پنجشنبه 29 دسامبر 2022
در روز پنجشنبه، 3 نوامبر 2022، فرماندار تام وولف لایحه 696 سنای PA را امضا کرد که به ،وان قانون 151 سال 2022 یا قانون اعلان اطلاعات شخصی نقض می شود. قانون 151 قانون اعلان نقض اطلاعات شخصی موجود در پنسیلو،ا را اصلاح می کند، حمایت از مصرف کنندگان را تقویت می کند و ا،امات سخت گیرانه تری را برای آژانس های ایالتی، پیمانکاران آژانس ایالتی، زیرمجموعه های سیاسی و افراد یا مشاغل خاصی که در کشورهای مش، المنافع تجارت می کنند، اعمال می کند. قانون 151 تعریف «اطلاعات شخصی» را گسترش میدهد و نهادهای مش، المنافع را م،م میکند که رویههای اطلاع رس، خاصی را اجرا کنند در صورتی که اطلاعات شخصی رمزگذارینشده و ویرایشنشده ،ن مش، المنافع توسط شخص غیرمجاز دسترسی یا بهطور منطقی تصور میشود. . ا،امات برای نهادهای ،تی و محلی کمی متفاوت است. این هشدار به تأثیر قانون 151 بر نهادهای محلی می پردازد. در حالی که این قانون تا 22 مه 2023 اجرایی نمی شود، بسیار مهم است که همه نهادهای تحت تأثیر این قانون از این تغییرات آگاه باشند.
برای اه، قانون 151، اصطلاح “نهادهای محلی” شامل شهرداری ها، شهرستان ها و مدارس ،تی می شود. اصطلاح “مدرسه ،تی” شامل تمام مناطق مدرسه، مدارس منشور، واحدهای متوسط، مدارس منشور سایبری، و مدارس حرفه ای و فنی منطقه می شود. قانون 151 ایجاب میکند که در صورت نقض امنیتی سیستمی که توسط یک نهاد محلی برای نگهداری، ذخیره یا مدیریت دادههای رایانهای شامل اطلاعات شخصی مورد استفاده قرار میگیرد، نهاد محلی باید طی هفت روز کاری پس از تعیین وضعیت، به افراد آسیبدیده اطلاع دهد. رخنه. علاوه بر این، نهادهای محلی باید ظرف سه روز کاری به دادستان منطقه محلی از تخلف اطلاع دهند.
تعریف “اطلاعات شخصی” به روز شده است و شامل ،یبی از (1) نام یا نام اول و نام خانوادگی یک فرد، و (2) یک یا چند مورد از موارد زیر است، اگر رمزگذاری نشده و ویرایش نشده باشد:
-
شماره تامین اجتماعی؛
-
شماره گواهینامه رانندگی؛
-
شماره حساب مالی یا شماره کارت اعتباری یا نقدی، همراه با هر کد امنیتی یا رمز عبور مورد نیاز؛
-
اطلاعات پزشکی؛
-
اطلاعات بیمه سلامت؛ یا
-
نام کاربری یا رمز عبور در ،یب با رمز عبور یا پرسش و پاسخ امنیتی.
سه مورد آ، با این اصلاحیه اضافه شد. علاوه بر این، زبان جدید بیان میکند که «اطلاعات شخصی» شامل اطلاعاتی نمیشود که از سوابق ،تی یا رسانههای بهطور گسترده در دسترس عموم قرار میگیرد.
قانون 151 اصطلاحات تعریف نشده قبلی را تعریف می کند، و بین “تعیین” و “کشف” نقض تمایز قائل شده و تعهدات متفاوتی را در رابطه با هر یک تعیین می کند. «تعیین» در این قانون به ،وان «تأیید یا اطمینان معقول از وقوع نقض امنیت سیستم» تعریف میشود. “کشف” به این صورت تعریف می شود: “دانستن یا ظن منطقی مبنی بر اینکه امنیت سیستم رخ داده است.” این تمایز به نهادها این امکان را میدهد تا قبل از اجرای ا،امات اعلان سختتر، یک نقض احتمالی را بررسی کنند. تعهد یک نهاد محلی برای اطلاع دادن به ،نان مش، المنافع زم، آغاز می شود که نهاد به این نتیجه رسیده باشد که نقض رخ داده است. علاوه بر این، هر فروشنده ای که داده های رایانه ای را از طرف یک نهاد محلی نگهداری، ذخیره یا مدیریت می کند، مسئول اطلاع دادن به نهاد محلی در صورت کشف نقض است، اما نهاد محلی در نهایت مسئول تصمیم گیری و انجام هر گونه وظایف باقی مانده بر اساس قانون است. 151.
یکی دیگر از به روز رس، های مهم ارائه شده توسط قانون 151، اضافه شدن یک روش اطلاع رس، الکترونیکی است. قبلاً میتوانست اخطار داده شود: (1) از طریق نامه کتبی که به آ،ین آدرس خانه شناخته شده فرد پست میشود. (2) از طریق تلفن، در صورتی که ا،امات خاصی برآورده شود. (3) از طریق ایمیل اگر یک رابطه تجاری قبلی وجود داشته باشد و نهاد دارای یک آدرس ایمیل معتبر باشد. یا (4) اگر هزینه ارائه اخطار از 100000 دلار تجاوز کند، از 175000 نفر افراد تحت تأثیر قرار گیرد، یا نهاد اطلاعات تماس کافی نداشته باشد، از طریق اخطار جایگزین. اکنون، علاوه بر گزینه ایمیل، نهادها میتوانند اعلامیهای الکترونیکی ارائه کنند که به فردی که اطلاعات شخصی او ممکن است به طور مادی در معرض خطر قرار گرفته باشد هدایت میکند تا سریعاً رمز عبور و سؤال یا پاسخ امنیتی خود را تغییر دهد یا هر اقدام من، دیگری را برای محافظت از اطلاعات خود انجام دهد.
قانون 151 همچنین مقرر میدارد که تمام نهادهایی که اطلاعات شخصی رایانهای را از طرف مش، المنافع نگهداری، ذخیره یا مدیریت میکنند باید از رمزگذاری استفاده کنند – این ماده در ابتدا فقط برای کارمندان و پیمانکاران آژانسهای مش، المنافع اعمال میشد، اما در قانون 151 گسترش یافت. مقرر میدارد که همه نهادهایی که اطلاعات شخصی رایانهای را از طرف مش، المنافع نگهداری، ذخیره یا مدیریت میکنند، باید خطمشیهای مربوط به انتقال و ذخیرهسازی اطلاعات شخصی را حفظ کنند – چنین سیاستهایی قبلاً توسط دفتر اداری استانداری تدوین شده بود.
در نهایت، بر اساس قانون 151، هر نهادی که مشمول و مطابق با برخی از قو،ن مراقبت های بهداشتی و حریم خصوصی فدرال باشد، مطابق با قانون 151 تلقی می شود. برای مثال، نهادی که تابع و مطابق با قابلیت حمل و نقل بیمه سلامت است قانون پاسخگویی 1996 (HIPAA) مطابق با قانون 151 تلقی می شود.
اگرچه قانون 151 اصلاحیه ای برای قو،ن قبلی است، اما به روز رس، ها برای نهادهای محلی و فروشندگ، که به آنها خدمات ارائه می دهند، بالقوه مواجه می شوند. برای شهرداریها، مدارس و شهرستانهای محلی، رعایت یک رویکرد فعالانه نیاز دارد – نهادهای محلی باید خود را با ا،امات جدید آشنا کنند، مراقب اطلاعات شخصی خود باشند و اطمینان حاصل کنند که فروشندگان آنها از تعهدات خود آگاه هستند. علاوه بر این، نهادهای محلی م،م به پیاده سازی پروتکل های رمزگذاری، و تهیه و حفظ سیاست های ذخیره سازی و انتقال خواهند بود.
در ابتدا توسط Babst Calland در 29 نوامبر 2022 منتشر شد
© Copyright Babst, Calland, Clements and Zomnir, PCبررسی حقوق ملی، جلد دوازدهم، شماره 363
منبع: https://www.natlawreview.com/article/governor-wolf-signs-act-151-addressing-data-breaches-within-local-en،ies