A 2005 elején történt adatszivárgás sorozata nyomán az Egyesült Államok Kongresszusa késznek tűnt a gyors lépésre törvény, amely előírja a vállalatoknak, hogy értesítsék az ügyfeleket, amikor személyes adataik kerültek kiadásra veszélyeztetett.
Most, több mint egy évvel a ChoicePoint Inc. adatszivárgása után. és a LexisNexis nemzeti vitát indított a személyazonosság-lopásról és az adatbiztonságról. Fogy az idő a Kongresszus számára, hogy elfogadjon egy törvényt, mielőtt az idén befejezné tevékenységét. A nemzeti jogsértés bejelentéséről szóló törvény egyes támogatói szerint nem valószínű, hogy a Kongresszus addigra képes lesz törvényt elfogadni.
A törvényhozók 2005 eleje óta több mint 10 törvényjavaslatot nyújtottak be az adatvédelmi incidens bejelentésével kapcsolatban. A számlák több szempontból is eltérnek, beleértve az eltérő követelményeket arra vonatkozóan, hogy mikor kell a jogsértő társaságnak értesíteni kell az ügyfeleket, és arról, hogy a fogyasztók leállíthatják-e hiteljelentéseiket a következőt követően megszeg.
A törvényjavaslatok eltérései miatti zűrzavaron túl öt kongresszusi bizottság is joghatóságot kért egyes adatvédelmi incidensekről szóló törvényjavaslatok felett. "Ez minden bizonnyal népszerű és fogyasztóbarát probléma, amelyet meg kell oldani" - mondta David Sohn, a Demokrácia és Technológia Központ munkatársa, egy magánéleti és polgári jogi érdekképviseleti csoport. „Nehéz belátni, hogy a Kongresszus hogyan fogja egyeztetni az összes számlát.”
2005 végén az adatvédelmi incidens bejelentéséről szóló törvény gyakorlatilag biztosítottnak tűnt; még az olyan adatbrókerek is, mint a ChoicePoint, olyan szövetségi törvényt szorgalmaztak, amely megelőzné az Egyesült Államokban felbukkanó állami értesítési törvényeket, körülbelül 23 Az államok elfogadták saját értesítési törvényeiket, és egy szövetségi törvény támogatói azt mondják, hogy az államközi vállalkozásoknak nehézségekbe ütközik majd, hogy megfeleljenek több tucat állam előírásainak. törvényeket.
Két adatvédelmi incidens bejelentési törvényjavaslat átment a szenátus bizottságain, és a szenátusban, két másik törvényjavaslat pedig a képviselőházban vár intézkedésre. Dianne Feinstein szenátor szóvivője, kaliforniai demokrata és a nemzeti adatszivárgás korai szószólója Az értesítési törvény szerint továbbra is reménykedik, hogy a törvény még ebben az évben átkerül a Kongresszuson, de mások kevésbé optimista.
A képviselőház és a szenátus is célul tűzte ki az októbert. 6-án elnapolják az évre, így a törvényhozók körülbelül egy hónapot kapnak a novemberi általános választások kampányára. Mindkét törvényhozó kamara augusztus nagy részében ülésen kívül lesz, és valószínűleg az olyan nemzeti kérdések, mint a bevándorlási reform és a gázárak dominálják majd a képviselők figyelmét. Amikor az új kongresszus januárban hivatalba lép, minden olyan törvényjavaslatot újra elő kell terjeszteni, amelyet a választások előtt nem fogadtak el.
James Assey Jr., a Senate Commerce vezető demokrata jogtanácsosa szerdán arról kérdezték, hogy elfogadják-e az adatszivárgásról szóló törvényjavaslatot idén, A Tudományos és Közlekedési Bizottság azt mondta, hogy bizonytalan, annak ellenére, hogy az adatszivárgásról szóló értesítések kétpártiak. támogatás.
"Nem világos, hogy mit fog tenni a Kongresszus" - mondta a Számítógépek Szövetsége (ACM) konferenciáján. "A következő kongresszusra lépve biztos vagyok benne, hogy ezek a kérdések visszatérnek."
A múlt hónapban IT-biztonsági beszállítók vezetőiből álló csoport érkezett Washingtonba, hogy sürgessék az adatszivárgásról szóló törvényjavaslatot, és néhányan attól tartottak, hogy a Kongresszus hagyja elhalni a problémát. A Cyber Security Industry Alliance által szervezett utazás néhány résztvevőben továbbra is aggodalmát fejezte ki amiatt, hogy a Kongresszus háttérbe szorította a kérdést.
A résztvevők azt mondták a törvényhozóknak és a munkatársaknak: „Lehet, hogy megkérdezheti a választóit, és megnézheti, hogy ez fontos-e” – mondta Philip Dunkelberger, a PGP Corp. elnöke és vezérigazgatója. „Azt mondjuk: „Ki kell hozni a jogszabályokat, ahol az emberek nyílt, nyilvános vitát folytathatnak”.
A jogszabályokkal kapcsolatos egyik nagy vita az, hogy mi váltja ki az ügyfelek értesítését. Egyes törvényjavaslatok lehetővé teszik az adatkezelő társaságok számára, hogy eldöntsék, mikor tegyenek bejelentést, és csak akkor írnak elő értesítést, ha fennáll az igazolványlopás „jelentős” kockázata. Más törvényjavaslatok gyakorlatilag minden adatvédelmi incidens bejelentését írják elő, de a kritikusok szerint a fogyasztók „értesítési fáradtságot” kaphatnak.
De ha a vállalatoknak megengedik, hogy meghatározzák, mikor áll fenn jelentős kockázat, akkor valószínűleg kevés értesítés érkezik – mondta Daniel Solove, adatvédelmi és jogvédő. A washingtoni George Washington Egyetem professzora „Minden vállalatnak megvan az ösztönzése arra, hogy ne mondja azt, hogy Ön valóban nagy kockázatnak van kitéve” – mondta Solove az ACM-en. konferencia.
A kongresszus értesítési törvényei közül sok gyengébb lenne, mint a már elfogadott állami törvények némelyike – tette hozzá Solove. Kalifornia és New York állam törvényei például megkövetelik a bejelentést, ha a titkosítatlan adatok megsértése történt, és nem teszik lehetővé a vállalatok számára, hogy eldöntsék, fennáll-e jelentős kockázat.
Solove inkább azt szeretné látni, hogy ezek az állami törvények érvényesek, mintsem hogy elfogadják a nemzeti jogsértésekről szóló értesítést – mondta. A legtöbb kongresszusi törvényjavaslat „nem túl szigorú” – mondta. "Az állami innovációk itt nagyon jók."