2019年5月7日,华盛顿州州长签发修订的《数据泄露通知法》,该法将在2020年3月1日生效。
一、背景情况
华盛顿州总检察长弗格森的第三份年度数据泄露报告发现,数据泄露事件在2017年7月至2018年7月期间影响了近340万华盛顿人,比上一年增加了70万,即26%,与两年前相比,增加近300万人。现有法律要求在违规行为影响500名或更多华盛顿人时向总检察长发出通知,总检察长办公室在2018年度收到51份此类通知。报告发现恶意网络攻击仍然是影响华盛顿人的数据泄露的主要原因。鉴于这些趋势,弗格森的报告建议采用多种方法来加强华盛顿州的数据泄露通知法。
二、核心修订内容
一是将违规通知要求扩展到更多类型的消费者信息。目前,企业仅在消费者姓名与其社会安全号码,驾驶执照号码,州身份证号码或财务帐户信息一并泄露时通知消费者。修订之后的立法规定当下列信息与消费者的名字一并被泄露时,触发通知义务:
出生日期;
电子签名;
某些身份证号码,包括学生证号码,军人身份证号码,护照身份证号码,健康保险证件或保险号码;
病史信息;
生物特征数据,包括指纹,声纹,眼睛视网膜,虹膜或其他独特的生物特征;
如果上述信息未被加密或者编辑,或者能使个人身份被盗用,则即使这些信息没有与个人姓名一起绑定,也属于触发通知义务的范畴。另外,与密码或安全问题和答案绑定的用户名或电子邮件地址,只要能访问在线账户,即使不包含个人姓名,也属于需要通知的范畴。
二是引入违反用户名和密码的特定规则。如果泄露了此类个人信息,企业要向受影响的消费者发出的通知,及时更改其密码,安全问题和答案,并采取其他适当措施保护帐户以及消费者在该公司使用相同用户名,电子邮件地址的所有其他帐户。
三是新的通知日期。该法案减少了目前45天的通知期限,规定企业在发现泄露后的30天内通知受影响的居民和州检察长。
四是增加通知的其他内容要求。该法案新增了通知的内容要求,包括泄露发生的日期和发现的日期(如果知道的话)。此外,新要求规定向总检察长发出通知(如果超过500名华盛顿居民受到单一违规行为的影响,则必须提供)必须包括(1)泄露时间表,(2)个人信息类型清单(3)遏制违规行为的步骤摘要,以及(4)安全漏洞通知的单个样本副本。
三、影响分析
目前,在美国联邦层面尚未有统一的数据泄露通知法,但许多州都出台了此类法案。从2003年颁布第一个数据泄露通知法的加利福尼亚州开始,48个州先后通过了与数据泄露通知相关的法案。华盛顿州是亚马逊和微软两大全球顶级互联网公司的所在地,因此,其立法的修订对其他各州有重要的借鉴意义。美国拥有众多的大规模和先进的技术和数据公司,缺乏数据保护立法难以平衡个人与企业之间的利益。目前各州在个人信息保护和数据泄露通知方面都积极出台立法,为后续联邦层面出台统一立法奠定基础。
作者简介:石月,中国信息通信研究院互联网法律研究中心研究员
声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。