Güvenlik ihlali bildirim yasaları - Security breach notification laws

Güvenlik ihlali bildirim yasaları veya veri ihlali bildirim yasaları vardır kanunlar bir veri ihlalinden etkilenen kişi veya kuruluşların müşterilerini ve diğer tarafları ihlal hakkında bilgilendirmesini ve ayrıca durumu eyalet yasama meclisine dayanarak düzeltmek için belirli adımlar atmasını gerektiren. Veri ihlali bildirim yasalarının iki ana amacı vardır. İlk hedef, bireylere veri ihlallerine karşı riskleri azaltma şansı vermektir. İkinci amaç, veri güvenliğini güçlendirmek için şirket teşvikini teşvik etmektir.[1]

Bu tür yasalar 50 ülkenin tamamında düzensiz olarak çıkarılmıştır. ABD eyaletleri 2002'den beri. Şu anda, 50 eyaletin tümü veri ihlali bildirim yasalarının formlarını yürürlüğe koymuştur.[2] Bununla birlikte, önceki yasal girişimlere rağmen, federal veri ihlali bildirim yasası olmadığı unutulmamalıdır.[3] Bu yasalar, artan sayıda ihlallere cevaben çıkarılmıştır. tüketici içeren veritabanları kişisel olarak tanımlanabilir bilgiler.[4] Benzer şekilde, AB ve Avustralya gibi birçok başka ülke, artan veri ihlalleriyle mücadele etmek için veri ihlali bildirim yasaları ekledi.

Identity Theft Resource Center'a (ITRC) göre rapor edilen veri ihlallerinin sayısı 2011'de 421'den 2016'da 1.091'e ve 2017'de 1.579'a yükseldiğinden, veri ihlallerinde artış açıkça görülüyor.[5] Ayrıca, milyonlarca insanı etkiledi ve yaklaşık 146 milyon kişinin kişisel bilgilerini açığa çıkaran Ekim 2017 Equifax ihlali gibi büyük veri ihlalleri nedeniyle artan bir halk bilinci kazandı.[6]

Mevzuat

Amerika Birleşik Devletleri

Bu tür ilk yasa, California veri güvenliği ihlali bildirim yasası,[7] 2002 yılında yasalaşmış ve 1 Temmuz 2003 tarihinde yürürlüğe girmiştir.[8] Tasarı bildirimiyle ilgili olarak, yasalar "tanımlandığı şekilde kişisel bilgileri içeren bilgisayarlı verilere sahip olan veya lisans veren bir eyalet kurumunun veya Kaliforniya'da iş yapan bir kişi veya işletmenin güvenlik ihlallerini belirtilen yollarla ifşa etmesini gerektirir. Bu verilerin, tanımlandığı şekliyle, şifrelenmemiş kişisel bilgileri yetkisiz bir kişi tarafından elde edildiğine inanılan veya makul olarak inanılan Kaliforniya'da ikamet eden herhangi bir kişiye. " Buna ek olarak, yasa, "bir kolluk kuvveti bir cezai soruşturmayı engelleyeceğine karar verirse" gecikmeli bildirime izin vermektedir. Yasa ayrıca, bu tür bilgileri lisanslayan herhangi bir kuruluşun, sahibine veya lisans sahibine verilerin güvenliğinin herhangi bir şekilde ihlal edildiğini bildirmesini gerektirir.

Genel olarak, çoğu eyalet yasası Kaliforniya'nın orijinal yasasının temel ilkelerini takip eder: Şirketler derhal bir veri ihlali müşterilere, genellikle yazılı olarak.[9] Kaliforniya o zamandan beri yasasını tehlikeye atılmış tıbbi ve sağlık sigortası bilgilerini içerecek şekilde genişletti.[10] Faturaların en çok farklı olduğu durumlarda, ihlalin eyalet Başsavcısına bildirilmesi gerekir (genellikle 500 veya 1000 veya daha fazla kişiyi etkilediğinde). California gibi bazı eyaletler bu veri ihlali bildirimlerini oag.gov web sitelerinde yayınlar. "Hassas kişisel olarak tanımlayıcı bilgiler edinilmişse veya yetkisiz bir kişi tarafından elde edildiğine makul bir şekilde inanılmışsa ve bilgilerin ilgili olduğu kişilere önemli ölçüde zarar vermesi makul bir olasılık varsa" ihlallerin rapor edilmesi gerekir.[11] Bu, bazı yorumlara yer bırakıyor (önemli bir zarara neden olacak mı?); ancak şifrelenmiş veri ihlallerinin rapor edilmesi gerekmez. Verileri zararlı şekillerde kullanacaklarına inanmak için herhangi bir neden olmadığı sürece, yetkisiz kişiler tarafından elde edilmiş veya görüntülenmişse de raporlanmamalıdır.

Ulusal Eyalet Yasama Meclisleri Konferansı çıkarılan ve önerilen güvenlik ihlali bildirim yasalarının bir listesini tutar.[4]

Veri güvenliği ihlali bildirimi için ulusal bir standart oluşturacak bir dizi yasa tasarısı, ABD Kongresi ama hiçbiri geçmedi 109. Kongre.[12] 2015 Birliğin Durumu konuşmasında, Başkan Obama bir ihlalin tespit edilmesinden itibaren 30 günlük bir bildirim gerekliliği oluşturacak bir ulusal veri ihlali standardı oluşturmak için yeni mevzuat önerdi.[13]

Avrupa Birliği

o Avrupa Birliği bir ihlal bildirim yasası uyguladı Gizlilik ve Elektronik İletişim Yönergesi (E-Gizlilik Direktifi) 2009'da, özel olarak kişisel veri telekom ve İnternet servis sağlayıcıları tarafından tutulur.[14][15] Bu direktifin 25 Mayıs 2011 tarihine kadar ulusal kanun tarafından uygulanması gerekmektedir.

Ayrıca bir ağ şirketi üzerinden ses ve veri kullanan abonelerin trafik verileri şirketten sadece operasyonel nedenlerle kaydedilir. Ancak ihlalleri önlemek için trafik verilerinin artık gerekli olmadığında silinmesi gerekirken, abone faturalandırmasının oluşturulması ve işlenmesi için trafik verileri gereklidir. Bu verilerin kullanımı, yalnızca faturanın Avrupa Birliği yasasına göre geri ödenebileceği dönemin sonuna kadar mevcuttur (Madde 6 - 1-6. [16]Ek ücretli hizmetlerin satışı için trafik verilerinin pazarlama kullanımı ile ilgili olarak, bunlar şirketten ancak abonenin rızasını vermesi halinde kullanılabilir (ancak her zaman onay geri alınabilir). Ayrıca, hizmet sağlayıcı, yukarıdaki varsayımlara dayalı olarak işlenen trafik verisi türleri ve bunların süresi hakkında aboneye veya kullanıcıyı bilgilendirmelidir. Trafik verilerinin yukarıdaki ayrıntılara uygun olarak işlenmesi, kamuya açık iletişim ağlarının sağlayıcılarının yetkisi altında hareket eden kişiler ve fatura veya trafik yönetimi, müşteri sorguları, dolandırıcılık tespiti, pazarlama elektronik iletişim hizmetleri ile ilgili kamuya açık elektronik iletişim hizmetleri ile sınırlı olmalıdır. veya katma değerli bir hizmet sağlamak ve bu tür faaliyetlerin amaçları için gerekli olanla sınırlandırılmalıdır.

Avustralya

Yeni Zelanda

Referanslar

  1. ^ Bisogni, Fabio (2016). "Eyalet Veri İhlali Bildirim Yasalarının Sınırlarını Kanıtlamak: Federal Yasa En Yeterli Çözüm mü?". Bilgilendirme Politikası Dergisi. 6: 154–205. doi:10.5325 / jinfopoli.6.2016.0154. ISSN  2158-3897.
  2. ^ Murciano-Goroff, Raviv (2019). "Veri İhlalleri İfşa Yasaları FIrms'ı Artırıyor mu? Dijital Altyapılarının Güvenliğini Sağlamak İçin Yatırım Yapıyor mu?"". Bilgi Güvenliği Ekonomisi Çalıştayı: 1–39.
  3. ^ Garrison, Chlotia; Hamilton, Clovia (2019-01-02). "AB GDPR'nin ABD'nin ihlal bildirimleriyle karşılaştırmalı bir analizi". Bilgi ve İletişim Teknolojileri Hukuku. 28 (1): 99–114. doi:10.1080/13600834.2019.1571473. ISSN  1360-0834.
  4. ^ a b "Güvenlik İhlali Bildirim Yasaları". www.ncsl.org. Alındı 27 Ocak 2019.
  5. ^ Bisogni, Fabio; Asghari, Hadi (2020). "Bir Şüpheliden Daha Fazlası: Veri İhlalleri, Kimlik Hırsızlığı ve Veri İhlali Bildirim Yasaları Arasındaki Bağlantı Üzerine Bir Araştırma". Bilgilendirme Politikası Dergisi. 10: 45–82. doi:10.5325 / jinfopoli.10.2020.0045. ISSN  2381-5892.
  6. ^ Ronaldson, Nicholas (2019-05-01). "KORSANLIK: ÇIPLAK ÇAĞ SİBER SUÇ, HEP VE AYAKTA DURUM VE DEVLET İLE FEDERAL VERİ İHLALİ BİLDİRİM YASALARI ARASINDAKİ TARTIŞMA". Northwestern Teknoloji ve Fikri Mülkiyet Dergisi. 16 (4): 305. ISSN  1549-8271.
  7. ^ SB 1386, Cal. Civ. Kod 1798.82 ve 1798.29.
  8. ^ SB 1386 Senato Yasası Arşivlendi 2007-06-13 Wayback Makinesi
  9. ^ Scott Berinato (12 Şubat 2008). "STK İfşa Serisi - Eyaletlere Göre Veri İhlali Bildirim Yasaları". CSO Online. Alındı 11 Mayıs 2016.
  10. ^ "AB 1298 Meclis Yasası - BÖLÜMlü". Alındı 11 Mayıs 2016.
  11. ^ https://www.bakerlaw.com/files/uploads/documents/data%20breach%20documents/state_data_breach_statute_form.pdf
  12. ^ "RSA Blogları". RSA.com. Alındı 27 Ocak 2019.
  13. ^ "Kişisel Verilerin Bildirilmesi ve Korunması Yasası" (PDF). Obamawhitehouse.archives.gov. Alındı 4 Mayıs 2018.
  14. ^ "2002/58 / EC sayılı Direktifin (E-Gizlilik Direktifi) 4.Maddesinin 3-5. Fıkrasının 2009/136 / EC Direktifinin 2. fıkrası 4 c) ile değiştirilmesi". Alındı 27 Ocak 2019.
  15. ^ "AB'de telekomun kişisel verileri kaybolduğunda veya çalındığında tüketiciler için yeni özel kurallar". Dijital Tek Pazar. 5 Kasım 2016. Alındı 11 Mayıs 2016.
  16. ^ "EUR-Lex - 32002L0058 - EN - EUR-Lex". eur-lex.europa.eu. Alındı 27 Ocak 2019.

Dış bağlantılar