7月25日,纽约州州长安德鲁·科莫(Andrew Cuomo)签署了相关法案,以保护个人免受安全漏洞的影响——《禁止黑客和改善电子数据安全法案》(简称SHIELD法案,S5575B /A5635)[1],以及针对提供特定身份盗窃保护和缓解服务的修正案(A2374/S3582)。
一、SHIELD法案
SHIELD法案扩大了纽约州泄露通知立法的适用范围,并施加新的通知和安全义务,进而增加了向纽约居民收集或收集关于纽约居民的个人信息(广义上的个人信息,不包括已公开信息)的企业需承担的义务。
(一)扩展适用范围及更加宽泛的定义
扩大范围
适用于收集纽约居民(不仅仅是在纽约开展经营的人)的个人信息的任何个人或企业。
扩展个人信息的定义
生物识别信息(意指通过电子测量个体独特物理特征而生成的数据);
邮箱信息(即用户名或电子邮件地址及其相应的密码和/或安全问题和答案);
账号、信用卡或借记卡号码(若存在可能允许使用此号码访问个人财务帐户的情况,而无需额外的安全代码、访问代码或密码等识别信息的);
扩展数据泄露的定义
包括可能已被访问的数据,而不仅仅是获取的数据。
(二)数据泄露通知要求
例外规定
若个人信息是由被授权访问个人信息的人过失披露,且根据企业的合理判断,该披露不会导致滥用上述信息,或对受影响信息主体造成经济伤害(或情感伤害,在邮箱信息等信息被披露的情况下),则对通知受影响个人的义务设立例外:
在这种情况下,对此过失披露负责的企业必须以书面形式记录此决定,并将事件记录保存五年。如果事件影响了超过500名纽约居民,企业必须在对事件作出判断后10天内,向纽约州检察长提供其关于损害风险的书面说明。
法律竞合
根据美国《格拉姆-里奇-布利利法案》(简称HIPAA)或1996年《健康保险携带和责任法案》(简称GLBA)的违规通知要求,或联邦或纽约州机构的其他数据安全规则要求,已向受影响的信息主体提供违规通知的企业,无需再次另行通知。但该法案并没有取消在这种情况下通知纽约州检察长等政府部门的要求。(如法案要求提供违规通知的企业——包括违反非“个人信息”保护义务的企业——根据HIPAA向卫生和公共服务部部长秘书提供此类通知,并在通知秘书后的五个工作日内向纽约州检察长提供通知)
增加通知内容
补充现有的通知内容要求。经修订后,此类通知必须包含相关州和联邦机构的电话号码和网站,以及这些机构有关安全漏洞申报、身份防盗和信息保护的相关信息。
(三)数据安全计划
SHIELD法案还对包括小企业在内的企业施加了新的安全义务,实施包含合理的行政、技术和物理保障(例如,风险评估、培训和服务提供商合同要求)的安全计划。
(四)处罚增加
SHIELD法案不会扩展个人的诉权,但提高了对违反通知义务的处罚,最高处罚为5,000美元或每次最高20美元(上限为250,000美元)。此外,纽约州检察长可以提起代表诉讼,禁止任何未能实施合理数据安全计划的企业,对其处以每次违规最高5,000美元的民事处罚。
二、身份盗窃保护
同时签署的一项针对身份盗窃的修正案,要求发生过涉及社会保障号码违规行为的信用报告机构,应当为受影响的信息主体提供5年的身份防盗服务,以及特定情形下的身份缓解服务。该修正案还要求信用评级机构及时告知消费者有关信用冻结的信息,并向他们提供免费冻结信贷的权利。该修正案将于2019年9月23日生效,并将追溯适用于自生效之日起过去三年内发生的任何信用报告违规行为。
[1]原文地址:https://www.nysenate.gov/legislation/bills/2019/s5575
作者简介:李雅文,中国信息通信研究院互联网法律研究中心研究员
声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。