紐約SHIELD Act

2019年7月25日,紐約州州長Andrew Cuomo簽署防止非法侵入與加強電子資料安全法(Stop Hacks and Improve Electronic Data Security Act, SHIELD Act),就既有的紐約資料事故通知法(Data Breach Notification Law)增訂更嚴格的規範。

該法關於事故通知的部分於2019年10月23日生效,資料安全的規範則是於今(2020)年3月24日生效。同時該法也擴大適用範圍,換言之,只要處理紐約州居民的企業均有該法的適用,以下簡單說明該法重點:

  • 私人資料(Private information)定義
    1. 使用者名稱或電子郵件地址,以及可藉此存取帳戶之密碼或安全性問題及答案。
    2. 個人資料(Personal information,任何可識別該自然人的資料)與社會安全號碼(social security number)、駕照號碼、信用卡卡號等財務帳戶資料、生物資料(包含指紋、聲紋、視網膜或虹膜等)。
  • 資料安全保護要求
    1. 合理行政保護措施,包含「指定至少一個人員協調安全計畫」、「識別合理可預見之內部與外部風險」、「評估保護措施的有效性以控制風險」、「管理與訓練人員瞭解安全計畫及程序」、「選擇能夠維持適當保護措施的服務提供者並於契約內約定之」、「適時調整安全計畫」。
    2. 合理技術性保護措施,包含「評估網路與軟體設計中的風險」、「評估資料傳輸、處理與儲存之風險」、「偵測、預防與應對攻擊及系統故障」、「定期測試與監測關鍵控制措施、系統與程序的有效性」。
    3. 合理物理性保護措施,包含「評估資料刪除銷毀與儲存之風險」、「入侵之偵測、預防與應對」、「避免私人資料於蒐集、傳輸或刪除銷毀期間及後續遭未經授權存取或利用」、「在其商業目的不再需要該私人資料後合理期間內,刪除銷毀該私人資料,使該資料無法被讀取及還原。」
  • 至於「員工少於50人」、「最近三個會計年度,年營業額均少於300萬美元」或「根據GAAP公認會計原則,其年末總資產少於500萬美元」的小型企業(Small Business)則應考量其規模與複雜性,以實施其上述保護措施。
  • 同時該法也擴大既有資料事故定義,修改為「未經授權的存取或取得私人資料」與「未經有效授權而存取或取得私人資料」,而損害私人資料之安全性、機密性與完整性,同時企業發生資料事故,則應依該法規範進行通知或履行相關義務。
  • 違反紐約SHIELD Act,紐約檢察長將可依法處以每次違反最高5,000美元之民事罰款。

對「紐約SHIELD Act」的一則回應

迴響已關閉。