这个帖子也是由 黛安·贝蒂诺(Diane Bettino).

美国几乎每个州都有一项法规,要求在发现数据安全漏洞时进行通知。这些法律中的大多数并不强制要求通知任何国家机关。很少有强迫政府公告的州法律通常对同期公告或事后公告感到满意。

至少对于国家机构许可或直接监管的实体,一切都可能会改变。康涅狄格州保险局发布了公告, 公告IC-25.

IC-25公告设想,每当获得美国商务部许可或监管的公司发生“信息安全事件”时,政府将扮演更加积极的角色。本公告适用于各种受监管的实体,从保险公司到评估师,从保释金代理人到药房福利管理人再到医疗折扣计划。

该公告要求企业在发现“信息安全事件”之前至少五个日历日内发送通知。遭受数据安全漏洞困扰的企业知道,通常甚至需要五个日历天以上的时间才能知道有关潜在事件的基本知识。

迅速告知部门的通知应尽可能包含有关15类信息的信息,包括内部审查的结果以及企业的隐私权政策和数据泄露政策的副本。如果受管制的公司以前没有足够的动力来制定此类政策,那么他们肯定会现在采取行动。

“美国商务部将以草案的形式审查提议的有关违规行为的任何来文”。此外,“根据事件的类型和所涉及的信息,美国商务部还将希望就美国商务部的信贷监控和保险保护水平进行讨论。 要求提供给受影响的消费者以及在什么时间段内提供”(强调后)。曾经起草自己的来文并选择自己的补救措施的企业现在将在违约后与政府机构进行谈判。

此外,新闻部将针对每个事件建立一个“监视过程”,以跟上“与任何信息安全事件相关的活动”。

其他州监管机构是否采用类似方法还有待观察。但是,对于那些受到本公告影响的人来说,它代表着在违规和通知之间的这段时间,政府与企业之间的权限分配发生了巨大变化。