2019年7月25日,纽约州州长安德鲁.科莫(Andrew Cuomo)将《阻止黑客入侵并改善电子数据安全法案》(即《盾 牌法案》,SHIELD Act)签署成为了法律。该法案对纽约州的数据外泄通知法律和数据保护规定进行了修正。此举象征着美国实施个人隐私和数据安全法律的州在不断增多。《盾 牌法案》所带来的变化如下:
扩大了“私人信息”的定义:根据该法案的规定,“私人信息”还包括生物特征识别信息、用户名加密码、邮箱加密码或安全问题和答案。此外,如果在没有验证码、接入码或密码等信息的情况下也能访问账户的话,那么相关账号或信用卡号或借记卡号也属于“私人信息”。
扩大了“系统安全外泄”的定义:根据该法案的规定,“系统安全外泄”的定义还包括在未经授权的情况下“接入”(access,包括观看、复制或下载)会损害私人信息安全性、保密性或完整性的计算机化数据。此外,该法案还提供了访问此类数据的样本指标。而此前的法律仅将“系统安全外泄”定义为在未经授权的情况下“获取”(acquire)计算机化数据。
扩大了数据外泄通知法律所适用的地理范围:法案将数据外泄通知规定所适用的地理范围扩大至拥有纽约州居民的私人信息或将此类信息许可给他人的任何个人或企业。而根据此前法律的规定,数据外泄通知规定的适用范围仅限于在纽约州开展业务的个人或企业。
要求企业落实数据安全规定:该法案要求相关企业要采取合理的保障措施来确保私人信息的安全性、保密性和完整性。企业应实施数据安全项目并采取具体的措施,例如实施风险评估、开展员工培训活动、与供应商签订合同以及及时进行数据处理。
《盾 牌法案》将于2019年10月23日正式生效。
此外,安德鲁.科莫还签署了《第3582号参议院法案》(Senate Bill S3582)。根据该法案,遭受社会保险号外泄的信用报告机构需要向消费者提供防止身份信息外泄的措施和服务。
目前,纽约州正在不断强化消费者隐私和数据的保护工作。相关企业应审核其信息安全项目,对所收集的私人信息进行评估,并遵循《盾 牌法案》中关于数据安全的规定。(编译自www.lexology.com)
翻译:李艳秋 校对:刘鹏
