W następstwie serii naruszeń bezpieczeństwa danych na początku 2005 roku Kongres Stanów Zjednoczonych wydawał się gotowy do szybkiego przepisy, które wymagałyby od firm powiadamiania klientów, kiedy ich dane osobowe zostały udostępnione skompromitowany.
Teraz, ponad rok po naruszeniu danych w ChoicePoint Inc. i LexisNexis rozpoczęły ogólnokrajową debatę na temat kradzieży tożsamości i bezpieczeństwa danych, Kongresowi kończy się czas na uchwalenie prawa przed zakończeniem prac w tym roku. Niektórzy zwolennicy krajowego prawa dotyczącego powiadamiania o naruszeniach twierdzą, że jest mało prawdopodobne, aby Kongres mógł uchwalić ustawę do tego czasu.
Od początku 2005 roku ustawodawcy wprowadzili ponad 10 projektów ustaw dotyczących powiadamiania o naruszeniu ochrony danych. Rachunki różnią się na kilka sposobów, w tym różne wymagania dotyczące tego, kiedy naruszona firma powinna powiadomić klientów i czy konsumenci powinni mieć możliwość zamrożenia swoich raportów kredytowych po a naruszenie.
Oprócz zamieszania związanego z różnicami w rachunkach, pięć komisji kongresowych przyznało się do jurysdykcji nad niektórymi rachunkami za naruszenie danych. „To z pewnością popularny i prokonsumencki problem do rozwiązania” – powiedział David Sohn, doradca pracowniczy w Center for Democracy and Technology, grupie zajmującej się ochroną prywatności i praw obywatelskich. „Trudno zobaczyć, jak Kongres pogodzi wszystkie rachunki”.
Pod koniec 2005 r. ustawa o powiadamianiu o naruszeniu danych wydawała się praktycznie zapewniona; nawet brokerzy danych, tacy jak ChoicePoint, opowiadali się za prawem federalnym, które miałoby pierwszeństwo przed stanowymi przepisami dotyczącymi powiadomień, które pojawiały się w całych Stanach Zjednoczonych. stany przyjęły własne przepisy dotyczące powiadomień, a zwolennicy prawa federalnego twierdzą, że firmy międzystanowe będą miały trudności z przestrzeganiem dziesiątek przepisów stanowych prawa.
Dwa projekty ustaw dotyczące powiadamiania o naruszeniu danych przeszły przez komisje senackie i czekają na rozpatrzenie w Senacie, a dwa inne projekty ustaw czekają na rozpatrzenie w Izbie Reprezentantów. Rzecznik senator Dianne Feinstein, kalifornijskiej demokratki i wczesnej orędowniczki krajowego naruszenia bezpieczeństwa danych ustawa o powiadamianiu, powiedział, że wciąż ma nadzieję, że ustawa przejdzie przez Kongres w tym roku, ale inne są mniej optymistyczny.
Zarówno Izba, jak i Senat za cel obrały 10 października. 6 do odroczenia na rok, dając prawodawcom około miesiąca na kampanię przed listopadowymi wyborami parlamentarnymi. Obie izby ustawodawcze będą poza sesjami przez większą część sierpnia, a kwestie krajowe, takie jak reforma imigracyjna i ceny gazu, prawdopodobnie zdominują uwagę prawodawców. Kiedy nowy Kongres obejmie urząd w styczniu, wszystkie ustawy, które nie przeszły przed wyborami, będą musiały zostać ponownie wprowadzone.
Zapytany w środę, czy ustawa o naruszeniu danych zostanie uchwalona w tym roku, James Assey Jr., starszy doradca Demokratów w Senacie ds. Nauki i Transportu, powiedział, że nie jest pewien, mimo że rachunki za powiadomienia o naruszeniu danych cieszyły się ponadpartyjnością wsparcie.
„Nie jest jasne, co zrobi Kongres” — powiedział podczas konferencji Association for Computing Machinery (ACM). „Idąc na następny Kongres, jestem pewien, że te kwestie powrócą”.
W zeszłym miesiącu do Waszyngtonu przyjechała grupa kierowników z dostawców zabezpieczeń IT, aby przeforsować ustawę o naruszeniu danych, a niektórzy martwili się, że Kongres pozwala temu problemowi umrzeć. Zorganizowana przez Cyber Security Industry Alliance wycieczka pozostawiła niektórych uczestników z ciągłymi obawami, że Kongres odłożył tę kwestię na dalszy plan.
Uczestnicy powiedzieli prawodawcom i personelowi: „Możesz chcieć przeprowadzić ankietę wśród swoich wyborców i zobaczyć, czy to jest ważne” – powiedział Philip Dunkelberger, prezes i dyrektor generalny PGP Corp. „Mówimy:„ Musisz wprowadzić przepisy tam, gdzie ludzie będą mogli odbyć otwartą debatę publiczną ”.
Jedna z wielkich debat na temat przepisów dotyczy tego, co powinno wywołać powiadomienie klienta. Niektóre rachunki pozwalają firmom przechowującym dane decydować, kiedy zgłosić, wymagając powiadomienia tylko wtedy, gdy istnieje „znaczące” ryzyko kradzieży tożsamości. Inne rachunki wymagają zgłaszania praktycznie wszystkich naruszeń danych, ale krytycy twierdzą, że konsumenci mogą odczuwać „zmęczenie powiadomieniami”.
Ale jeśli pozwoli się firmom określić, kiedy istnieje znaczące ryzyko, powiadomień prawdopodobnie będzie niewiele, powiedział Daniel Solove, rzecznik ds. profesor George Washington University w Waszyngtonie „Każda firma ma motywację, by nie mówić:„ Naprawdę jesteś w dużym ryzyku ”- powiedział Solove na ACM konferencja.
Solove dodał, że wiele rachunków notyfikacyjnych w Kongresie byłoby słabszych niż niektóre już uchwalone prawa stanowe. Na przykład przepisy stanowe w Kalifornii i Nowym Jorku wymagają powiadomienia za każdym razem, gdy doszło do naruszenia niezaszyfrowanych danych i nie pozwalają firmom decydować, czy istnieje znaczące ryzyko.
Powiedział, że Solove wolałby raczej, aby te prawa stanowe stały w mocy, niż uchwalenie ustawy o powiadamianiu o naruszeniach krajowych. Powiedział, że większość ustaw Kongresu „nie jest zbyt rygorystyczna”. „Tutaj państwowe innowacje są naprawdę dobre”.