I kjølvannet av en serie datainnbrudd tidlig i 2005, virket den amerikanske kongressen klar til å gå raskt videre lovgivning som ville pålegge selskaper å varsle kundene når deres personopplysninger hadde vært kompromittert.
Nå, mer enn ett år etter datainnbrudd hos ChoicePoint Inc. og LexisNexis satte i gang en nasjonal debatt om identifikasjonstyveri og datasikkerhet, tiden renner ut for Kongressen å vedta en lov før den avslutter virksomheten i år. Noen talsmenn for en nasjonal lov om varsling av brudd sier at det er usannsynlig at Kongressen vil kunne vedta en lov innen den tid.
Lovgivere har innført mer enn 10 lovforslag som omhandler varsling om datainnbrudd siden tidlig i 2005. Regningene er forskjellige på flere måter, inkludert varierende krav til når et misligholdt selskap skal varsle kundene og om forbrukerne skal kunne fryse kredittrapportene sine etter en brudd.
Utover forvirringen om forskjellene i lovforslagene, har fem kongresskomiteer hevdet jurisdiksjon over noen av lovforslagene om datainnbrudd. "Det er absolutt et populært og forbrukervennlig problem å ta tak i," sa David Sohn, en stabsrådgiver ved Center for Democracy and Technology, en gruppe for personvern og borgerrettigheter. "Det er vanskelig å se hvordan kongressen vil forene alle regningene."
På slutten av 2005 virket en lov om varsling av databrudd praktisk talt sikret; til og med datameglere som ChoicePoint tok til orde for en føderal lov som ville forhindre statlige varslingslover som dukket opp over hele USA. Omtrent 23 stater har vedtatt sine egne varslingslover, og støttespillere av en føderal lov sier at mellomstatlige virksomheter vil ha problemer med å overholde dusinvis av statlige lover.
To lovforslag om varsling om databrudd har gått gjennom Senatets komiteer og venter på handling i Senatet, og to andre lovforslag venter på handling i Representantenes etasje. En talsmann for senator Dianne Feinstein, en California-demokrat og tidlig talsmann for et nasjonalt datainnbrudd varslingsloven, sa at han fortsatt håper en lov vil komme gjennom kongressen i år, men andre er mindre optimistisk.
Både huset og senatet har målrettet oktober. 6 for å utsette for året, noe som gir lovgivere omtrent en måned til å kampanje for stortingsvalget i november. Begge lovgivende kamre vil være ute av sesjon i det meste av august, og nasjonale spørsmål som immigrasjonsreform og gasspriser vil sannsynligvis dominere lovgivernes oppmerksomhet. Når den nye kongressen tiltrer i januar, må alle lovforslag som ikke ble vedtatt før valget, gjeninnføres.
På onsdag spurt om et lovforslag om datainnbrudd ville vedtas i år, James Assey Jr., en senior demokratisk rådgiver i Senatets handel, Vitenskaps- og transportkomiteen sa at han er usikker, selv om regninger om varsel om datainnbrudd har hatt todelt Brukerstøtte.
"Det er uklart hva Kongressen vil gjøre," sa han under en Association for Computing Machinery (ACM)-konferanse. "Når jeg går inn i neste kongress, føler jeg at disse problemene vil komme tilbake."
Forrige måned kom en gruppe ledere fra IT-sikkerhetsleverandører til Washington, D.C., for å presse på for et lovforslag om databrudd, med noen bekymret for at kongressen lot problemet dø. Organisert av Cyber Security Industry Alliance, ga turen noen deltakere med fortsatt bekymring for at kongressen har satt problemet på baksiden.
Deltakerne sa til lovgivere og ansatte: "Du vil kanskje spørre velgerne dine og se om dette er viktig," sa Philip Dunkelberger, president og administrerende direktør i PGP Corp. "Vi sier: 'Du må få lovverket der ute der folk kan ha en åpen, offentlig debatt'."
En av de store debattene rundt lovverket er hva som skal utløse kundevarsling. Noen av regningene lar dataholdende selskaper bestemme når de skal rapportere ved å kreve varsling bare når det er en "betydelig" risiko for ID-tyveri. Andre regninger krever rapportering for praktisk talt alle datainnbrudd, men kritikere sier at forbrukere kan få «varslingstrøtthet».
Men hvis selskaper har lov til å bestemme når det er en betydelig risiko, vil det sannsynligvis være lite varsling, sa Daniel Solove, personvernadvokat og lov. professor ved George Washington University i Washington, D.C. "Hvert selskap har et insentiv til ikke å si: 'Du er virkelig i en stor risiko'," sa Solove ved ACM konferanse.
Mange av varslingslovene i Kongressen ville være svakere enn noen av delstatslovene som allerede er vedtatt, la Solove til. Statlige lover i California og New York, for eksempel, krever varsling hver gang det har vært et brudd på ukrypterte data og tillater ikke selskaper å avgjøre om det er en betydelig risiko.
Solove vil heller se at de statlige lovene blir stående enn å se en nasjonal lov om bruddvarsel vedta, sa han. De fleste av kongresslovene er "ikke veldig strenge," sa han. "De statlige innovasjonene her er veldig bra."