纽约最近颁布了两项法律,扩大了其违约通知和安全保障要求,并可能准备通过第三项法案,旨在增加纽约居民的隐私权。2019年7月25日,纽约州州长安德鲁·m·库默(Andrew M. Cuomo)签署了《停止黑客攻击和改进电子数据安全法案》(Stop Hacks and Improve Electronic Data Security Act,简称“盾牌”)和《身份盗窃保护与缓解服务法》(IdentityTheft Protection and Mitigation Services Act),使之成为法律。总之,这些法案扩大了纽约数据泄露报告法所涵盖的个人信息类型,要求企业实施具体的数据安全保障措施,并要求任何受信贷报告机构(“CRA”)监管的企业为受到影响的消费者提供五年的预防身份信息盗窃和补救服务——这是此类要求的一个新的高水位线。
这些法案可能只是纽约州加强对州居民个人数据保护的开始。纽约也在考虑一项新的隐私法,如果通过,将比加州的消费者保护法(CCPA)更为严格,并将“数据受托人”的概念引入美国隐私词典。
随着越来越多的州效仿加州的做法,就旨在保护居民个人数据的新隐私法展开辩论,企业应该考虑,这些新法律一旦实施,可能会对它们的商业行为以及它们收集的个人数据的价值产生何种影响。
下面,我们将讨论纽约最近颁布和即将颁布的法律的一些关键特征以及对公司的潜在影响。
盾牌法案(SHIELD Act)
纽约州最初的《数据泄露通知法》要求,任何在纽约州经营业务的个人或企业,在未经有效授权的情况下获取“私人信息”时,必须通知纽约州居民。将于2020年3月21日生效的《盾牌法案》从几个方面扩大了纽约数据泄露通知法的适用范围。该法适用于任何处理纽约居民信息的个人和企业,无论该个人或企业是否在纽约开展业务。
也许最重要的是,《盾牌法案》要求处理纽约居民私人信息的任何个人或企业实施并维护“合理的”行政、技术和物理保障措施,以保护私人信息的安全性、保密性和完整性。几个州也有类似的法律,要求进行合理的控制,但《盾牌法案》要求效力范围内的公司:
指定一名或多名员工协调安全程序;
识别可预见的内部和外部风险;
评估现有的保障措施是否足以控制已识别的风险;
培训企业员工的掌握安全程序并实践;
选择有能力维持适当保障措施的服务提供者,并通过合约落实这些保障措施;
根据业务变化或新情况调整安全程序;
评估网络和软件设计中的风险;
评估信息处理、传输和存储方面的风险;
侦测、预防及回应攻击或系统故障;
定期测试及监察主要控制、系统及程序的成效;
评估信息储存和处置的风险;
检测、预防和响应入侵;
防止在收集、运输和销毁或处置信息期间或之后,未经授权地访问或使用私人信息;和
在商业用途不再需要私人资料后的合理时间内,清除电子媒体,使资料无法读取或重建。
未能建立合理的保障措施,将意味着纽约监管机构可能对该公司采取行动。
此外,《盾牌法案》扩大了需要以下列方式通知的事件的范围:
“私人资料”的扩展定义
《盾牌法案》根据其他几个州的法律扩展了“私人信息”的定义,包括(i)生物特征信息,(ii)可以单独用于访问账户的金融账号,以及(iii)用户名或电子邮件地址与密码或安全问题和答案的组合。
涉及未经授权进入的事件的通知
根据原法律,只有在“未经授权获取”私人信息的情况下,才需要通知。《盾牌法案》则要求:即使在“未经授权的访问”但没有获得私人信息的情况下,如“有迹象表明信息被未经有效授权的人或未经授权的人查看、通信、使用或更改”,也需要通知。
与大多数其他州的法律一样,《盾牌法案》规定了其通知的例外情况和合理的安全要求,包括那些已经受到1996年《健康保险可携性和责任法》(HIPAA)和《格雷姆-里奇-布莱利法》(GLBA)监管并遵守这些法律的企业。然而,HIPAA或GLBA覆盖的公司,在发生数据泄露的情况下,仍然需要向纽约州司法部长、国务院和州警察部门提供通知。
身份盗窃预防和补救措施法
州长签署的第二项法案也影响了一些企业必须向客户提供的通知。根据最近颁布的:《身份盗窃预防与补救措施法》(Identity Theft Protection and Mitigation Services Act)的规定,只要受信贷报告机构监管的企业出现涉及社会安全号码的违规行为,它必须向任何受影响的人提供5年的身份盗窃预防与补救措施服务。这是所有州中规定的最长的监管时间。康涅狄格和特拉华州等州要求,遭遇社会安全号码泄露的企业提供一至两年的身份盗窃防范或信用监控,马萨诸塞州要求在类似情况下提供18个月的监控。马萨诸塞州也提高了要求——要求他们在泄露之后提供42个月(3.5年)的监控。纽约的法案甚至超过了这一标准,并可能推动标准的提升。该法案还赋予消费者免费冻结信贷的权利,将于2019年9月23日生效。
展望:纽约隐私法的数据信托
除了通过这两项法律提高数据安全和违反规定之外,纽约还在考虑制定新的隐私法,名为《纽约隐私法》(New York privacy Act,简称NYPA) (S.5642),这将进一步扩大纽约州居民的隐私权。纽约州参议员凯文·托马斯(Kevin Thomas)于2019年5月9日提出的《纽约隐私法》(NYPA)如果获得通过,可能会比《加州消费者隐私法》(California Consumer Privacy Act,简称CCPA)对企业施加更严格的要求,并提供法律创新,改变美国现行隐私法的框架。
当前NYPA草案中最令人惊讶和新奇的部分是其关于“数据受托人”义务的提议,即“取代对实体所有者或股东的任何义务”。任何收集、出售或许可消费者个人信息的实体都将被要求“履行受托人在保护消费者个人数据免受隐私风险方面的谨慎、忠诚和保密义务”。该法律将“隐私风险”定义为包括潜在的经济伤害、身体伤害、心理伤害以及影响个人“私人生活”的任何其他后果。“NYPA还要求实体以消费者在当前情况下合理预期的方式,为消费者的最大利益行事”。这意味着,在某种程度上,实体可能不会以任何方式使用数据,导致消费者遭受经济或身体上的伤害,或者造成“对理性消费者来说是意想不到的、高度冒犯的”的结果。此外,实体必须“合理保护”个人数据不受未经授权的访问,并“及时通知”消费者任何违反受托责任的行为。
《纽约隐私法》的一个同样重要的特点是,它规定了一项私人行动权。法律可以由司法部长或“任何因违法行为而受伤的人”执行。违反者可能受到禁令或赔偿责任和民事处罚。损害赔偿金将根据受影响的个人数量、违法行为的严重程度以及受影响实体的规模和收入来计算。
《纽约隐私法》将影响大多数在纽约或与纽约居民做生意的公司,无论他们的地理位置、规模或收入如何。该法律广泛适用于(i)在纽约经营业务的任何法人实体或(ii)生产针对纽约居民的产品或服务。相比之下,CCPA的主体仅限于总收入超过2,500万美元的营利性实体;每年购买、出售或共享5万多名消费者、家庭或设备的个人信息;或者从销售消费者个人信息中获得其年收入的50%以上。NYPA还提供了某些例外情况,例如州和地方政府、HIPAA或GLBA管理的个人数据以及为就业目的而维护的数据。
NYPA还将禁止受到规范的公司使用、处理或向第三方转移个人数据,“除非消费者提供明确的书面同意”。与CCPA类似,NYPA在传统认知之外广泛定义“个人数据”。例如,姓名,地址,社会安全号码,财务信息,医疗信息,生物识别数据,网络活动信息和地理位置数据,以及可以用来推论出个人的偏好的信息。
NYPA为消费者确立了一套广泛的权利,类似于欧盟的GDPR和加州的CCPA,包括获取以及处理个人数据的权利,要求删除个人数据的权利,但某些例外情况除外;更正不准确的个人资料及填写不完整的个人资料的权利;以及数据可移植性的权利。除了这些权利,NYPA还禁止实体仅基于“分析”做出重要决定,或者更确切地说,禁止实体使用算法评估某些个人特征,如个人的经济状况、健康状况或个人偏好。
尽管《纽约个人隐私法》的最终命运仍不明朗,但如果获得通过,它在赋予消费者的隐私权以及处理纽约居民数据的公司所承担的义务方面,可能会超过CCPA。纽约的立法会议已于今年结束,但预计NYPA将在下一届会议上恢复立法日程。
文章来源:
https://www.jdsupra.com/legalnews/new-york-updates-privacy-laws-76175/
供稿者:杨慕青 编辑:杨慕青
声明:本文来自北邮互联网治理与法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
