विषयसूची:
संयुक्त राज्य में, विभिन्न संघीय और राज्य डेटा ब्रीच अधिसूचना कानून हैं, हालांकि कोई व्यापक संघीय कानून नहीं है। मई 2011 में, ओबामा प्रशासन ने कांग्रेस के लिए एक व्यापक साइबर प्रस्ताव प्रस्तुत किया जिसमें एक संघीय डेटा उल्लंघन अधिसूचना आवश्यकता शामिल है। यह बहुत हद तक साइबर सुरक्षा में सुधार कर सकता है, लेकिन जनवरी 2012 तक, कोई भी संघीय डेटा उल्लंघन अधिसूचना कानून पारित नहीं किया गया था। यहां हम डेटा सुरक्षा और कानून को देखते हैं जो उल्लंघनों को संबोधित करने के लिए स्थापित किया जा रहा है। (पृष्ठभूमि पढ़ने के लिए, आईटी सुरक्षा के बुनियादी सिद्धांत देखें।)
संघीय मामला बनाना
अमेरिकी संघीय स्तर पर, विशिष्ट प्रकार के डेटा के लिए उल्लंघन की सूचना के लिए कानून और मार्गदर्शन की आवश्यकता होती है: स्वास्थ्य देखभाल जानकारी के लिए स्वास्थ्य बीमा पोर्टेबिलिटी और जवाबदेही (HIPAA) अधिनियम और आर्थिक और नैदानिक स्वास्थ्य के लिए स्वास्थ्य सूचना प्रौद्योगिकी (हाईटेक) अधिनियम, वित्तीय जानकारी के लिए ग्राम-लीच-ब्लीली अधिनियम, और संघीय एजेंसियों द्वारा आयोजित व्यक्तिगत जानकारी के लिए प्रबंधन और बजट (OMB) मार्गदर्शन कार्यालय।
HITECH अधिनियम के अनुसार, HIPAA द्वारा कवर की गई स्वास्थ्य देखभाल सेवा प्रदाताओं को रोगियों को "तुरंत" सूचित करना चाहिए जब उनकी स्वास्थ्य जानकारी भंग हो गई हो। स्वास्थ्य और मानव सेवा विभाग (HHS) और मीडिया को उन मामलों में सूचित किया जाना चाहिए जहां उल्लंघनों से 500 से अधिक व्यक्ति प्रभावित होते हैं। व्यक्तिगत स्वास्थ्य जानकारी के विक्रेताओं के पास समान ब्रीच अधिसूचना आवश्यकताएं हैं, लेकिन HHS के बजाय संघीय व्यापार आयोग को सूचित करना चाहिए।
ग्राम-लीच-ब्लाइली अधिनियम के तहत संघीय बैंकिंग नियामकों द्वारा जारी किए गए मार्गदर्शन के अनुसार, जब कोई बैंक या अन्य वित्तीय संस्थान डेटा ब्रीच के बारे में जागरूक हो जाता है, तो यह इस संभावना को निर्धारित करने के लिए एक जांच का आयोजन करना चाहिए कि जानकारी का दुरुपयोग किया गया है या इसका दुरुपयोग किया जाएगा। यदि बैंक यह निर्धारित करता है कि दुरुपयोग हुआ है या यथोचित रूप से संभव है, तो इसे जल्द से जल्द प्रभावित ग्राहकों को सूचित करना चाहिए।
ग्राहक नोटिस में देरी हो सकती है अगर कानून प्रवर्तन यह निर्धारित करता है कि अधिसूचना एक आपराधिक जांच में हस्तक्षेप करेगी और देरी के लिए लिखित अनुरोध के साथ बैंक को प्रदान करेगी। बैंक को अपने ग्राहकों को जल्द से जल्द सूचित करना चाहिए क्योंकि अधिसूचना अब जांच में हस्तक्षेप नहीं करेगी। हालाँकि, बैंक को शर्मिंदगी या असुविधा के कारण अधिसूचना में देरी नहीं की जा सकती है।
ओएमबी मार्गदर्शन के अनुसार, संघीय एजेंसियों को खोज / पता लगाने के एक घंटे के भीतर व्यक्तिगत रूप से पहचान योग्य जानकारी वाले सभी डेटा उल्लंघनों की रिपोर्ट करना आवश्यक है। हालांकि, एजेंसियों को एजेंसी के बाहर डेटा उल्लंघनों की रिपोर्टिंग पर विवेक है। वे कानून प्रवर्तन, राष्ट्रीय सुरक्षा या एजेंसी की जरूरतों के लिए अधिसूचना में देरी कर सकते हैं।
कैलिफोर्निया सपने देख रहा है
राज्य स्तर पर, डेटा ब्रीच अधिसूचना पर 46 राज्य कानूनों (और कोलंबिया जिला) का एक चिथड़ा है। कैलिफोर्निया ने 2002 में पहला डेटा ब्रीच नोटिफिकेशन कानून बनाया और इसे कई अन्य राज्य कानूनों के लिए एक मॉडल के रूप में इस्तेमाल किया गया।
कैलिफ़ोर्निया कानून के तहत, कंपनियों को "अनुचित तरीके से, बिना किसी देरी के" जितनी जल्दी हो सके ग्राहकों को डेटा उल्लंघन का खुलासा करना चाहिए। यदि सूचित व्यक्ति या व्यवसाय यह प्रदर्शित कर सकता है कि अधिसूचना $ 250, 000 से अधिक खर्च होगी या 500, 000 से अधिक लोगों को प्रभावित करेगी, तो वेबसाइट पोस्टिंग के रूप में एक विकल्प नोटिस और प्रमुख राज्यव्यापी मीडिया के लिए अधिसूचना का उपयोग किया जा सकता है। क़ानून किसी भी डेटा उल्लंघन की अधिसूचना से छूट देता है जिसमें व्यक्तिगत जानकारी एन्क्रिप्ट की गई थी।
हालांकि, कैलिफोर्निया, कई अन्य राज्यों के विपरीत, डेटा उल्लंघन के उपभोक्ताओं को तुरंत सूचित करने में विफलता के लिए दंड शामिल नहीं करता है। राज्य विधानसभाओं का राष्ट्रीय सम्मेलन राज्य डेटा उल्लंघन अधिसूचना कानूनों और उन कानूनों के लिंक की एक सूची रखता है।
यूरोप या बस्ट
यूरोप में, यूरोपीय संघ ने 2009 में अपने ई-गोपनीयता निर्देश में संशोधन के लिए डेटा ब्रीच अधिसूचना की आवश्यकता को मंजूरी दी। यूरोपीय संघ के सदस्य राष्ट्रों ने राष्ट्रीय कानून में संशोधन को लागू करने के लिए 25 मई 2011 तक का समय दिया था।
संशोधन के लिए "सार्वजनिक रूप से उपलब्ध इलेक्ट्रॉनिक संचार सेवाओं के प्रदाताओं" की आवश्यकता होती है, ताकि राष्ट्रीय अधिकारियों को व्यक्तिगत जानकारी के उल्लंघन के बारे में सूचित किया जा सके जो ग्राहकों को "आर्थिक नुकसान और सामाजिक नुकसान" के रूप में जल्द ही "ब्रीच के बारे में पता हो"। साथ ही, प्रभावित ग्राहकों को उल्लंघन के बारे में सूचित किया जाना चाहिए "बिना देरी के।" अधिसूचना में कंपनी द्वारा किए जा रहे उपायों के बारे में जानकारी, साथ ही प्रभावित ग्राहकों के लिए अनुशंसित कार्य शामिल होने चाहिए।
यूरोपीय संघ के डेटा संरक्षण निर्देश में बदलाव 2012 में होने की आवश्यकता है, जिसमें एक आवश्यकता यह है कि सभी कंपनियां, न केवल इलेक्ट्रॉनिक संचार सेवा प्रदाता, राष्ट्रीय अधिकारियों को सूचित करें और प्रभावित ग्राहकों को व्यक्तिगत जानकारी के उल्लंघन के 24 घंटों के भीतर।
यूके डेटा प्रोटेक्शन एक्ट, जो ईयू ई-प्राइवेसी डायरेक्टिव से पहले है, में डेटा की सुरक्षा के लिए कंपनियों के लिए आवश्यकताओं की एक व्यापक सेट है, हालांकि इसमें डेटा ब्रीच नोटिफिकेशन की आवश्यकता नहीं है।
ब्रिटेन के सूचना आयुक्त कार्यालय (आईसीओ), जो अधिनियम को लागू करने के प्रभारी हैं, ने कहा है कि कंपनियों को गंभीर डेटा उल्लंघनों की रिपोर्ट करनी चाहिए, जिन्हें उल्लंघनों के रूप में परिभाषित किया गया है जो व्यक्तियों को संभावित नुकसान पहुंचा सकता है। एजेंसी ने कहा कि वह यूके की कंपनियों से यह अपेक्षा करेगी कि वह 1, 000 या अधिक व्यक्तियों पर अनएन्क्रिप्टेड व्यक्तिगत जानकारी के उल्लंघनों के बारे में सूचित करें। आईसीओ ने कहा कि प्रभावित उपभोक्ताओं को सूचित करना इसकी जिम्मेदारी नहीं है, लेकिन यह सिफारिश कर सकता है कि कंपनी ब्रीच को सार्वजनिक करे "जहां यह स्पष्ट रूप से संबंधित व्यक्तियों के हितों में है या ऐसा करने के लिए एक मजबूत सार्वजनिक हित तर्क है।"
डेटा ब्रीच और रिपोर्टिंग
अत्यधिक प्रचारित डेटा उल्लंघनों और सार्वजनिक दबाव के जवाब में, अमेरिकी और यूरोपीय विधायक और नियामक आवश्यकताओं पर विचार कर रहे हैं कि सभी कंपनियां राष्ट्रीय अधिकारियों और प्रभावित उपभोक्ताओं को डेटा उल्लंघनों की रिपोर्ट करें। हालांकि, जनवरी 2012 तक, उन प्रयासों में से कोई भी संयुक्त राज्य या यूरोपीय संघ में व्यापक डेटा उल्लंघन अधिसूचना कानूनों और नियमों के परिणामस्वरूप नहीं था।
