紐約州州長安德魯庫莫(Andrew Cuomo)於2019年7月25日將《停止駭客入侵和改善電子資料安全法》(“Stop Hacks and Improve Electronic Data Security Act”,簡稱「SHIELD法」)簽署為法律,以修訂紐約的資料洩露通知法。
《 SHIELD法》對於資料洩露的記錄提出了更嚴格的要求。企業須於2020年3月21日之前實施「合理的安全措施」,亦即,制定全面的資料安全計劃。
《 SHIELD法》引進了重大變化,包括以下內容:
任何可識別個人的資料,例如姓名、號碼或其他與社會安全號碼、駕照或非駕照號碼或帳號、信用卡或金融卡號碼相連結的識別符號,以及任何安全碼、存取碼、密碼或其他允許獲取個人財務帳戶或生物特徵訊息(例如指紋、聲紋、視網膜或虹膜圖像)的資料。
NYDFS將資料洩露定義為「未經授權的獲取個人資料」。現在,根據《 SHIELD法》,它被定義為「未經授權的造訪個人資料」,其中「造訪」是指查看、複製或下載個人資料。紐約企業必須確保他們確切地知道其個人資料如何被造訪,包括誰有權造訪哪些資料以及何時造訪。
《 SHIELD法》不僅適用於在紐約營運的組織,而且還適用於處理紐約居民個人資料的任何組織。
本法要求公司採取合理的保護措施,以保護個人資料的安全性、保密性和完整性。公司應實施包含特定措施的資料安全計劃,包括風險評估、員工培訓、供應商合約和及時的資料銷毀。
所有收集個人資料的組織必須獨立滿足《SHIELD法》用以保護敏感的個人資料的三部分標準。但是,受《Gramm-Leach-Bliley法》、《健康保險可攜性與責任法案》(HIPAA)和/或紐約州金融服務部網路安全法規範並遵守該規範的受監管組織應被視為符合《SHIELD法》。
為了符合規定,組織必須實施資料安全計劃,其中包括:
如果保障措施「合理」且適合其規模和複雜性,那麼小企業也將被視為合規。若一企業要被視為「小企業」,該企業應滿足以下要求:
若未實施合規的資料安全計劃,將遭紐約州總檢察長強制執行,並可能導致禁令救濟和民事處罰。對於並非不顧後果或不知情的資料洩露通知違規行為,法院可就有權收到通知者所遭受的實際成本或損失,包括隨之而來的財務損失,判予損害賠償。對於明知且不顧後果的違法行為,法院可處以5,000美金或每例最多20美金兩者中較高的罰款,最高限額為25萬美金。對於合理的違反保障要求的行為,法院可對每次違規處以不超過$ 5,000美金的罰款。但是,《SHIELD法》並未授予私人訴訟權。
若您有更進一步的疑問,請與我們聯絡,我們很樂意協助您解決您的問題,幫助您遵守紐約的《SHIELD法》。
