据彭博社法律(Bloomberg Law)报道,2019年5月7日,华盛顿州州长杰伊•因斯利(Jay Inslee)签署了一项法案(HB 1071),修正了华盛顿的《数据泄露通知法》。新的要求包括:

扩大对个人信息的界定

HB 1071扩展了“个人信息”的定义。华盛顿州的《数据泄露通知法》先前将个人信息定义为个人姓名结合个人的社会保险号码、州身份证号码、金融账户或信用卡或借记卡号码,以及任何必要的安全代码、访问代码或口令,以允许访问到个人的财务帐户。HB 1071在定义中添加了以下数据元素,当与个人姓名相结合时:

1、出生日期 ;

2、个人独有的用于认证或签署电子记录的私人密钥;

3、学生、军人或护照识别号;

4、健康保险单号或健康保险识别号;

有关消费者病史、精神或身体状况或医疗保健专业人员对消费者的医疗诊断或治疗的任何信息;或

5、通过自动测量个人生物特征(如指纹、声纹、眼视网膜、虹膜或其他用于识别特定个人的独特生物模式或特征)生成的生物特征数据。

扩展定义还包括这些数据元素中的任何一个或其组合,如果数据未加密或编校,或者如果数据将使人能够进行身份盗窃,则不包括消费者的姓名。此外,扩展后的定义现在包括“用户名或电子邮件地址与密码或安全问题和答案的组合,以便访问在线帐户”(没有个人姓名)。

通知方式

HB1071规定,如果数据泄露涉及用户名或密码,实体可通过电子邮件发出通知。此类通知“必须通知个人信息被泄露的人立即更改密码和安全问题或答案(如适用),或采取其他适当措施保护在线帐户。” 个人与实体之间“以及所有其他在线帐户,该人…使用相同的用户名或电子邮件地址和密码或安全问题和答案。” 法律规定,如果数据泄露涉及实体提供的账户登录凭证,实体不得向该电子邮件地址提供通知。

通知的其他内容要求

HB 1071通过要求向受影响的个人发出通知扩展了违约通知所需的内容,其中包括相关个人信息(如已知)的泄露时间范围,包括泄露日期和发现泄露行为的日期。此外,向司法部长发出的通知(如果数据泄露事件的影响超过500名华盛顿居民)必须包括额外内容:包括受泄露行为影响的信息类型列表、泄露时间范围(包括泄露日期和发现泄露行为的日期)、一份包含遏制数据泄露行为的措施摘要和一份发给受影响个人的通知样本。

通知时间

法律将向受影响个人和司法部长(如适用)发出通知的时间要求从45天缩短至30天。

监管机构通知更新

HB 1071规定,如果法律要求披露的信息在通知到期时未知,实体必须向司法部长提供最新通知(如适用)。

修正案于2020年3月1日生效。

文章来源:https://www.huntonprivacyblog.com/2019/05/09/washington-amends-data-breach-notification-law/

供稿者:李众 编辑:杨慕青

声明:本文来自北邮互联网治理与法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。