数据泄露通知法:如何做出可信的响应
随着报告的数据泄露数量逐年稳步增加,它们频繁出现在新闻中,以至于很难将它们全部弄清。 2017 年,Equifax 遭遇大规模泄露,近 1.5 亿条客户记录(占美国人口的近一半)被盗。 2018 年,万豪国际遭遇了一次泄露事件,数亿客户记录(包括个人信息、信用卡号码甚至护照号码)遭到泄露。
数据泄露会影响所有类型的组织——大大小小的、流行的和鲜为人知的。虽然大公司的违规行为成为新闻,但您很少听说小公司往往容易受到攻击,并且可能会发现自己处于网络犯罪分子的十字准线中。大多数都涉及某种类型的黑客攻击,例如网络钓鱼攻击或恶意软件,攻击者可以在这些攻击中成功获得对受保护或私人信息的访问权限。
数据泄露通知法——很复杂
如果您的制造公司遭遇数据泄露,您会怎么做?您应该立即通知执法部门吗?通知客户?还有人要通知吗?你还有多久?
答案很复杂。虽然不存在全面的联邦法律,但每个州和领地都有自己的数据泄露通知法。这些法律要求任何遭受甚至怀疑违规的人将任何涉及个人身份信息的信息通知客户。法律还要求通知执法部门并采取具体措施来纠正这种情况。但是,在涉及信息类型、通知时间和报告标准方面,各州法律差异很大。谁必须遵守,甚至构成个人数据的内容因州而异。除了复杂性之外,要求也在发生变化,一些州最近更新了他们的法律。
我需要在多长时间内报告数据泄露?
大多数数据通知法都要求企业不得无故拖延地通知客户。时间长短因州和行业而异。在处理数据泄露事件时,制造商负有相互竞争的责任——对他们的公司、行业中的其他人、客户和执法部门。甚至存在执法部门正在调查违规行为而必须暂时隐瞒的情况。
为数据泄露做好准备
像对待任何其他灾难计划一样对待数据泄露通知计划——不要等待!由于对数据泄露没有单一的标准响应,美国制造商必须了解适用于他们的特定州和联邦法律。制造商必须考虑其开展业务的所有州的法律。
幸运的是,制造商可以使用几种优秀的资源来进行澄清。一些组织总结了州数据泄露法律,包括全国州议会会议、IT 治理和 Perkins Coie。
为确保您的制造公司遵守数据保护法,您应该了解您所在州和行业的现行法规。数据泄露将始终是一个压力事件。了解您的义务并制定适当的计划可以减轻一些压力,并帮助您避免巨额罚款。以下是一些提示:
- 确定适用于您公司的州和行业法律
- 记录影响贵公司的数据泄露通知要求,以及在最坏情况下满足这些要求的流程
- 围绕影响贵公司的违规通知要求制定政策
- 如果法规重叠,请使用适用于贵公司政策的最严格的法规
- 提前创建通知信和电子邮件草稿
- 针对数据泄露制定明确的沟通策略,并在必要时提前通过贵公司的法律和公共关系部门进行处理
MEP 全国网络随时准备为您提供帮助
为了帮助了解您所在州的数据泄露通知法律和其他网络安全问题,您可以联系位于所有 50 个州和波多黎各的 51 个 MEP 中心之一,它们是 MEP 国家网络的一部分 TM .
工业技术