Законопроект не очень большой — всего 13 статей на 9 страницах. Из наиболее интересных положений могу отметить следующее:
- Определение ПДн, включающее перечисление того, что считается персональными данными. Никакой «любой информации» — все предельно ясно. Это ФИО или инициал и фамилия в комбинации с любыми двумя элементами — почтовый адрес или телефон, девичья фамилия матери, дата рождения. Также к ПДн относятся еще 5 видов данных:
- номер социального страхования, номер водительского удостоверения, номер паспорта или номер иного документа, удостоверяющего личность
- биометрические данные, такие как отпечатки, голос, радужка глаза или иные уникальные физиологические особенности субъекта ПДн
- уникальный номер счета в банке, номер платежной карты
- имя пользователя или e-mail в комбинации с паролем или секретным вопросом и ответом, которые позволяют получить доступ к учетной записи
- комбинация следующих данных
- имя и фамилия или инициал имени и фамилия
- уникальный номер в банке, номер платежной карты
- любой код безопасности, код доступа, пароль.
- О несанкционированном доступе к ПДн должна уведомить пострадавших любая компания, которая за последние 12 месяцев обрабатывала ПДн более чем о 10000 субъектах.
- Уведомление должно быть осуществлено без необоснованных задержек. Обоснованная задержка не должна быть более 30 дней. Можно больше, но по согласованию с регулятором (Федеральная торговая комиссия). Также можно затянуть с уведомлением в случае уголовного расследования или по требованиям национальной безопасности.
- Можно не уведомлять, если по результатам анализа риска будет доказано, что угрозы субъекту или его ПДн нет.
- Уведомление может быть письменным (по последнему известному адресу), по телефону или e-mail с электронной подписью.
- Дальше идут детали уведомления (или освобождения от него) для разных категорий лиц — судьи, правоохранительные органы, силовики и т.д.
- Несмотря на название, о защите в законопроекте ни слова.
Лично я большого смысла в этом законе не вижу при наличии уже принятых в абсолютном большинстве штатов своих собственных, местами даже более жестких законов. Единственное, что можно поставить в плюс Обаме — попытку унифицировать подходы в данном вопросы и с регионального уровня поднять его на федеральный.
ЗЫ. У нас такой законопроект тоже хотели принять — мы даже один раз рабочей группой собирались по этому вопросу. Но, к сожалению, в связи с покиданием одного из регуляторов ряда достойных людей и конфликтом между некоторыми регуляторами данная тема подвисла в воздухе. Хотя может быть это и хорошо, учитывая как наши законодатели переиначивают все хорошие начинания.
ЗЗЫ. Помимо данного законопроекта Обама планирует анонсировать и ряд других инициатив по кибербезопасности, как результат взлома Sony.
"Определение ПДн, включающее перечисление того, что считается персональными данными…"
Список больше похож (а он так и называется sensitive PII) на перечисление только узкого списка чуйствительных ПДн.
152-ФЗ он же не только про них, а вообще про все ПДн.
Другое дело, что у нас вместо того, чтобы оценивать реальность ущерба от использования ПДн, номер паспорта относят к ПДн самого паспорта =), а не к идентификационной информации его владельца.
Если быть честным, то наш закон больше о правах субъектов ПДн, чем этот законопроект.
На основании этого закона ЕС формально не должны признать США страной с адекватной защитой ПДн (то есть признать могут, но не на основании этой "поделки"). Уведомление при инцидентах — это процентов 10 от соблюдения прав субъекта.
А США в РФ НИКОГДА не признают адекватной страной