不甘示弱 佛罗里达,加利福尼亚再次修改了其数据安全违规法,并再次以开创性的方式(至今令人困惑)进行了修订。 2014年9月30日,加利福尼亚州州长布朗签署了一项法案,“ AB 1710”),这似乎是美国首次要求针对某些数据安全漏洞向消费者提供免费的身份盗窃保护服务。该法律还修订了该州的个人信息保护法和社会安全号(“ SSN”)法。该修订将于2015年1月1日生效。

某些违规行为需要免费的身份盗窃保护服务

最重要的是,AB 1710似乎修订了加利福尼亚的违法行为,要求公司免费提供加利福尼亚居民的“适当的身份盗窃预防和缓解”服务,如果违规行为涉及该人的姓名和SSN,驾照号码或加利福尼亚身份证号码。具体而言,AB 1710在相关部分中规定,如果提供此类违规通知的公司是“违规源”:

提供适当的身份防盗和缓解服务(如果有)的要约,应在不少于12个月的时间内免费向受影响的人提供,以及为要约提供信息的任何人必须利用的所有必要信息可能已被违反。

这项要求的起草工作远非一字不漏,而且可以多次阅读。特别地,可以以多种方式来理解短语“如果有的话”的使用。例如,可以将短语“如果有的话”理解为可修改短语“适当的身份盗用预防和缓解服务”。根据这一解读,如果任何此类服务适当,法律将规定提供免费身份盗用保护服务的义务。但是,可以将短语“如果有的话”理解为修改“要约”本身。根据该备选案文,法律将规定,如果公司打算提供身份盗用保护服务,则这些服务必须对消费者免费。很难知道加利福尼亚州检察长(“ AG”)或加利福尼亚法院将如何解释这种歧义。有一件事很清楚:在股份公司或法院没有判决之前,该标准将一直不清楚。

需求的起草在其他方面也不清楚。例如,该法规未指定哪种类型的服务将被视为“适当的身份盗窃预防和缓解服务”。例如,仅信用监控产品是否足以满足要求?还是法律会要求除了信用监控之外还需要其他东西,例如身份盗窃保险要素?

但是,国有股份公司历来一直鼓励公司在违规后向消费者提供免费的信用监控。此外,即使没有法律要求,免费信用监控也已成为一种普遍做法,尤其是对于涉及SSN的违规行为以及对引人注目的违规行为而言,这种情况越来越多。尽管如此,加州似乎是第一个合法地要求公司针对某些违规行为提供某种类型的免费身份盗窃保护服务的州。

AB 1710的方法尤为著名。首先,只有涉及SSN,驾照或加利福尼亚州身份证号码的违规行为才需要提供免费的身份盗窃保护服务。在这方面,对于涉及其他类型涵盖的个人信息(例如支付卡信息或用户名和密码)的违规行为,将不需要提供免费的身份盗窃保护服务。这种方法认可了许多公司长期以来的立场-仅当违规行为造成新帐户身份盗用的实际风险(与现有帐户的欺诈相对)时,才进行信用监控。另外,提供免费的身份盗窃保护服务只需要一年的时间(而不是例如两年)。提供免费信用监控的期限长久以来一直是一个争论的话题,加利福尼亚州现在已经同意一年提供足够的立场。

直接符合保障要求的服务提供商

AB 1710还修改了加利福尼亚州的个人信息保护法,将州的保护义务直接施加于“维护”信息的实体,即使他们不拥有该信息也是如此。州的安全保障标准历来要求“拥有或许可”涵盖加利福尼亚居民个人信息的公司“实施并维持适合于信息性质的合理安全程序和做法”,以保护个人信息免遭未经授权的活动。现有标准不适用于维护信息但不拥有信息的第三方,例如服务提供商。取而代之的是,现有标准要求个人信息的所有者以合同方式要求非关联的第三方,这些第三方将向其披露此类信息以采取措施来保护信息。

但是,AB 1710特别修订了保障法律,将其合理的安全程序和惯例标准直接施加于“维护”涵盖个人信息的实体,即使它们没有“拥有或许可”数据。此外,AB 1710消除了通过合同将安全义务转嫁给某些第三方的要求。具体而言,AB 1710规定,第三方合同要求不适用于向第三方提供涵盖的个人信息的公司,该公司现在将直接受保障标准的约束(,“保留”第三方的个人信息)。结果,第三方合同要求似乎仅在公司向将处理此类数据但不“保留”该数据的非关联第三方披露所涵盖的个人信息时才适用。

新禁止出售SSNS

最后,AB 1710修改了加利福尼亚州的SSN法律,禁止任何人出售,广告宣传或提议出售个人的SSN。此外,AB 1710特别规定“不得出于市场营销目的而散布个人的[SSN]。”但是,这项新的禁止出售SSN的禁令将不适用:(1)如果SSN的披露是伴随较大的交易而发生的,并且对于实现合法的商业目的有必要识别个人; (2)为联邦或州法律特别授权或允许的目的。尽管AB 1710对SSN的销售限制在许多州的SSN法律中是独一无二的,但其他州的SSN法律确实包括类似的禁令,例如阿拉斯加,明尼苏达州,北卡罗来纳州,南卡罗来纳州和佛蒙特州法律。

对企业的实际意义

加利福尼亚关于针对某些违规行为提供免费身份盗窃保护服务的要求为遭受违规行为的公司增加了另一层复杂性。公司应该准备就如何实施新要求做​​出艰难的决定。例如,公司应考虑:

  • 在AG或法院提供进一步指导之前,您的公司将如何解释要求的语言?例如,您的公司是否会认为AB 1710实际上没有强制要求提供免费的身份盗窃保护服务?
  • 如果您的公司认为需要提供这种类型的“适当的身份盗窃预防和缓解”服务,该公司将提供什么服务?
  • 如果涉及涉及包括加利福尼亚州在内的多个州居民的信息的违规事件,贵公司是否将身份盗窃保护服务的范围扩展到除加利福尼亚州以外的其他州的居民?
  • 贵公司是否会针对涉及个人信息(SSN,驾照号码或加利福尼亚身份证号码除外)的违规行为提供身份盗窃保护服务?
  • 贵公司提供免费的身份盗窃保护服务时,是否仅提供一年?您的公司在某些情况下会延长报价吗?

从历史上看,其他州可能会效仿加利福尼亚。因此,监视州立法的发展非常重要,如果州提出了类似的要求,请确定其是否遵循类似于AB 1710的基于风险的方法。

此外,为他人提供服务的公司,其中涉及维护被维护但不拥有的与加利福尼亚居民相关的个人信息,应注意,他们将直接受到加利福尼亚保障法的要求。在AB 1710的新要求生效之前,这些公司应重新审视其安全程序和做法,并考虑它们是否合适并符合加利福尼亚州的保障要求。