美国新的州隐私和安全法律解释:你的企业准备好了吗?本文续接昨日的话题探讨美国新的网络安全、数据安全和数据泄露通知法律。
纽约州金融服务部,金融服务公司的网络安全要求(23 NYCRR 500)
纽约阻止黑客入侵并改善电子数据安全(SHIELD)法案
马萨诸塞州法案H.4806 -一项有关保护消费者免受安全破坏的法案
新泽西州-关于披露违反安全性和修订2005年第226条(第51条)的法令
马里兰州个人信息保护法–安全漏洞通知要求–修改(众议院法案第1154号法案)
俄勒冈州消费者信息保护法(OCIPA)SB 684
德克萨斯州–有关个人识别信息隐私和德克萨斯州隐私保护咨询委员会成立的法案
华盛顿–与违反保护个人信息的安全系统有关的法案(SHB 1071)
纽约州金融服务部,金融服务公司的网络安全要求(23 NYCRR 500)
2017年2月16日,纽约金融服务部(DFS)的监管机构通过了新规则23 NYCRR 500,对所有覆盖的金融机构提出了一定的网络安全最低要求。这些规则要求每家公司评估其特定的风险状况,并设计程序以稳健的方式解决其风险。
新规规定的某些监管活动的截止日期是2019年3月。根据该要求,任何符合特定标准(员工超过10人,年收入超过500万美元,年终资产超过1000万美元)在纽约开展业务的DFS监管实体,都必须建立内部网络安全计划,以保护其控制下的信息资产。
较小的实体必须履行其他义务,包括限制信息访问、评估风险、实施与第三方数据控制相关的政策。所有受监管的实体都有义务报告数据泄露,无论规模大小。
新规还要求受监管实体指定一名首席信息安全官,并维护审计追踪,以及新规中阐明的一系列其他良好网络安全实践。
纽约阻止黑客和提高电子数据安全(SHIELD)法案
2019年7月25日,纽约州州长安德鲁·库莫(Andrew Cuomo)将《制止黑客和改善电子数据安全法案》(参议院法案S5575B)签署为法律,该法案扩大了纽约州当前的数据泄露法律权限,并对涵盖实体施加了肯定的网络安全义务。
除其他外,该法案:
根据当前的数据泄露通知法,将信息范围扩大到包括生物特征信息和电子邮件地址及其相应的密码或安全性问题和答案。
扩大了数据泄露的定义,包括对私人信息的未经授权访问。
通知要求适用于任何拥有纽约居民私人信息的个人或实体,而不仅仅适用于在纽约州开展业务的个人或实体。
更新公司和国家实体在私人信息遭到侵犯时必须遵循的通知程序。
根据企业的规模创建数据安全需求。
前四项规定于2019年10月23日生效,而最后一项强制安全要求于2020年3月21日生效。
马萨诸塞州法案H.4806 —与保护消费者免受安全侵害有关的法案
州长查理·贝克(Charlie Baker)于2019年1月10日签署成为法律,并于2019年4月11日生效。新法律:
修改向州居民发出违约通知的内容要求,要求披露违约实体的母公司
要求企业向社会保险号受到攻击影响的居民提供至少18个月的免费信用监控服务,被攻击的实体必须提供所有必要的信息,以便登记使用信用监控服务
对于违规通知该法案规定了一系列新的内容要求,包括披露违规通知负责人的信息,经历了违规的实体的联系信息以及报告违规的人员,被泄露的个人信息的类型,违规实体是否维护书面信息安全程序,并将通知的样本副本发送给州居民。
同时规定,不得以尚未确定受影响的居民总数为由而延迟违反通知
新泽西州-有关披露违反安全性和修订2005年第226条(第51条)的法令
该法案由州长菲尔·墨菲(Phil Murphy)于2019年5月10日批准,自2019年9月1日起生效。该法案将任何在线账户(包括个人账户)的凭证视为受州违反通知法约束的个人信息。
具体而言,该法案将以下任何一项视为个人信息:
社会安全号码;
驾驶执照号码或州身份证号码;
帐号或信用卡或借记卡卡号,以及允许访问个人金融帐户的任何必需的安全码、访问码或密码
用户名、电子邮件地址或任何其他帐户持有人的标识信息,以及允许访问在线帐户的任何密码或安全性问题和答案
关联的相关资料,如关联的相关资料是在查阅关联的资料时取得的,则构成个人信息。
法律还明确规定,任何相关实体不得通过受到安全漏洞影响的电子邮件账户提供数据泄露通知,必须找到其他通知方式。
马里兰州个人信息保护法–安全违约通知要求–修改(众议院法案1154号法案)
该法于2019年4月30日由州长拉里·霍根(Larry Hogan)批准,自2019年10月1日起生效,将该州现有的数据泄露要求延伸至企业维护的个人信息,以及企业拥有或许可的个人信息。这些企业现在还被要求真诚地进行合理和迅速的调查,以确定个人信息已被或将被滥用的可能性。
那些仅维护个人数据的企业可能不会向所有者或被许可方收取提供通知马里兰州居民所需信息的费用。法律还对与违规有关的信息施加了一定的限制。
俄勒冈州消费者信息保护法(OCIPA)SB 684
该法案于2019年5月24日由州长凯特·布朗(0Kate Brown)签署成为法律,并于2019年10月1日生效。该法案修订了该州法律,扩大了个人信息的定义,将个人信息包括自己的在线账户凭证。除了某些例外,该法案还为代表其他企业维护或处理个人信息的“供应商”规定了额外的通知义务,如果超过250名居民的个人信息(或数量不确定的居民)。但是,所有供应商必须在发现或有理由相信发生安全漏洞的十天内,通知相关业务,子供应商必须通知相关供应商。
德克萨斯州–有关个人识别信息隐私和德克萨斯州隐私保护咨询委员会成立的法案
该法案由州长格雷格•阿博特(Greg Abbott)于2019年6月14日签署,自2020年1月1日起生效,该法案对州法律进行了修订,将违规通知的时间段从“尽快”更改为“没有不合理的延迟,并且在每种情况下均不晚于此”。如果该违法行为影响到该州的250多名居民,则根据本节要求披露或提供违反系统安全性通知的人,应在该违法行为发生之日后的第60天,将该违规行为通知司法部长
通知还必须详细描述违约情况、受影响的德州居民人数、违约实体为应对事件采取的措施,以及是否动用了执法部门。
华盛顿–与违反保护个人信息的安全系统有关的法案(SHB 1071)
该法律由州长Jay Inslee于2019年5月7日批准,于2020年3月1日生效,通过修改个人信息的法定定义,扩大了华盛顿州现有数据泄露法律的范围。包括个人的名字或初始和姓结合的其他数据元素,例如完整的出生日期、学生证号、护照号、健康保险单或身份证号、个人唯一的专用密钥、用于验证或签署电子记录、医疗信息和生物特征信息。
根据修订后的法律,企业现在只有30天而不是45天的时间来传递所需的通知。通知必须包括暴露的时间范围(如果知道的话),包括违规日期和发现违规日期,受影响的个人信息类型,为遏制违规所采取的步骤摘要以及样本的副本。违反通知已发送给华盛顿居民。如果所有这些信息在违约发生时是未知的,企业必须向司法部长更新。(本文出自SCA安全通信联盟,转载请注明出处。)