近年,“数据泄露”等字眼总是活跃于我们的视野,由于管理不善、黑客攻击、系统安全漏洞等原因,全球各地深受数据泄露的困扰,数据泄露事件频繁发生,且数量逐年增加。大多数西方国家已经对个人数据采取了全面的法律保护措施,美国作为世界上主要最先进,规模最大的技术和数据公司所在地,也在积极推进建设这一方面的法律法规。

在数据泄露通知法领域,美国州级层面的数据泄露通知法相关立法活动十分活跃,美国50个州均有相关法律法规。2019年5月7日,华盛顿州长杰伊•因斯利(Jay Inslee)签署了一项法案(HB 1071),对华盛顿的《数据泄露通知法》进行了修正,以更进一步完善和规范数据信息的保护工作。

1. 背景:数据泄露事件频发

  • 2016年11月,美国网约车巨头优步(Uber)试图隐瞒一起大规模数据泄露事件,约5700万个Uber账号的个人数据外泄,其中包括60万名司机的车牌号码。

  • 2017年9月,美国三大信贷机构之一的艾可飞(Equifax)遭受了一次网络安全攻击,黑客访问了约1.43亿美国艾可飞消费者的个人数据。艾可飞还宣布在攻击中,有至少20万名客户的信用卡信息被窃取。

  • 2018年3月,Facebook公开承认剑桥分析(Cambridge Analytica)未经用户许可,不正当使用了8700万未经授权的用户私人信息。去年9月份,Facebook再次通告,黑客利用控制的40万个账户获得了3000万Facebook用户账号的信息。他们可以在不输入密码的情况下,随意登陆这些用户的个人主页,任意拿走想要的数据等。

  • 2018年4月4日,美国最大面包连锁店Panerabread表示,旗下网站panerabread.com泄露了3700万用户信息。在官方没有给出公告前,这种泄露信息行为已经持续了超过8个月。

  • 2019年1月,美国本土总计上报33起医疗数据泄露事件。

据相关报告显示,美国华盛顿州近340万居民受到2017年7月至2018年7月泄露隐私的数据泄露事件的影响。与两年前相比,隐私案件比上一年增加了70万,即26%,增长了近300万,或超过700%。

接连不断的数据泄露事件爆出,超过半数的美国人意识到他们的个人数据并不是那么安全。而发生泄漏后,许多企业或公司选择隐瞒不报或拖延通报的处理方式,激发民众对于“知情权”、“隐私权“日益强烈的呼声,同时也刺激了许多有关数据泄露通知新的立法。

2. 个人信息定义的完善与“通知”方面的补充

修正后的华盛顿《数据泄露通知法》,规定的新要求包括:

一、扩展对个人信息的定义

HB 1071扩展了“个人信息”的定义。华盛顿州的《数据泄露通知法》先前将个人信息定义为个人姓名结合个人的社会安全号码、州身份证号码、金融账户或信用卡或借记卡号码,以及任何必要的安全代码、访问代码或口令,以允许访问到个人的财务帐户。当与个人姓名相结合时,HB 1071在定义中添加了以下数据元素:

1.完整的出生日期;

2.个人独有的用于认证或签署电子记录的私人密钥;

3.学生、军人或护照识别号;

4.健康保险单号或健康保险识别号;

5.任何有关消费者的病史或精神或身体状况的信息,或有关医疗保健专业人员对消费者的医疗诊断或治疗的任何信息;

6、通过自动测量个人生物特征(如指纹、声纹、眼视网膜、虹膜或其他用于识别特定个人的独特生物模式或特征)生成的生物特征数据。

扩展定义还包括这些数据元素中的任何一个或其组合,如果数据未加密或编校,或者如果数据将使人能够进行身份盗窃,则不包括消费者的姓名。此外,扩展后的定义现在包括“用户名或电子邮件地址与密码或安全问题和答案的组合,以便访问在线帐户”(没有个人姓名)。

二、通知方式

HB1071规定,如果数据泄露涉及用户名或密码,实体可通过电子邮件发出通知。此类通知“必须通知个人信息被泄露的人立即更改密码和安全问题或答案(如果适用),或采取其他适当措施保护在线帐户。” 个人与实体之间“以及所有其他在线帐户,该人使用相同的用户名或电子邮件地址和密码或安全问题和答案。” 法律规定,如果数据泄露涉及实体提供的账户登录凭证,则实体不得向该电子邮件地址提供通知。

三、通知的其他内容要求

HB 1071通过要求向受影响的个人发出通知,扩展了违约通知所需的内容,其中包括相关个人信息(如已知)的泄露时间范围,包括泄露日期和发现泄露行为的日期。此外,向司法部长发出的通知(如果数据泄露事件的影响超过500名华盛顿居民)必须包括额外内容:包括受泄露行为影响的信息类型列表、泄露时间范围(包括泄露日期和发现泄露行为的日期)、一份包含遏制数据泄露行为的措施摘要和一份发给受影响个人的通知样本。

四、通知时间

法律将向受影响个人和司法部长(如适用)发出通知的时间要求从45天缩短至30天。

五、监管机构通知更新

HB 1071规定,如果法律要求披露的信息在通知到期时未知,实体必须向司法部长提供最新通知(如果适用)。

3. 修订版《数据泄露通知法》规则更加全面

截至2019年,美国所有 50 个州、哥伦比亚特区、关岛、波多黎各和维尔京群岛均颁布了《数据泄露通知法》,要求私人或政府实体及时向受影响客户通报涉及个人信息泄露的有关事件。美国华盛顿州对《数据泄露通知法》的修订,使数据泄露通知规则更加全面:主要体现在加强用户个人数据保护和对企业或公司的通知做了进一步的规范。

1. 扩大《数据泄露通知法》个人信息的定义十分必要

在过去,《通知法》中虽然要求企业披露消费者的个人信息是否被盗, 但是,根据其规则,只有社会安全号码、驾驶执照号码、信用卡号码以及医疗和健康保险数据被视为“个人信息”。随着现代科技的进步与发展,获取用户个人信息的手段和渠道随之增加,个人信息保护所涵盖的领域也应当与时俱进。将“生物识别信息”、个人独有的用于认证或签署电子记录的私人密钥等纳入个人信息保护范畴是有必要的。

此外,护照号码是政府颁发的标识符,不法之徒可以使用它们通过社会工程窃取一个人的身份或进行欺诈,这也是将学生、军人或护照识别号纳入“个人信息”定义的原由。

2.对企业或公司“如何通知”、“通知什么”、“通知时限”等方面做出了一系列的内容规范

更为详尽的内容规范是对个人信息的进一步保护,也是对企业或公司发生数据泄露后进行合理处理和补救措施的规范。既更好地保护了华盛顿州消费者的数据,也缩小了华盛顿州法律的差距,确保了该州在数据隐私和保护方面仍然是处于国家的先进地位。(张予涵

声明:本文来自互联网治理蓝皮书,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。