Sulla scia di una serie di violazioni dei dati all'inizio del 2005, il Congresso degli Stati Uniti sembrava pronto ad andare avanti rapidamente legislazione che richiederebbe alle aziende di informare i clienti quando le loro informazioni personali erano state compromesso.
Ora, più di un anno dopo le violazioni dei dati a ChoicePoint Inc. e LexisNexis hanno dato il via a un dibattito nazionale sul furto di identità e la sicurezza dei dati, il tempo sta per scadere perché il Congresso approvi una legge prima che termini i lavori quest'anno. Alcuni sostenitori di una legge nazionale sulla notifica delle violazioni affermano che è improbabile che il Congresso sarà in grado di approvare una legge per allora.
Dall'inizio del 2005 i legislatori hanno introdotto più di 10 progetti di legge relativi alla notifica di violazione dei dati. Le fatture differiscono in diversi modi, compresi i diversi requisiti su quando una società violata dovrebbe informare i clienti e se i consumatori dovrebbero essere in grado di congelare i loro rapporti di credito a seguito di a violazione.
Al di là della confusione sulle differenze tra i disegni di legge, cinque commissioni congressuali hanno rivendicato la giurisdizione su alcuni dei progetti di legge sulla violazione dei dati. "È certamente una questione popolare e pro-consumatore da affrontare", ha affermato David Sohn, consulente del personale presso il Center for Democracy and Technology, un gruppo di difesa della privacy e dei diritti civili. "È difficile vedere come il Congresso riconcilierà tutti i conti".
Alla fine del 2005, una legge sulla notifica delle violazioni dei dati sembrava praticamente assicurata; anche i broker di dati come ChoicePoint hanno sostenuto una legge federale che avrebbe anticipato le leggi statali sulla notifica che stavano spuntando negli Stati Uniti. gli stati hanno approvato le proprie leggi sulla notifica e i sostenitori di una legge federale affermano che le imprese interstatali avranno difficoltà a rispettare dozzine di leggi statali legislazione.
Due progetti di legge sulla notifica della violazione dei dati sono stati approvati dalle commissioni del Senato e sono in attesa di azione al Senato, mentre altri due progetti di legge sono in attesa di azione alla Camera. Un portavoce del senatore Dianne Feinstein, un democratico della California e uno dei primi sostenitori di una violazione dei dati a livello nazionale legge sulla notifica, ha detto che spera ancora che una legge venga approvata dal Congresso quest'anno, ma altri lo sono meno ottimista.
Sia la Camera che il Senato hanno preso di mira il 10 ottobre. 6 per aggiornare per l'anno, dando ai legislatori circa un mese per fare campagna elettorale per le elezioni generali di novembre. Entrambe le camere legislative saranno fuori sessione per la maggior parte di agosto e questioni nazionali come la riforma dell'immigrazione e i prezzi del gas probabilmente domineranno l'attenzione dei legislatori. Quando il nuovo Congresso si insedierà a gennaio, tutti i progetti di legge che non sono stati approvati prima delle elezioni dovranno essere reintrodotti.
Mercoledì, alla domanda se quest'anno passerà un disegno di legge sulla violazione dei dati, James Assey Jr., un anziano consigliere democratico al Senato per il commercio, Comitato per la scienza e i trasporti, ha affermato di non essere sicuro, anche se le fatture di notifica della violazione dei dati sono state bipartisan supporto.
"Non è chiaro cosa farà il Congresso", ha detto durante una conferenza dell'Association for Computing Machinery (ACM). "Entrando nel prossimo Congresso, sono certo che questi problemi torneranno".
Il mese scorso, un gruppo di dirigenti di fornitori di sicurezza IT si è recato a Washington, DC, per sollecitare un disegno di legge sulla violazione dei dati, con alcuni preoccupati che il Congresso stesse lasciando morire il problema. Organizzato dalla Cyber Security Industry Alliance, il viaggio ha lasciato alcuni partecipanti con continue preoccupazioni sul fatto che il Congresso abbia messo la questione nel dimenticatoio.
I partecipanti hanno detto ai legislatori e al personale: "Potresti voler sondare i tuoi elettori e vedere se questo è importante", ha detto Philip Dunkelberger, presidente e amministratore delegato di PGP Corp. "Stiamo dicendo: 'Devi portare la legislazione là fuori dove le persone possono avere un dibattito pubblico aperto'".
Uno dei grandi dibattiti sulla legislazione è cosa dovrebbe attivare la notifica al cliente. Alcune delle fatture consentono alle società detentrici di dati di decidere quando segnalare richiedendo la notifica solo quando esiste un rischio "significativo" di furto di identità. Altre fatture richiedono la segnalazione per praticamente tutte le violazioni dei dati, ma i critici affermano che i consumatori potrebbero ottenere "affaticamento delle notifiche".
Ma se le aziende sono autorizzate a determinare quando c'è un rischio significativo, è probabile che ci sia poca notifica, ha affermato Daniel Solove, sostenitore della privacy e legale professore alla George Washington University di Washington, D.C. "Ogni azienda ha un incentivo a non dire:" Corri davvero un grosso rischio "", ha detto Solove all'ACM conferenza.
Molte delle leggi di notifica al Congresso sarebbero più deboli di alcune delle leggi statali già approvate, ha aggiunto Solove. Le leggi statali in California e New York, ad esempio, richiedono la notifica ogni volta che si verifica una violazione di dati non crittografati e non consentono alle aziende di decidere se esiste un rischio significativo.
Solove preferirebbe vedere quelle leggi statali in vigore piuttosto che vedere approvata una legge nazionale sulla notifica delle violazioni, ha affermato. La maggior parte dei progetti di legge del Congresso sono "non molto rigorosi", ha affermato. "Le innovazioni statali qui sono davvero buone."