这篇文章也是由 Diane Bettino..

几乎每个国家都有一个要求在发现数据安全漏洞时要通知的法规。这些法律中的大多数都不授权任何国家权力的通知。 T软管少数州法律强迫政府通知通常对同时发生的通知或事实后通知感到满意。

这一切可能会改变,至少对于国家机构许可或直接监管的实体。康涅狄格州的保险部发出公告, 公告IC-25.

公告IC-25设想在该部门许可或监管的公司有“信息安全事件”的公司时,更加积极的政府作用。本公告适用于各种监管实体,从保险公司到评估师,从保释金代理商到药房福利经理到医疗折扣计划。

公告要求业务在识别事件后不迟于五个日历日之前发送“信息安全事件”通知。作为遭受数据安全漏洞的企业,它通常需要超过五个日历日,即使是关于潜在事件的基础知识。

这种闪电通知对部门应尽可能多地包括约15类信息,包括企业隐私政策和数据违约政策的内部审核和副本的结果。如果受监管公司没有足够的激励,以前有这样的政策,他们现在肯定会这样做。

“该部门将以”违反违约“的方式审查任何建议的沟通。此外,“取决于事件类型和所涉及的信息,该部门还将希望讨论该部门的信用监测和保险保护程度 将要 要求提供给受影响的消费者和什么时间(重点添加)。用于起草自己的沟通和选择自己的补救措施的企业现在将与政府机构发布违约的那些积分进行谈判。

此外,该部门将建立一个“监测过程”,每个事件都是独一无二的,以了解“与任何信息安全事件相关的活动”。

无论是其他国家监管机构采用类似的方法,还仍有待观察。但是,对于那些属于本公告的范围的人,它代表了在违约和通知期间政府和业务之间分配权威的海洋变革。