డేటా ఉల్లంఘన నోటిఫికేషన్: చట్టపరమైన మరియు నియంత్రణ వాతావరణం

యునైటెడ్ స్టేట్స్లో, సమగ్ర సమాఖ్య చట్టం లేనప్పటికీ, వివిధ సమాఖ్య మరియు రాష్ట్ర డేటా ఉల్లంఘన నోటిఫికేషన్ చట్టాలు ఉన్నాయి. మే 2011 లో, ఒబామా పరిపాలన సమాఖ్య డేటా ఉల్లంఘన నోటిఫికేషన్ అవసరాన్ని కలిగి ఉన్న సమగ్ర సైబర్‌ సెక్యూరిటీ ప్రతిపాదనను కాంగ్రెస్‌కు సమర్పించింది. ఇది సైబర్‌ సెక్యూరిటీని బాగా మెరుగుపరుస్తుంది, కాని జనవరి 2012 నాటికి, ఫెడరల్ డేటా ఉల్లంఘన నోటిఫికేషన్ చట్టం ఆమోదించబడలేదు. ఇక్కడ మేము డేటా భద్రత మరియు ఉల్లంఘనలను పరిష్కరించడానికి ఏర్పాటు చేస్తున్న చట్టాన్ని పరిశీలిస్తాము. (నేపథ్య పఠనం కోసం, ఐటి భద్రత యొక్క ప్రాథమిక సూత్రాలు చూడండి.)

ఫెడరల్ కేసును తయారు చేయడం

యుఎస్ ఫెడరల్ స్థాయిలో, నిర్దిష్ట రకాల డేటా కోసం ఉల్లంఘన నోటిఫికేషన్ అవసరమయ్యే చట్టాలు మరియు మార్గదర్శకాలు ఉన్నాయి: ఆరోగ్య బీమా పోర్టబిలిటీ అండ్ అకౌంటబిలిటీ (HIPAA) చట్టం మరియు ఆరోగ్య సంరక్షణ సమాచారం కోసం ఆరోగ్య సమాచార సాంకేతిక పరిజ్ఞానం ఆర్థిక మరియు క్లినికల్ హెల్త్ (హైటెక్) చట్టం, ఆర్థిక సమాచారం కోసం గ్రామ్-లీచ్-బ్లైలీ చట్టం, మరియు ఫెడరల్ ఏజెన్సీలు కలిగి ఉన్న వ్యక్తిగత సమాచారం కోసం ఆఫీస్ ఆఫ్ మేనేజ్‌మెంట్ అండ్ బడ్జెట్ (OMB) మార్గదర్శకత్వం.

హైటెక్ చట్టం ప్రకారం, HIPAA చేత కవర్ చేయబడిన ఆరోగ్య సంరక్షణ సేవా సంస్థలు రోగుల ఆరోగ్య సమాచారం ఉల్లంఘించినప్పుడు "వెంటనే" తెలియజేయాలి. ఉల్లంఘనలు 500 మందికి పైగా వ్యక్తులను ప్రభావితం చేసే సందర్భాల్లో ఆరోగ్య మరియు మానవ సేవల విభాగం (హెచ్‌హెచ్‌ఎస్) మరియు మీడియాకు తెలియజేయాలి. వ్యక్తిగత ఆరోగ్య సమాచారం యొక్క విక్రేతలు ఇలాంటి ఉల్లంఘన నోటిఫికేషన్ అవసరాలను కలిగి ఉంటారు, కాని HHS కంటే ఫెడరల్ ట్రేడ్ కమిషన్‌కు తెలియజేయాలి.

గ్రామ్-లీచ్-బ్లైలీ చట్టం క్రింద ఫెడరల్ బ్యాంకింగ్ రెగ్యులేటర్లు జారీ చేసిన మార్గదర్శకత్వం ప్రకారం, ఒక బ్యాంకు లేదా ఇతర ఆర్థిక సంస్థ డేటా ఉల్లంఘన గురించి తెలుసుకున్నప్పుడు, సమాచారం జరిగిందని లేదా దుర్వినియోగం అయ్యే అవకాశాలను గుర్తించడానికి ఇది దర్యాప్తు చేయాలి. దుర్వినియోగం జరిగిందని లేదా సహేతుకంగా సాధ్యమేనని బ్యాంక్ నిర్ణయిస్తే, అది బాధిత వినియోగదారులకు వీలైనంత త్వరగా తెలియజేయాలి.

నోటిఫికేషన్ క్రిమినల్ దర్యాప్తులో జోక్యం చేసుకుంటుందని మరియు ఆలస్యం కోసం వ్రాతపూర్వక అభ్యర్థనను బ్యాంకుకు అందిస్తే కస్టమర్ అమలు నోటీసు ఆలస్యం కావచ్చు. నోటిఫికేషన్ ఇకపై దర్యాప్తులో జోక్యం చేసుకోన వెంటనే బ్యాంక్ తన వినియోగదారులకు తెలియజేయాలి. అయితే, బ్యాంకుకు ఇబ్బంది లేదా అసౌకర్యం కారణంగా నోటిఫికేషన్ ఆలస్యం కాదు.

OMB మార్గదర్శకత్వం ప్రకారం, వ్యక్తిగతంగా గుర్తించదగిన సమాచారంతో కూడిన అన్ని డేటా ఉల్లంఘనలను ఫెడరల్ ఏజెన్సీలు కనుగొనడం / గుర్తించిన ఒక గంటలోపు నివేదించాలి. ఏదేమైనా, ఏజెన్సీ వెలుపల డేటా ఉల్లంఘనలను నివేదించడంలో ఏజెన్సీలకు విచక్షణ ఉంది. వారు చట్ట అమలు, జాతీయ భద్రత లేదా ఏజెన్సీ అవసరాలకు నోటిఫికేషన్ ఆలస్యం చేయవచ్చు.

కాలిఫోర్నియా డ్రీమింగ్

రాష్ట్ర స్థాయిలో, డేటా ఉల్లంఘన నోటిఫికేషన్‌పై 46 రాష్ట్ర చట్టాల (మరియు డిస్ట్రిక్ట్ ఆఫ్ కొలంబియా) ప్యాచ్ వర్క్ ఉంది. కాలిఫోర్నియా మొట్టమొదటి డేటా ఉల్లంఘన నోటిఫికేషన్ చట్టాన్ని 2002 లో అమలు చేసింది మరియు ఇది అనేక ఇతర రాష్ట్ర చట్టాలకు ఒక నమూనాగా ఉపయోగించబడింది.

కాలిఫోర్నియా చట్టం ప్రకారం, కంపెనీలు కస్టమర్లకు డేటా ఉల్లంఘనను "వీలైనంత త్వరగా, అసమంజసమైన ఆలస్యం లేకుండా" వ్రాతపూర్వకంగా వెల్లడించాలి. నోటిఫికేషన్ చేసిన వ్యక్తి లేదా వ్యాపారం నోటిఫికేషన్‌కు, 000 250, 000 కంటే ఎక్కువ ఖర్చవుతుందని లేదా 500, 000 మందికి పైగా ప్రజలను ప్రభావితం చేస్తుందని నిరూపించగలిగితే, వెబ్‌సైట్ పోస్టింగ్ రూపంలో ప్రత్యామ్నాయ నోటీసు మరియు ప్రధాన రాష్ట్రవ్యాప్త మీడియాకు నోటిఫికేషన్ ఉపయోగించవచ్చు. వ్యక్తిగత సమాచారం గుప్తీకరించబడిన ఏదైనా డేటా ఉల్లంఘనను శాసనం నోటిఫికేషన్ నుండి మినహాయించింది.

ఏదేమైనా, కాలిఫోర్నియా, అనేక ఇతర రాష్ట్రాల మాదిరిగా కాకుండా, డేటా ఉల్లంఘన గురించి వినియోగదారులకు వెంటనే తెలియజేయడంలో విఫలమైనందుకు జరిమానాలను కలిగి ఉండదు. రాష్ట్ర శాసనసభల జాతీయ సమావేశం రాష్ట్ర డేటా ఉల్లంఘన నోటిఫికేషన్ చట్టాల జాబితాను మరియు ఆ చట్టాలకు లింకులను నిర్వహిస్తుంది.

యూరప్ లేదా బస్ట్

ఐరోపాలో, యూరోపియన్ యూనియన్ తన ఇ-ప్రైవసీ డైరెక్టివ్‌కు 2009 సవరణలో డేటా ఉల్లంఘన నోటిఫికేషన్ అవసరాన్ని ఆమోదించింది. యూరోపియన్ యూనియన్ సభ్య దేశాలు జాతీయ చట్టంలో సవరణను అమలు చేయడానికి మే 25, 2011 వరకు ఉన్నాయి.

ఈ సవరణకు "బహిరంగంగా లభించే ఎలక్ట్రానిక్ కమ్యూనికేషన్ సేవలను అందించేవారు" వ్యక్తిగత సమాచారం ఉల్లంఘన గురించి జాతీయ అధికారులకు తెలియజేయడం అవసరం, ఇది గణనీయమైన ఆర్థిక నష్టం మరియు వినియోగదారులకు సామాజిక హాని కలిగించే "ఉల్లంఘన గురించి తెలుసుకున్న వెంటనే". అలాగే, ఉల్లంఘించిన విషయాన్ని బాధిత వినియోగదారులకు "ఆలస్యం చేయకుండా" తెలియజేయాలి. నోటిఫికేషన్‌లో కంపెనీ తీసుకుంటున్న చర్యల గురించి, అలాగే ప్రభావిత వినియోగదారుల కోసం సిఫార్సు చేసిన చర్యల గురించి సమాచారం ఉండాలి.

ఎలక్ట్రానిక్ కమ్యూనికేషన్ సర్వీస్ ప్రొవైడర్లు మాత్రమే కాకుండా, అన్ని కంపెనీలు వ్యక్తిగత సమాచారాన్ని ఉల్లంఘించిన 24 గంటలలోపు జాతీయ అధికారులకు మరియు ప్రభావిత వినియోగదారులకు తెలియజేయాలనే నిబంధనతో సహా 2012 లో EU డేటా ప్రొటెక్షన్ డైరెక్టివ్‌లో మార్పులు ఆశిస్తారు.

EU ఇ-ప్రైవసీ డైరెక్టివ్‌కు ముందే ఉన్న UK డేటా ప్రొటెక్షన్ యాక్ట్, డేటాను రక్షించడానికి కంపెనీలకు సమగ్ర అవసరాలను కలిగి ఉంది, అయినప్పటికీ డేటా ఉల్లంఘన నోటిఫికేషన్ అవసరం లేదు.

ఈ చట్టాన్ని అమలు చేసే బాధ్యత కలిగిన యుకె ఇన్ఫర్మేషన్ కమిషనర్ కార్యాలయం (ఐసిఓ) కంపెనీలు తీవ్రమైన డేటా ఉల్లంఘనలను నివేదించాలని, వ్యక్తులకు హాని కలిగించే ఉల్లంఘనలుగా నిర్వచించబడిందని ఐసిఓకు తెలిపింది. 1, 000 లేదా అంతకంటే ఎక్కువ మంది వ్యక్తులపై గుప్తీకరించని వ్యక్తిగత సమాచారాన్ని ఉల్లంఘించడం గురించి UK కంపెనీలు తెలియజేయాలని ఆశిస్తున్నట్లు ఏజెన్సీ తెలిపింది. బాధిత వినియోగదారులకు తెలియజేయడం తన బాధ్యత కాదని ఐసిఓ తెలిపింది, అయితే "ఉల్లంఘనను సంబంధిత వ్యక్తుల ప్రయోజనాలలో స్పష్టంగా ఉన్న చోట లేదా అలా చేయటానికి బలమైన ప్రజా ప్రయోజన వాదన ఉన్నచోట" సంస్థ ఉల్లంఘనను బహిరంగపరచాలని సిఫారసు చేయవచ్చు.

డేటా ఉల్లంఘనలు మరియు రిపోర్టింగ్

అధిక ప్రచారం పొందిన డేటా ఉల్లంఘనలకు మరియు ప్రజల ఒత్తిడికి ప్రతిస్పందనగా, అమెరికన్ మరియు యూరోపియన్ శాసనసభ్యులు మరియు నియంత్రకాలు అన్ని కంపెనీలు డేటా ఉల్లంఘనలను జాతీయ అధికారులకు మరియు ప్రభావిత వినియోగదారులకు నివేదించవలసిన అవసరాలను పరిశీలిస్తున్నాయి. ఏదేమైనా, జనవరి 2012 నాటికి, ఆ ప్రయత్నాలు ఏవీ యునైటెడ్ స్టేట్స్ లేదా యూరోపియన్ యూనియన్‌లో సమగ్ర డేటా ఉల్లంఘన నోటిఫికేషన్ చట్టాలు మరియు నిబంధనలకు దారితీయలేదు.