数据保护
介绍
2018年,美国报告了1244起数据泄露事件,暴露了近4.5亿条记录(Statista). 2017年 数据泄露成本研究 波耐蒙研究所(Ponemon Institute)估计,每条暴露记录的数据泄露成本为141美元. 根据这些数据,2018年美国数据泄露的成本超过62美元.9B. 记住这些统计数据, 很容易理解为什么数据保护在过去一年中一直是一个热点问题. 国会就脸谱网的数据隐私做法举行听证会, 加州消费者隐私法案的通过, 以及数十亿敏感信息被泄露的用户, 关于这个问题的新闻报道并不缺乏. 全球各国政府开始注意到这一点,并采取行动加强监管环境和消费者隐私.
GDPR
欧盟(EU)是最早颁布重要数据隐私法规的国家之一. 《万博平台app下载》, 也就是GDPR, 于2016年生效,目的是让公民对自己的个人数据有更大的控制权,并更严厉地惩罚不保护公民隐私的组织.
GDPR适用于在欧盟运营的所有组织, 无论是总部设在那里,还是仅仅为欧盟内部的消费者提供商品和服务. GDPR包含五项主要任务:
- 所有受该法规约束的组织都必须获得同意才能处理某人的数据.
- 收集的数据必须匿名以保护隐私.
- 如果发生数据泄露,被泄露的组织必须提供定义的通知.
- 传输中的数据必须得到适当的保护和处理.
- 某些万博平台app下载必须任命一名数据保护官(DPO),负责监督数据隐私和保护,更具体地说,是监管GDPR合规性.
美国在联邦层面引入类似的数据保护法只是时间问题. 目前还没有联邦层面的法案, 美国大多数州都有自己的一套关于数据隐私和保护的法规. 这为在美国经营的万博平台app下载创造了一个过于复杂和低效的环境,因为他们必须不断适应和遵守他们经营所在州的各种变化的法律. 在引入GDPR之前,欧盟也面临着类似的问题,因为欧盟内部的许多国家都有自己的法律.
美国州法
虽然这些领域的具体授权因州而异, 有许多州共享的标准元素. 这五个范畴及其标准是:
涵盖实体定义
Any person or business who conducts business in (the state) and who owns or licenses computerized data that includes personal information; any person or business who maintains computerized data that includes personal information that the person or business does not own.
资讯保安要求
维护个人身份信息的实体必须“实施和维护合理的安全程序和做法,以防止未经授权的获取。, 使用, 修改, 信息披露, 或销毁在正常业务过程中收集或维护的个人信息.”
个人身份信息(PII)的定义
个人身份信息(PII)是可用于区分或追踪个人身份的任何数据或数据组合. 对于大多数州来说,PII的定义是相同的:
姓名/首字母与姓氏配对,以及下列一种或多种数据形式:
- 社会安全号码
- 身份证号
- 驾驶执照#
- 账户号, 信用卡#, 或其他带有密码或安全码的ID号,可以访问金融账户.
违约通知要求
所有国家都要求向必要的各方提供通知,不得无故拖延. 在某些情况下,由于正在进行的执法调查的需要,通知将被故意推迟. 大多数规定实体必须提供多长时间通知的州都要求在发现违规行为后的45天内通知.
违规罚款
在数据泄露的情况下,有各种各样的罚款和处罚可以适用. 在具体情况下适用的罚款和处罚受到导致违规行为的环境和操作因素以及实体在发现违规行为后作出反应的适当性的影响. 例如, 许多州对违反规定的实体未能在该州规定的时间内向受影响的各方提供适当通知的情况适用具体处罚. 另外, 一些州区分了不计后果的过失和故意或自愿犯下的不当行为.
以及决定一个实体应该面临的处罚的严重程度的不同因素, 实体可能被罚款或处罚的原因有很多,例如未能履行数据隐私责任, 未能遵守通知要求, 以及赔偿损失.
如何准备
每家万博平台app下载都需要确保自己遵守数据保护法. Clearview帮助各种规模的万博平台app下载评估和开发适当规模和成本效益的数据保护计划. 我们的流程首先使用一个全面的安全框架对当前的安全环境进行评估,该框架确定了需要改进的关键领域,并为您提供了现实的建议. 联络Aaron Kerr (akerr@4ugod.com)或Todd Jennings (tjennings@4ugod.com)查阅更多有关资料保护的资料,以及贵万博平台app下载如何采取措施改善资讯保安状况.