பொருளடக்கம்:
- ஒரு கூட்டாட்சி வழக்கை உருவாக்குதல்
- கலிபோர்னியா கனவுகள்
- ஐரோப்பா அல்லது மார்பளவு
- தரவு மீறல்கள் மற்றும் அறிக்கையிடல்
யுனைடெட் ஸ்டேட்ஸில், பல்வேறு கூட்டாட்சி மற்றும் மாநில தரவு மீறல் அறிவிப்பு சட்டங்கள் உள்ளன, இருப்பினும் விரிவான கூட்டாட்சி சட்டம் இல்லை. மே 2011 இல், ஒபாமா நிர்வாகம் ஒரு விரிவான இணைய பாதுகாப்பு திட்டத்தை காங்கிரசுக்கு சமர்ப்பித்தது, அதில் கூட்டாட்சி தரவு மீறல் அறிவிப்பு தேவை உள்ளது. இது இணைய பாதுகாப்பை பெரிதும் மேம்படுத்தக்கூடும், ஆனால் ஜனவரி 2012 நிலவரப்படி, கூட்டாட்சி தரவு மீறல் அறிவிப்பு சட்டம் எதுவும் நிறைவேற்றப்படவில்லை. தரவு பாதுகாப்பு மற்றும் மீறல்களை நிவர்த்தி செய்ய அமைக்கப்பட்டுள்ள சட்டத்தை இங்கே பார்ப்போம். (பின்னணி வாசிப்புக்கு, ஐடி பாதுகாப்பின் அடிப்படைக் கோட்பாடுகளைப் பார்க்கவும்.)
ஒரு கூட்டாட்சி வழக்கை உருவாக்குதல்
அமெரிக்க கூட்டாட்சி மட்டத்தில், குறிப்பிட்ட வகை தரவுகளுக்கு மீறல் அறிவிப்பு தேவைப்படும் சட்டங்களும் வழிகாட்டுதல்களும் உள்ளன: சுகாதார காப்பீட்டு பெயர்வுத்திறன் மற்றும் பொறுப்புக்கூறல் (HIPAA) சட்டம் மற்றும் சுகாதார மற்றும் சுகாதார தகவலுக்கான சுகாதார தகவல் தொழில்நுட்பம் (ஹைடெக்) சட்டம் நிதித் தகவலுக்கான கிராம்-லீச்-பிளேலி சட்டம், மற்றும் கூட்டாட்சி அமைப்புகளின் தனிப்பட்ட தகவல்களுக்கான மேலாண்மை மற்றும் பட்ஜெட் அலுவலகம் (OMB) வழிகாட்டுதல்.
ஹைடெச் சட்டத்தின்படி, HIPAA ஆல் மூடப்பட்ட சுகாதார சேவை வழங்குநர்கள் நோயாளிகளின் சுகாதார தகவல்கள் மீறப்படும்போது "உடனடியாக" அவர்களுக்கு அறிவிக்க வேண்டும். 500 க்கும் மேற்பட்ட நபர்களை மீறும் சந்தர்ப்பங்களில் சுகாதார மற்றும் மனித சேவைகள் திணைக்களம் (HHS) மற்றும் ஊடகங்களுக்கு அறிவிக்கப்பட வேண்டும். தனிப்பட்ட சுகாதார தகவல்களின் விற்பனையாளர்கள் இதேபோன்ற மீறல் அறிவிப்பு தேவைகளைக் கொண்டுள்ளனர், ஆனால் HHS ஐ விட கூட்டாட்சி வர்த்தக ஆணையத்திற்கு தெரிவிக்க வேண்டும்.
கிராம்-லீச்-பிளைலி சட்டத்தின் கீழ் கூட்டாட்சி வங்கி கட்டுப்பாட்டாளர்கள் வழங்கிய வழிகாட்டுதலின் படி, ஒரு வங்கி அல்லது பிற நிதி நிறுவனம் தரவு மீறல் குறித்து அறிந்தால், அது தகவல் அல்லது தவறாக பயன்படுத்தப்படுவதற்கான சாத்தியக்கூறுகளைத் தீர்மானிக்க விசாரணையை நடத்த வேண்டும். தவறாகப் பயன்படுத்தப்பட்டது அல்லது நியாயமான முறையில் சாத்தியமானது என்று வங்கி தீர்மானித்தால், அது பாதிக்கப்பட்ட வாடிக்கையாளர்களுக்கு விரைவில் தெரிவிக்க வேண்டும்.
அறிவிப்பு ஒரு குற்றவியல் விசாரணையில் தலையிடும் என்று சட்ட அமலாக்கம் தீர்மானித்து, தாமதத்திற்கான எழுத்துப்பூர்வ கோரிக்கையை வங்கிக்கு வழங்கினால் வாடிக்கையாளர் அறிவிப்பு தாமதமாகும். அறிவிப்பு இனி விசாரணையில் தலையிடாது என வங்கி தனது வாடிக்கையாளர்களுக்கு அறிவிக்க வேண்டும். இருப்பினும், வங்கிக்கு சங்கடம் அல்லது சிரமமாக இருப்பதால் அறிவிப்பை தாமதப்படுத்த முடியாது.
OMB வழிகாட்டுதலின் படி, கண்டுபிடிப்பு / கண்டறிதல் ஒரு மணி நேரத்திற்குள் தனிப்பட்ட முறையில் அடையாளம் காணக்கூடிய தகவல்களை உள்ளடக்கிய அனைத்து தரவு மீறல்களையும் கூட்டாட்சி முகவர் அறிக்கையிட வேண்டும். இருப்பினும், ஏஜென்சிக்கு வெளியே தரவு மீறல்களைப் புகாரளிப்பதில் ஏஜென்சிகளுக்கு விருப்பம் உள்ளது. அவர்கள் சட்ட அமலாக்கம், தேசிய பாதுகாப்பு அல்லது ஏஜென்சி தேவைகளுக்கான அறிவிப்பை தாமதப்படுத்தலாம்.
கலிபோர்னியா கனவுகள்
மாநில அளவில், தரவு மீறல் அறிவிப்பில் 46 மாநில சட்டங்களின் (மற்றும் கொலம்பியா மாவட்டம்) ஒட்டுவேலை உள்ளது. கலிஃபோர்னியா 2002 இல் முதல் தரவு மீறல் அறிவிப்புச் சட்டத்தை இயற்றியது, மேலும் இது பல மாநில சட்டங்களுக்கு ஒரு மாதிரியாகப் பயன்படுத்தப்பட்டது.
கலிஃபோர்னியா சட்டத்தின் கீழ், நிறுவனங்கள் வாடிக்கையாளர்களுக்கு ஒரு தரவு மீறலை "சீக்கிரம், நியாயமற்ற தாமதமின்றி" எழுத்துப்பூர்வமாக வெளியிட வேண்டும். அறிவிப்பு நபர் அல்லது வணிகத்திற்கு அறிவிப்பு 250, 000 டாலருக்கும் அதிகமாக செலவாகும் அல்லது 500, 000 க்கும் அதிகமான மக்களை பாதிக்கும் என்பதை நிரூபிக்க முடிந்தால், ஒரு வலைத்தள இடுகையின் வடிவத்தில் மாற்று அறிவிப்பு மற்றும் முக்கிய மாநிலம் தழுவிய ஊடகங்களுக்கு அறிவிப்பு பயன்படுத்தப்படலாம். தனிப்பட்ட தகவல்கள் மறைகுறியாக்கப்பட்ட எந்தவொரு தரவு மீறலையும் இந்த அறிவிப்பு அறிவிப்பிலிருந்து விலக்குகிறது.
இருப்பினும், கலிஃபோர்னியா, பல மாநிலங்களைப் போலல்லாமல், தரவு மீறல் குறித்து நுகர்வோருக்கு உடனடியாக அறிவிக்கத் தவறியதற்காக அபராதம் விதிக்கப்படவில்லை. மாநில சட்டமன்றங்களின் தேசிய மாநாடு மாநில தரவு மீறல் அறிவிப்பு சட்டங்களின் பட்டியலையும் அந்த சட்டங்களுக்கான இணைப்புகளையும் பராமரிக்கிறது.
ஐரோப்பா அல்லது மார்பளவு
ஐரோப்பாவில், ஐரோப்பிய ஒன்றியம் அதன் மின் தனியுரிமை உத்தரவுக்கான 2009 திருத்தத்தில் தரவு மீறல் அறிவிப்பு தேவைக்கு ஒப்புதல் அளித்தது. ஐரோப்பிய ஒன்றிய உறுப்பு நாடுகள் தேசிய சட்டத்தில் திருத்தத்தை செயல்படுத்த மே 25, 2011 வரை இருந்தன.
இந்தத் திருத்தத்திற்கு "பொதுவில் கிடைக்கக்கூடிய மின்னணு தகவல்தொடர்பு சேவைகளை வழங்குநர்கள்" தனிப்பட்ட தகவல்களை மீறுவது குறித்து தேசிய அதிகாரிகளுக்கு அறிவிக்க வேண்டும், இது கணிசமான பொருளாதார இழப்பு மற்றும் வாடிக்கையாளர்களுக்கு சமூகத் தீங்கு விளைவிக்கும் "மீறல் குறித்து அவர்கள் அறிந்தவுடன். மேலும், பாதிக்கப்பட்ட வாடிக்கையாளர்களுக்கு "தாமதமின்றி" மீறல் குறித்து அறிவிக்கப்பட வேண்டும். இந்த அறிவிப்பில் நிறுவனம் எடுக்கும் நடவடிக்கைகள் பற்றிய தகவல்களும், பாதிக்கப்பட்ட வாடிக்கையாளர்களுக்கான பரிந்துரைக்கப்பட்ட நடவடிக்கைகளும் இருக்க வேண்டும்.
மின்னணு தகவல் தொடர்பு சேவை வழங்குநர்கள் மட்டுமின்றி, அனைத்து நிறுவனங்களும், தேசிய அதிகாரிகள் மற்றும் பாதிக்கப்பட்ட வாடிக்கையாளர்களுக்கு தனிப்பட்ட தகவல்களை மீறிய 24 மணி நேரத்திற்குள் அறிவிக்க வேண்டும் என்ற நிபந்தனை உட்பட, 2012 இல் ஐரோப்பிய ஒன்றிய தரவு பாதுகாப்பு உத்தரவில் மாற்றங்கள் எதிர்பார்க்கப்படுகின்றன.
ஐரோப்பிய ஒன்றிய மின்-தனியுரிமை வழிநடத்துதலுக்கு முந்திய இங்கிலாந்து தரவு பாதுகாப்புச் சட்டம், தரவுகளைப் பாதுகாக்க நிறுவனங்களுக்கான விரிவான தேவைகளைக் கொண்டுள்ளது, இருப்பினும் இது தரவு மீறல் அறிவிப்புத் தேவையைக் கொண்டிருக்கவில்லை.
இந்தச் செயலைச் செயல்படுத்தும் பொறுப்பில் உள்ள இங்கிலாந்து தகவல் ஆணையர் அலுவலகம் (ஐ.சி.ஓ), நிறுவனங்கள் தனிநபர்களுக்கு தீங்கு விளைவிக்கும் மீறல்கள் என வரையறுக்கப்பட்ட கடுமையான தரவு மீறல்களை ஐ.சி.ஓ.க்கு தெரிவிக்க வேண்டும் என்று கூறியுள்ளது. 1, 000 அல்லது அதற்கு மேற்பட்ட தனிநபர்கள் மீது மறைகுறியாக்கப்பட்ட தனிப்பட்ட தகவல்களை மீறுவது குறித்து இங்கிலாந்து நிறுவனங்கள் அறிவிக்கும் என்று நிறுவனம் எதிர்பார்க்கிறது. பாதிக்கப்பட்ட நுகர்வோருக்கு அறிவிப்பது அதன் பொறுப்பு அல்ல என்று ஐ.சி.ஓ கூறியது, ஆனால் நிறுவனம் இந்த மீறலை "சம்பந்தப்பட்ட நபர்களின் நலன்களில் தெளிவாக உள்ளது அல்லது அவ்வாறு செய்ய வலுவான பொது நலன் வாதம் உள்ளது" என்று பகிரங்கப்படுத்த பரிந்துரைக்கலாம்.
தரவு மீறல்கள் மற்றும் அறிக்கையிடல்
மிகவும் விளம்பரப்படுத்தப்பட்ட தரவு மீறல்கள் மற்றும் பொது அழுத்தங்களுக்கு விடையிறுக்கும் வகையில், அமெரிக்க மற்றும் ஐரோப்பிய சட்டமன்ற உறுப்பினர்கள் மற்றும் கட்டுப்பாட்டாளர்கள் அனைத்து நிறுவனங்களும் தரவு மீறல்களை தேசிய அதிகாரிகள் மற்றும் பாதிக்கப்பட்ட நுகர்வோருக்கு புகாரளிக்கும் தேவைகளை பரிசீலித்து வருகின்றனர். இருப்பினும், ஜனவரி 2012 நிலவரப்படி, அந்த முயற்சிகள் எதுவும் அமெரிக்கா அல்லது ஐரோப்பிய ஒன்றியத்தில் விரிவான தரவு மீறல் அறிவிப்பு சட்டங்கள் மற்றும் விதிமுறைகளை ஏற்படுத்தவில்லை.
