据外媒6月14日报道,美国马里兰州州长拉里·霍根(Larry Hogan)签署了1154号法案(“法案”),修订了该州的数据泄露通知法。除了其他义务外,修正案还增加了企业在发现数据安全漏洞后必须采取的必要行动。

根据现有的数据泄露通知法,拥有或被许可(使用)个人信息并意识到存在数据安全漏洞的企业,必须进行合理、及时和诚信的调查,以确定个人信息已被或将被滥用的可能性。该法案扩大了这一调查要求适用范围,明确适用于所有拥有、被许可(使用)或维护马里兰州居民个人信息的企业。该法案还修订了通知义务,并规定,如果需要根据损害风险向受影响的个人发出通知,“计算机化数据的所有者或被许可(使用)人应将该泄露行为通知个人。”

该法案还规定,个人信息不能使用信息的所有者或被许可(使用)方不得使用与系统安全漏洞有关的信息,除非发布通知、保护或管理个人信息,或向“为共享信息和分析安全威胁而创建的国家信息安全组织”发出通知,以警告和避免新的或扩大的入侵。“此外,如果出现安全漏洞的企业不是个人信息的所有者或被许可(使用)方,该企业不得向相关所有者或被许可方收取执行马里兰州数据泄露法规定的所有者或被许可方通知义务所需的信息费用。

该法案没有改变数据泄露通知的时间要求,即必须在企业发现或得知数据泄露后45天内通知受影响的个人,并在通知受影响的个人之前通知马里兰州司法部长。此外,该法案并没有改变现有的要求,即如果企业确定不需要通知(因为没有发生滥用个人信息的情况,而且也不太可能发生),则企业要将相关文件保存三年。

相关修正案将于2019年10月1日生效。

(供稿者:苏伟 编辑:袁媛)

原文地址:

https://www.huntonprivacyblog.com/2019/06/14/maryland-amends-data-breach-law/

声明:本文来自北邮互联网治理与法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。