여 EU 데이터 보호 지침이 변경 될 것으로 예상됩니다.


EU E-Privacy Directive 이전의 UK Data Protection Act에는 데이터 위반 통지 요구 사항이 포함되어 있지 않지만 회사가 데이터를 보호하기위한 포괄적 인 요구 사항이 있습니다.


이 법 집행을 담당하는 영국 정보국 (ICO)은 기업이 개인에게 해를 입힐 수있는 위반으로 정의 된 심각한 데이터 유출을 ICO에보고해야한다고 밝혔다. 이 기관은 영국 기업들이 1, 000 명 이상의 개인에 대한 암호화되지 않은 개인 정보의 유출에 대해 통보 할 것이라고 밝혔다. ICO는 영향을받는 소비자들에게 정보를 제공하는 것은 책임이 아니라고 말하지만, 회사가 "관심있는 개인의 이익을 위해 분명한 것이거나 그렇게하는 강력한 공공 이익 주장이있는 경우"위반을 공개하도록 권장 할 수 있습니다.

데이터 유출 및보고

미국과 유럽의 입법자와 규제 당국은 널리 알려진 데이터 유출과 압력에 대응하여 모든 회사가 데이터 유출을 국가 ​​당국과 소비자에게보고해야하는 요구 사항을 고려하고 있습니다. 그러나 2012 년 1 월 현재, 이러한 노력으로 미국이나 유럽 연합에서 포괄적 인 데이터 침해 통지 법 및 규정이 발생하지 않았습니다.

데이터 유출 알림 : 법률 및 규제 환경