在2019年5月7日, 州长杰伊·因斯利 华盛顿签署 乙肝1071 成为法律,从而加强了该州的数据泄露通知法。华盛顿加入了越来越多的州,这些州最近修订了其违规通知法。尽管华盛顿州的法律在2015年进行了修订,但该法律最初是在14年前颁布的。与其他州一样,此修订旨在更好地与当今消费者与技术交互的方式保持一致。随着消费者通过互联网分享有关自己的更多信息,各州继续将责任归于收集该信息的公司和组织,以防止其丢失或滥用。

华盛顿的修正案通过以下主要方式扩展了违约通知法:

  • 首先,它将发现违反消费者的个人信息(法律所定义)的时间和必须向这些消费者提供违反信息的通知的时间从45天缩短到30天。此更改也适用于向 总检察长,现在必须在发现违规后的30天内将其通知,也从45天内降低了(通知司法部长的要求仍然仅在必须向500多名华盛顿居民提供通知的情况下适用)。
  • 第二,给司法部长的通知现在还必须包括:
    • 涉及违规的个人信息类型列表;
    • 暴露的时间范围(如果知道),包括违规日期和发现日期;
    • 为遏制违规所采取的步骤的摘要;和
    • 没有任何个人身份信息的违规通知书的样本副本。

如果随着对违规行为的调查的进行而得知更多信息,则必须根据修订后的法律向司法部长提供最新信息。

  • 第三,修订后的法律扩大了个人信息的定义,以包括该人的名字或名字的首字母和姓氏,并与以下要素之一配对:出生的完整日期;健康保险单或身份证号码;病史,有关精神或身体状况的信息,或保健专业人员的医学诊断或治疗;学生,军人或护照号码;用于认证或签署电子记录的私钥;或某些生物特征数据。对于生物识别数据元素,经修订的法律指“通过自动测量个体的生物学特征而生成的生物学数据。”该法律提供了示例,例如指纹,声纹,视网膜和虹膜。

此外,在消费者与技术的互动持续快速发展的过程中,为了维持其有效性的明显尝试,修订后的法律并不要求违规行为包括消费者的姓名以触发通知,只要其中任何一项或多项损失消失即可。上述要素“将使一个人能够进行身份盗用”并且这些元素不会因加密,修改或其他某种方式而变得不可用。现在,即使没有个人姓名,用户名或电子邮件地址以及允许访问在线帐户的密码或信息也都属于个人信息的定义。

这种扩展意义重大,因为先前的法律将个人信息定义为仅包含一个人的姓名(名字或名字的姓氏和名字)以及以下要素之一:社会安全号;驾驶执照号码或华盛顿身份证号码;或帐号,信用卡或借记卡号,以及允许访问个人金融帐户的任何必需的安全码,访问码或密码。

随着公司继续在其消费者上收集越来越多的数据,至关重要的是,他们必须考虑到保护这些数据免遭盗窃或滥用的需求。不这样做的可能性变得越来越大,导致需要公开通知受影响的个人,这可能导致这些公司遭受重大的声誉和财务损失。