2017年8月17日,特拉华州州长约翰·卡尼(John Carney)签署法律 众议院法案180的众议院替代1自2005年以来,对特拉华州的数据泄露通知法进行了首次重大修订。该法案定于2018年4月14日生效,要求私有组织保持合理的安全政策和程序;扩展“个人信息”的定义,以包括医疗信息,生物识别符和电子签名;并添加其他违规通知和信用监控要求。该法案紧随加利福尼亚,伊利诺伊州,内布拉斯加州,田纳西州和亚利桑那州等州对数据泄露通知要求进行的其他修订之后。

合理的数据安全

特拉华州修订后的数据泄露法律现在要求在特拉华州开展业务并“拥有,许可或维护”个人信息的任何“人”均应“实施并维持合理的程序和做法”,以保护在此过程中收集或维护的个人信息业务。

特拉华州现在加入 至少其他13个州 肯定要求私有组织保持合理的安全程序和惯例的数据泄露法律。根据特拉华州经修订的数据泄露法和类似的州法规,即使不需要向居民发出泄露通知,私人组织也可能因未能保持适当的安全控制而承担责任。

违规通知和信用监控

特拉华州经修订的数据泄露法律还要求组织在不发现泄露的情况下至少60天之内,向特拉华州居民发出通知,称其个人信息被泄露或被合理地认为已被泄露而没有“不合理的延迟”,除非联邦法律(例如,HIPAA或GLBA)要求更短的通知期限,或者执法部门要求延迟。如果调查显示违规行为不太可能对受影响的居民造成伤害,则无需组织通知。

修订后的法律也不需要通知加密数据,除非该泄露包括组织合理地认为可以使加密信息可读或可用的加密密钥。

此外,修订后的法律现在要求组织为特拉华州居民提供一年的信用监控,这些居民的社会安全号码可能已作为违规行为的一部分被暴露。该规定与加利福尼亚州和康涅狄格州的类似规定相似。

个人信息的定义

特拉华州经修订的数据泄露通知法扩大了“个人信息”的定义,以包括特拉华州居民的名字或姓氏和名字以及以下一个或多个数据元素:社会安全号码,驾驶执照号码(或其他联邦号码(或州身分证号码),信用卡或金融帐号,护照号码,共享机密或安全令牌,用户名和密码,结婚证书或结婚证书号码,出生日期,病史或病历,健康保险单号,唯一用于身份验证的生物特征数据,纳税人识别号,自动车牌识别系统的数据或个人的数字或电子签名。

扩展后的元素列表反映出各国越来越关注在越来越多的领域中使用生物识别符和电子签名进行身份验证,包括个人设备,电子交易和建筑物访问。

总检察长通知和执行

特拉华州修订后的数据泄露法律还为特拉华州总检察长提供了扩展的角色,以强制执行数据安全措施并与组织合作。现在,如果500多名特拉华州居民受到影响,组织必须将违规行为通知司法部长。与特拉华州以前的数据泄露法律一样,特拉华州总检察长被授权采取法律和平等行动,以确保遵守数据泄露法律,或追回“直接经济损失”。修改后的数据泄露法律没有规定私人诉讼权。

技术与法度的经历

技术与法度(Technology and law)的IP,技术&数据业务部门定期为客户提供建议,以应对数据泄露,遵守数据泄露通知法律以及实施和维护有效的数据安全和隐私计划。有关数据泄露响应的更多信息,请联系Reed Smith律师Mark Melodia,地址为 [email protected] 或Paul Bond在 [email protected].

此外,要获得有关数据泄露后如何处理的即时指导,请查看Reed Smith的免费版 违反反应 寻求帮助的应用程序。