联邦违反法律?没时间

尽管当今的数据泄露披露法律令人困惑,但律师克里斯·沃尔夫(Chris Wolf)表示,不要屏住呼吸寻求联邦版本。

自加利福尼亚州于2003年通过历史性的数据泄露法律以来, 美国其他大多数州也纷纷效仿。现在,有44个州的法律规定了在敏感信息遭到泄露的情况下对公司的要求。尽管在州一级对该问题引起了广泛关注,但目前尚无类似的联邦法律。 Proskauer Rose LLP的华盛顿特区律师,其隐私和安全实践小组主席Chris Wolf与CSO讨论了要等多久才能见到一位。

公民社会组织(CSO):现在有44个州在账簿上有个人违法行为,但是我们目前没有联邦法律。我们会很快见到吗?

克里斯·沃尔夫(Chris Wolf):我认为您不会在下一届国会会议上看到联邦法律的出台。考虑到美国当前的优先事项,以及国会过去在审议联邦违反法律的法案方面遇到的困难,令我感到意外的是。许多企业希望将通知的门槛设置得很高,这使他们在何时进行通知时有很大的自由度。许多消费者团体认为,过多的自由裁量权意味着没有给予消费者足够的关注。因此,您面临着这种紧张局势和这场战斗,结果,这个问题陷入了僵局。

考虑到TJX事件等一系列违规行为的引人注目的性质,人们不是在要求联邦法律吗?

消费者并没有受到当前情况的保护,这减轻了国会提出立法补救措施的压力。但是,要遵守这一拼凑的法律非常困难。

由于在许多州都有各自的法律,因此会通知人们。许多法律都要求公司遵守客户所居住的每个州的法律。因此,如果一家公司拥有来自多个州的人员数据,那么它将在全国范围内引起关注。

对于受联邦监管的金融机构,存在某些联邦违规要求。例如:所有银行,经纪商和其他投资公司。因此,在它们受到联邦监管的情况下,有通告要求。

您提到公司遵守所有州法律有多么困难。这是为什么?

因为通知的触发因州而异。现在,即使发出的信件内容也因州而异。如果一家公司发现他们的数据已经泄露给来自马萨诸塞州的某人以及马里兰州的某人,则他们必须在不同的内容中发送单独的信函。还存在通知适当的监管机构的问题,因为每个州都有针对监管机构的通知义务法。迷宫导航非常复杂。

这些法律多么不合理的一个例子是总部位于芝加哥的索赔管理公司CS Stars的2007年案。在那种情况下,纽约总检察长说,等待7个星期通知客户有关计算机丢失的违规行为是不合理的,并处以罚款。

在这种情况下,计算机被恢复并进行了法医调查。事实证明,没有人曾经访问过计算机。因此,实际上并没有造成伤害,并且通过恢复数据可以纠正违规行为。但这项业务因被认为是通知时间过长而被罚款。

许多专注于此的州监管机构都将重点放在违规和通知之间的时间顺序上。我不确定他们是否有足够的知识来了解当公司需要使其绕过违规时所涉及的内容。在公司可以通知之前,他们需要找出谁受到了影响以及暴露了什么。实际上,时间的流逝是完全可以理解的,监管机构对通知的延迟做出了猛烈的反应。准确地通知受影响的人比哭泣的狼更好。

也就是说,在数据泄露方面,您会如何建议公司?

企业需要在违规之前做好准备,以知道需要做什么。谁来负责?谁去做什么?为避免在过去的情况下对监管机构进行审查,这是必要的。如果我要向企业提供建议,那么在发生违规之前就已经做好了准备,因为这很可能会在您身上发生。

版权© 2008 IDG通讯,Inc.