فرماندار تام ولف لایحه 696 سنا را برای نقض داده های PA امضا کرد


پنجشنبه 29 دسامبر 2022

در روز پنجشنبه، 3 نوامبر 2022، فرماندار تام وولف لایحه 696 سنای PA را امضا کرد که به ،وان قانون 151 سال 2022 یا قانون اعلان اطلاعات شخصی نقض می شود. قانون 151 قانون اعلان نقض اطلاعات شخصی موجود در پنسیلو،ا را اصلاح می کند، حمایت از مصرف کنندگان را تقویت می کند و ا،امات سخت گیرانه تری را برای آژانس های ایالتی، پیمانکاران آژانس ایالتی، زیرمجموعه های سیاسی و افراد یا مشاغل خاصی که در کشورهای مش، المنافع تجارت می کنند، اعمال می کند. قانون 151 تعریف «اطلاعات شخصی» را گسترش می‌دهد و نهادهای مش، المنافع را م،م می‌کند که رویه‌های اطلاع رس، خاصی را اجرا کنند در صورتی که اطلاعات شخصی رمزگذاری‌نشده و ویرایش‌نشده ،ن مش، المنافع توسط شخص غیرمجاز دسترسی یا به‌طور منطقی تصور می‌شود. . ا،امات برای نهادهای ،تی و محلی کمی متفاوت است. این هشدار به تأثیر قانون 151 بر نهادهای محلی می پردازد. در حالی که این قانون تا 22 مه 2023 اجرایی نمی شود، بسیار مهم است که همه نهادهای تحت تأثیر این قانون از این تغییرات آگاه باشند.

برای اه، قانون 151، اصطلاح “نهادهای محلی” شامل شهرداری ها، شهرستان ها و مدارس ،تی می شود. اصطلاح “مدرسه ،تی” شامل تمام مناطق مدرسه، مدارس منشور، واحدهای متوسط، مدارس منشور سایبری، و مدارس حرفه ای و فنی منطقه می شود. قانون 151 ایجاب می‌کند که در صورت نقض امنیتی سیستمی که توسط یک نهاد محلی برای نگهداری، ذخیره یا مدیریت داده‌های رایانه‌ای شامل اطلاعات شخصی مورد استفاده قرار می‌گیرد، نهاد محلی باید طی هفت روز کاری پس از تعیین وضعیت، به افراد آسیب‌دیده اطلاع دهد. رخنه. علاوه بر این، نهادهای محلی باید ظرف سه روز کاری به دادستان منطقه محلی از تخلف اطلاع دهند.

تعریف “اطلاعات شخصی” به روز شده است و شامل ،یبی از (1) نام یا نام اول و نام خانوادگی یک فرد، و (2) یک یا چند مورد از موارد زیر است، اگر رمزگذاری نشده و ویرایش نشده باشد:

  • شماره تامین اجتماعی؛

  • شماره گواهینامه رانندگی؛

  • شماره حساب مالی یا شماره کارت اعتباری یا نقدی، همراه با هر کد امنیتی یا رمز عبور مورد نیاز؛

  • اطلاعات پزشکی؛

  • اطلاعات بیمه سلامت؛ یا

  • نام کاربری یا رمز عبور در ،یب با رمز عبور یا پرسش و پاسخ امنیتی.

سه مورد آ، با این اصلاحیه اضافه شد. علاوه بر این، زبان جدید بیان می‌کند که «اطلاعات شخصی» شامل اطلاعاتی نمی‌شود که از سوابق ،تی یا رسانه‌های به‌طور گسترده در دسترس عموم قرار می‌گیرد.

قانون 151 اصطلاحات تعریف نشده قبلی را تعریف می کند، و بین “تعیین” و “کشف” نقض تمایز قائل شده و تعهدات متفاوتی را در رابطه با هر یک تعیین می کند. «تعیین» در این قانون به ،وان «تأیید یا اطمینان معقول از وقوع نقض امنیت سیستم» تعریف می‌شود. “کشف” به این صورت تعریف می شود: “دانستن یا ظن منطقی مبنی بر اینکه امنیت سیستم رخ داده است.” این تمایز به نهادها این امکان را می‌دهد تا قبل از اجرای ا،امات اعلان سخت‌تر، یک نقض احتمالی را بررسی کنند. تعهد یک نهاد محلی برای اطلاع دادن به ،نان مش، المنافع زم، آغاز می شود که نهاد به این نتیجه رسیده باشد که نقض رخ داده است. علاوه بر این، هر فروشنده ای که داده های رایانه ای را از طرف یک نهاد محلی نگهداری، ذخیره یا مدیریت می کند، مسئول اطلاع دادن به نهاد محلی در صورت کشف نقض است، اما نهاد محلی در نهایت مسئول تصمیم گیری و انجام هر گونه وظایف باقی مانده بر اساس قانون است. 151.

یکی دیگر از به روز رس، های مهم ارائه شده توسط قانون 151، اضافه شدن یک روش اطلاع رس، الکترونیکی است. قبلاً می‌توانست اخطار داده شود: (1) از طریق نامه کتبی که به آ،ین آدرس خانه شناخته شده فرد پست می‌شود. (2) از طریق تلفن، در صورتی که ا،امات خاصی برآورده شود. (3) از طریق ایمیل اگر یک رابطه تجاری قبلی وجود داشته باشد و نهاد دارای یک آدرس ایمیل معتبر باشد. یا (4) اگر هزینه ارائه اخطار از 100000 دلار تجاوز کند، از 175000 نفر افراد تحت تأثیر قرار گیرد، یا نهاد اطلاعات تماس کافی نداشته باشد، از طریق اخطار جایگزین. اکنون، علاوه بر گزینه ایمیل، نهادها می‌توانند اعلامیه‌ای الکترونیکی ارائه کنند که به فردی که اطلاعات شخصی او ممکن است به طور مادی در معرض خطر قرار گرفته باشد هدایت می‌کند تا سریعاً رمز عبور و سؤال یا پاسخ امنیتی خود را تغییر دهد یا هر اقدام من، دیگری را برای محافظت از اطلاعات خود انجام دهد.

قانون 151 همچنین مقرر می‌دارد که تمام نهادهایی که اطلاعات شخصی رایانه‌ای را از طرف مش، المنافع نگهداری، ذخیره یا مدیریت می‌کنند باید از رمزگذاری استفاده کنند – این ماده در ابتدا فقط برای کارمندان و پیمانکاران آژانس‌های مش، المنافع اعمال می‌شد، اما در قانون 151 گسترش یافت. مقرر می‌دارد که همه نهادهایی که اطلاعات شخصی رایانه‌ای را از طرف مش، المنافع نگهداری، ذخیره یا مدیریت می‌کنند، باید خط‌مشی‌های مربوط به انتقال و ذخیره‌سازی اطلاعات شخصی را حفظ کنند – چنین سیاست‌هایی قبلاً توسط دفتر اداری استانداری تدوین شده بود.

در نهایت، بر اساس قانون 151، هر نهادی که مشمول و مطابق با برخی از قو،ن مراقبت های بهداشتی و حریم خصوصی فدرال باشد، مطابق با قانون 151 تلقی می شود. برای مثال، نهادی که تابع و مطابق با قابلیت حمل و نقل بیمه سلامت است قانون پاسخگویی 1996 (HIPAA) مطابق با قانون 151 تلقی می شود.

اگرچه قانون 151 اصلاحیه ای برای قو،ن قبلی است، اما به روز رس، ها برای نهادهای محلی و فروشندگ، که به آنها خدمات ارائه می دهند، بالقوه مواجه می شوند. برای شهرداری‌ها، مدارس و شهرستان‌های محلی، رعایت یک رویکرد فعالانه نیاز دارد – نهادهای محلی باید خود را با ا،امات جدید آشنا کنند، مراقب اطلاعات شخصی خود باشند و اطمینان حاصل کنند که فروشندگان آنها از تعهدات خود آگاه هستند. علاوه بر این، نهادهای محلی م،م به پیاده سازی پروتکل های رمزگذاری، و تهیه و حفظ سیاست های ذخیره سازی و انتقال خواهند بود.

در ابتدا توسط Babst Calland در 29 نوامبر 2022 منتشر شد

© Copyright Babst, Calland, Clements and Zomnir, PCبررسی حقوق ملی، جلد دوازدهم، شماره 363


منبع: https://www.natlawreview.com/article/governor-wolf-signs-act-151-addressing-data-breaches-within-local-en،ies