Cadangan pelanggaran notifikasi data yang dikritik terlalu lemah

Undang-undang yang dicadangkan yang memerlukan perniagaan AS untuk memberitahu pelanggan yang terjejas setelah pelanggaran data terlalu lemah kerana ia akan mengatasi undang-undang pemberitahuan pelanggaran yang lebih kuat di beberapa negara dan tidak akan meliputi beberapa kelas data, termasuk geolokasi dan maklumat kesihatan, pengkritik

Akta Pemberitahuan Keselamatan dan Pemberitahuan Pelanggaran yang dicadangkan hanya meliputi data yang dikaitkan dengan kecurian identiti atau penipuan kewangan, termasuk nombor Keselamatan Sosial, tetapi tidak memerlukan kumpulan perniagaan dan bukan keuntungan untuk memberitahu pengguna jika maklumat lain dicuri, kata pengkritik, termasuk ahli-ahli Demokratik Dewan Perdagangan Perdagangan dan Jawatankuasa Perdagangan Tenaga dan Perdagangan

daripada 51 undang-undang pemberitahuan pelanggaran negeri dan wilayah yang ada, dan akan menghapus sebahagian besar pihak berkuasa Suruhanjaya Komunikasi Persekutuan AS untuk menguatkuasakan standard keselamatan data untuk pembawa telekom, memberi kuasa penguatkuasaan kepada Suruhanjaya Perdagangan Persekutuan.

[Bacaan lanjut: Bagaimana keluarkan malware dari PC Windows anda]

"Lebih baik untuk privasi [pengguna] untuk tidak memberi tagihan daripada melewati rang undang-undang ini seperti yang sedang diramalkan," kata Laura Moy, majlis dasar senior di Institut Teknologi Terbuka Yayasan New America. semasa pendengaran subcommittee Rabu.

Draf undang-undang, dengan pencegahan undang-undang negara, akan "hamstring" peguam negara umum dalam usaha mereka untuk melindungi pengguna terhadap pencurian data, tambah Sara Cable, penolong jeneral di Massachusetts. Rang undang-undang "akan mengetepikan perlindungan pengguna yang teguh yang sudah wujud di Massachusetts dan banyak negeri lain dan menggantikannya dengan perlindungan yang lebih lemah pada masa perlindungan yang lebih penting adalah penting," katanya. mengambil langkah keselamatan data "munasabah", tetapi ia tidak menentukan "munasabah," tambah kabel. "Satu-satunya cara 'munasabah" boleh ditentukan di bawah rang undang-undang, seperti yang digubal, akan melalui litigasi yang berlarutan, berlarutan, "katanya.

Untuk dekad yang lalu, banyak perniagaan, termasuk beberapa vendor teknologi, lulus undang-undang pemberitahuan pelanggaran data negara sebagai satu cara untuk mengurangkan kos pematuhan yang berkaitan dengan banyak undang-undang negeri. Negara-negara mulai meluluskan undang-undang pemberitahuan, bermula dengan California pada tahun 2003, selepas gelombang pelanggaran berprofil tinggi.

U.S. penggubal undang-undang telah memperkenalkan beberapa rang undang-undang pemberitahuan pelanggaran sepanjang dekad yang lalu, tetapi tiada yang berlalu. Rang undang-undang telah terjejas berikutan beberapa isu, termasuk perbahasan mengenai sama ada perniagaan harus memaklumkan kepada pengguna jika mereka menentukan terdapat sedikit risiko bahaya.

Akta Pemberitahuan Keselamatan dan Pemberitahuan Pelanggaran yang dicadangkan memfokus secara sempit pada maklumat kewangan pengguna dalam usaha untuk mengelakkan Ralat lalu, kata Wakil Peter Welch, seorang Vermont Demokrat dan pengarang bersama draf undang-undang.

Sejak tahun 2005, 1 bilion rekod pengguna telah dikompromikan, kata Welch. "Kita perlu lulus undang-undang yang akan menangani masalah yang luar biasa ini," katanya.

Walaupun beberapa ahli parlimen dipanggil pada Kongres untuk bergerak ke hadapan dengan satu rang undang-undang, hanya satu daripada tujuh saksi pada hari Rabu mendengar pendapat menyuarakan untuk draf rang undang-undang seperti yang ditulis. Draf rang undang-undang melampaui pemberitahuan melanggar dengan memasukkan keperluan keselamatan data "substantif", kata

kata Jon Leibowitz, pengerusi bersama dari Gabungan Privasi Abad ke-21, sebuah kumpulan advokasi yang disokong oleh firma telekomunikasi dan kabel besar.

Dengan menggantikan "Sentiasa berubah-ubah" undang-undang negeri, rang undang-undang itu akan memberikan kepastian kepada pengguna bahawa mereka dilindungi dalam pelanggaran data, tambah Leibowitz, bekas pengerusi FTC. "Pengguna di setiap bahagian negara berhak mendapat perlindungan yang sama, dan syarikat berhak kepada rejim pematuhan yang logik dan koheren," katanya.

Leibowitz juga memuji rang undang-undang untuk meletakkan penguatkuasaan di tangan FTC. "Rang undang-undang ini lebih baik bagi pengguna daripada undang-undang semasa," katanya.

Walau bagaimanapun, perwakilan dari Persekutuan Peruncitan Nasional dan Majlis Industri Teknologi Maklumat [ITI] menimbulkan kebimbangan mengenai bahagian-bahagian draf rang undang-undang. ITI menyokong langkah ke arah pemberitahuan pecah data persekutuan, tetapi rang undang-undang itu boleh menyebabkan terlalu banyak pemberitahuan kerana ia memerlukan pelanggaran perniagaan untuk menghantar notis untuk "kemudaratan ekonomi," yang dapat dijelaskan secara luas, kata Yael Weinman, naib presiden untuk dasar privasi global di dalam kumpulan perdagangan teknologi.

Rang undang-undang membenarkan FTC untuk mengecualikan denda sehingga US $ 2.5 juta bagi setiap pelanggaran peraturan keselamatan data dan $ 2.5 juta kerana gagal memberi notis kepada pengguna. "Jumlah ini kelihatan punitif, dan nampaknya tidak menunjukkan bahawa sebuah organisasi yang menderita pelanggaran data, dalam kebanyakan kes, adalah mangsa penceroboh jenayah," kata Weinman.